- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C 无线控制器配置模板功能 使用指南-6W100-整本手册.pdf (1.19 MB)
H3C 无线控制器配置模板功能 使用指南
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
4.14.1 配置5G Modem模块Cellular接口基本参数
4.14.2 配置5G Modem模块以太网通道接口的IP地址
A.2.4 set authentication password
A.4.1 interface bridge-aggregation
A.4.3 port link-aggregation group
A.6.1 interface vlan-interface
A.9.1 dhcp relay server-address
A.15.4 ip address cellular-alloc
A.15.5 ipv6 address cellular-alloc
A.16.1 user-isolation permit-broadcast
A.16.2 user-isolation vlan enable
A.16.3 user-isolation vlan permit-bmc acl
A.16.4 user-isolation vlan permit-mac
A.17.1 authorization-attribute
A.18.3 rule (IPv4 advanced ACL view)
A.18.4 rule (IPv4 basic ACL view)
A.18.5 rule (Layer 2 ACL view)
本文介绍了AC通过配置模板能够向AP设备下发的配置。配置模板下能够进行的业务配置与以下因素有关,请以设备实际情况为准。
· AC软件版本
· AP设备的型号及其对应的软件版本
· 由于产品版本升级或其他原因,本文档内容会不定期进行更新。
· 本文为产品通用资料。对于定制化产品,请用户以产品实际情况为准。
· 本文中的AP指支持无线接入点功能的设备,包含WA系列无线接入点、WAP系列无线接入点和CPE系列5G无线数据终端。
在大规模部署AP场景下,通常采用AC+Fit AP的组网架构。AC负责对AP进行统一配置和管理,AP为客户端提供不同的无线服务。为方便用户进行业务配置、提升部署效率,提供配置模板功能,从而实现AC向AP批量下发配置的功能。配置模板功能是指:
(1) 网络管理员在AC上创建配置模板。
(2) 在配置模板下进行各项业务配置。当前配置模板下支持配置的功能如表2-1所示。
(3) 在AP组视图或AP视图下,关联配置模板。
(4) 当AP通过AC上线时,AC向已与配置模板关联的AP批量下发配置,所配置的功能会直接在AP上生效。
|
分册名称 |
模块名称 |
CLI |
|
基础配置 |
· line |
|
|
接口管理 |
· shutdown |
|
|
网络互通 |
· interface bridge-aggregation · shutdown |
|
|
· vlan |
||
|
· dns-list · expired · network |
||
|
· address |
||
|
仅当AC纳管CPE5100系列5G无线数据终端时,支持移动通信Modem管理相关的功能配置。 |
||
|
WLAN流量优化 |
· user-isolation permit-broadcast |
|
|
用户接入与认证 |
· password |
|
|
安全 |
· acl · rule (IPv4 advanced ACL view) · step |
|
|
DPI深度安全 |
· source |
用户通过本功能在AC上创建配置模板,可以在配置模板视图下发配置命令。然后将一个或多个AP与此配置模板关联。当AP通过此AC上线时,就能实现由AC向与配置模板关联的所有AP批量下发配置的目的。
在创建配置模板时必须指定AP的型号名称,配置模板会根据AP的型号创建默认配置。
· 配置模板下的默认配置与AP型号有关,请以实际情况为准。
· 用户创建配置模板后,以不执行基于配置模板的业务配置为前提,在配置模板视图下执行display this命令,可以查看默认配置。
配置模板视图下的命令配置规则如下:
· 如果命令之间存在依赖关系请先输入前提命令。
· 当在配置模板中同时配置了一条命令及该命令对应的undo命令,且undo命令后面的内容与这条命令完全一致,系统会自动在配置模板中删除这两条命令。另外系统会自动删除配置模板中重复的命令。
· AP缺省在系统视图下执行配置模板中的命令行,如果某条命令需要在系统视图的子视图下执行,则要求先输入进入子视图的命令,再输入该命令。配置模板不支持下发用户视图下的命令。
· 相同视图的命令会合并到该视图下,并按添加的顺序下发。
(1) 进入系统视图。
system-view
(2) 创建配置模板。
configuration profile profile-name model model-name
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入Console用户线或Console用户线类视图。
¡ 进入Console用户线视图。
line console first-number
¡ 进入Console用户线类视图。
line class console
(4) 设置登录用户的认证方式为不认证。
authentication-mode none
缺省情况下,用户通过Console口登录,认证方式为none。
当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入Console用户线或Console用户线类视图。
¡ 进入Console用户线视图。
line console first-number
¡ 进入Console用户线类视图。
line class console
(4) 设置登录用户的认证方式为密码认证。
authentication-mode password
缺省情况下,用户通过Console口登录,认证方式为none。
(5) 设置认证密码。
set authentication password { hash | simple } string
缺省情况下,未设置认证密码。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入Console或Console用户线类视图。
¡ 进入Console用户线视图。
line console first-number
¡ 进入Console用户线类视图。
line class console
(4) 设置登录用户的认证方式为通过AAA认证。
authentication-mode scheme
缺省情况下,用户通过Console口登录,认证方式为none。
如果设置认证方式为scheme,但是没有配置认证用户,会影响下次登录设备。
(5) 配置本地用户及相关属性,相关配置的详细介绍请参见“4.16.1 配置设备管理类本地用户属性”。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 开启设备的Telnet服务。
telnet server enable
缺省情况下,Telnet服务处于关闭状态。
(4) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(5) 设置登录用户的认证方式为不认证。
authentication-mode none
缺省情况下,Telnet用户的认证方式为password。
当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 开启设备的Telnet服务。
telnet server enable
缺省情况下,Telnet服务处于关闭状态。
(4) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(5) 设置登录用户的认证方式为密码认证。
authentication-mode password
缺省情况下,Telnet用户的认证方式为password。
如果设置认证方式为password,但是没有配置认证密码,下次无法通过该用户线登录设备。
(6) 设置密码认证的密码。
set authentication password { hash | simple } password
缺省情况下,未设置密码认证的密码。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 开启设备的Telnet服务。
telnet server enable
缺省情况下,Telnet服务处于关闭状态。
(4) 进入VTY用户线或VTY用户线类视图。
¡ 进入VTY用户线视图。
line vty first-number [ last-number ]
¡ 进入VTY用户线类视图。
line class vty
(5) 设置登录用户的认证方式为通过AAA认证。
authentication-mode scheme
缺省情况下,Telent用户的认证方式为password。
如果设置认证方式为scheme,但是没有配置认证用户,会影响下次登录设备。
(6) 配置本地用户及相关属性,相关配置的详细介绍请参见“4.16.1 配置设备管理类本地用户属性”。
在某些特殊情况下(例如修改接口的工作参数),接口相关配置不能立即生效,需要关闭再打开接口后,才能生效。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入以太网接口视图。
interface interface-type interface-number
(4) 打开以太网接口。
undo shutdown
缺省情况下,以太网接口处于开启状态。
以太网链路聚合通过将多条以太网物理链路捆绑在一起形成一条以太网逻辑链路,实现增加链路带宽的目的,同时这些捆绑在一起的链路通过相互动态备份,可以有效地提高链路的可靠性。
链路聚合分为静态聚合和动态聚合两种模式,它们各自的优点如下所示:
· 静态聚合模式:一旦配置好后,端口的选中/非选中状态就不会受网络环境的影响,比较稳定。
· 动态聚合模式:通过LACP协议实现,能够根据对端和本端的信息调整端口的选中/非选中状态,比较灵活。
处于静态聚合模式下的聚合组称为静态聚合组,处于动态聚合模式下的聚合组称为动态聚合组。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 创建二层聚合接口,并进入二层聚合接口视图。
interface bridge-aggregation interface-number
创建二层聚合接口后,系统将自动生成同编号的二层聚合组,且该聚合组缺省工作在静态聚合模式下。
(4) 退回系统视图。
quit
a. 进入二层以太网接口视图。
interface interface-type interface-number
b. 将二层以太网接口加入聚合组。
port link-aggregation group group-id
多次执行此步骤可将多个二层以太网接口加入聚合组。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 创建二层聚合接口,并进入二层聚合接口视图。
interface bridge-aggregation interface-number
创建二层聚合接口后,系统将自动生成同编号的二层聚合组,且该聚合组缺省工作在静态聚合模式下。
(4) 配置聚合组工作在动态聚合模式下。
link-aggregation mode dynamic
缺省情况下,聚合组工作在静态聚合模式下。
(5) 退回系统视图。
quit
(6) 将二层以太网接口加入聚合组。
a. 进入二层以太网接口视图。
interface interface-type interface-number
b. 将二层以太网接口加入聚合组。
port link-aggregation group group-id
多次执行此步骤可将多个二层以太网接口加入聚合组。
对聚合接口的开启/关闭操作,将会影响聚合接口对应的聚合组内成员端口的选中/非选中状态和链路状态:
· 关闭聚合接口时,将使对应聚合组内所有处于选中状态的成员端口都变为非选中端口,且所有成员端口的链路状态都将变为down。
