华为AR路由器:基于SAC配置禁止即时通信软件示例

华为AR路由器:基于SAC配置禁止即时通信软件示例
SAC简介
业务感知SA(Service Awareness)是一个智能的应用协议识别与分类引擎,智能应用控制SAC(Smart Application Control)是指利用业务感知技术,对报文中的第4~7层内容(如HTTP、RTP)进行检测和识别,根据分类结果实施精细化QoS策略控制。

组网需求
如图所示,某学校实验室通过Router作为网关设备连接到外网。通过禁止使用即时通信软件(比如QQ、MSN等)禁止学生从事与学习无关的事务,保证在实验室的学习投入。
配置禁止即时通信软件示例

图片.png

配置思路
采用如下思路配置SAC:
    开启深度安全防御功能,并加载特征库文件。
    配置流分类,通过匹配系统缺省的协议组Instant_Messaging,匹配即时通信软件。
    配置流行为,禁止Instant_Messaging报文通过。
    配置流策略,将流分类和流行为绑定。
    在WAN侧接口入方向应用流策略,并使能接口的SA统计功能,使SAC的应用配置生效。

操作步骤
    开启深度安全防御功能,并加载特征库文件
    <Huawei> system-view
    [Huawei] sysname Router
    [Router] engine enable
    配置流分类,通过匹配系统缺省的协议组Instant_Messaging,匹配即时通信软件
    [Router] traffic classifier im
    [Router-classifier-im] if-match category Instant_Messaging
    [Router-classifier-im] quit
    配置流行为,对识别出的即时通信软件报文进行过滤
    [Router] traffic behavior im
    [Router-behavior-im] deny
    [Router-behavior-im] quit
    配置流策略,将流分类和流行为绑定
    [Router] traffic policy im
    [Router-trafficpolicy-im] classifier im behavior im
    [Router-trafficpolicy-im] quit
    在WAN侧三层口GE2/0/0入方向应用流策略,并使能接口的SA统计功能,使SAC的应用配置生效
    [Router] interface gigabitethernet 2/0/0
    [Router-GigabitEthernet2/0/0] traffic-policy im inbound
    [Router-GigabitEthernet2/0/0] sa application-statistic enable
    [Router-GigabitEthernet2/0/0] quit
    通过display current-configuration命令验证配置结果

1、本站资源长期持续更新。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。

转载请保留出处:  www.zh-cjh.com珠海陈坚浩博客 » 华为AR路由器:基于SAC配置禁止即时通信软件示例

作者: cjh


手机扫一扫,手机上查看此文章:

一切源于价值!

其他 模板文件不存在: ./template/plugins/comment/pc/index.htm

未雨绸缪、居安思危!

数据安全、有备无患!

注意操作、数据无价!

一切源于价值!