- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-可信访问控制命令
本章节下载: 20-可信访问控制命令 (364.33 KB)
目 录
1.1.5 display trusted-access api-id-url
1.1.6 display trusted-access controller
1.1.7 display trusted-api-proxy
1.1.8 display trusted-api-proxy statistics
1.1.9 display trusted-app-proxy
1.1.10 display trusted-app-proxy statistics
1.1.21 reset trusted-access permitted-record
1.1.22 reset trusted-api-proxy statistics
1.1.23 reset trusted-app-proxy statistics
1.1.24 service enable (trusted access controller view)
1.1.25 service enable (trusted app proxy/trusted api proxy view)
1.1.26 ssl-client-policy (trusted access controller view)
1.1.27 ssl-client-policy (trusted app proxy/trusted api proxy view)
1.1.28 ssl-server-policy (trusted access controller view)
1.1.29 ssl-server-policy (trusted app proxy/trusted api proxy view)
1.1.30 trusted-access-controller iam (trusted app proxy/trusted api proxy view)
app-url-level命令用来配置应用鉴权的鉴权URL层级。
undo app-url-level命令用来恢复缺省情况。
【命令】
app-url-level level
undo app-url-level
【缺省情况】
应用鉴权的鉴权URL层级为0。
【视图】
可信接入代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
level:URL资源路径的层级,每层由“/”分隔。取值范围为0~10,0表示仅域名部分。
【使用指导】
在应用鉴权过程中,可信接入代理会提取用户请求URL中的一部分,作为鉴权URL向IAM控制器进行鉴权。
通过配置本命令,可指定鉴权URL的提取范围,即“域名+指定层级的资源路径”。例如,用户访问的应用URL为:www.test.com/aaa/bbb/ccc/ddd/default=eee,若配置鉴权URL层级为0,则可信接入代理提取的鉴权URL为www.test.com;若配置鉴权URL为3,则可信接入代理提取的鉴权URL为www.test.com/aaa/bbb/ccc。
通常情况下,每个应用有单独的域名,管理员只需要采用缺省配置,将鉴权URL指定为域名部分,就能够进行应用权限控制。
当多个应用采用相同的域名时,若将鉴权URL指定为域名部分,则无法对不同的应用分别进行鉴权。此时,管理员可以通过本命令配置URL资源路径的层级,设备将按照指定的层级提取鉴权URL,从而达到对相同域名的不同应用分别进行权限控制的目的。
【举例】
# 在可信接入代理c1中,配置应用鉴权的鉴权URL层级为3。
<Sysname> system-view
[Sysname] trusted-app-proxy app type http
[Sysname-tap-http-app] app-url-level 3
connection-count命令用来配置允许设备与IAM可信访问控制器建立的连接数。
undo connection-count命令用来恢复缺省情况。
【命令】
connection-count count
undo connection-count
【缺省情况】
允许设备与IAM可信访问控制器建立的连接数为1。
【视图】
IAM类型的可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
【参数】
count:与物理IAM控制器建立的连接数,取值范围为1~20。
【使用指导】
缺省情况下,设备仅能与IAM可信访问控制器建立一条连接。当认证和鉴权请求数目较大时,IAM可信访问控制器无法及时作出响应,影响用户体验。通过调整设备与IAM可信访问控制器的最大连接数,可增加并发连接数,以缩短认证和鉴权的时延,提升用户体验。
多次执行本命令,最后一次执行的生效。
【举例】
# 在可信访问控制器c1视图中,配置允许当前可信访问控制器与物理IAM控制器建立的连接数为5。
<Sysname> system-view
[Sysname] trusted-access controller c1 type iam
[Sysname-tac-iam-c1]connection-count 5
connection-limit max命令用来配置可信代理允许的最大连接数。
undo connection-limit max命令用来恢复缺省情况。
【命令】
connection-limit max max-number
undo connection-limit
【缺省情况】
可信代理所允许的最大连接数为0,即不受限制。
【视图】
HTTP类型的可信接入代理视图
HTTP类型的可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-number:最大连接数,取值范围为0~4294967295,0表示不限制可信代理允许的最大连接数。
【举例】
# 配置HTTP类型的可信接入代理app3所允许的最大连接数为10000。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] connection-limit max 10000
description命令用来配置可信访问控制器的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置可信访问控制器的描述信息。
【视图】
IAM类型的可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 在IAM类型的可信访问控制器tac视图下,配置描述信息为“iam server”。
<Sysname> system-view
[Sysname] trusted-access controller tac type iam
[Sysname-tac-iam-tac] description iam server
【相关命令】
· display trusted-access controller
display trusted-access api-id-url命令用来显示API ID和API URL的对应关系。
【命令】
display trusted-access api-id-url [ name controller-name ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name controller-name:显示指定名称IAM可信访问控制器的API ID和API URL的对应关系。controller-name为IAM可信访问控制器名称,为1~63个字符的字符串,不区分大小写。如果未指定本参数,将显示所有IAM可信访问控制器的API ID和API URL的对应关系。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示所有成员设备。
【使用指导】
