业务模块
ACL应用方式
可使用的ACL编号范围
Telnet
方式一:
系统视图下执行命令telnet [ ipv6 ] server acl acl-number
方式二:
a、执行命令user-interface vty first-ui-number [ last-ui-number ],进入VTY用户界面视图
b、执行命令acl [ ipv6 ] acl-number { inbound | outbound }
2000~3999
HTTP
系统视图下执行命令http acl acl-number
2000~3999
SNMP
SNMPv1和SNMPv2c:
系统视图下执行命令snmp-agent acl acl-number
或snmp-agent community { read | write } { community-name | cipher community-name } [ mib-view view-name | acl acl-number ] *
SNMPv3:
系统视图下执行命令snmp-agent acl acl-number、snmp-agent group v3 group-name { authentication | privacy | noauthentication } [ read-view read-view | write-view write-view | notify-view notify-view ]* [ acl acl-number ]或snmp-agent usm-user v3 user-name [ group group-name | acl acl- number ] *
2000~2999
FTP
系统视图下执行命令ftp [ ipv6 ] acl acl-number
2000~3999
TFTP
系统视图下执行命令tftp-server [ ipv6 ] acl acl-number
2000~3999
SFTP
方式一:
系统视图下执行命令ssh [ ipv6 ] server acl acl-number
方式二:
a、执行命令user-interface vty first-ui-number [ last-ui-number ],进入VTY用户界面视图
b、执行命令acl [ ipv6 ] acl-number { inbound | outbound }
2000~3999
流策略
a、 系统视图下执行命令traffic classifier classifier-name [ operator { and | or } ] [ precedence precedence-value ],进入流分类视图。
b、执行命令if-match acl { acl-number | acl-name },配置ACL应用于流分类。
c、 系统视图下执行命令traffic behavior behavior–name,定义流行为并进入流行为视图。
d、配置流动作。报文过滤有两种流动作:deny 或permit。
e、 系统视图下执行命令traffic policy policy-name [ match-order { auto | config } ],定义流策略并进入流策略视图。
f、 执行命令classifier classifier-name behavior behavior-name,在流策略中为指定的流分类配置所需流行为,即绑定流分类和流行为。在系统视图、接口视图或VLAN视图下,执行命令traffic-policy policy-name { inbound | outbound },应用流策略。
ACL:2000~5999
ACL6:2000~3999
NAT
方式一:
a、 系统视图下执行命令nat address-group group-index start-address end-address,配置公网地址池。
b、 执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/interface.html'>interface interface-type interface-number.subnumber,进入子接口视图。
c、 执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/nat_outbound.html'>nat outbound acl-number address-group group-index [ no-pat ],,配置带地址池的NAT Outbound。
方式二:
a、 系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/interface.html'>interface interface-type interface-number.subnumber,进入子接口视图。
b、 执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/nat_outbound_acl.html'>nat outbound acl-number,配置Easy IP。
2000~3999
IPSEC
方式一:
a、 系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/ipsec_policy_system_view.html'>ipsec policy policy-name seq-number manual,创建手工方式安全策略,并进入手工方式安全策略视图。
b、 执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/security_acl.html'>security acl acl-number,在安全策略中引用ACL。
方式二:
a、 系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/ipsec_policy_system_view.html'>ipsec policy policy-name seq-number isakmp,创建IKE动态协商方式安全策略,并进入IKE动态协商方式安全策略视图。
b、 执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/security_acl.html'>security acl acl-number,在安全策略中引用ACL。
方式三:
a、 系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/ipsec_policy-template.html'>ipsec policy-template template-name seq-number,创建策略模板,并进入策略模板视图。
b、 执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/security_acl.html'>security acl acl-number,在安全策略中引用ACL。
c、 系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dc_s_v2r6_Product_Doc_cn_all_bookmap.chm::/dc/ipsec_policy_system_view.html'>ipsec policy policy-name seq-number isakmp template template-name,在安全策略中引用策略模板。
3000~3999
本机防攻击策略
白名单
a、 系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/cpu-defend_policy.html'>cpu-defend policy policy-name,创建防攻击策略并进入防攻击策略视图。
b、 执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/whitelist.html'>whitelist whitelist-id acl acl-number,创建自定义白名单。
c、 系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/cpu-defend-policy.html'>cpu-defend-policy policy-name [ global ],或槽位视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/cpu-defend-policy.html'>cpu-defend-policy policy-name,应用防攻击策略。
2000~4999
黑名单
a、 系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/cpu-defend_policy.html'>cpu-defend policy policy-name,创建防攻击策略并进入防攻击策略视图。
b、 执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/blacklist.html'>blacklist blacklist-id acl acl-number,创建黑名单。
c、 系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/cpu-defend-policy.html'>cpu-defend-policy policy-name [ global ],或槽位视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/cpu-defend-policy.html'>cpu-defend-policy policy-name,应用防攻击策略。
2000~4999
用户自定义流
a、 系统视图下执行命令MSITStore:E:\01_youhua\01-产品手册\交换机手册\dsx7dc_s_v2r5_Product_Doc_cn_all_bookmap.chm::/dc/cpu-defend_policy.html'>cpu-defend policy policy-name,创建防攻击策略并进入防攻击策略视图。
b、 执行命令user-defined-flow flow-id acl acl-number,配置用户自定义流。
c、 系统视图下执行命令cpu-defend-policy policy-name [ global ],或槽位视图下执行命令cpu-defend-policy policy-name,应用防攻击策略。
2000~4999
路由
Route Policy
a、 系统视图下执行命令route-policy route-policy-name { permit | deny } node node,创建Route-Policy,并进入Route-Policy视图。
b、 执行命令if-match acl { acl-number | acl-name },配置基于ACL的匹配规则;或者配置apply子句为路由策略指定动作,如执行命令apply cost [ + | - ] cost,设置路由的开销值等。
c、 应用路由策略。路由协议不同,命令行不同。例如针对OSPF协议,可以在OSPF视图下,执行命令import-route { limit limit-number | { bgp [ permit-ibgp ] | direct | unr | rip [ process-id-rip ] | static | isis [ process-id-isis ] | ospf [ process-id-ospf ] } [ cost cost | type type | tag tag | route-policy route-policy-name ]* },引入其他路由协议学习到的路由信息;针对RIP协议,可以在RIP视图下,执行命令import-route { { static | direct | unr } | { { rip | ospf | isis } [ process-id ] } } [ cost cost | route-policy route-policy-name ] *。
2000~2999
Filter Policy
路由协议不同,过滤方向不同,命令行不同。例如针对RIP协议,对引入的路由进行过滤,可以在RIP视图下执行命令filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name [ gateway ip-prefix-name ] } import [ interface-type interface-number ];对发布的路由进行过滤,可以在RIP视图下执行命令filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name } export [ protocol [ process-id ] | interface-type interface-number ] 。
2000~2999
组播
igmp-snooping ssm-policy
VLAN视图下执行命令igmp-snooping ssm-policy basic-acl-number
2000~2999
igmp-snooping group-policy
VLAN视图下执行命令igmp-snooping group-policy acl-number [ version version-number ] [ default-permit ]
2000~3999
联系客服