· 开启聚合接口时,系统将重新计算对应聚合组内成员端口的选中/非选中状态。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(4) 关闭当前接口。
shutdown
执行本命令会导致使用该接口建立的链路中断,不能通信,请谨慎使用。
设备只支持一个隔离组,由系统自动创建隔离组1,用户不可删除该隔离组或创建其他的隔离组。隔离组内可以加入的端口数量没有限制。
二层以太网接口视图下的配置只对当前端口生效。
二层聚合接口视图下的配置对当前接口及其成员端口生效,若某成员端口配置失败,系统会跳过该端口继续配置其他成员端口,若二层聚合接口配置失败,则不会再配置成员端口。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(4) 将端口加入到隔离组中。
port-isolate enable
缺省情况下,当前端口未加入隔离组。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 创建VLAN。请至少选择其中一项进行配置。
¡ 创建一个VLAN,并进入VLAN视图。
vlan vlan-id
¡ 批量创建VLAN,然后进入VLAN视图。
vlan vlan-id1 to vlan-id2
vlan vlan-id
缺省情况下,系统只有一个缺省VLAN(VLAN 1)。
配置基于Access端口的VLAN有两种方法:一种是在VLAN视图下进行配置,另一种是在接口视图下进行配置。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(4) 配置端口的链路类型为Access类型。
port link-type access
缺省情况下,端口的链路类型为Access。
(5) 将Access端口加入到指定VLAN。
port access vlan vlan-id
缺省情况下,所有Access端口都属于VLAN 1。
在将Access端口加入到指定VLAN之前,该VLAN必须已经存在。
Trunk端口可以加入多个VLAN。基于Trunk端口的VLAN只能在接口视图下配置。
Trunk端口不能直接切换为Hybrid端口,只能先将Trunk端口配置为Access端口,再配置为Hybrid端口。
配置端口PVID后,必须使用port trunk permit vlan命令配置允许PVID的报文通过,接口才能转发PVID的报文。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(4) 配置端口的链路类型为Trunk类型。
port link-type trunk
缺省情况下,端口的链路类型为Access类型。
(5) 允许指定的VLAN通过当前Trunk端口。
port trunk permit vlan { vlan-id-list | all }
缺省情况下,Trunk端口只允许VLAN 1的报文通过。
(6) (可选)配置Trunk端口的PVID。
port trunk pvid vlan vlan-id
缺省情况下,Trunk端口的PVID为VLAN 1。
Hybrid端口可以加入多个VLAN。基于Hybrid端口的VLAN只能在接口视图下配置。将Hybrid端口加入VLAN时,指定VLAN必须已经存在。
Hybrid端口不能直接切换为Trunk端口,只能先将Hybrid端口配置为Access端口,再配置为Trunk端口。
配置端口PVID后,必须使用port hybrid vlan命令配置允许PVID的报文通过,出接口才能转发PVID的报文。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(4) 配置端口的链路类型为Hybrid类型。
port link-type hybrid
缺省情况下,端口的链路类型为Access类型。
(5) 允许指定的VLAN通过当前Hybrid端口。
port hybrid vlan vlan-id-list { tagged | untagged }
缺省情况下,Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过。
(6) (可选)配置Hybrid端口的PVID。
port hybrid pvid vlan vlan-id
缺省情况下,Hybrid端口的PVID为该端口在链路类型为Access时的所属VLAN。
在创建VLAN接口之前,对应的VLAN必须已经存在,否则将不能创建指定的VLAN接口。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 创建VLAN接口,并进入VLAN接口视图。
interface vlan-interface interface-number
(4) 配置VLAN接口的IP地址。
ip address ip-address { mask | mask-length } [ sub ]
缺省情况下,未配置VLAN接口的IP地址。本命令的详细介绍请参见“4.11 IP地址”。
(5) (可选)配置VLAN接口的MAC地址。
mac-address mac-address
本命令的缺省情况与设备型号有关,请以设备的实际情况为准。
当前,仅创建配置模板时指定型号(model model-name)为CPE设备后,支持配置本功能。
配置模板视图下,支持的DHCP服务器配置任务如下:
(1) 创建DHCP地址池
(2) 配置为DHCP客户端分配地址
(3) 配置为DHCP客户端分配其他参数
(4) (可选)配置DHCP服务器辅助网关信息
(5) (可选)配置DHCP服务器辅助路由信息
(6) 开启DHCP服务
(7) 配置接口工作在DHCP服务器模式
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 创建DHCP地址池,并进入DHCP地址池视图。
dhcp server ip-pool pool-name
在某些组网应用中,需要将一个网段下的不同客户端,按照一定的规则划分到不同的地址范围中。此时,可以按照客户端划分规则创建对应的DHCP用户类,并在地址池内为不同的用户类配置不同的地址范围,从而实现为特定的客户端分配特定范围的地址。在这种情况下,还可以配置一个公共地址范围,为不匹配任何用户类的客户端分配给该范围的地址。如果不配置公共地址范围,则不匹配任何用户类的客户端将无法获取到IP地址。
如果不需要对客户端进行分类,而仅需要限制网段内可分配的动态地址范围,则可以只配置公共地址范围,而不配置用户类的地址范围。
配置为客户端分配的IP地址时,需要注意:
· 在同一个DHCP地址池中,如果多次执行network或address range命令,新的配置会覆盖已有配置;多次执行forbidden-ip-range命令,可以配置多个不参与自动分配的IP地址或IP地址段。
· 在DHCP地址池视图下通过forbidden-ip-range命令配置不参与自动分配的IP地址或IP地址段后,只有当前的地址池不能分配这些IP地址或IP地址段,其他地址池仍然可以分配这些IP地址或IP地址段。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入DHCP地址池视图。
dhcp server ip-pool pool-name
(4) 配置DHCP地址池动态分配的主网段。
network network-address [ mask-length | mask mask ]
缺省情况下,未配置主网段。
(5) (可选)配置地址池动态分配的IP地址范围,即公共地址范围。
address range start-ip-address end-ip-address
缺省情况下,未配置动态分配的IP地址范围。
(6) (可选)配置动态分配的IP地址的租约有效期限。
expired { day day [ hour hour [ minute minute [ second second ] ] ] | unlimited }
缺省情况下,IP地址租约有效期限为1天。
(7) (可选)配置DHCP地址池中不参与自动分配的IP地址段。
forbidden-ip-range start-ip-address [ end-ip-address ]
缺省情况下,未配置DHCP地址池中不参与自动分配的IP地址段。
DHCP客户端访问本网段以外的服务器或主机时,数据必须通过网关进行转发。DHCP服务器可以为客户端指定网关的地址。
在DHCP服务器上,可以为每个地址池分别指定客户端对应的网关地址。目前,每个DHCP地址池视图下最多可以配置64个网关地址。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入DHCP地址池视图。
dhcp server ip-pool pool-name
(4) 配置为DHCP客户端分配的网关地址。
gateway-list ip-address&<1-64>
缺省情况下,未配置为DHCP客户端分配的网关地址。
为了使DHCP客户端能够通过域名访问Internet上的主机,DHCP服务器应在为客户端指定DNS(Domain Name System,域名系统)服务器地址。目前,每个DHCP地址池视图下最多可以配置8个DNS服务器地址。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入DHCP地址池视图。
dhcp server ip-pool pool-name
(4) 配置为DHCP客户端分配的DNS服务器地址。
dns-list ip-address&<1-8>
缺省情况下,未配置为DHCP客户端分配的DNS服务器地址。
在某些接入组网类型中,如图4-1所示,接入设备上除了配置接入特性还需要配置DHCP服务器功能。由于接入设备需要接入多种业务的客户端(如IPTV、IP电话和宽带业务等),而不同业务的设备需要获取不同网段的IP地址,所以接入设备的下行口一般不能配置IP地址。此时可以通过在接入设备的DHCP地址池中配置辅助网关功能使不同类型的业务流量能够正常转发。本特性使用辅助网关的IP地址和MAC地址信息应答客户端的ARP请求,即可实现对不同类型的业务流量的引导。
图4-1 DHCP服务器辅助网关组网图
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入DHCP地址池视图。
dhcp server ip-pool pool-name
(4) 配置DHCP服务器辅助网关信息。
gateway-list ip-address&<1-64> export-route
缺省情况下,未配置DHCP服务器辅助网关信息。
在某些特定的业务模型下,设备需要实时监测网络流量,并将统计数据发送到RADIUS服务器。该统计数据为用户上线以来产生的所有上下行流量数据,而不能是设备在某个时间段内发生的上下行流量数据。由于RADIUS服务器刷新计数的方法是覆盖以前数据而不是进行累加,所以当一台设备的上下行流量分别从Device A和Device B设备上通过时,在RADIUS服务器上记录的数据就会相互覆盖,这时RADIUS服务器得到的统计数据是不准确的。为了提高准确性,需保证一台设备的上下行流量经过同一台设备。通过配置辅助路由信息,并对外发布此网段路由,引导指定网段的下行数据流量来保证上下行流量从一台设备经过。
图4-2 DHCP服务器辅助路由组网图
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入DHCP地址池视图。
dhcp server ip-pool pool-name
(4) 配置DHCP服务器辅助路由信息。
network network-address [ mask-length | mask mask ] export-route
缺省情况下,未配置DHCP服务器辅助路由信息。
只有开启DHCP服务后,其它相关的DHCP服务器配置才能生效。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 开启DHCP服务。
dhcp enable
缺省情况下,DHCP服务处于关闭状态。
配置接口工作在DHCP服务器模式后,当接口收到DHCP客户端发来的DHCP报文时,将从DHCP服务器的地址池中分配地址等参数。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