当设备收到API鉴权请求时,会将请求中的API URL转换为API ID发送给IAM可信访问控制器进行鉴权。鉴权完成后,设备会将收到的鉴权结果中的API ID转换为API URL再发送给用户。转换过程对于用户是不可见的,仅在设备与IAM可信访问控制器通信时进行转换,旨在缩短URL长度,减小IAM服务器的内存资源消耗。
【举例】
# 显示可信访问API ID和API URL的对应关系
<Sysname> display trusted-access api-id-url
Slot 2:
API ID URL
888 http://888.com
666 http://666.com
表1-1 display trusted-access api-id-url命令显示信息描述表
|
字段 |
描述 |
|
API ID |
API ID |
|
URL |
API的URL |
display trusted-access controller命令用来显示IAM可信访问控制器的信息。
【命令】
display trusted-access controller [ name controller-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name controller-name:显示指定名称的IAM可信访问控制器的信息。controller-name为IAM可信访问控制器名称,为1~63个字符的字符串,不区分大小写。如果未指定本参数,将显示所有IAM可信访问控制器的信息。
【举例】
# 显示所有IAM可信访问控制器的信息。
<Sysname> display trusted-access controller
Trusted access controller: tac
Description:
Type: IAM
State: Active
Local service URL: http://10.153.10.120:80
Peer service URL: http://10.153.10.121:80
SSL client policy: scp
SSL server policy: ssp
Connection count: 1
Slot 1:
Peer service state: Active
Serial ID: 38ad-be93-e0c4-0008-0100
Slot 2:
Peer service state: Inactive
Serial ID: 38ad-be93-e0c4-0010-0100
表1-2 display trusted-access controller命令显示信息描述表
|
字段 |
描述 |
|
Trusted access controller |
可信访问控制器的名称 |
|
Description |
可信访问控制器的描述信息 |
|
Type |
可信访问控制器的类型,目前仅支持IAM类型 |
|
State |
可信访问控制器的状态,包括: · Active:可用 · Inactive:不可用(已开启可信访问控制器,仍不可用) · Inactive(disalbed):不可用(由于未开启可信访问控制器) |
|
Local service URL |
本地服务URL |
|
Peer service URL |
对端服务URL |
|
SSL client policy |
SSL客户端策略 |
|
SSL server policy |
SSL服务器端策略 |
|
Peer service state |
对端服务状态,包括: · Active:可用 · Inactive:不可用 |
|
Serial ID |
标识可信代理设备身份的服务序列号 |
|
Connection count |
设备与IAM可信访问控制器建立的连接数 |
display trusted-api-proxy命令用来显示可信API代理的信息。
【命令】
display trusted-api-proxy [ brief | name trusted-proxy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
brief:显示可信API代理的简要信息。如果未指定本参数,将显示可信API代理的详细信息。
name trusted-proxy-name:显示指定可信API代理的信息。trusted-proxy-name为可信API代理的名称,为1~63个字符的字符串,不区分大小写。如果未指定本参数,将显示所有可信API代理的信息。
【举例】
# 显示所有可信API代理的简要信息。
<Sysname> display trusted-api-proxy brief
Trusted API proxy State Type Proxy address Port
api Active HTTP 172.40.0.10/32 80
1::1/128
api2 Inactive HTTP -- 80
(disabled)
# 显示所有可信API代理的详细信息。
<Sysname> display trusted-api-proxy
Trusted API proxy: api
Type: HTTP
State: Active
Proxy IPv4 address: 172.40.0.10/32
Proxy IPv6 address: 1::1/128
Port: 80
LB policy: api
LB limit-policy: lmitp
TCP parameter profile: tcp
Connection limit: 10000
Rate limit:
Connections: 10000
SSL server policy: ssp
SSL client policy: scp
IAM trusted access controller: tac
API access mode: App-initiated
Trusted API proxy: api2
Type: HTTP
State: Inactive (disabled)
Proxy IPv4 address: --
Proxy IPv6 address: --
Port: 80
LB policy:
LB limit-policy:
Connection limit: --
Rate limit:
Connections: --
SSL server policy:
SSL client policy:
IAM trusted access controller: tac
API access mode: App-initiated
表1-3 display trusted-api-proxy命令显示信息描述表
|
字段 |
描述 |
|
Trusted API proxy |
可信API代理的名称 |
|
State |
可信API代理的状态,包括: · Active:可用 · Inactive:不可用(已安装License并开启了可信接入代理功能,仍不可用) · Inactive (no license):不可用(由于缺少License) · Inactive (disabled):不可用(由于未开启可信接入代理功能) |
|
Type |
可信API代理的类型,目前仅支持HTTP |
|
Proxy IPv4 address |
可信API代理的IPv4地址和掩码 |
|
Proxy IPv6 address |
可信API代理的IPv6地址和前缀 |
|
Port |
可信API代理的端口号 |
|
LB policy |
可信API代理引用的负载均衡策略 |
|
LB limit-policy |
可信API代理引用的负载均衡限速策略 |
|
TCP parameter profile |
可信API代理引用的TCP类型参数模板,只有配置了TCP类型的参数模板才会显示本字段 |
|
TCP parameter profile (client-side) |
可信API代理引用的客户端侧TCP类型参数模板,只有配置了客户端侧TCP类型的参数模板才会显示本字段 |
|
TCP parameter profile (server-side) |
