业务模块

ACL应用方式

可使用的ACL编号范围

流策略

a、  系统视图下执行命令traffic classifier classifier-name [ operator { and | or } ] [ precedenceprecedence-value ]，进入流分类视图。

b、执行命令if-match acl { acl-number | acl-name }，配置ACL应用于流分类。

c、 系统视图下执行命令traffic behavior behavior–name，定义流行为并进入流行为视图。

d、配置流动作。报文过滤有两种流动作：deny或permit。

e、 系统视图下执行命令traffic policy policy-name [match-order { auto | config } ]，定义流策略并进入流策略视图。

f、 执行命令classifier classifier-name behaviorbehavior-name，在流策略中为指定的流分类配置所需流行为，即绑定流分类和流行为。在系统视图、接口视图或VLAN视图下，执行命令traffic-policy policy-name { inbound | outbound }，应用流策略。

ACL：2000～5999

ACL6：2000～3999

NAT

方式一：

a、   系统视图下执行命令nat address-group group-index start-address end-address，配置公网地址池。

b、   执行命令interface interface-type interface-number.subnumber，进入子接口视图。

c、   执行命令nat outbound acl-number address-groupgroup-index [ no-pat ]，，配置带地址池的NAT Outbound。

方式二：

a、   系统视图下执行命令interface interface-typeinterface-number.subnumber，进入子接口视图。

b、   执行命令nat outbound acl-number，配置Easy IP。

2000～3999

IPSEC

方式一：

a、   系统视图下执行命令ipsec policy policy-name seq-number manual，创建手工方式安全策略，并进入手工方式安全策略视图。

b、   执行命令security acl acl-number，在安全策略中引用ACL。

方式二：

a、   系统视图下执行命令ipsec policy policy-name seq-number isakmp，创建IKE动态协商方式安全策略，并进入IKE动态协商方式安全策略视图。

b、   执行命令security acl acl-number，在安全策略中引用ACL。

方式三：

a、   系统视图下执行命令ipsec policy-templatetemplate-name seq-number，创建策略模板，并进入策略模板视图。

b、   执行命令security acl acl-number，在安全策略中引用ACL。

c、   系统视图下执行命令ipsec policy policy-name seq-number isakmp template template-name，在安全策略中引用策略模板。

3000～3999

本机防攻击策略

白名单

a、   系统视图下执行命令cpu-defend policy policy-name，创建防攻击策略并进入防攻击策略视图。

b、   执行命令whitelist whitelist-id acl acl-number，创建自定义白名单。

c、   系统视图下执行命令cpu-defend-policy policy-name[ global ]，或槽位视图下执行命令cpu-defend-policypolicy-name，应用防攻击策略。

2000～4999

黑名单

a、   系统视图下执行命令cpu-defend policy policy-name，创建防攻击策略并进入防攻击策略视图。

b、   执行命令blacklist blacklist-id acl acl-number，创建黑名单。

c、   系统视图下执行命令cpu-defend-policy policy-name[ global ]，或槽位视图下执行命令cpu-defend-policypolicy-name，应用防攻击策略。

2000～4999

用户自定义流

a、   系统视图下执行命令cpu-defend policy policy-name，创建防攻击策略并进入防攻击策略视图。

b、   执行命令user-defined-flow flow-id acl acl-number，配置用户自定义流。

c、   系统视图下执行命令cpu-defend-policy policy-name[ global ]，或槽位视图下执行命令cpu-defend-policypolicy-name，应用防攻击策略。

2000～4999

路由

Route Policy

a、   系统视图下执行命令route-policy route-policy-name{ permit | deny } node node，创建Route-Policy，并进入Route-Policy视图。

b、   执行命令if-match acl { acl-number | acl-name }，配置基于ACL的匹配规则；或者配置apply子句为路由策略指定动作，如执行命令apply cost [ + | - ] cost，设置路由的开销值等。

c、   应用路由策略。路由协议不同，命令行不同。例如针对OSPF协议，可以在OSPF视图下，执行命令import-route { limit limit-number | { bgp [ permit-ibgp ] | direct | unr | rip [ process-id-rip ] | static |isis [ process-id-isis ] | ospf [ process-id-ospf ] } [cost cost | type type | tag tag | route-policy route-policy-name ]^* }，引入其他路由协议学习到的路由信息；针对RIP协议，可以在RIP视图下，执行命令import-route { { static | direct | unr } | { { rip | ospf |isis } [ process-id ] } } [ cost cost | route-policyroute-policy-name ] ^*。

2000～2999

Filter Policy

路由协议不同，过滤方向不同，命令行不同。例如针对RIP协议，对引入的路由进行过滤，可以在RIP视图下执行命令filter-policy { acl-number | acl-name acl-name | ip-prefix ip-prefix-name [ gateway ip-prefix-name ] }import [ interface-type interface-number ]；对发布的路由进行过滤，可以在RIP视图下执行命令filter-policy {acl-number | acl-name acl-name | ip-prefix ip-prefix-name } export [ protocol [ process-id ] | interface-typeinterface-number ] 。

2000～2999

组播

igmp-snooping ssm-policy

VLAN视图下执行命令igmp-snooping ssm-policy basic-acl-number

2000～2999

igmp-snooping group-policy

VLAN视图下执行命令igmp-snooping group-policy acl-number [ version version-number ] [ default-permit ]

2000～3999