interface interface-type interface-number
(4) 配置接口工作在DHCP服务器模式。
dhcp select server
缺省情况下,接口工作在DHCP服务器模式。
为了方便用户配置和集中管理,可以指定设备的接口作为DHCP客户端,使用DHCP协议从DHCP服务器动态获得IP地址等参数。
配置接口通过DHCP协议获取IP地址,需要注意:
· 接口作为DHCP客户端多次申请IP地址失败后,将停止申请,并为接口配置缺省IP地址。
· 接口可以采用多种方式获得IP地址,新的配置方式会覆盖原有的配置方式。
· 当接口被配置为通过DHCP动态获取IP地址后,不能再给该接口配置从IP地址。
· 如果DHCP服务器为接口分配的IP地址与设备上其他接口的IP地址在同一网段,则该接口不会使用该IP地址,且会再向DHCP服务器重新申请IP地址。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
interface interface-type interface-number
(4) 配置接口通过DHCP协议获取IP地址。
ip address dhcp-alloc
缺省情况下,接口不通过DHCP协议获取IP地址。
配置模板视图下,支持的DHCP中继配置任务如下:
(1) 开启DHCP服务
(2) 配置接口工作在DHCP中继模式
只有开启DHCP服务后,其它相关的DHCP中继配置才能生效。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 开启DHCP服务。
dhcp enable
缺省情况下,DHCP服务处于关闭状态。本命令的详细介绍请参见“dhcp enable”。
配置接口工作在中继模式后,当接口收到DHCP客户端发来的DHCP报文时,会将报文转发给DHCP服务器,由服务器分配地址。
DHCP客户端通过DHCP中继获取IP地址时,DHCP服务器上需要配置与DHCP中继连接DHCP客户端的接口IP地址所在网段(网络号和掩码)匹配的地址池,否则会导致DHCP客户端无法获得正确的IP地址。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
interface interface-type interface-number
(4) 配置接口工作在DHCP中继模式。
dhcp select relay
缺省情况下,开启DHCP服务后,接口工作在DHCP服务器模式。本命令的详细介绍请参见“dhcp select”。
为了提高可靠性,可以在一个网络中设置多个DHCP服务器。DHCP中继上配置多个DHCP服务器后,DHCP中继会将客户端发来的DHCP报文转发给所有的服务器。
指定的DHCP服务器的IP地址不能与DHCP中继的接口IP地址在同一网段。否则,可能导致客户端无法获得IP地址。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
interface interface-type interface-number
(4) 指定DHCP中继对应的DHCP服务器地址。
dhcp relay server-address ip-address
缺省情况下,未指定DHCP服务器的地址。
通过多次执行dhcp relay server-address命令可以指定多个DHCP服务器,一个接口下最多可以指定8个DHCP服务器。
DHCP Snooping是DHCP的一种安全特性。
DHCP Snooping设备只有位于DHCP客户端与DHCP服务器之间,或DHCP客户端与DHCP中继之间时,DHCP Snooping功能配置后才能正常工作;设备位于DHCP服务器与DHCP中继之间时,DHCP Snooping功能配置后不能正常工作。
如图4-3所示,在DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口,以便DHCP Snooping设备正常转发DHCP服务器的应答报文,保证DHCP客户端能够从合法的DHCP服务器获取IP地址。
在一台DHCP Snooping设备上,开启了DHCP Snooping功能,则设备上所有VLAN内的DHCP Snooping功能也同时开启。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 开启DHCP Snooping功能。
dhcp snooping enable
缺省情况下,DHCP Snooping功能处于关闭状态。
(4) 进入接口视图。
interface interface-type interface-number
此接口为连接DHCP服务器的接口。
(5) 配置端口为信任端口。
dhcp snooping trust
缺省情况下,在开启DHCP Snooping功能后,设备的所有端口均为不信任端口。
出方向动态地址转换通常应用在外网侧接口上,用于实现一个内部私有网络地址到一个外部公有网络地址的转换。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入配置模板—NAT地址组视图。
nat address-group group-id [ name group-name ]
(4) 添加地址组成员。
address start-address end-address
可通过多次执行本命令添加多个地址组成员。
当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠。
(5) 退回配置模板—NAT地址组视图。
quit
(6) 进入配置模板—接口视图。
interface interface-type interface-number
(7) 配置出方向动态地址转换。请至少选择其中一项进行配置。
¡ NO-PAT方式。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group { group-id | name group-name } no-pat [ reversible ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] [ counting ]
¡ PAT方式。
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group { group-id | name group-name } ] [ port-preserved ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] [ counting ]
一个接口下可配置多个出方向的动态地址转换。
|
参数 |
功能 |
|
address-group |
不指定该参数时,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能 |
|
no-pat reversible |
在指定该参数,并且已经存在NO-PAT表项的情况下,对于经过该接口收到的外网访问内网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的内网地址 |
入方向动态地址转换功能通常与接口上的出方向动态地址转换(nat outbound)配合,用于实现双向NAT应用,不建议单独使用。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 创建NAT地址组,并进入配置模板—NAT地址组视图。
nat address-group group-id [ name group-name ]
(4) 添加地址组成员。
address start-address end-address
可通过多次执行本命令添加多个地址组成员。
当前地址组成员的IP地址段不能与该地址组中或者其它地址组中已有的地址成员组成员重叠。
(5) 退回配置模板—NAT地址组视图。
quit
(6) 进入配置模板—接口视图。
interface interface-type interface-number
(7) 配置入方向动态地址转换。
nat inbound { ipv4-acl-number | name ipv4-acl-name } address-group { group-id | name group-name } [ no-pat [ reversible ] [ add-route ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ description text ] [ counting ]
一个接口下可配置多个入方向的动态地址转换。
|
参数 |
功能 |
|
no-pat reversible |
指定该参数,并且已经存在NO-PAT表项的情况下,对于经过该接口发送的内网访问外网的首报文,将其目的IP地址与NO-PAT表项进行匹配,并将目的IP地址转换为匹配的NO-PAT表项中记录的外网地址 |
|
add-route |
· 指定该参数,则有报文命中该配置时,设备会自动添加路由表项:目的地址为本次地址转换使用的地址组中的地址,出接口为本配置所在接口,下一跳地址为报文的源地址 · 没有指定该参数,则用户需要在设备上手工添加路由 |
设备的每个接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址。
一般情况下,一个接口只需配置一个主IP地址,但在有些特殊情况下需要配置从IP地址。比如,一台设备通过一个接口连接了一个局域网,但该局域网中的计算机分别属于2个不同的子网,为了使设备与局域网中的所有计算机通信,就需要在该接口上配置一个主IP地址和一个从IP地址。
· 一个接口只能有一个主IP地址,在同一个接口上多次执行本命令,最后一次执行的命令生效。
· 当接口被配置为通过BOOTP、DHCP方式获取IP地址或借用其它接口的IP地址后,则不能再给该接口配置从IP地址。
· 同一接口的主、从IP地址可以在同一网段,但不同接口之间、主接口及其子接口之间、同一主接口下不同子接口之间的IP地址不可以在同一网段。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
interface interface-type interface-number
(4) 配置接口的IP地址。
ip address ip-address { mask-length | mask } [ sub ]
缺省情况下,未配置接口IP地址。
TCP最大报文段长度(Maximum Segment Size,MSS)表示TCP连接的对端发往本端的最大TCP报文段的长度,目前作为TCP连接建立时的一个选项来协商:当一个TCP连接建立时,连接的双方要将MSS作为TCP报文的一个选项通告给对端,对端会记录下这个MSS值,后续在发送TCP报文时,会限制TCP报文的大小不超过该MSS值。当对端发送的TCP报文的长度小于本端的TCP最大报文段长度时,TCP报文不需要分段;否则,对端需要对TCP报文按照最大报文段长度进行分段处理后再发给本端。
· 当前,仅创建配置模板时指定型号(model model-name)为CPE设备后,支持配置本功能。
· 用户可以通过下面的命令配置接口的TCP最大报文段长度,配置后该接口接收和发送的TCP报文的大小都不能超过该值。
· 该配置仅对新建的TCP连接生效,对于配置前已建立的TCP连接不生效。
· 该配置仅对IP报文生效,当接口上配置了MPLS功能后,不建议再配置本功能。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
interface interface-type interface-number
(4) 配置接口的TCP最大报文段长度。
tcp mss value
缺省情况下,未配置接口的TCP最大报文段长度。
静态路由是一种特殊的路由,由管理员手工配置。当网络结构比较简单时,只需配置静态路由就可以使网络正常工作。静态路由不能自动适应网络拓扑结构的变化。当网络发生故障或者拓扑发生变化后,必须由网络管理员手工修改配置。
网络管理员在AC设备上创建配置模板,并在配置模板视图下配置待下发的静态路由,然后将AP与此配置模板关联。当AP通过此AC上线时,就能实现由AC向与配置模板关联的所有AP批量下发静态路由配置的目的。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 在配置模板下配置静态路由。
ip route-static dest-address { mask-length | mask } next-hop-address
缺省情况下,未在配置模板下配置静态路由。
AC支持纳管CPE5100系列,由AC对所有注册的CPE设备进行管理。网络管理员可通过配置模板批量向CPE设备下发移动通信Modem配置。
CPE5100系列是内置5G Modem模块的无线数据终端,系统提供一个固定的Cellular接口与5G Modem模块对应。Cellular接口可以派生出以太网通道(Eth-channel)接口,从而实现CPE5100与其他设备或网络的通信。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入Cellular接口视图。
controller cellular cellular-number
(4) (可选)配置Cellular接口的描述信息。
description text
缺省情况下,Cellular接口的描述信息为“该接口的接口名 Interface”,比如:Cellular2/4/0 Interface。
(5) 将Cellular接口通道化出以太网通道接口。
eth-channel channel-number
Cellular接口在配置该命令后通道化出一个以太网通道接口,接口名是eth-channel cellular-number:channel-numbe,在该接口上还可配置DDR参数、IP地址等。
(6) 打开Cellular接口。
undo shutdown
缺省情况下,Cellular接口处于打开状态。
以太网通道接口有了IP地址后才可以与其它主机进行IP通信。以太网通道接口获取IP地址的方式有以下几种:
· 通过Modem私有协议获取IP地址:部分Modem支持以厂商自己的私有协议从Modem处获取IP地址,Modem的IP地址由运营商自动分配。
· 手动指定IP地址:部分情况下,如果不能从Modem处获得IP地址,则必须手动配置接口IP地址。
上述几种方式是互斥的,通过新的配置方式获取的IP地址会覆盖通过原有方式获取的IP地址。
改变以太网通道接口的IP地址配置会导致拨号断开,部分运营商不支持断开后马上进行拨号。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入以太网通道接口视图。
interface eth-channel interface-number
(4) 配置以太网通道接口的IP地址。请选择其中一项进行配置。
¡ 配置接口通过Modem私有协议获取IP地址。
(IPv4网络)
ip address cellular-alloc
(IPv6网络)
ipv6 address cellular-alloc
缺省情况下,接口不通过Modem私有协议获取IP地址。
¡ 手动指定接口IP地址。
ip address ip-address { mask-length | mask } [ sub ]
缺省情况下,没有为接口配置IP地址。
本命令的详细介绍请参见“ip address”
配置基于VLAN的用户隔离功能,可以对同一VLAN进行通信的用户进行报文隔离,从而达到提高用户安全性、缓解设备转发压力和减少射频资源消耗的目的。在本地转发应用场景下,可以通过配置模板向AP下发配置的方式,实现基于VLAN的用户隔离功能。
下面分别介绍了本地转发场景下,配置基于VLAN用户隔离功能后,AP接受无线、有线用户报文后的转发路径。
如图4-4所示,在AP 1上为VLAN 100配置用户隔离功能。
当Client 1在VLAN 100内发送广播/组播报文:
· AP 1接收到该报文后仅将报文通过有线接口转发给同一VLAN内的有线网络用户Server、AP 2和Host。由于AP 1开启用户隔离功能,AP 1不再将报文转发给无线用户Client 2。
· 由于AP 2未开启用户隔离功能,AP 2接收到报文后转发给无线用户Client 3。
当Client 1在VLAN 100内向Client 3发送单播报文,AP 1收到单播报文后将其丢弃,不将报文转发给AP 2。
如图4-5所示,在AP 1上为VLAN 100配置用户隔离功能。
当Host在VLAN 100内发送广播/组播报文:
· 报文由Switch转发到有线网络Server、AC、AP 1和AP 2。由于AP1开启用户隔离功能,AP 1接收到报文后直接丢弃,不再将广播报文转发给无线用户Client 1和Client 2。
· 由于AP2未开启用户隔离功能,AP 2接收到报文后转发给无线用户Client 3。
当Host在VLAN 100内向Client 1发送单播报文,AP 1收到单播报文后将其丢弃,不将报文转发给Client 1。
开启指定VLAN的用户隔离功能前,请务必将指定VLAN用户的网关MAC地址加入到允许转发列表中。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 配置指定VLAN的MAC地址允许转发列表。
user-isolation vlan vlan-list permit-mac mac-list
缺省情况下,未配置指定VLAN的MAC地址允许转发列表。
设备可以正常转发该VLAN内所有用户发送的单播/组播/广播报文或接收其他用户向该用户发送的单播报文。
(4) 开启指定VLAN的用户隔离功能。
user-isolation vlan vlan-list enable [ permit-unicast ]
缺省情况下,基于VLAN的用户隔离功能处于关闭状态。
(5) (可选)配置允许转发有线用户发送给无线用户的广播和组播报文。
user-isolation permit-broadcast
缺省情况下,隔离有线用户发往无线用户的广播和组播报文。
(6) (可选)允许指定VLAN内的无线用户接收广播和组播报文。
user-isolation vlan vlan-list permit-bmc acl [ ipv6 ] acl-number
缺省情况下,同一VLAN内的无线用户不能接收广播和组播报文。
本地用户是指在本地设备上设置的一组用户属性的集合。该集合以用户名和用户类别为用户的唯一标识。为使某个请求网络服务的用户可以通过本地认证,需要在设备上的本地用户数据库中添加相应的表项。具体步骤是,创建一个本地用户并进入本地用户视图,然后在本地用户视图下配置相应的用户属性。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 添加设备管理类本地用户,并进入设备管理类本地用户视图。
local-user user-name [ class manage ]
(4) 设置本地用户的密码。
password [ { hash | simple } string ]
可以不为本地用户设置密码。为提高用户账户的安全性,建议设置本地用户密码。
(5) 设置本地用户可以使用的服务类型。
service-type { ftp | { http | https | ssh | telnet | terminal } * }
缺省情况下,本地用户不能使用任何服务类型。
(6) (可选)设置本地用户的授权属性。
authorization-attribute { idle-cut minutes | user-role role-name | work-directory directory-name } *
缺省情况下:
¡ 授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。
¡ 由用户角色为network-admin或者level-15的用户创建的本地用户被授权用户角色network-operator。
基本ACL根据报文的源IP地址来制定规则,对报文进行匹配。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 创建IPv4基本ACL,并进入ACL视图。
¡ 通过关键字创建IPv4基本ACL。
acl basic { acl-number | name acl-name }
¡ 通过编号创建IPv4基本ACL。
acl number acl-number [ name acl-name ]
(4) (可选)配置规则编号的步长。
step step-value
缺省情况下,规则编号的步长为5,起始值为0。
(5) 创建IPv4基本ACL的规则。
rule [ rule-id ] { deny | permit } [ fragment | source { source-address source-wildcard | any } | time-range time-range-name ] *
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
高级ACL可根据报文的源地址、目的地址、报文优先级、QoS本地值、承载的协议类型及特性(如TCP/UDP的源端口和目的端口、TCP报文标识、ICMP协议的消息类型和消息码等),对报文进行匹配。用户可利用高级ACL制定比基本ACL更准确、丰富、灵活的规则。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 创建IPv4高级ACL,并进入ACL视图。
¡ 通过关键字创建IPv4高级ACL。
acl advance { acl-number | name acl-name }
¡ 通过编号创建IPv4高级ACL。
acl number acl-number [ name acl-name ]
(4) (可选)配置规则编号的步长。
step step-value
缺省情况下,规则编号的步长为5,起始值为0。
(5) 创建IPv4高级ACL的规则。
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | { dscp dscp1 | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | source { source-address source-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name ] *
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
二层ACL可根据报文的源MAC地址、目的MAC地址、802.1p优先级、链路层协议类型、报文的封装类型等二层信息来制定规则,对报文进行匹配。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 创建二层ACL,并进入ACL视图。
¡ 通过关键字创建二层ACL。
acl mac { acl-number | name acl-name }
¡ 通过编号创建二层ACL。
acl number acl-number [ name acl-name ]
(4) (可选)配置规则编号的步长。
step step-value
缺省情况下,规则编号的步长为5,起始值为0。
(5) 创建二层ACL的规则。
rule [ rule-id ] { deny | permit } [ cos dot1p | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
(6) (可选)为规则配置描述信息。
rule rule-id comment text
缺省情况下,未配置规则的描述信息。
ACL最基本的应用就是进行报文过滤。例如,将ACL规则应用到指定接口的入或出方向上,从而对该接口收到或发出的报文进行过滤。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
interface interface-type interface-number
(4) 在接口上应用ACL进行报文过滤。
packet-filter [ mac ] { acl-number | name acl-name } { inbound | outbound }
缺省情况下,未配置接口的报文过滤。
配置优先级信任模式后,设备将根据报文自身的优先级,查找优先级映射表,为报文分配优先级参数。
在配置接口上的优先级模式时,用户可以选择下列信任模式:
· dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射。