可信API代理引用的服务器侧TCP类型参数模板,只有配置了服务器测TCP类型的参数模板才会显示本字段 |
|
DPI application profile |
可信API代理引用的DPI应用profile,只用引用了DPI应用profile才会显示本字段 |
|
Connection limit |
可信API代理所允许的最大连接数 |
|
Rate limit |
可信API代理的速率限制 |
|
Connections |
可信API代理所允许的最大连接速率 |
|
SSL server policy |
SSL服务器端策略的名称,只有HTTP类型的可信API代理才会显示本字段 |
|
SSL client policy |
SSL客户端策略的名称,只有HTTP类型的可信API代理才会显示本字段 |
|
HTTP protection policy |
可信API代理引用的HTTP防护策略 |
|
IAM trusted access controller |
可信API代理引用的IAM类型可信访问控制器的名称 |
|
API access mode |
API访问模式,包括: · App-initiated:由应用发起对API的访问 · User-initiated:由用户发起对API的访问 |
display trusted-api-proxy statistics命令用来显示可信API代理的统计信息。
【命令】
display trusted-api-proxy statistics [ name trusted-proxy-name ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name trusted-proxy-name:显示指定可信API代理的统计信息。trusted-proxy-name为可信API代理的名称,为1~63个字符的字符串,不区分大小写。如果未指定本参数,将显示所有可信API代理的统计信息。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示所有成员设备。
【举例】
# 显示可信API代理api的统计信息。
<Sysname> display trusted-api-proxy statistics name api
Trusted API proxy: api
Total connections: 979
Active connections: 618
Max connections: 661
Recorded at 11:02:49 on Tue May 21 2019
Connections per second: 146
Max connections per second: 156
Recorded at 11:02:49 on Tue May 21 2019
Client input: 333332 bytes
Client output: 472054 bytes
Throughput: 4088 bps
Inbound throughput: 1214 bps
Outbound throughput: 2874 bps
Max throughput: 4368 bps
Recorded at 11:02:49 on Tue May 21 2019
Max inbound throughput: 1214 bps
Recorded at 11:02:49 on Tue May 21 2019
Max outbound throughput: 3154 bps
recorded at 11:02:49 on Tue May 21 2019
Received packets: 979
Sent packets: 0
Dropped packets: 0
Received requests: 0
Dropped requests: 0
Sent responses: 0
Dropped responses: 0
Authentication permitted requests: 0
Authentication denied requests: 0
表1-4 display trusted-api-proxy staistics命令显示信息描述表
|
字段 |
描述 |
|
Trusted API proxy |
可信API代理的名称 |
|
Total connections |
总连接数 |
|
Active connections |
当前活动的连接数 |
|
Max connections |
最大连接数 |
|
Connections per second |
每秒连接数 |
|
Max connections per second |
最大每秒连接数 |
|
Client input |
从客户端收到的流量,单位为字节 |
|
Client output |
向客户端发出的流量,单位为字节 |
|
Throughput |
报文的总吞吐量,单位为bps |
|
Inbound throughput |
报文的入吞吐量,单位为bps |
|
Outbound throughput |
报文的出吞吐量,单位为bps |
|
Max throughput |
报文的最大总吞吐量,单位为bps |
|
Max inbound throughput |
报文的最大入吞吐量,单位为bps |
|
Max oubound throughput |
报文的最大出吞吐量,单位为bps |
|
Received packets |
收到的报文数 |
|
Sent packets |
发出的报文数(可信API代理发给客户端的) |
|
Dropped packets |
丢弃的报文数 |
|
Received requests |
收到的HTTP请求报文数量,只有HTTP类型的可信API代理才会显示本字段 |
|
Dropped requests |
丢弃的HTTP请求报文数量,只有HTTP类型的可信API代理才会显示本字段 |
|
Sent responses |
发出的HTTP应答报文数量,只有HTTP类型的可信API代理才会显示本字段 |
|
Dropped responses |
丢弃的HTTP应答报文数量,只有HTTP类型的可信API代理才会显示本字段 |
|
Authentication permitted requests |
鉴权结果为通过的请求数量 |
|
Authentication denied requests |
鉴权结果为拒绝的请求数量 |
display trusted-app-proxy命令用来显示可信接入代理的信息。
【命令】
display trusted-app-proxy [ brief | name trusted-proxy-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
brief:显示可信接入代理的简要信息。若未指定本参数,则显示可信接入代理的详细信息。
name trusted-proxy-name:显示指定可信接入代理的信息。trusted-proxy-name为可信接入代理的名称,为1~63个字符的字符串,不区分大小写。如果未指定本参数,将显示所有可信接入代理的信息。
【举例】
# 显示所有可信接入代理的简要信息。
<Sysname> display trusted-app-proxy brief
Trusted App proxy State Type Proxy address Port
app Active HTTP 172.40.0.10/32 80
1::1/128
app2 Inactive HTTP -- 80
(disabled)
# 显示所有可信接入代理的详细信息。
<Sysname> display trusted-app-proxy
Trusted application proxy: app
Type: HTTP
State: Active
Proxy IPv4 address: 172.40.0.10/32
Proxy IPv6 address: 1::1/128
Port: 80
