选择区域语言: EN CN HK

16-OAA命令参考

02-ACFP命令

本章节下载  (120.03 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/MSR/MSR_50/Command/Command_Manual/H3C_MSR_CR-R2207(V1.11)/16/201107/720152_30005_0.htm

02-ACFP命令


1 ACFP配置命令

1.1  ACFP配置命令

1.1.1  acfp server enable

【命令】

acfp server enable

undo acfp server enable

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

【描述】

acfp server enable命令用来使能ACFP server功能。undo acfp server enable命令用来关闭ACFP server功能。

缺省情况下,ACFP server功能处于关闭状态。

需要注意的是,如果当前设备已使能了ACSEI server功能,那么当关闭后再使能ACFP server功能时,为保证ACFP联动规则能被重新下发给ACFP server,必须对ACSEI server功能也执行一次关闭再使能的操作。

相关配置可参考“OAA命令参考/ACSEI”中的命令acsei server enable

【举例】

# 使能ACFP server功能。

<Sysname> system-view

[Sysname] acfp server enable

1.1.2  display acfp client-info

【命令】

display acfp client-info [ client-id ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

client-id:查看指定ACFP client的信息,client-id为ACFP client的标识,取值范围为1~2147483647。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display acfp client-info命令用来查看ACFP client信息。

需要注意的是,如果不指定client-id,则显示所有ACFP client的信息。

【举例】

# 查看所有ACFP client的信息。

<Sysname> display acfp client-info

ACFP client total number: 1

ClientID:    2

Description: Intrusion Prevention System

Hw-Info:       2.0

OS-Info:     i-Ware software, Version 1.10

App-Info:    Ess 2110P01

Client IP:   10.1.1.1

Client Mode: redirect  mirror

表1-1 display acfp client-info命令显示信息描述表

字段

描述

ACFP client total number

ACFP client的总数

ClientID

客户端的编号,client表的索引

Description

ACFP client的描述信息

Hw-Info

ACFP client的硬件信息

OS-Info

ACFP client的操作系统信息

App-Info

ACFP client的应用软件信息

Client IP

ACFP clientIP地址

Client Mode

ACFP client支持的工作模式:

l      ipserver:表示主机模式

l      redirect:表示重定向模式

l      mirror:表示镜像模式

l      passthrough:表示穿透模式

 

1.1.3  display acfp policy-info

【命令】

display acfp policy-info [ client client-id [ policy-index ] | dest-interface  interface-type interface-number | in-interface interface-type interface-number | out-interface interface-type interface-number ] [ active | inactive ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

client client-id:查看指定ACFP client发送的策略信息。client-id为ACFP client的标识,取值范围为1~2147483647。

policy-index:表示策略编号,取值范围为1~2147483647。

dest-interface interface-type interface-number:查看以指定接口为连接ACFP client的接口(目的接口)的策略信息。interface-type interface-number为接口类型和接口编号。

in-interface interface-type interface-number:查看以指定接口为入接口的策略信息。interface-type interface-number为接口类型和接口编号。

out-interface interface-type interface-number:查看以指定接口为出接口的策略信息。interface-type interface-number为接口类型和接口编号。

active:只查看生效的策略。

inactive:只查看失效的策略。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display acfp policy-info命令用来查看ACFP策略信息。

需要注意的是:

l              查看指定ACFP client发送的策略信息时,如果指定了policy-index参数,则显示标识为client-id的ACFP client发送的编号为policy-index的策略信息;否则将显示标识为client-id的ACFP client发送的所有策略的信息。

l              如果不指定生效/失效参数,则显示所有的生效和失效的策略信息。

l              如果不指定任何参数,则显示所有策略的信息。

【举例】

# 查看所有报文入接口为Ethernet1/1的生效的策略信息。

<Sysname> display acfp policy-info in-interface ethernet 1/1 active

ACFP policy total number: 1

ClientID:        3                   Policy-Index:  2

Rule-Num:        1                   ContextID:     128

Exist-Time:      61500     (s)       Life-Time:     2147483647(s)

Start-Time:      00:00:00            End-Time:      24:00:00

Admin-Status:    enable              Effect-Status: active

DstIfFailAction: delete              Priority:      1

In-Interface:    Ethernet1/1

Out-Interface:

Dest-Interface:  GigabitEthernet2/1

表1-2 display acfp policy-info命令显示信息描述表

字段

描述

ACFP policy total number

ACFP策略的总数

ClientID

客户端的编号,client表的索引

Policy-Index

策略号

Rule-Num

策略下的规则数目

ContextID

报文上下文ID

Exist-Time

策略已经存在的时间(单位为秒)