· dscp:信任IP报文自带的DSCP优先级,以此优先级进行优先级映射。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
interface interface-type interface-number
(4) 配置优先级信任模式。
qos trust { dot1p | dscp }
缺省情况下,设备未配置优先级信任模式。
设备不信任报文携带的优先级,会使用端口优先级作为报文的802.1p优先级进行优先级映射。
按照接收端口的端口优先级,设备通过一一映射为报文分配相应的优先级。
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 进入接口视图。
interface interface-type interface-number
(4) 配置端口优先级。
qos priority priority-value
缺省情况下,端口优先级为0。
一些基于应用的业务(例如QoS,带宽管理等)在进行报文处理时需要知道报文所属的应用,APR(Application Recognition,应用识别)可以为上述业务提供应用识别服务。NBAR(Network Based Application Recognition,基于内容特征的应用识别)作为一种应用识别方式,通过将报文的内容与特征库中的规则进行匹配来识别报文所属的应用。
NBAR支持两种类型的应用:
· 预定义应用:由设备上的APR特征库中的NBAR规则定义。
· 自定义应用:由管理员手工配置的NBAR规则定义。
当APR特征库中预定义应用不能满足用户需求时,可以使用本功能配置自定义NBAR规则,并配置NBAR规则的属性和特征。其中,不能对预定义的NBAR规则进行删除和修改。
自定义NBAR规则下可配置的匹配项包括如下内容:
· 匹配的特征
· 匹配的目的IP地址网段
· 匹配的端口号(匹配报文的目的端口)
· 匹配的源IP地址网段(匹配报文的源IP地址)
(1) 进入系统视图。
system-view
(2) 进入配置模板视图。
configuration profile profile-name
(3) 创建自定义NBAR规则,并进入自定义NBAR规则视图。
nbar application application-name protocol { http | tcp | udp }
(4) 配置自定义NBAR规则的特征。
signature signature-id [ field field-name ] [ offset offset-value ] { hex hex-vector | regex regex-pattern | string string }
缺省情况下,未配置自定义NBAR规则的特征。
(5) (可选)配置自定义NBAR规则匹配的目的IP地址网段。
destination ip ipv4-address [ mask-length ]
缺省情况下,NBAR规则匹配所有目的IP地址网段。
(6) (可选)配置自定义NBAR规则匹配的端口号。
service-port { port-num | range start-port end-port }
缺省情况下,NBAR规则匹配所有端口号。
(7) 配置自定义NBAR规则匹配的源IP地址网段。
source ip ipv4-address [ mask-length ]
缺省情况下,NBAR规则匹配所有源IP地址网段。
网络管理员在AC设备上创建配置模板,并在配置模板视图下配置待下发的配置,然后通过本功能将AP与此配置模板关联。当AP通过此AC上线时,就能实现由AC向与配置模板关联的所有AP批量下发配置的目的。
配置undo configuration-profile命令后,AC会将已下发到AP的配置模板中的配置恢复为出厂配置。
(1) 进入系统视图。
system-view
(2) 进入AP视图或AP组ap-model视图。
¡ 进入AP视图
wlan ap ap-name
¡ 请依次执行以下命令进入AP组ap-model视图。
wlan ap-group group-name
ap-model ap-model
(3) 指定AP引用的配置模板。
configuration-profile profile-name
缺省情况下,未指定AP引用的配置模板。
附录 A 基于配置模板的命令
configuration profile命令用来创建一个配置模板,指定AP的型号,并进入配置模板视图。如果指定的配置模板已经存在,则直接进入配置模板视图。
undo configuration profile命令用来删除指定的配置模板。
【命令】
configuration profile profile-name [ model model-name ]
undo configuration profile profile-name
【缺省情况】
不存在配置模板。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
profile-name:配置模板名称,为1~64个字符的字符串,只能包含字母和数字,区分大小写。
model model-name:AP的型号名称,在创建配置模板时,该参数必须配置。
【使用指导】
用户通过本命令创建配置模板,并进入配置模板视图后,可以在配置模板视图下发配置命令。然后将一个或多个AP与此配置模板关联。当AP通过此AC上线时,就能实现由AC向与配置模板关联的所有AP批量下发配置的目的。
在创建配置模板时必须指定AP的型号名称,配置模板会根据AP的型号创建默认配置。
配置模板视图下的命令配置规则如下:
· 如果命令之间存在依赖关系请先输入前提命令。
· 当在配置模板中同时配置了一条命令及该命令对应的undo命令,且undo命令后面的内容与这条命令完全一致,系统会自动在配置模板中删除这两条命令。另外系统会自动删除配置模板中重复的命令。
· 设备缺省在系统视图下执行配置模板中的命令行,如果某条命令需要在系统视图的子视图下执行,则要求先输入进入子视图的命令,再输入该命令。配置模板不支持下发用户视图下的命令。
· 相同视图的命令会合并到该视图下,并按添加的顺序下发。
【举例】
# 创建名为ap1的配置模板Profile。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1]
authentication-mode命令用来设置用户登录设备时的认证方式。
undo authentication-mode命令用来恢复缺省情况。
【命令】
authentication-mode { none | password | scheme }
undo authentication-mode
【缺省情况】
使用Console口登录时认证方式为none,用户可直接登录。
使用VTY用户线登录设备的认证方式为password。
【视图】
配置模板—用户线视图
配置模板—用户线类视图
【缺省用户角色】
network-admin
【参数】
none:不进行认证。
password:进行密码认证方式。
scheme:进行AAA认证方式。
【使用指导】
· 当认证方式设置为none时,用户不需要输入用户名和密码,就可以使用该用户线登录设备,存在安全隐患,请谨慎配置。
· 如果设置认证方式为password或scheme,但是没有配置认证密码或者认证用户,会影响下次登录设备。
仅具有network-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下设置用户使用VTY 0用户线登录设备时,不需要认证。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] line vty 0
[Sysname-config-profile-ap1-line-vty0] authentication-mode none
line命令用来进入一个或多个用户线视图。
【命令】
line { console | vty } first-number [ last-number ]
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
console:Console用户线。
vty:VTY用户线。
first-number:第一个用户线的编号(相对编号方式)。
last-number:最后一个用户线的编号(相对编号方式),取值必须大于first-number。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下进入VTY 0用户线视图。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] line vty 0
[Sysname-config-profile-ap1-line-vty0]
# 创建名为ap1的配置模板,并在该配置模板下进入VTY 0~31用户线视图。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] line vty 0 31
[Sysname-config-profile-ap1-line- vty0-31]
line class命令用来进入用户线类视图。
【命令】
line class { console | vty }
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
console:Console用户线类。
vty:VTY用户线类。
【使用指导】
用户线视图下的配置只对该用户线生效。
用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效。
line class命令用来进入用户线类视图,line命令用来进入一个或多个用户线视图。对于同时支持这两种视图的命令:
· 用户线视图下的配置优先于用户线类视图下的配置。
· 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下进入VTY用户线类视图。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] line class vty
[Sysname-config-profile-ap1-class-vty]
A.2.4 set authentication password
set authentication password命令用来设置认证密码。
undo set authentication password命令用来恢复缺省情况。
【命令】
set authentication password { hash | simple } string
undo set authentication password
【缺省情况】
未配置认证密码。
【视图】
配置模板—用户线视图
配置模板—用户线类视图
【缺省用户角色】
network-admin
【参数】
hash:以哈希方式设置密码。
simple:以明文方式设置密码,该密码将以密文方式存储。
string:密码字符串,区分大小写。明文密码为4~16个字符的字符串,密码元素的最少组合类型为2;哈希密码为1~110个字符的字符串。
【使用指导】
以明文或哈希方式设置的密码,均以哈希计算后的密文形式保存在配置文件中。
如果用户线视图下配置set authentication password为缺省值,并且此时用户线类视图下配置了set authentication password,则用户线类视图下的配置生效;如果用户线类视图下未配置,则生效的为缺省值。
仅具有network-admin或者level-15用户角色的用户可以执行该命令。其他角色的用户,即使授权了该命令的操作权限,也不能执行该命令。
在用户线视图/用户线类视图下,使用该命令设置的认证密码将在下次登录设备时生效。
设备增加了登录密码复杂度检查功能:
· 如果用户登录设备时使用的是缺省密码,则系统会强制要求用户将密码修改为符合系统要求的字符串。
· 如果用户登录设备时使用的是非缺省密码,且密码复杂度较低,系统会提示用户修改密码。为了保证设备的安全性,建议用户根据系统提示,将密码修改为符合要求的字符串。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下设置设置用户线VTY 0的认证密码为hello12345。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] line vty 0