LB policy: app
LB limit-policy: a
TCP parameter profile: tcp
Connection limit: 10000
Rate limit:
Connections: 10000
SSL server policy: ssp
SSL client policy: scp
IAM trusted access controller: tac
Appliction URL level: 0
Trusted application proxy: app2
Type: HTTP
State: Inactive (disabled)
Proxy IPv4 address: --
Proxy IPv6 address: --
Port: 80
LB policy:
LB limit-policy:
Connection limit: --
Rate limit:
Connections: --
SSL server policy:
SSL client policy:
IAM trusted access controller: tac
Appliction URL level: 0
表1-5 display trusted-app-proxy命令显示信息描述表
|
字段 |
描述 |
|
Trusted application proxy |
可信接入代理的名称 |
|
State |
可信接入代理的状态,包括: · Active:可用 · Inactive:不可用(已安装License并开启了可信接入代理功能,仍不可用) · Inactive (no license):不可用(由于缺少License) · Inactive (disabled):不可用(由于未开启可信接入代理功能) |
|
Type |
可信接入代理的类型,目前仅支持HTTP |
|
Proxy IPv4 address |
可信接入代理的IPv4地址和掩码 |
|
Proxy IPv6 address |
可信接入代理的IPv6地址和前缀 |
|
Port |
可信接入代理的端口号 |
|
LB policy |
可信接入代理引用的负载均衡策略 |
|
LB limit-policy |
可信接入代理引用的负载均衡限速策略 |
|
TCP parameter profile |
可信接入代理引用的TCP类型参数模板,只有配置了TCP类型的参数模板才会显示本字段 |
|
TCP parameter profile (client-side) |
可信接入代理引用的客户端侧TCP类型参数模板,只有配置了客户端侧TCP类型的参数模板才会显示本字段 |
|
TCP parameter profile (server-side) |
可信接入代理引用的服务器侧TCP类型参数模板,只有配置了服务器测TCP类型的参数模板才会显示本字段 |
|
DPI application profile |
可信接入代理引用的DPI应用profile,只用引用了DPI应用profile才会显示本字段 |
|
External authentication app-policy |
可信接入代理引用的外部应用鉴权策略 |
|
Connection limit |
可信接入代理所允许的最大连接数 |
|
Rate limit |
可信接入代理的速率限制 |
|
Connections |
可信接入代理所允许的最大连接速率 |
|
SSL server policy |
SSL服务器端策略的名称,只有HTTP类型的可信接入代理才会显示本字段 |
|
SSL client policy |
SSL客户端策略的名称,只有HTTP类型的可信接入代理才会显示本字段 |
|
可信接入代理引用的HTTP防护策略,只有配置了HTTP防护策略才会显示本字段 |
|
|
IAM trusted access controller |
可信接入代理引用的IAM类型可信访问控制器的名称 |
|
Appliction URL level |
应用鉴权的鉴权URL层级 |
display trusted-app-proxy statistics命令用来显示可信接入代理的统计信息。
【命令】
display trusted-app-proxy statistics [ name trusted-proxy-name ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name trusted-proxy-name:显示指定可信接入代理的统计信息。trusted-proxy-name为可信接入代理的名称,为1~63个字符的字符串,不区分大小写。如果未指定本参数,将显示所有可信接入代理的统计信息。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示所有成员设备。
【举例】
# 显示可信接入代理app的统计信息。
<Sysname> display trusted-app-proxy statistics name app
Trusted application proxy: app
Total connections: 979
Active connections: 618
Max connections: 661
Recorded at 11:02:49 on Tue May 21 2019
Connections per second: 146
Max connections per second: 156
Recorded at 11:02:49 on Tue May 21 2019
Client input: 333332 bytes
Client output: 472054 bytes
Throughput: 4088 bps
Inbound throughput: 1214 bps
Outbound throughput: 2874 bps
Max throughput: 4368 bps
Recorded at 11:02:49 on Tue May 21 2019
Max inbound throughput: 1214 bps
Recorded at 11:02:49 on Tue May 21 2019
Max outbound throughput: 3154 bps
Recorded at 11:02:49 on Tue May 21 2019
Received packets: 979
Sent packets: 0
Dropped packets: 0
Received requests: 0
Authentication permitted requests: 0
Authentication denied requests: 0
Redirected requests for login: 4
Redirected requests for re-authentication: 0
表1-6 display trusted-app-proxy staistics命令显示信息描述表
|
字段 |
描述 |
|
Trusted application proxy |
可信接入代理的名称 |
|
Total connections |
总连接数 |
|
Active connections |
当前活动的连接数 |
|
Max connections |
最大连接数 |
|
Connections per second |
每秒连接数 |
|
Max connections per second |
最大每秒连接数 |
|
Client input |
从客户端收到的流量,单位为字节 |
|
Client output |
向客户端发出的流量,单位为字节 |
|
Throughput |
报文的总吞吐量,单位为bps |
|
Inbound throughput |
报文的入吞吐量,单位为bps |
|
Outbound throughput |
报文的出吞吐量,单位为bps |
|
Max throughput |
报文的最大总吞吐量,单位为bps |
|
