本举例是在F5000-AI160的E8371版本上进行配置和验证的。
如下图所示,Host 1所在网络的出口处部署了一台Device,安全策略通过引用IPv6地址对象组实现Host 1访问Host 2。
图-1 IPv6地址对象组配置组网图
对象组的嵌套层次最大为5层,譬如对象组1、2、3、4分别引用对象组2、3、4、5,则对象组5不能再引用其他对象组,对象组1也不能再被其他对象组引用。
嵌套的对象组不能形成循环。
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 单击接口GE1/0/2右侧的<编辑>按钮,配置如下:
安全域:Untrust
选择“IPv6地址”页签,配置IPv6地址/前缀长度:30:1:1::1/112
其他配置项使用缺省值
# 单击<确定>按钮,完成接口IP地址和安全域的配置。
# 按照同样的步骤配置接口GE1/0/1,配置如下。
加入到安全域:Trust
IPv6地址/前缀长度:20:1:1::1/112
其他配置项使用缺省值
配置对象组
# 选择“对象 > 对象组 > IPv6地址对象组”,进入IPv6地址对象组页面。
# 单击<新建>按钮,进入新建IPv6地址对象组页面,配置对象组名称为test-6a。
图-2 新建IPv6地址对象组页面
# 单击<添加>按钮,进入添加对象页面,进行如下配置:
对象:网段
网段地址:20:1:1::/112
图-3 添加对象页面
# 在添加对象页面,单击<确定>按钮,完成对象的添加。
# 在新建IPv6地址对象组页面,单击<确定>按钮,完成IPv6地址对象组的创建。
配置安全策略
# 选择“策略 > 安全策略> 安全策略”,单击<新建>按钮,选择新建策略,进入新建安全策略页面。
# 新建安全策略,并进行如下配置:
名称:test-6a
类型:IPv6
源安全域:Trust
源地址对象组/地区:test-6a
目的安全域:Untrust
动作:允许
其他配置项使用缺省值
# 单击<确定>按钮,完成安全策略的配置。
Host1主机可以Ping通Host2。
C:\Users\abc> ping 30:1:1::10
正在 Ping 30:1:1::10 具有 32 字节的数据:
来自30:1:1::10 的回复: 字节=32 时间<1ms TTL=254
来自30:1:1::10 的回复: 字节=32 时间<1ms TTL=254
来自30:1:1::10 的回复: 字节=32 时间<1ms TTL=254
来自30:1:1::10 的回复: 字节=32 时间<1ms TTL=254
30:1:1::10 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms