访问控制列表

业务模块

ACL应用方式

可使用的ACL编号范围

Telnet

方式一：

系统视图下执行命令telnet [ ipv6 ] server acl acl-number

方式二：

a、执行命令user-interface vty first-ui-number [ last-ui-number ]，进入VTY用户界面视图

b、执行命令acl [ ipv6 ] acl-number { inbound | outbound }

2000～3999

HTTP

系统视图下执行命令http acl acl-number

2000～3999

SNMP

SNMPv1和SNMPv2c：

系统视图下执行命令snmp-agent acl acl-number

或snmp-agent community { read | write } { community-name | cipher community-name } [ mib-view view-name | acl acl-number ] *

SNMPv3：

系统视图下执行命令snmp-agent acl acl-number、snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ]^* [ acl acl-number ]或snmp-agent usm-user v3 user-name [ group group-name | acl acl- number ] ^*

2000～2999

FTP

系统视图下执行命令ftp [ ipv6 ] acl acl-number

2000～3999

TFTP

系统视图下执行命令tftp-server [ ipv6 ] acl acl-number

2000～3999

SFTP

方式一：

系统视图下执行命令ssh [ ipv6 ] server acl acl-number

方式二：

a、执行命令user-interface vty first-ui-number [ last-ui-number ]，进入VTY用户界面视图

b、执行命令acl [ ipv6 ] acl-number { inbound | outbound }

2000～3999

流策略

a、系统视图下执行命令traffic classifier classifier-name [ operator { and | or } ] [ precedence precedence-value ]，进入流分类视图。

b、执行命令if-match acl { acl-number | acl-name }，配置ACL应用于流分类。

c、系统视图下执行命令traffic behavior behavior–name，定义流行为并进入流行为视图。

d、配置流动作。报文过滤有两种流动作：deny 或permit。

e、系统视图下执行命令traffic policy policy-name [ match-order { auto | config } ]，定义流策略并进入流策略视图。

f、执行命令classifier classifier-name behavior behavior-name，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。在系统视图、接口视图或VLAN视图下，执行命令traffic-policy policy-name { inbound | outbound }，应用流策略。

ACL：2000～5999

ACL6：2000～3999

NAT

方式一：

a、系统视图下执行命令nat address-group group-index start-address end-address，配置公网地址池。

b、执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/interface.html'>interface interface-type interface-number.subnumber，进入子接口视图。

c、执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/nat_outbound.html'>nat outbound acl-number address-group group-index [ no-pat ]，，配置带地址池的NAT Outbound。

方式二：

a、系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/interface.html'>interface interface-type interface-number.subnumber，进入子接口视图。

b、执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/nat_outbound_acl.html'>nat outbound acl-number，配置Easy IP。

2000～3999

IPSEC

方式一：

a、系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/ipsec_policy_system_view.html'>ipsec policy policy-name seq-number manual，创建手工方式安全策略，并进入手工方式安全策略视图。

b、执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/security_acl.html'>security acl acl-number，在安全策略中引用ACL。

方式二：

a、系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/ipsec_policy_system_view.html'>ipsec policy policy-name seq-number isakmp，创建IKE动态协商方式安全策略，并进入IKE动态协商方式安全策略视图。

b、执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/security_acl.html'>security acl acl-number，在安全策略中引用ACL。

方式三：

a、系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/ipsec_policy-template.html'>ipsec policy-template template-name seq-number，创建策略模板，并进入策略模板视图。

b、执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/security_acl.html'>security acl acl-number，在安全策略中引用ACL。

c、系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/ipsec_policy_system_view.html'>ipsec policy policy-name seq-number isakmp template template-name，在安全策略中引用策略模板。

3000～3999

本机防攻击策略

白名单

a、系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/cpu-defend_policy.html'>cpu-defend policy policy-name，创建防攻击策略并进入防攻击策略视图。

b、执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/whitelist.html'>whitelist whitelist-id acl acl-number，创建自定义白名单。

c、系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/cpu-defend-policy.html'>cpu-defend-policy policy-name [ global ]，或槽位视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/cpu-defend-policy.html'>cpu-defend-policy policy-name，应用防攻击策略。

2000～4999

黑名单

b、执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/blacklist.html'>blacklist blacklist-id acl acl-number，创建黑名单。

2000～4999

用户自定义流

b、执行命令user-defined-flow flow-id acl acl-number，配置用户自定义流。

c、系统视图下执行命令cpu-defend-policy policy-name [ global ]，或槽位视图下执行命令cpu-defend-policy policy-name，应用防攻击策略。

2000～4999

路由

Route Policy

a、系统视图下执行命令route-policy route-policy-name { permit | deny } node node，创建Route-Policy，并进入Route-Policy视图。

b、执行命令if-match acl { acl-number | acl-name }，配置基于ACL的匹配规则；或者配置apply子句为路由策略指定动作，如执行命令apply cost [ + | - ] cost，设置路由的开销值等。

c、应用路由策略。路由协议不同，命令行不同。例如针对OSPF协议，可以在OSPF视图下，执行命令import-route { limit limit-number | { bgp [ permit-ibgp ] | direct | unr | rip [ process-id-rip ] | static | isis [ process-id-isis ] | ospf [ process-id-ospf ] } [ cost cost | type type | tag tag | route-policy route-policy-name ]^* }，引入其他路由协议学习到的路由信息；针对RIP协议，可以在RIP视图下，执行命令import-route { { static | direct | unr } | { { rip | ospf | isis } [ process-id ] } } [ cost cost | route-policy route-policy-name ] ^*。

2000～2999

Filter Policy

路由协议不同，过滤方向不同，命令行不同。例如针对RIP协议，对引入的路由进行过滤，可以在RIP视图下执行命令filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name [ gateway ip-prefix-name ] } import [ interface-type interface-number ]；对发布的路由进行过滤，可以在RIP视图下执行命令filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name } export [ protocol [ process-id ] | interface-type interface-number ] 。

2000～2999

组播

igmp-snooping ssm-policy

VLAN视图下执行命令igmp-snooping ssm-policy basic-acl-number

2000～2999

igmp-snooping group-policy

VLAN视图下执行命令igmp-snooping group-policy acl-number [ version version-number ] [ default-permit ]

2000～3999

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。