Max inbound throughput |
报文的最大入吞吐量,单位为bps |
|
Max oubound throughput |
报文的最大出吞吐量,单位为bps |
|
Received packets |
收到的报文数 |
|
Sent packets |
发出的报文数(可信接入代理发给客户端的) |
|
Dropped packets |
丢弃的报文数 |
|
Received requests |
收到的HTTP请求报文数量,只有HTTP类型的可信接入代理才会显示本字段 |
|
Dropped requests |
丢弃的HTTP请求报文数量,只有HTTP类型的可信接入代理才会显示本字段 |
|
Sent responses |
发出的HTTP应答报文数量,只有HTTP类型的可信接入代理才会显示本字段 |
|
Dropped responses |
丢弃的HTTP应答报文数量,只有HTTP类型的可信接入代理才会显示本字段 |
|
Authentication permitted requests |
鉴权结果为通过的请求数量 |
|
Authentication denied requests |
鉴权结果为拒绝的请求数量 |
|
Redirected requests for login |
重定向至登录页面的请求数量 |
|
Redirected requests for re-authentication |
重定向至二次认证页面的请求数量 |
【相关命令】
· reset trusted-app-proxy statistics
lb-limit-policy命令用来指定可信代理引用的负载均衡连接数限制策略。
undo lb-limit-policy命令用来恢复缺省情况。
【命令】
lb-limit-policy policy-name
undo lb-limit-policy
【缺省情况】
可信代理未引用任何负载均衡连接数限制策略。
【视图】
HTTP类型的可信接入代理视图
HTTP类型的可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:负载均衡连接数限制策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
配置可信代理引用连接数限制策略,达到对客户流量的分类限速处理。
负载均衡连接数限制策略只在新建会话时生效,对已经存在的会话不生效。有关负载均衡连接数限制策略的详细介绍,请参见“负载均衡命令参考”中的“负载均衡”。
【举例】
# 指定HTTP类型的可信代理app3引用的负载均衡连接数限制策略为llp。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] lb-limit-policy llp
【相关命令】
· loadbalance limit-policy(负载均衡命令参考/负载均衡)
lb-policy命令用来配置可信代理引用的负载均衡策略。
undo lb-poilcy命令用来恢复缺省情况。
【命令】
lb-policy policy-name
undo lb-poilcy
【缺省情况】
可信代理未引用任何负载均衡策略。
【视图】
HTTP类型的可信接入代理视图
HTTP类型的可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:负载均衡策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
可信代理引用负载均衡策略后,可以实现对不同的报文进行不同的负载均衡处理。
HTTP类型的可信代理只能引用通用或HTTP类型的负载均衡策略。
有关负载均衡策略的详细介绍,请参见“负载均衡命令参考”中的“负载均衡”。
【举例】
# 配置HTTP类型的可信代理sp3引用的负载均衡策略为lbp1。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] lb-policy lbp1
【相关命令】
· lb-policy(负载均衡命令参考/负载均衡)
local-service url命令用来配置与可信访问控制器联动的本地服务URL。
undo local-service url命令用来恢复缺省情况。
【命令】
local-service url service-url
undo local-service url
【缺省情况】
未配置与可信访问控制器联动的本地服务URL。
【视图】
IAM类型的可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
【参数】
service-url:与可信访问控制器联动的本地服务URL地址,为1~255个字符的字符串,不区分大小写。
【使用指导】
本地服务URL用来与可信访问控制器进行联动,可信访问控制器可以通过本地服务URL向设备通知用户下线、用户权限变更等事件。
本地服务URL须满足的格式要求为:“协议类型://服务器IP地址:端口号”。
· 协议类型包括HTTP和HTTPS。
· 服务器IP地址仅支持IPv4地址。
同一台设备上,不允许为不同的可信访问控制器配置地址和端口号完全相同的本地服务URL。
【举例】
# 在IAM类型的可信访问控制器tac视图下,配置本地服务URL为https://10.153.10.120:443。
<Sysname> system-view
[Sysname] trusted-access controller tac type iam
[Sysname-tac-iam-tac] local-service url https://10.153.10.120:443
【相关命令】
· display trusted-access controller
· peer-service url
parameter命令用来配置可信代理引用的参数模板。
undo parameter命令用来删除可信代理引用的参数模板。
【命令】
parameter tcp profile-name [ client-side | server-side ]
undo parameter tcp [ client-side | server-side ]
【缺省情况】
未配置可信代理引用的参数模板。
【视图】
可信接入代理视图
可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
tcp:引用TCP类型的参数模板。
profile-name:参数模板的名称,为1~63个字符的字符串,不区分大小写。
client-side:客户端侧TCP类型参数模板。
server-side:服务器侧TCP类型参数模板。
【使用指导】
参数模板用来对可信代理上的流量进行比较深入的解析、处理和优化。可信代理引用了参数模板后,就要根据该参数模板的配置对匹配流量进行相应的处理。
若配置了可信代理引用客户端侧TCP类型的参数模板,则系统对客户端与设备之间建立的TCP连接进行优化和处理;若配置了可信代理引用服务器侧TCP类型参数模板,则系统对设备与实服务器之间建立的TCP连接进行优化和处理。若未指定client-side和server-side,则表示同时为客户端侧和服务器侧配置TCP参数模板。只有TCP类型参数模板才支持客户端侧与服务器侧分别配置。
有关参数模板的详细介绍,请参见“负载均衡命令参考”中的“负载均衡”。
【举例】
# 配置HTTP类型的可信接入代理app3引用TCP类型的参数模板pp。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] parameter tcp pp
【相关命令】
· parameter-profile(负载均衡命令参考/负载均衡)
peer-service url命令用来配置提供可信访问控制服务的对端服务URL。
undo peer-service url命令用来恢复缺省情况。
【命令】
peer-service url service-url
undo peer-service url
【缺省情况】
未配置提供可信访问控制服务的对端服务URL。