[Sysname-config-profile-ap1-line-vty0] authentication-mode password
[Sysname-config-profile-ap1-line-vty0] set authentication password simple hello12345
telnet server enable命令用来开启Telnet服务。
undo telnet server enable命令用来关闭Telnet服务。
【命令】
telnet server enable
undo telnet server enable
【缺省情况】
Telnet服务处于关闭状态。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【使用指导】
只有使能Telnet服务后,才允许网络管理员通过Telnet协议登录设备。
Telnet使用明文方式传输数据,可能存在安全隐患。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下使能Telnet服务。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname] telnet server enable
interface命令用来进入接口视图或创建子接口并进入子接口视图。如果指定的子接口已经存在,则直接进入子接口视图。
【命令】
interface interface-type interface-number
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
interface-type:指定接口类型。
interface-number:指定接口编号。
【举例】
# 创建名为ap1的配置模板,并在该模板下进入以太网接口GigabitEthernet1/0/1视图。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1]
shutdown命令用来关闭以太网接口。
undo shutdown命令用来打开以太网接口。
【命令】
shutdown
undo shutdown
【缺省情况】
以太网接口处于开启状态。
【视图】
配置模板—以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
执行本命令会导致使用该接口建立的链路中断,不能通信,请谨慎使用。
在某些特殊情况下,接口相关配置不能立即生效,需要关闭再打开接口后,才能生效。
【举例】
# 创建名为ap1的配置模板,并在该模板下关闭以太网接口GigabitEthernet1/0/1后打开该接口。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] shutdown
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] undo shutdown
A.4.1 interface bridge-aggregation
interface bridge-aggregation命令用来创建二层聚合接口,并进入二层聚合接口视图。如果指定的二层聚合接口已经存在,则直接进入该二层聚合接口视图。
undo interface bridge-aggregation命令用来删除二层聚合接口。
【命令】
interface bridge-aggregation interface-number
undo interface bridge-aggregation interface-number
【缺省情况】
不存在二层聚合接口。
【视图】
配置模板视图
【缺省情况】
不存在二层聚合接口。
【参数】
interface-number:指定二层聚合接口的编号。本参数的取值范围与设备型号有关,请以设备的实际情况为准。
【使用指导】
创建二层聚合接口后,系统将自动生成同编号的二层聚合组,且该聚合组缺省工作在静态聚合模式下。
删除二层聚合接口的同时会删除其对应的二层聚合组,如果该聚合组内有成员端口,那么这些成员端口将自动从该聚合组中退出。
【举例】
# 创建名为ap1的配置模板,并在该模板下进入二层聚合接口1的视图。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface bridge-aggregation 1
[Sysname-config-profile-ap1-Bridge-Aggregation1]
link-aggregation mode dynamic命令用来配置聚合组工作在动态聚合模式下,同时开启LACP协议。
undo link-aggregation mode命令用来恢复缺省情况。
【命令】
link-aggregation mode dynamic
undo link-aggregation mode
【缺省情况】
聚合组工作在静态聚合模式下。
【视图】
配置模板—二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
当聚合组中存在成员端口时,如果修改聚合组的工作模式,则可能导致聚合组中选中端口变为非选中状态,影响流量转发,请用户根据实际情况修改聚合组的工作模式。
【举例】
# 创建名为ap1的配置模板,并配置二层聚合接口1对应的聚合组工作在动态聚合模式下。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface bridge-aggregation 1
[Sysname-config-profile-ap1-Bridge-Aggregation1] link-aggregation mode dynamic
A.4.3 port link-aggregation group
port link-aggregation group命令用来将接口加入指定的聚合组。
undo port link-aggregation group命令用来将接口从已加入的聚合组中删除。
【命令】
port link-aggregation group group-id
undo port link-aggregation group
【缺省情况】
接口未加入任何聚合组。
【视图】
配置模板—二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
group-id:指定聚合组所对应聚合接口的编号。不同型号的设备支持的取值范围不同,请以设备的实际情况为准。
【使用指导】
二层以太网接口只能加入二层聚合组。
一个接口只能加入一个聚合组。
【举例】
# 创建名为ap1的配置模板,将二层以太网接口GigabitEthernet1/0/1加入二层聚合组1中。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port link-aggregation group 1
shutdown命令用来关闭接口。
undo shutdown命令用来打开接口。
【命令】
shutdown
undo shutdown
【视图】
配置模板—二层聚合接口视图
【修改说明】
新增配置模板视图。
【举例】
# 创建名为ap1的配置模板,并在该模板下开启二层聚合接口1。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface bridge-aggregation 1
[Sysname-config-profile-ap1-Bridge-Aggregation1] undo shutdown
port-isolate enable命令用来将端口加入到隔离组中。
undo port-isolate enable命令用来将端口从隔离组中删除。
【命令】
port-isolate enable
undo port-isolate enable
【缺省情况】
当前端口未加入隔离组。
【视图】
配置模板—二层以太网接口视图
配置模板—二层聚合接口视图
【缺省用户角色】
network-admin
【使用指导】
同一端口不能同时配置为业务环回组成员端口和隔离组端口,即业务环回组成员端口不能加入隔离组,而隔离组成员端口不能再配置为业务环回组的成员端口。
在端口上执行该命令,会将当前端口加入系统缺省的隔离组1中。
二层以太网接口视图下的配置只对当前端口生效。
二层聚合接口视图下的配置对当前接口及其成员端口生效,若某成员端口配置失败,系统会跳过该端口继续配置其他成员端口,若二层聚合接口配置失败,则不会再配置成员端口。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下将端口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入隔离组。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port-isolate enable
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] quit
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/2
[Sysname-config-profile-ap1-GigabitEthernet1/0/2] port-isolate enable
A.6 VLAN命令
A.6.1 interface vlan-interface
interface vlan-interface命令用来创建VLAN接口并进入VLAN接口视图。如果该VLAN接口已经存在,则直接进入VLAN接口视图。
undo interface vlan-interface命令用来删除指定的VLAN接口。
【命令】
interface vlan-interface interface-number
undo interface vlan-interface interface-number
【缺省情况】
不存在VLAN接口。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
interface-number:VLAN接口的编号,取值范围为1~4094。
【使用指导】
在创建VLAN接口之前,对应的VLAN必须已经存在,否则将不能创建指定的VLAN接口。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下创建VLAN接口2。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface vlan-interface 2
[Sysname-config-profile-ap1-Vlan-interface2]
mac-address命令用来配置VLAN接口的MAC地址。
undo mac-address命令用来恢复缺省情况。
【命令】
mac-address mac-address
undo mac-address
当前,仅创建配置模板时指定型号(model model-name)为CPE设备后,支持配置本命令。
【缺省情况】
缺省情况与设备型号有关,所有创建的VLAN接口MAC地址相同。
【视图】
配置模版—VLAN接口视图
【缺省用户角色】
network-admin
【参数】
mac-address:MAC地址,形式为H-H-H。
【举例】
#创建名称为test的配置模板,配置VLAN接口2的MAC地址为0001-0001-0001。
<Sysname> system-view
[Sysname] configuration profile test model CPE5100
[Sysname-config-profile-test] interface vlan-interface 2
[Sysname-config-profile-test-Vlan-interface2] mac-address 1-1-1
vlan vlan-id命令用来创建VLAN,并进入VLAN视图。如果指定的VLAN已存在,则直接进入该VLAN的视图。
vlan vlan-id1 to vlan-id2命令用来批量创建vlan-id1~vlan-id2之间的所有VLAN。
undo vlan命令用来删除VLAN。