Life-Time

策略生效期(单位为秒)

Start-Time

策略开始时间

End-Time

策略结束时间

Admin-Status

策略管理状态

Effect-Status

策略生效状态

DstIfFailAction

策略目的接口down时,该策略下所有规则处理动作。该字段有两种取值:

l      delete:表示在目的接口down后,重定向和镜像的报文可以继续转发(对于转发优先设备,选择delete动作)

l      reserve:表示在目的接口down后,重定向和镜像的报文直接丢弃(对于安全优先设备,选择reserve动作)

Priority

用数字1~8表示的策略优先级(取值越大,优先级越高)

In-Interface

报文入接口

Out-Interface

报文出接口

Dest-Interface

连接ACFP client的接口

 

1.1.4  display acfp rule-cache

【命令】

display acfp rule-cache [ in-interface interface-type interface-number | out-interface interface-type interface-number ] * [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

in-interface interface-type interface-number:查看指定入接口的规则缓存信息。interface-type interface-number为接口类型和接口编号。

out-interface interface-type interface-number:查看指定出接口的规则缓存信息。interface-type interface-number为接口类型和接口编号。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display acfp rule-cache命令用来查看ACFP规则缓存信息。

需要注意的是,如果不指定in-interfaceout-interface,则显示所有ACFP规则缓存信息。

【举例】

# 查看所有ACFP规则缓存信息。

<Sysname> display acfp rule-cache

ACFP rule-cache total items: 2

 

 

Idx  SIP             Sport DIP             DPort Pro  InIf    OutIf

----------------------------------------------------------------------

1021 202.153.124.111 62534 202.124.152.234 32456 4    GE2/2    Eth1/1

 

Precedence    ToS   DSCP   TCPFlag   TCPMask   Fragment   Action

----------------------------------------------------------------------

7             15    Af12   010100    010100    true        redirect

 

 

Idx  SIP             Sport DIP             DPort Pro  InIf   OutIf

----------------------------------------------------------------------

895  202.153.124.111 62534 202.124.152.234 32456 1    GE2/2   Eth1/1

 

Precedence    ToS   DSCP   TCPFlag   TCPMask   Fragment   Action

----------------------------------------------------------------------

3             14    Be     010100    010100    true       deny

表1-3 display acfp rule-cache命令显示信息描述表

字段

描述

ACFP rule-cache total items

ACFP规则缓存信息的条数

Idx

Hash索引

SIP

IP地址

SPort

源端口号

DIP

目的IP地址

DPort

目的端口号

Pro

用数字0255表示的报文协议类型,常见类型如下:

l      1:表示ICMP协议

l      2:表示IGMP协议

l      6:表示TCP协议

l      17:表示UDP协议

InIf

报文入接口

OutIf

报文出接口

Precedence

用数字0~7表示的报文优先级

Tos

用数字0~15表示的服务类型

DSCP

差分服务编码点,对于Be、Ef、Af11、Af12、Af13、Af21、Af22、Af23、Af31、Af32、Af33、Af41、Af42、Af43、Cs1、Cs2、Cs3、Cs4、Cs5、Cs6、Cs7用文字表示,其它则用数字0~63表示

TCPFlag

用6个比特位表示的TCP标志位,从低位到高位依次代表:URG、ACK、PSH、RST、SYN和FIN

TCPMask

用6个比特位表示的TCP标志位掩码,从低位到高位依次代表:URG掩码、ACK掩码、PSH掩码、RST掩码、SYN掩码和FIN掩码。对于每一位来说,取1表示关心该位,取0则表示不关心该位

Fragment

是否是分片报文:

l      true:表示分片报文

l      false:表示非分片报文

Action

动作类型:

l      permit:表示允许

l      deny:表示禁止

l      mirror:表示镜像

l      redirect:表示重定向

 

1.1.5  display acfp rule-info

【命令】

display acfp rule-info { in-interface [ interface-type interface-number ] | out-interface [ interface-type interface-number ] | policy [ client-id policy-index ] } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

in-interface:以入接口顺序显示ACFP规则信息,不包含入接口的规则信息不显示。

out-interface:以出接口顺序显示ACFP规则信息,不包含出接口的规则信息不显示。

interface-type interface-number:指定接口类型和接口编号。

policy:以策略顺序显示ACFP规则信息。

client-id:ACFP client的标识,取值范围为1~2147483647。

policy-index:策略编号,取值范围为1~2147483647。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display acfp rule-info命令用来查看ACFP规则信息。