【视图】
IAM类型的可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
【参数】
service-url:提供可信访问控制服务的URL地址,为1~255个字符的字符串,不区分大小写。
【使用指导】
对端服务URL用来指定设备与可信访问控制器联动的URL,设备可以通过对端服务URL向可信访问控制器进行注册及用户权限鉴别。
提供可信访问控制服务的对端服务URL须满足的格式要求为:“协议类型://服务器IP地址:端口号”。
· 协议类型包括HTTP和HTTPS。
· 目前服务器地址仅支持IPv4地址。
【举例】
# 在IAM类型的可信访问控制器tac视图下,配置对端服务URL为http://10.153.10.121:80。
<Sysname> system-view
[Sysname] trusted-access controller tac type iam
[Sysname-tac-iam-tac] peer-service url https://10.153.10.120:443
port命令用来配置可信代理的端口号。
undo port命令用来恢复缺省情况。
【命令】
port port-number
undo port
【缺省情况】
可信代理的端口号为80。
【视图】
可信接入代理视图
可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
port-number:可信代理的端口号,取值范围为1~65535。
【使用指导】
通过本命令可以指定设备对外提供可信接入代理或可信API代理服务时使用的端口号。
如果可信代理引用了SSL策略,则必须为其配置一个非缺省端口号(通常用443)。
【举例】
# 配置HTTP类型的可信接入代理app3的端口号为8080。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] port 8080
protection-policy命令用来指定可信代理引用的防护策略。
undo protection-policy命令用来恢复缺省情况。
【命令】
protection-policy http policy-name
undo protection-policy http
【缺省情况】
可信代理未引用任何防护策略。
【视图】
HTTP类型的可信接入代理视图
HTTP类型的可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
http:引用HTTP类型的防护策略。
policy-name:防护策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
通过引用HTTP防护策略,可以对防护策略中指定的URL进行防护,从而保护应用服务器或API服务器的安全,防止攻击者在短时间内发送大量的虚假请求,致使服务器疲于应付无用信息,无法处理正常业务。
有关防护策略的详细介绍,请参见“负载均衡命令参考”中的“负载均衡”。
【举例】
# 在指定HTTP类型的可信代理app3视图下,指定可信代理引用的防护策略为p1。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3]protection-policy http p1
【相关命令】
· display trusted-api-proxy
· display trusted-app-proxy
· loadbalance protection-policy(负载均衡命令参考/负载均衡)
proxy ip address命令用来配置可信代理的IPv4地址。
undo proxy ip address命令用来恢复缺省情况。
【命令】
proxy ip address ipv4-address
undo proxy ip address
【缺省情况】
未配置可信代理的IPv4地址。
【视图】
可信接入代理视图
可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:可信代理的IPv4地址,不能为环回地址、组播地址、广播地址和0.X.X.X。
【使用指导】
通过本命令可以指定设备对外提供可信接入代理或可信API代理业务的IPv4地址。
【举例】
# 配置HTTP类型的可信接入代理app3的IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] proxy ip address 1.1.1.1
proxy ipv6 address命令用来配置可信代理的IPv6地址。
undo proxy ipv6 address命令用来恢复缺省情况。
【命令】
proxy ipv6 address ipv6-address
undo proxy ipv6 address
【缺省情况】
未配置可信代理的IPv6地址。
【视图】
可信接入代理视图
可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:可信代理的IPv6地址,不能为环回地址、IPv6组播地址、链路本地地址和全0地址。
【使用指导】
通过本命令可以指定设备对外提供可信接入代理或可信API代理业务的IPv6地址。
【举例】
# 配置HTTP类型的可信接入代理app3的IP地址为1001::1。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] proxy ip address 1001::1
rate-limit connection命令用来配置可信代理所允许的最大连接速率。
undo rate-limit connection命令用来恢复缺省情况。
【命令】
rate-limit connection connection-rate
undo rate-limit connection
【缺省情况】
可信代理所允许的最大连接速率为0,即不受限制。
【视图】
HTTP类型的可信接入代理视图
HTTP类型的可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
connection-rate:可信代理所允许的最大连接速率,取值范围为0~4294967295,0表示可信代理所允许的最大连接速率不受限制。
【举例】
# 配置HTTP类型的可信代理sp3所允许的最大连接速率为10000。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] rate-limit connection 10000
reset trusted-access permitted-record命令用来清除用户鉴权成功的记录。
【命令】
reset trusted-access permitted-record { api-auth | app-auth } user user-name
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
api-auth:清除API鉴权成功的记录。
app-auth:清除应用鉴权成功的记录。
user user-name:清除指定用户鉴权成功的记录。user-name表示用户名,为1~63个字符的字符串,区分大小写。
【举例】
# 清除用户test的应用鉴权成功的记录。
<Sysname> reset trusted-access permitted-record app-auth user test
【相关命令】
· display trusted-access permitted-record
reset trusted-api-proxy statistics命令用来清除可信API代理的统计信息。
【命令】
reset trusted-api-proxy statistics [ trusted-proxy-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