【命令】
vlan vlan-id1 [ to vlan-id2 ]
undo vlan vlan-id1 [ to vlan-id2 ]
【缺省情况】
系统只有一个缺省VLAN(VLAN 1)。
【视图】
配置模板视图。
【缺省用户角色】
network-admin
【参数】
vlan-id1:VLAN的编号,取值范围为1~4094。
vlan-id1 to vlan-id2:指定VLAN的编号范围。vlan-id1和vlan-id2为VLAN的编号,取值范围与AP型号有关,请以实际情况为准。vlan-id2的值要大于或等于vlan-id1的值。
【使用指导】
用户不能创建和删除缺省VLAN(VLAN 1)。
动态学习到的VLAN,以及被其他应用锁定不让删除的VLAN,都不能使用undo vlan命令直接删除。只有将相关配置删除之后,才能删除相应的VLAN。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下批量创建VLAN 2。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] vlan 2
[Sysname-config-profile-ap1-vlan2]
port access vlan命令用来将Access端口加入到指定的VLAN中。
undo port access vlan命令用来恢复缺省情况。
【命令】
port access vlan vlan-id
undo port access vlan
【缺省情况】
所有Access端口都属于VLAN 1。
【视图】
配置模板—二层以太网接口视图
配置模板—二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
vlan-id:指定的VLAN编号,取值范围为1~4094。
【使用指导】
缺省情况下所有的Access端口都属于VLAN 1,因此不能通过本命令将Access端口加入VLAN 1。
若需将Access端口所属的VLAN从其他VLAN变更为VLAN 1,请执行undo port access vlan命令。
在将Access端口加入到指定VLAN之前,该VLAN必须已经存在。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下将GigabitEthernet1/0/1端口加入到VLAN 3中。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] vlan 3
[Sysname-config-profile-ap1-vlan3] quit
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port access vlan 3
port hybrid pvid命令用来配置Hybrid端口的缺省VLAN。
undo port hybrid pvid命令用来配置Hybrid端口的缺省VLAN为1。
【命令】
port hybrid pvid vlan vlan-id
undo port hybrid pvid
【缺省情况】
Hybrid端口的缺省VLAN为该端口在链路类型为Access时的所属VLAN。
【视图】
配置模板—二层以太网接口视图
配置模板—二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
vlan-id:指定接口的缺省的VLAN ID,取值范围为1~4094。
【使用指导】
对Hybrid端口,执行undo vlan命令删除端口的缺省VLAN后,端口的缺省VLAN配置不会改变,即可以使用已经不存在的VLAN作为缺省VLAN。
建议本机Hybrid端口的缺省VLAN和相连的对端设备的Hybrid端口的缺省VLAN保持一致。
配置缺省VLAN后,必须使用port hybrid vlan命令配置端口允许缺省VLAN的报文通过,该端口才能转发缺省VLAN的报文。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置端口GigabitEthernet1/0/1(Hybrid类型)的缺省VLAN为100,并允许VLAN 100通过。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] vlan 100
[Sysname-config-profile-ap1-vlan100] quit
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port link-type hybrid
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port hybrid pvid vlan 100
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port hybrid vlan 100 untagged
port hybrid vlan命令用来允许指定的VLAN通过当前Hybrid端口。
undo port hybrid vlan命令用来禁止指定的VLAN通过当前Hybrid端口。
【命令】
port hybrid vlan vlan-id-list { tagged | untagged }
undo port hybrid vlan vlan-id-list
【缺省情况】
Hybrid端口只允许该端口在链路类型为Access时的所属VLAN的报文以Untagged方式通过。
【视图】
配置模板—二层以太网接口视图
配置模板—二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
vlan-id-list:VLAN列表,Hybrid端口允许通过的VLAN范围。表示方式为vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以重复输入10次。该VLAN必须是设备上已创建的VLAN,否则,该命令执行失败。
tagged:该端口在转发指定的VLAN报文时将携带VLAN Tag。
untagged:该端口在转发指定的VLAN报文时将去掉VLAN Tag。
【使用指导】
Hybrid端口允许多个VLAN通过。如果多次使用port hybrid vlan命令,那么Hybrid端口上允许通过的VLAN是这些vlan-id-list的合集。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置端口GigabitEthernet1/0/1为Hybrid端口,允许VLAN 2、4、50~VLAN 100通过,并且发送这些VLAN的报文时携带VLAN Tag。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port link-type hybrid
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port hybrid vlan 2 4 50 to 100 tagged
port link-type命令用来配置端口的链路类型。
undo port link-type命令用来恢复缺省情况。
【命令】
port link-type { access | hybrid | trunk }
undo port link-type
【缺省情况】
所有端口的链路类型均为Access类型。
【视图】
配置模板—二层以太网接口视图
配置模板—二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
access:配置端口的链路类型为Access类型。
hybrid:配置端口的链路类型为Hybrid类型。
trunk:配置端口的链路类型为Trunk类型。
【使用指导】
Trunk端口和Hybrid端口之间不能直接切换,只能先设为Access端口,再配置为其他类型端口。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置端口GigabitEthernet1/0/1配置为Trunk端口。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port link-type trunk
port trunk permit vlan命令用来允许指定的VLAN通过当前Trunk端口。
undo port trunk permit vlan命令用来禁止指定的VLAN通过当前Trunk端口。
【命令】
port trunk permit vlan { vlan-id-list | all }
undo port trunk permit vlan { vlan-id-list | all }
【缺省情况】
Trunk端口只允许VLAN 1的报文通过。
【视图】
配置模板—二层以太网接口视图
配置模板—二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
vlan-id-list:VLAN列表,Trunk端口允许通过的VLAN范围。表示方式为vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以重复输入10次。
all:表示允许所有VLAN通过该Trunk端口。建议用户谨慎使用port trunk permit vlan all命令,以防止未授权VLAN的用户通过该端口访问受限资源。
【使用指导】
Trunk端口可以允许多个VLAN通过。如果多次执行port trunk permit vlan命令,那么Trunk端口上允许通过的VLAN是这些vlan-id-list的集合。
Trunk端口发送出去的报文,只有缺省VLAN的报文不带VLAN Tag,其他VLAN的报文均会保留VLAN Tag。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置端口GigabitEthernet1/0/1为Trunk端口,允许VLAN 2、4、50~100通过。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port link-type trunk
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port trunk permit vlan 2 4 50 to 100
port trunk pvid命令用来配置Trunk端口的缺省VLAN。
undo port trunk pvid命令用来恢复缺省情况。
【命令】
port trunk pvid vlan vlan-id
undo port trunk pvid
【缺省情况】
Trunk端口的缺省VLAN为VLAN 1。
【视图】
配置模板—二层以太网接口视图
配置模板—二层聚合接口视图
【缺省用户角色】
network-admin
【参数】
vlan-id:指定接口的缺省VLAN ID,取值范围为1~4094。
【使用指导】
对Trunk端口,执行undo vlan命令删除端口的缺省VLAN后,端口的缺省VLAN配置不会改变,即使用已经不存在的VLAN作为缺省VLAN。
本端设备Trunk端口的缺省VLAN ID和相连的对端设备的Trunk端口的缺省VLAN ID必须一致,否则报文将不能正确传输。
配置缺省VLAN后,必须使用port trunk permit vlan命令配置端口允许缺省VLAN的报文通过,该端口才能转发缺省VLAN的报文。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置端口GigabitEthernet1/0/1(Trunk类型)的缺省VLAN为VLAN 100,并允许VLAN 100通过。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port link-type trunk
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port trunk pvid vlan 100
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] port trunk permit vlan 100