需要注意的是:

l              以策略顺序显示ACFP规则信息时,如果不指定client-idpolicy-index参数,则显示全部策略的规则信息。

l              以出/入接口顺序显示ACFP规则信息时,如果不指定interface-type interface-number参数,则显示全部出/入接口下的规则信息。

【举例】

# 按入接口顺序显示ACFP规则信息。

<Sysname> display acfp rule-info in-interface ethernet 1/1

In-Interface:   Ethernet1/1

ACFP rule total number:  1

 

ClientID:1              Policy-Index:1           Rule-Index:1

SIP:192.168.1.1         SMask:0.0.0.255

Action:redirect         Status:active            OperationStatus:succeeded

# 按策略顺序显示ACFP规则信息。

<Sysname> display acfp rule-info policy 1 1

ACFP Rule total number:  1

ClientID:1              Policy-Index:1           Rule-Index:1

SIP:192.168.1.1         SMask:0.0.0.255          SPort:65500 to 65535

DIP:192.168.2.1         DMask:0.0.0.255          DPort:65500 to 65535

Protocol:ip             Fragment:false           DSCP:AF11

Action:redirect         Status:active            OperationStatus:succeeded

表1-4 display acfp rule-info命令显示信息描述表

字段

描述

In-Interface

报文入接口

ACFP rule total number

ACFP规则的总数

ClientID

客户端的编号,client表的索引

Policy-Index

策略号

Rule-Index

规则号

SIP

IP地址

SMask

IP地址的反掩码

SPort

源端口号

DIP

目的IP地址

DMask

目的IP地址的反掩码

DPort

目的端口号

Protocol

报文的协议类型,包括GRE、ICMP、IGMP、IPinIP、OSPF、TCP、UDP、IP等

Fragment

是否是分片报文:

l      true:表示分片报文

l      false:表示所有报文,不关心是否是分片报文

DSCP

差分服务编码点,对于Be、Ef、Af11、Af12、Af13、Af21、Af22、Af23、Af31、Af32、Af33、Af41、Af42、Af43、Cs1、Cs2、Cs3、Cs4、Cs5、Cs6、Cs7用文字表示,其它则用数字0~63表示

Action

动作类型:

l      permit:表示允许

l      deny:表示禁止

l      mirror:表示镜像

l      redirect:表示重定向

l      rate:表示限速

Status

规则的生效状态:

l      active:表示生效

l      inactive:表示失效

OperationStatus

规则的应用状态:

l      succeeded:表示成功

l      failed:表示失败

 

1.1.6  display acfp server-info

【命令】

display acfp server-info [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display acfp server-info命令用来查看ACFP server信息。

【举例】

# 查看ACFP server信息

<Sysname> display acfp server-info

Server-Info:      ipserver  redirect  mirror

Max Life-Time:    2147483647(s)

PersistentRules:  false

ContextType:      VLANID-context

表1-5 display acfp server-info命令显示信息描述表

字段

描述

Server-Info

ACFP server所支持的client工作模式:

l      ipserver:表示主机模式

l      redirect:表示重定向模式

l      mirror:表示镜像模式

l      passthrough:表示穿透模式

Max Life-Time

ACFP server所能支持的联动策略的最大有效期(单位为秒)

PersistentRules

ACFP server是否能支持永久保存联动规则:

l      true:表示支持

l      false:表示不支持

ContextType

ACFP server当前支持的上下文ID类型:

l      VLANID-context:表示使用VLAN ID作为上下文ID

 

1.1.7  reset acfp rule-cache

【命令】

reset acfp rule-cache [ in-interface interface-type interface-number | out-interface interface-type interface-number ] *

【视图】

用户视图

【缺省级别】

1:监控级

【参数】

in-interface interface-type interface-number:清除指定入接口的ACFP规则缓存信息,interface-type interface-number为接口类型和接口编号。

out-interface interface-type interface-number:清除指定出接口的ACFP规则缓存信息,interface-type interface-number为接口类型和接口编号。

【描述】

reset acfp rule-cache命令用来清除ACFP规则缓存信息。

需要注意的是,如果不指定in-interfaceout-interface参数,则清除所有ACFP规则缓存信息。

【举例】

# 清除以接口Ethernet1/1为入接口的ACFP规则缓存信息。

<Sysname> reset acfp rule-cache in-interface ethernet 1/1


不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!