16-COPS命令
本章节下载: 16-COPS命令 (126.68 KB)
【命令】
display cops connection [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
slot slot-number:显示指定单板的COPS连接信息,slot-number表示单板所在的槽位号。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display cops connection命令用来显示COPS连接信息。
需要注意的是:如果不指定slot slot-number,则显示设备上所有的COPS连接信息。
相关配置可参考命令相关配置可参考命令cops scheme。
【举例】
# 显示COPS连接信息。
<Sysname> display cops connection slot 0
PEP ID: 192.168.0.1-s0
Client Type: COPS-1X Status: UP
Connection Losts: 2 Reconnections: 4
KA Timer: 30s ACCT Timer: 600s
Reconnect Interval: 30s Response Timeout: 10s
Current TCP Connection:
PEP: 192.168.0.1/1031
PDP: 192.168.0.3/3288
Last TCP Connection:
PEP: 192.168.0.1/1031
PDP: 192.168.0.4/3288
TX:
REQ: Succ 101, Fail 4
RPT: Succ 100, Fail 1
OPN: Succ 1, Fail 0
KA: Succ 5, Fail 0
DRQ: Succ 1, Fail 0
SSC: Succ 3, Fail 0
RX:
CAT: 1 KA: 5
S-DEC: 100 UNS-DEC: 2 SSQ: 3
表1-1 display cops connection命令显示信息描述表
字段 |
描述 |
PEP ID |
OPN报文中PEP ID的值,由配置的COPS客户端ID和当前业务所在接口信息组合生成 |
Client Type |
COPS连接的客户端类型,目前1X表示802.1X业务 |
Status |
COPS连接状态,可以为DOWN、NEGOTIATION、OPENING、UP、SYN |
Connection Losts |
COPS连接丢失次数 |
Reconnections |
重建COPS连接的次数 |
KA timer |
保活定时器的值 |
ACCT timer |
统计报告报文发送定时器的值 |
PEP: 192.168.0.11/2238 |
PEP的IP地址和端口号 |
PDP: 192.168.0.22/3288 |
PDP的IP地址和端口号 |
Reconect Interval |
PEP重建连接的时间间隔 |
Response Timeout |
请求响应超时时间 |
Current TCP Connection: |
当前TCP连接信息 |
Last TCP connection: |
上一次TCP连接信息 |
TX: |
发送COPS报文的统计信息 |
REQ: Succ 101, Fail 4 |
发送成功以及发送失败的REQ报文个数 |
RPT: Succ 100, Fail 1 |
发送成功以及发送失败的RPT报文个数 |
OPN: Succ 1, Fail 0 |
发送成功以及发送失败的OPN报文个数 |
KA: Succ 5, Fail 0 |
发送成功以及发送失败的KA报文个数 |
DRQ: Succ 1, Fail 0 |
发送成功以及发送失败的DRQ报文个数 |
SSC: Succ 3, Fail 0 |
发送成功以及发送失败的SSC报文个数 |
RX: |
接收COPS报文的统计信息 |
CAT: 1 KA: 5 S-DEC: 100 UNS-DEC: 2 SSQ: 3 |
接收CAT报文、KA报文、非主动DEC报文、主动DEC报文、SSQ报文的个数 |
【命令】
cops id pep-id
undo cops id
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
pep-id:COPS客户端ID,为1~128个字符的字符串,区分大小写。通常建议配置为PEP设备的IP地址或者域名。
【描述】
cops id命令用来配置COPS客户端ID。PEP使用此ID向PDP标识自己,该ID与当前业务所在的接口信息组合生成OPN报文中的PEP ID值通告给PDP服务器,PDP可以用它来在策略规则中确定一台PEP设备。undo cops id命令用来删除配置的COPS客户端ID。
缺省情况下,未配置COPS客户端ID。
需要注意的是:
· COPS客户端ID将与当前业务所在的接口板的槽位号一起组合生成OPN报文中的PEP ID值,格式为COPS客户端ID+‘-s’+当前业务所在接口板的槽位号。例如,COPS客户端ID为TEST,COPS业务所在的接口板的槽位号为0,则OPN报文中的PEP ID值就为TEST-s0。该PEP ID值可以通过display cops connection命令查看。
· 删除或修改设备的COPS客户端ID时,运行中的COPS业务不受影响。
相关配置可参考命令display cops connection。
【举例】
# 配置设备的COPS客户端ID为该设备的IP地址192.168.0.77。
<Sysname> system-view
[Sysname] cops id 192.168.0.77
【命令】
cops scheme cops-scheme-name
undo cops scheme cops-scheme-name
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
cops-scheme-name:COPS方案名称,为1~32个字符的字符串,不区分大小写。
【描述】
cops scheme命令用来创建COPS方案并进入COPS方案视图。undo cops scheme命令用来删除指定的COPS方案。
缺省情况下,不存在任何COPS方案。
需要注意的是,删除一个正在被使用的COPS方案时,引用该COPS方案的业务不受影响。
相关配置可参考“安全命令参考/802.1X”中的命令dot1x cops。
【举例】
# 创建COPS方案cops1,并进入该COPS方案视图。
<Sysname> system-view
[Sysname] cops scheme cops1
[Sysname-cops-cops1]
【命令】
