- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-IPv6控制策略功能典型配置举例
本章节下载: 04-IPv6控制策略功能典型配置举例 (729.34 KB)
目录
本文档介绍ACG1000设备IPv6控制策略配置举例,IPv6控制策略可以基于用户、源目接口、源目地址、应用、服务、URL、时间等多维度进行控制。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解IPv6控制策略特性。
· ACG1000版本对于纯IPv6环境下加密的应用无法进行解密,所以不能对加密相关应用进行识别及控制。
如图1所示,某部门内网用户使用IPV6网段地址过ACG设备访问公司内部部署的IPV6的HTTP服务器和FTP服务器,先需要对IPV6服务器访问进行限制,工作时间(9:00-18:00)不允许访问FTP服务器和HTTP服务器,只有其它时间访问这两个服务器进行上传下载正常。具体应用需求如下:
· 工作时间不能通过IPV6地址访问这两个服务器。
图1 IPv6控制策略功能配置组网图
· Host主机上配置IPv6地址;
· ACG设备接口上配置IPv6地址。
· ACG设备配置IPv6地址对象。
· ACG设备配置时间对象。
· ACG设备配置用户识别范围。
· ACG设备基于IPv6地址对象配置IPv6控制策略。
本举例是在R6611P01版本上进行配置和验证的。
IPv6控制策略匹配是由上至下进行匹配,策略匹配到之后将不会往下继续匹配。
如图2所示,使用http或https的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
如图所示,进入“网络配置>接口配置>物理接口”,在ge1和ge4口上配置IPv6地址。
图3 配置接口IPv6地址
如图4所示,进入“策略配置>对象管理>地址对象>IPv6地址对象”,点击<新建>,IP地址配置为2001::/64,创建内网IPv6地址对象,点击<提交>。按同样的办法配置服务器网段2005::/64的IPv6地址对象。
如图5所示,创建成功的地址对象配置如下:
如图6所示,进入“策略配置>对象管理>时间对象>日计划”,配置日计划时间对象,工作时间选择9:00-18:00。
如图7所示,进入“用户管理>认证管理>高级选项>全局配置”,识别范围选择any,识别方式选择强制模式,点击<提交>按钮,用户识别配置完成。
(1) 配置IPv6控制策略匹配条件
如图8所示,进入“策略配置>IPv6控制策略”,点击<新建>,“源地址”配置为2001,目的地址配置为2005如图9所示,时间对象选择工作时间如图10所示。
图8 配置IPv6控制策略源地址
图9 配置IPv6控制策略目的地址
图10 配置IPv6控制策略时间
(2) 配置URL过滤策略
如图11所示,在IPv6控制策略的“URL过滤”页面,点击“URL控制”<新建>一条URL控制策略,URL分类选择其它,动作选择拒绝,日志级别选择通知级别,点击<提交>。
图11 配置URL控制策略
(3) 配置应用过滤策略
如图12所示,在IPv6控制策略的“应用过滤”页面,点击<新建>一条应用控制策略,应用分类选择文件传输大类,动作选择拒绝,日志级别选择通知级别,点击<提交>。
如图13所示,点击策略最下面的<提交>按钮,IPv6控制策略配置完成。
图13 IPv6控制策略配置完成
(1) 如图14所示,测试终端ping服务器的IPv6地址可正常通信。
图14 测试终端ping IPv6服务器地址
(2) 如图15所示,工作时间段,测试PC访问IPv6服务器的HTTP服务被拒绝,有相应的阻断提示信息。
图15 访问IPv6服务器的HTTP服务被拒绝
(3) 如图16所示,进入“数据中心>日志中心>控制日志>应用控制日志”,有匹配IPv6控制策略中URL控制策略的阻断日志。
图16 URL过滤控制阻断日志
(4) 如图17所示,测试终端通过FTP客户端登录IPv6服务器的FTP server,登录失败。
图17 终端登录FTP服务器失败
(5) 如图18所示,进入“数据中心>日志中心>控制日志>应用控制日志”,有匹配IPv6控制策略中应用过滤策略的阻断日志。
!
interface ge1
ip address 10.1.3.1/24
ipv6 address 2001::1/64
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
!
interface ge4
traffic-mode extern
ip address 192.168.2.37/24
ipv6 address 2005::1/64
allow access https
allow access http
allow access ping
allow access ssh
allow access telnet
!
address6 2001
ipv6 subnet 2001::/64
!
address6 2005
ipv6 subnet 2005::/64
!
schedule-day 工作时间
periodic start 09:00 end 18:00
!
policy6 any any 2001 2005 any any any 工作时间 permit 1
log policy-deny enable
app-policy control 1 action deny log-level notice
app-policy control 1 application File_Transfer
app-policy control 1 enable
website-policy 1 other-url deny notice FilterUrl
website-policy enable 1
policy6 default-action permit
!
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
