A continuación, vamos a hacer un ejemplo de una pequeña red en la que se va a configurar una política de tráfico para denegar el tráfico de software P2P utilizando SAC.
NOTA:
La función SAC se usa con una licencia. Para usar la función SAC, solicite y compre la licencia en la oficina local de Huawei.
Vamos a tomar la siguiente topología como ejemplo:
Este ejemplo se aplica a todos los modelos de Router AR V200R002C00 y versiones posteriores.
Los usuarios de la empresa se conectan mediante el puerto Eth2/0/0 de RouterA a través del Switch. El puerto GE1/0/0 en el RouterA se conecta a la WAN. La descarga a través del software P2P como BT, Thunder y eMule debe evitarse para garantizar el uso adecuado del ancho de banda de la red empresarial.
¿Cómo procedemos?
La siguiente configuración se hace solamente en RouterA.
#
sysname RouterA
#
vlan batch 20
#
sac enable signature sd1:/sacrule.dat
// V200R005 y V200R006: habilite SAC y cargue el archivo de firma sacrule.dat. engine enable
// V200R007, V200R008, V200R009, V200R010, V300R003 y V300R019: habilite la función deep security.
#
update restore sdb-default sa-sdb
// Restaurar la base de datos de firmas a la versión predeterminada de fábrica.
#
sac protocol-group p2p-group
// V200R005 y V200R006: Configurar bittorrent, thunder y emule en el grupo SAC p2p-group.
app-protocol bittorrent
app-protocol thunder
app-protocol emule
#
traffic classifier c1 operator or
if-match protocol-group p2p-group
// V200R005 y V200R006: configure una regla de coincidencia para el traffic classifier basada en el grupo SAC p2p-group. if-match category FileShare_P2P
// V200R007, V200R008, V200R009, V200R010, V300R003 y V300R019: Configure una regla coincidente para el traffic classifier basado en un grupo SA.
#
traffic behavior b1
deny
// Configure la acción deny para paquetes coincidentes.
#
traffic policy p1
classifier c1 behavior b1
// Cree una traffic policy denominada p1 y vincule el traffic classifier c1 y el traffic behavior b1 a la política de tráfico.
#
interface Vlanif20
ip address 192.168.2.1 255.255.255.0
sac protocol-statistic enable
// V200R005 y V200R006: habilite estadísticas de tráfico basadas en SAC en VLANIF 20. sa application-statistic enable
// V200R007, V200R008, V200R009, V200R010, V300R003 y V300R019: habilite las estadísticas de tráfico basadas en SA en VLANIF 20.
traffic-policy p1 inbound
// Aplique la política de tráfico p1 a la dirección entrante de VLANIF 20.
#
interface GigabitEthernet1/0/0
ip address 192.168.4.1 255.255.255.0
sac protocol-statistic enable
// V200R005 y V200R006: habilite las estadísticas de tráfico basadas en SAC en GE1/0/0. sa application-statistic enable
// V200R007, V200R008, V200R009, V200R010, V300R003 y V300R019: habilite las estadísticas de tráfico basadas en SA en GE1/0/0.
traffic-policy p1 inbound
// Aplique la política de tráfico p1 a la dirección entrante de GE1/0/0.
#
interface Ethernet2/0/0
port link-type trunk
port trunk allow-pass vlan 20
#
Para verificar la configuración:
V200R005 y V200R006:
# Ejecute el comando display sac protocol-statistic para verificar las estadísticas de paquetes basadas en el grupo SAC p2p-group en VLANIF 20 y GE1/0/0.
V200R007, V200R008, V200R009, V200R010, V300R003 y V300R019:
# Ejecute el comando display sa application-statistic para verificar las estadísticas de paquetes basadas en los protocolos de aplicación SA en VLANIF 20 y GE1/0/0.