server ipv4 ipv4-address [ port port-number ]
undo server ipv4 [ ipv4-address ]
【视图】
COPS方案视图
【缺省级别】
2:系统级
【参数】
ipv4-address:PDP服务器的IPv4地址。
port-number:PDP服务器提供COPS服务的TCP端口号,取值范围为0~65535,缺省值为3288。
【描述】
server ipv4命令用来指定PDP服务器,包括指定PDP服务器的IPv4地址和使用的TCP端口号。undo server ipv4命令用来删除指定或所有的PDP服务器。
缺省情况下,未指定PDP服务器。
需要注意的是:
· 目前,一个COPS方案中最多可指定两个PDP服务器,PEP将按照配置的先后顺序尝试与PDP服务器建立连接。如果与某一个PDP服务器的TCP连接失败或连接意外断开,则将尝试与另外一个PDP服务器建立连接,如此反复交替尝试,直到连接建立或者业务取消引用该COPS方案。
· 如果不指定IPv4地址,则undo命令表示删除所有已指定的PDP服务器。
· 删除一个使用中的PDP服务器时,正在运行的COPS业务不受影响。
· 当COPS方案被业务模块引用并生效后,对该方案中PDP服务器的删除和修改都不能立即生效,需要业务模块取消引用当前COPS方案并重新引用新的COPS方案,修改后COPS配置才能生效。
【举例】
# 在COPS方案cops1中,指定PDP服务器的IPv4地址为192.168.0.7,提供COPS服务的TCP端口号为3288。
<Sysname> system-view
[Sysname] cops scheme cops1
[Sysname-cops-cops1] server ipv4 192.168.0.7 port 3288
【命令】
timer reconnect interval interval
undo timer reconnect interval
【视图】
COPS方案视图
【缺省级别】
2:系统级
【参数】
interval:表示COPS连接失败后,PEP重新开始建立连接的时间间隔,取值范围为30~3600,单位为秒。
【描述】
timer reconnect interval命令用来配置PEP重建连接的时间间隔。undo timer reconnect interval命令用来恢复缺省情况。
缺省情况下,PEP重建连接的时间间隔为60秒。
当PEP与PDP服务器建立COPS连接不成功,或者COPS连接因KA定时器超时等原因断开时,如果指定了两个PDP服务器,则PEP将交替尝试与每个PDP服务器进行连接;如果只指定了一个PDP服务器,则PEP不断尝试连接此PDP服务器,直到连接建立或者业务取消引用该COPS方案。本命令配置的重连时间间隔指明了从PEP当前连接失败后到发起下一次连接请求的时间间隔。
需要注意的是:
· 当网络比较繁忙或者业务对COPS连接建立时间要求不高的情况下,建议将PEP重建连接的时间间隔设置为较大的值,以避免频繁重建连接增加网络负担。
· 当COPS方案被业务模块引用后,对该方案中重建连接时间间隔的修改不能立即生效,需要业务模块取消引用当前COPS方案并重新引用新的COPS方案,修改后COPS配置才能生效。
相关配置可参考命令display cops connection。
【举例】
# 在COPS方案cops1中,配置PEP重建连接的时间间隔为30秒。
<Sysname> system-view
[Sysname] cops scheme cops1
[Sysname-cops-cops1] timer reconnect interval 30
【命令】
timer response timeout time
undo timer response timeout
【视图】
COPS方案视图
【缺省级别】
2:系统级
【参数】
time:PEP向PDP服务器发送请求后等待PDP服务器响应的超时时间,取值范围为3~60,单位为秒。
【描述】
timer response timeout命令用来配置COPS请求响应超时时间。undo timer response timeout命令用来恢复缺省情况。
缺省情况下,COPS请求响应超时时间为5秒。
当PEP向PDP服务器发起策略请求(REQ)后,PEP启动响应超时定时器等待PDP服务器的决策回应,若在该响应超时时间内没有收到PDP服务器的回应,则直接删除该请求并通知业务模块。
需要注意的是:
· 当网络比较繁忙或者PDP服务器比较繁忙的时候,建议将COPS请求响应超时时间配置为较大的值。通常情况下,推荐使用缺省值5秒。
· 当COPS方案被业务模块引用后,对该方案中请求响应超时时间的修改不能立即生效,需要业务模块取消引用当前COPS方案并重新引用新的COPS方案,修改后COPS配置才能生效。
相关配置可参考命令display cops connection。
【举例】
# 在COPS方案cops1中,配置PEP等待PDP服务器响应的超时时间为10秒。
<Sysname> system-view
[Sysname] cops scheme cops1
[Sysname-cops-cops1] timer response timeout 10
【命令】
key key-string [ algorithm hmac-md5-96 ]
undo key
【视图】
COPS方案视图
【缺省级别】
2:系统级
【参数】
key-string:PEP与PDP服务器之间进行报文交互时使用的共享密钥,为1~64个字符的字符串,区分大小写。
algorithm hmac-md5-96:COPS报文完整性验证采用的HMAC算法,目前仅支持缺省的HMAC-MD5-96算法。
【描述】
key命令用来配置COPS报文共享密钥,用于对PEP与PDP服务器之间交互的COPS报文进行完整性验证,以便提高COPS报文交互的安全性。undo key命令用来取消配置的共享密钥,表示不对COPS报文交互使用安全机制。
缺省情况下,没有配置COPS报文共享密钥。
需要注意的是:
· 如果PDP服务器上配置了共享密钥,则PEP上必须配置相同的共享密钥,否则COPS连接无法建立。
· 如果多次执行本命令,仅最后一次配置生效。
【举例】
# 在COPS方案cops1中,配置PEP与PDP服务器之间交互COPS报文的共享密钥为aabbcc,并采用HMAC-MD5-96算法进行完整性验证。
<Sysname> system-view
[Sysname] cops scheme cops1
[Sysname-cops-cops1] key aabbcc algorithm hmac-md5-96
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!