trusted-proxy-name:清除指定可信API代理的统计信息。trusted-proxy-name为可信API代理的名称,为1~63个字符的字符串,不区分大小写。如果未指定本参数,将清除所有可信API代理的统计信息。
【举例】
# 清除所有可信接入代理的统计信息。
<Sysname> reset trusted-api-proxy statistics
【相关命令】
· display trusted-api-proxy statistics
reset trusted-app-proxy statistics命令用来清除可信接入代理的统计信息。
【命令】
reset trusted-app-proxy statistics [ trusted-proxy-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
trusted-proxy-name:清除指定可信接入代理的统计信息。trusted-proxy-name为可信接入代理的名称,为1~63个字符的字符串,不区分大小写。如果未指定本参数,将清除所有可信接入代理的统计信息。
【举例】
# 清除所有可信接入代理的统计信息。
<Sysname> reset trusted-app-proxy statistics
【相关命令】
· display trusted-app-proxy statistics
service enable命令用来开启可信访问控制器。
undo service enable命令用来关闭可信访问控制器。
【命令】
service enable
undo service enable
【缺省情况】
可信访问控制器处于关闭状态。
【视图】
IAM类型的可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 在名称为tac的可信访问控制器视图下,并开启可信访问控制器。
<Sysname> system-view
[Sysname] trusted-access controller tac type iam
[Sysname-tac-iam-tac] service enable
service enable命令用来开启可信代理。
undo service enable命令用来关闭可信代理。
【命令】
service enable
undo service enable
【缺省情况】
可信代理处于关闭状态。
【视图】
HTTP类型的可信接入代理视图
HTTP类型的可信API代理视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 开启HTTP类型的可信接入代理app3。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] service enable
ssl-client-policy命令用来指定设备与可信访问控制器之间建立SSL连接时所使用的SSL客户端策略。
undo ssl-client-policy命令用来恢复缺省情况。
【命令】
ssl-client-policy policy-name
undo ssl-client-policy
【缺省情况】
未指定设备与可信访问控制器之间建立SSL连接时所使用的SSL客户端策略。
【视图】
IAM类型的可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:SSL客户端策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
若配置对端服务URL协议类型为HTTPS,则必需配置本命令。通过本命令引用SSL客户端策略后,可以加密传输设备作为SSL客户端向可信访问控制器进行注册及用户权限鉴别的流量。
如需修改已被可信访问控制器引用的SSL客户端策略,在策略修改完成后,需在可信访问控制器视图下,删除引用的SSL客户端策略,重新配置引用SSL客户端策略,新的策略才能生效。有关SSL客户端策略的详细介绍请参见“安全配置指导”中的“SSL”。
设备不支持引用加密套件为exp_rsa_des_cbc_sha、exp_rsa_rc2_md5、exp_rsa_rc4_md5、rsa_des_cbc_sha的SSL客户端策略。
【举例】
# 指定IAM类型可信访问控制器tac引用的SSL客户端策略为scp。
<Sysname> system-view
[Sysname] trusted-access controller tac type iam
[Sysname-tac-iam-tac] ssl-client-policy scp
【相关命令】
· peer-service url
· ssl client-policy(安全命令参考/SSL)
ssl-client-policy命令用来指定可信代理引用的SSL客户端策略,以便对设备作为SSL客户端与SSL服务器之间传输的流量进行加密传输。
undo ssl-client-policy命令用来恢复缺省情况。
【命令】
ssl-client-policy policy-name
undo ssl-client-policy policy-name
【缺省情况】
未指定可信代理引用的SSL客户端策略。
【视图】
HTTP类型的可信接入代理视图
HTTP类型的可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:SSL客户端策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
如需修改已被可信代理引用的SSL客户端策略,在策略修改完成后,需在可信代理视图下,先执行undo service enable命令关闭可信代理,再执行service enable命令开启可信代理,新的策略才能生效。
设备不支持引用加密套件为exp_rsa_des_cbc_sha、exp_rsa_rc2_md5、exp_rsa_rc4_md5、rsa_des_cbc_sha的SSL客户端策略。
【举例】
# 配置HTTP类型的可信接入代理app3上,引用SSL客户端策略scp。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] ssl-client-policy scp
【相关命令】
· ssl client-policy(安全命令参考/SSL)
ssl-server-policy命令用来指定设备与可信访问控制器之间建立SSL连接时所使用的SSL服务器端策略。
undo ssl-server-policy命令用来恢复缺省情况。
【命令】
ssl-server-policy policy-name
undo ssl-server-policy
【缺省情况】
未指定设备与可信访问控制器之间建立SSL连接时所使用的SSL服务器端策略。
【视图】
IAM类型的可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
若配置本地服务URL协议类型为HTTPS,则必需配置本命令。通过本命令引用SSL服务器端策略后,可以加密传输来自可信访问控制器的用户下线、用户权限变更等事件信息。
如需修改已被可信访问控制器引用的SSL服务器端策略,在策略修改完成后,需在可信访问控制器视图下,先删除引用的SSL服务器端策略,再重新配置引用SSL服务器端策略,新的策略才能生效。有关SSL服务器端策略的详细介绍请参见“安全配置指导”中的“SSL”。
设备不支持引用加密套件为exp_rsa_des_cbc_sha、exp_rsa_rc2_md5、exp_rsa_rc4_md5、rsa_des_cbc_sha的SSL服务器端策略。
【举例】
# 指定IAM类型可信访问控制器tac引用的SSL客户端策略为ssp。
<Sysname> system-view
[Sysname] trusted-access controller tac type iam
[Sysname-tac-iam-tac] ssl-server-policy ssp
【相关命令】
· local-service url
