- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-安全域命令
本章节下载: 11-安全域命令 (124.01 KB)
display security-zone命令用来显示安全域信息,包括缺省安全域和自定义的安全域信息。
display security-zone [ name zone-name ]
name zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写。若不指定本参数,则显示所有安全域的信息。
安全域的显示顺序是先显示缺省安全域信息,再按照安全域名称的字母排序显示自定义的安全域信息。
# 显示安全域myZone的信息。
<Sysname> display security-zone name myZone
Members:
GigabitEthernet0/0
GigabitEthernet0/1 in VLAN 7
# 显示安全区域myZone信息。
<Sysname> display security-zone name myZone
Name: myZone
Members:
GigabitEthernet0/0
GigabitEthernet0/1
VLAN 150-200
# 显示安全域IPZone的信息。
<Sysname> display security-zone name IPZone
Name: IPZone
Members:
192.168.1.0 255.255.255.0
1001:1002::0 32
表1-1 display security-zone命令输出信息描述
|
· 二层以太网接口名称和所属的VLAN编号 · None,该安全域中没有任何成员 |
display zone-pair security命令用来显示已创建的所有域间实例的信息。
# 显示所有安全域间实例的信息。
<Sysname> display zone-pair security
Source zone Destination zone
DMZ Local
Trust Local
表1-2 display zone-pair security命令输出信息描述
import interface命令用来向安全域中添加三层接口成员,包括三层以太网接口、三层以太网子接口和其它三层逻辑接口。
undo import interface命令用来从安全域中移除三层接口成员。
import interface lay3-interface-type lay3-interface-number
undo import interface lay3-interface-type lay3-interface-number
lay3-interface-type lay3-interface-number:指定添加到安全域的三层接口的接口类型和接口编号。
· 若要修改接口所属安全域,需要首先在相应安全域中使用undo import命令将相应接口从原安全域中删除,再使用import命令将其加入其它安全域。其中,缺省的安全域Local中不允许添加任何接口,其它缺省的安全域中允许添加接口。
# 向安全域Trust中添加三层以太网接口GigabitEthernet0/0。
[Sysname] security-zone name trust
[Sysname-security-zone-trust] import interface gigabitethernet 0/0
import interface vlan命令用来向安全域中添加二层接口和VLAN成员。
undo import interface vlan命令用来从安全域中移除二层接口和VLAN成员。
import interface lay2-interface-type lay2-interface-number vlan vlan-list
undo import interface lay2-interface-type lay2-interface-number vlan vlan-list
lay2-interface-type lay2-interface-number:指定添加到安全域的二层接口的接口类型和接口编号。
vlan vlan-list:指定接口所属的VLAN列表。VLAN列表表示多个VLAN,表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>。其中,vlan-id1、vlan-id2为已创建的VLAN编号。&<1-10>表示前面的参数最多可以输入10次。vlan-id2必须大于vlan-id1。VLAN ID的取值范围为1~4094。
可以通过多次执行本命令向同一个安全域添加属于不同VLAN的相同二层接口。
· 一个二层接口和所属的VLAN只允许加入一个安全域。
· 若要修改接口或者VLAN所属安全域,需要首先在相应安全域中使用undo import命令将相应接口或者VLAN从原安全域中删除,再使用import命令将其加入其它安全域。其中,缺省的安全域Local中不允许添加任何接口或者VLAN,其它缺省的安全域中允许添加接口和VLAN。
# 向安全域Untrust中添加二层以太网接口GigabitEthernet0/1和对应的VLAN 10。
[Sysname] security-zone name untrust
[Sysname-security-zone-untrust] import interface gigabitethernet0/1 vlan 10
security-zone命令用来创建并且进入安全域视图。
undo security-zone命令用来删除安全域。
security-zone name zone-name
undo security-zone name zone-name
namezone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。
当首次执行创建安全域或者创建域间策略的命令时,系统会自动创建4个缺省安全域:Local、Trust、DMZ和Untrust。
删除一个安全域时,以此安全域为源域或目的域的域间实例也会被删除,而且在该域间实例上已经应用的安全策略会被自动解除应用。缺省安全域不能被删除。
# 创建安全域zonetest,并进入该安全域视图。
[Sysname] security-zone name zonetest
[Sysname-security-zone-zonetest]
zone-pair security命令用来创建安全域间实例并进入安全域间实例视图。
undo zone-pair security命令用来删除指定的域间实例。
zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }
undo zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }
系统视图
source source-zone-name:源安全域的名称,为1~31个字符的字符串,不区分大小写。
destination destination-zone-name:目的安全域的名称,为1~31个字符的字符串,不区分大小写。
any:表示任意安全域。
安全域间实例用于指定安全策略(如ASPF策略、对象策略等)需要检测的业务流的源安全域和目的安全域,它们分别描述了经过网络设备的业务流的首包要进入的安全域和要离开的安全域。在安全域间实例上应用安全策略可实现对指定业务流进行安全策略检查。
· 创建安全域间实例时指定的源安全域和目的安全域必须是已存在的安全域。
· 删除安全域间实例后,在域间实例上已经应用的安全策略将不生效,对应的引用关系同时被取消。
# 创建源安全域Trust到目的安全域Untrust的安全域间实例。
[Sysname] zone-pair security source trust destination untrust
[Sysname-zone-pair-security-Trust-Untrust]
security-zone intra-zone default permit命令用来配置同一安全域内接口间报文处理的缺省动作为permit。
undo security-zone intra-zone default permit命令用来恢复缺省情况。
security-zone intra-zone default permit
undo security-zone intra-zone default permit
对于同一安全域内接口间的报文,若设备上不存在当前域到当前域的域间实例,设备缺省会将其丢弃,可以通过配置安全域内接口间报文处理的缺省动作为permit来允许其通过。
# 配置同一安全域内接口间报文处理的缺省动作为pemit。
[Sysname] security-zone intra-zone default permit
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
