CLI方式：源IP黑名单典型配置

使用版本

本举例是在M9000-AI-E8的R9071版本上进行配置和验证的。

组网需求

如下图所示，网络管理员通过流量分析发现外部网络中存在一个攻击者Host D，需要将来自Host D的报文在Device上永远过滤掉。另外，网络管理员为了暂时控制内部网络Host C的访问行为，需要将Device上收到的Host C的报文阻止50分钟。

图-1 源IP黑名单配置组网图

‌

配置步骤

1. 配置接口IP地址

# 根据组网图中规划的信息，配置各接口的IP地址，具体配置步骤如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 255.255.0.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址，具体配置步骤略。

2. 将接口加入安全域

# 请根据组网图中规划的信息，将接口加入对应的安全域，具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

3. 配置安全策略

# 配置名称为trust-untrust的安全策略，保证Trust安全域内的主机可以访问Internet，具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.0.0 16

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

# 配置名称为untrust-dmz的安全策略，保证Internet中的主机可以访问Server，具体配置步骤如下。

[Device-security-policy-ip] rule name untrust-dmz

[Device-security-policy-ip-2-untrust-dmz] source-zone untrust

[Device-security-policy-ip-2-untrust-dmz] destination-zone dmz

[Device-security-policy-ip-2-untrust-dmz] destination-ip-host 10.1.1.2

[Device-security-policy-ip-2-untrust-dmz] action pass

[Device-security-policy-ip-2-untrust-dmz] quit

[Device-security-policy-ip] quit

4. 配置源IP黑名单功能

# 将Host D的IP地址5.5.5.5添加到源IP黑名单中，老化时间使用缺省情况（永不老化）。

[Device] blacklist ip 5.5.5.5

# 将Host C的IP地址192.168.1.4添加到源IP黑名单中，老化时间为50分钟。

[Device] blacklist ip 192.168.1.4 timeout 50

# 开启全局黑名单过滤功能。

[Device] blacklist global enable

验证配置

# 完成以上配置后，可以通过display blacklist ip命令查看已添加的源IP黑名单信息。

[Device] display blacklist ip

IP address      VPN instance   DS-Lite tunnel peer  Type    TTL(sec) Dropped

5.5.5.5         --             --                   Manual  Never    0

192.168.1.4     --             --                   Manual  2989     0

配置生效后，Device对来自Host D的报文一律进行丢弃处理，除非管理员认为Host D不再是攻击者，通过undo blacklist ip 5.5.5.5将其从黑名单中删除；如果Device接收到来自Host C的报文，则在50分钟之内，一律对其进行丢弃处理，50分钟之后，才进行正常转发。

配置文件

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 192.168.1.1 255.255.0.0

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 202.1.0.1 255.255.0.0

#

interface GigabitEthernet1/0/3

 port link-mode route

 ip address 10.1.1.1 255.255.255.0

#

#

security-zone name Trust

 import interface GigabitEthernet1/0/1

#

security-zone name DMZ

 import interface GigabitEthernet1/0/3

#

security-zone name Untrust

 import interface GigabitEthernet1/0/2

#

 blacklist ip 5.5.5.5

 blacklist global enable

#

security-policy ip

 rule 1 name trust-untrust

  action pass

  source-zone trust

  destination-zone untrust

  source-ip-subnet 192.168.0.0 255.255.0.0

 rule 2 name untrust-dmz

  action pass

  source-zone untrust

  destination-zone dmz

  destination-ip-host 10.1.1.2

#