· ssl server-policy(安全命令参考/SSL)
ssl-server-policy命令用来指定可信代理引用的SSL服务器端策略,以便对设备作为SSL服务器与SSL客户端之间传输的流量进行加密传输。
undo ssl-server-policy命令用来恢复缺省情况。
【命令】
ssl-server-policy policy-name
undo ssl-server-policy
【缺省情况】
可信代理未引用任何SSL服务器端策略。
【视图】
HTTP类型的可信接入代理视图
HTTP类型的可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:SSL服务器端策略的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
如需修改已被可信代理引用的SSL服务器端策略,在策略修改完成后,需在可信代理视图下,先执行undo service enable命令关闭可信代理,再执行service enable命令开启可信代理,新的策略才能生效。
设备不支持引用加密套件为exp_rsa_des_cbc_sha、exp_rsa_rc2_md5、exp_rsa_rc4_md5、rsa_des_cbc_sha的SSL服务器端策略。
【举例】
# 配置HTTP类型的可信接入代理app3上,引用SSL服务器端策略ssp。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] ssl-server-policy ssp
【相关命令】
· ssl server-policy(安全命令参考/SSL)
trusted-access-controller iam命令用来指定可信代理引用IAM类型的可信访问控制器。
undo trusted-access-controller iam命令用来恢复缺省情况。
【命令】
trusted-access-controller iam controller-name
undo trusted-access-controller
【缺省情况】
可信代理未引用任何可信访问控制器。
【视图】
HTTP类型的可信接入代理视图
HTTP类型的可信API代理视图
【缺省用户角色】
network-admin
context-admin
【参数】
controller-name:可信访问控制器的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
引用IAM可信访问控制器后,代理设备可以利用该控制器,对访问可信接入代理和可信API代理的流量进行访问控制。
【举例】
# 在HTTP类型的可信接入代理app3视图下,使用IAM类型的可信访问控制器tac进行应用鉴权。
<Sysname> system-view
[Sysname] trusted-app-proxy app3 type http
[Sysname-tap-http-app3] trusted-access-controller iam tac
【相关命令】
· display trusted-api-proxy
· display trusted-app-proxy
· trusted-access controller
trusted-access controller命令用来创建可信访问控制器,并进入可信访问控制器视图。如果指定的可信访问控制器已经存在,则直接进入可信访问控制器视图。
undo trusted-access controller命令用来删除指定的可信访问控制器。
【命令】
trusted-access controller controller-name type iam
undo trusted-access controller controller-name
【缺省情况】
不存在可信访问控制器
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
controller-name:可信访问控制器的名称,为1~63个字符的字符串,不区分大小写。
type:可信访问控制器的类型。进入已创建的可信访问控制器视图时可以不指定本参数,若要指定本参数,则必须与创建时的类型一致。
iam:可信访问控制器的类型为IAM类型。
【使用指导】
本命令可以指定提供身份认证和鉴权服务的IAM可信访问控制器。通过与IAM可信访问控制器联动,设备将收到的用户请求报文,引导至可信访问控制器进行身份认证,并确定认证通过的用户对当前请求的资源是否有访问权限。
【举例】
# 创建IAM类型的可信访问控制器,并进入可信访问控制器视图。
<Sysname> system-view
[Sysname] trusted-access controller tac type iam
[Sysname-tac-iam-tac]
trusted-api-proxy命令用来创建可信API代理,并进入可信API代理视图。如果指定的可信API代理已经存在,则直接进入可信API代理视图
undo trusted-api-proxy命令用来删除指定的可信API代理。
【命令】
trusted-api-proxy proxy-name type http
undo trusted-api-proxy proxy-name
【缺省情况】
不存在可信API代理。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
proxy-name:可信API代理的名称,为1~63个字符的字符串,不区分大小写。
type http:可信API代理的类型,目前仅支持HTTP类型。创建可信API代理时必须指定本参数;进入已创建的可信API代理视图时可以不指定本参数,若要指定本参数,则必须与创建时的类型一致。
【使用指导】
可信API代理可对用户访问API的流量进行代理,当代理设备收到用户的访问请求时,会根据可信访问控制策略的配置,将其引导至可信访问控制器进行认证和鉴权。可信访问控制器会将认证和鉴权结果返回给设备,以此达到控制用户访问权限的目的。
【举例】
# 创建HTTP类型的可信API代理p2,并进入可信API代理视图。
<Sysname> system-view
[Sysname] trusted-api-proxy p2 type http
[Sysname-tip-http-p2]
【相关命令】
· display trusted-api-proxy
trusted-app-proxy命令用来创建可信接入代理,并进入可信接入代理视图。如果指定的可信接入代理已经存在,则直接进入可信接入代理视图。
undo trusted-app-proxy命令用来删除指定的可信接入代理。
【命令】
trusted-app-proxy proxy-name type http
undo trusted-app-proxy proxy-name
【缺省情况】
不存在可信接入代理。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
proxy-name:可信接入代理的名称,为1~63个字符的字符串,不区分大小写。
type http:可信接入代理的类型,目前仅支持HTTP类型。创建可信接入代理时必须指定本参数;进入已创建的可信接入代理视图时可以不指定本参数。
【使用指导】
可信接入代理可对用户访问应用的流量进行代理。当代理设备收到用户的访问请求时,会根据可信访问控制策略的配置,将其引导至可信访问控制器进行认证和鉴权。可信访问控制器会将认证和鉴权结果返回给设备,以此达到控制用户访问权限的目的。
【举例】
# 创建HTTP类型的可信接入代理p1,并进入可信接入代理视图。
<Sysname> system-view
[Sysname] trusted-app-proxy p1 type http
[Sysname-tap-http-p1]
【相关命令】
· display trusted-app-proxy
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