A.7 DHCP服务器命令
address range命令用来配置地址池动态分配的IP地址范围。
undo address range命令用来恢复缺省情况。
【命令】
address range start-ip-address end-ip-address
undo address range
【缺省情况】
未配置动态分配的IP地址范围。
【视图】
配置模板—DHCP地址池视图
【缺省用户角色】
network-admin
【参数】
start-ip-address:动态分配范围的起始IP地址。
end-ip-address:动态分配范围的结束IP地址。
【使用指导】
如果未通过本命令配置地址池动态分配的IP地址范围,则地址池下network命令指定的网段地址都可以分配给DHCP客户端;如果通过本命令配置了地址池动态分配的IP地址范围,则只能从本命令指定的IP地址范围内选择地址分配给客户端。
address range命令指定的地址范围应该在network命令指定的网段范围内,网段范围外的地址将无法被分配。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置地址池1动态分配的地址范围为192.168.8.1到192.168.8.150。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] dhcp server ip-pool 1
[Sysname-config-profile-ap1-dhcp-pool-1] network 192.168.8.1 mask 255.255.255.0
[Sysname-config-profile-ap1-dhcp-pool-1] address range 192.168.8.1 192.168.8.150
dhcp enable命令用来开启DHCP服务。
undo dhcp enable命令用来关闭DHCP服务。
【命令】
dhcp enable
undo dhcp enable
【缺省情况】
DHCP服务处于关闭状态。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【使用指导】
只有开启DHCP服务后,其它相关的DHCP配置才能生效。
配置DHCP服务器和DHCP中继时,都需要先开启DHCP服务。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下开启DHCP服务。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] dhcp enable
dhcp select命令用来配置接口工作在DHCP服务器或DHCP中继模式。
undo dhcp select命令用来取消接口工作在DHCP服务器或DHCP中继模式,即接口将丢弃DHCP客户端发来的DHCP报文。
【命令】
dhcp select { relay | server }
undo dhcp select { relay | server }
【缺省情况】
接口工作在DHCP服务器模式,即当接口收到DHCP客户端发来的DHCP报文时,将从DHCP服务器的地址池中分配地址等参数。
【视图】
配置模板—接口视图
【缺省用户角色】
network-admin
【参数】
relay:配置接口工作在DHCP中继模式。
server:配置接口工作在DHCP服务器模式。
【使用指导】
接口从DHCP服务器模式切换到DHCP中继模式后,设备不会删除IP地址绑定信息,也不会删除相应的授权ARP表项。这些表项可能会与DHCP中继新生成的ARP表项冲突。因此,建议接口从DHCP服务器模式切换到DHCP中继模式之前,清除已有的IP地址绑定信息。
当接口工作在DHCP代理模式时,如果收到DHCP客户端发来的DHCP报文,将报文转发给DHCP服务器,由DHCP服务器为DHCP客户端分配地址等参数;如果转发DHCP服务器发来的应答报文,把报文中的DHCP服务器地址修改为中继接口地址。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置VLAN接口2工作在DHCP服务器模式。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface vlan-interface 2
[Sysname-config-profile-ap1-Vlan-interface2] dhcp select server
dhcp server ip-pool命令用来创建DHCP地址池并进入DHCP地址池视图。如果已经创建了DHCP地址池,则直接进入该地址池视图。
undo dhcp server ip-pool命令用来删除指定的地址池。
【命令】
dhcp server ip-pool pool-name
undo dhcp server ip-pool pool-name
【缺省情况】
不存在DHCP地址池。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
pool-name:DHCP地址池名称,是地址池的唯一标识,为1~63个字符的字符串,不区分大小写。
【使用指导】
在DHCP地址池下,可以配置为DHCP客户端分配的IP地址、网关地址等参数。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下创建名称为pool2的DHCP地址池。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] dhcp server ip-pool pool2
[Sysname-config-profile-ap1-dhcp-pool-pool2]
dns-list命令用来配置DHCP地址池为DHCP客户端分配的DNS服务器地址。
undo dns-list命令用来删除DHCP地址池为DHCP客户端分配的DNS服务器地址。
【命令】
dns-list ip-address&<1-8>
undo dns-list [ ip-address&<1-8> ]
【缺省情况】
未配置DHCP地址池为DHCP客户端分配的DNS服务器地址。
【视图】
配置模板—DHCP地址池视图
【缺省用户角色】
network-admin
【参数】
ip-address&<1-8>:DNS服务器的IP地址。&<1-8>表示最多可以输入8个IP地址,每个IP地址之间用空格分隔。
【使用指导】
多次执行该命令,最后一次执行的命令生效。
执行undo dns-list命令时,如果未指定任何参数,则删除DHCP地址池中的所有DNS服务器地址。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置地址池1为DHCP客户端分配的DNS服务器地址为20.1.1.1。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] dhcp server ip-pool 1
[Sysname-config-profile-ap1-dhcp-pool-1] dns-list 20.1.1.1
expired命令用来配置DHCP地址池中分配的IP地址的租约有效期限。
undo expired命令用来恢复缺省情况。
【命令】
expired { day day [ hour hour [ minute minute [ second second ] ] ] | unlimited }
undo expired
【缺省情况】
DHCP地址池中IP地址的租约有效期限为1天。
【视图】
配置模板—DHCP地址池视图
【缺省用户角色】
network-admin
【参数】
day day:指定租约过期的天数,day取值范围为0~365。
hour hour:指定租约过期的小时数,hour取值范围为0~23。如果未指定本参数,则指定过期的小时数为0。
minute minute:指定租约过期的分钟数,minute取值范围为0~59。如果未指定本参数,则指定过期的分钟数为0。
second second:指定租约过期的秒数,second取值范围为0~59。如果未指定本参数,则指定过期的秒数为0。
unlimited:有效期限为无限长(实际上系统限定约为136年)。
【使用指导】
DHCP服务器从DHCP地址池中选择IP地址分配给DHCP客户端时,会同时将该地址池中IP地址的租约有效期限通知给DHCP客户端。在租约有效期限到达之前,DHCP客户端需要进行续约申请。如果续约成功,则DHCP客户端可以继续使用该IP地址。否则,租约有效期限到达后,DHCP客户端不能再继续使用该IP地址,并且DHCP服务器会将该地址添加到过期租约信息中。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置地址池1的IP地址租约有效期为3天2小时。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] dhcp server ip-pool 1
[Sysname-config-profile-ap1-dhcp-pool-1] expired day 3 hour 2
forbidden-ip-range命令用来配置DHCP地址池中不参与自动分配的IP地址段。
undo forbidden-ip-range命令用来取消配置的DHCP地址池中不参与自动分配的IP地址段。
【命令】
forbidden-ip-range start-ip-address [ end-ip-address ]
undo forbidden-ip-range [ start-ip-address [ end-ip-address ] ]
【缺省情况】
未配置DHCP地址池中不参与自动分配的IP地址段。
【视图】
配置模板—DHCP地址池视图
【缺省用户角色】
network-admin
【参数】
start-ip-address:表示不参与自动分配的起始IP地址。
end-ip-address:表示不参与自动分配的终止IP地址,不能小于start-ip-address。如果未指定本参数,则表示只有一个不参与自动分配的IP地址,即start-ip-address。否则,表示start-ip-address到end-ip-address之间的IP地址段均不参与自动分配。
【使用指导】
在DHCP地址池视图下通过forbidden-ip-range命令配置不参与自动分配的IP地址段后,只有当前的地址池不能分配这些IP地址段,其他地址池仍然可以分配这些IP地址段。
多次执行forbidden-ip-range命令,可以配置多个不参与自动分配的IP地址段,多次配置的地址空间可以互相重复。
执行undo forbidden-ip-range命令时,如果未指定任何参数,则删除所有不参与自动分配的IP地址段。
如果执行undo forbidden-ip-range命令指定的地址段范围比forbidden-ip-range现有的地址段范围小,则只取消undo forbidden-ip-range指定的地址段范围的配置。如果执行undo forbidden-ip-range命令指定的地址段范围比forbidden-ip-range指定的地址段范围大,则只取消forbidden-ip-range命令指定的地址段范围。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置地址池1中不参与自动分配的IP地址段为192.168.10.1到192.168.10.10。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] dhcp server ip-pool 1
[Sysname-config-profile-ap1-dhcp-pool-1] forbidden-ip-range 192.168.10.1 192.168.10.10
gateway-list命令用来配置DHCP服务器为DHCP客户端分配的网关地址。
undo gateway-list命令用来删除DHCP服务器为DHCP客户端分配的网关地址。
【命令】
gateway-list ip-address&<1-64> [ export-route ]
undo gateway-list [ ip-address&<1-64> ] [ export-route ]
【缺省情况】
DHCP地址池下均未配置为DHCP客户端分配的网关地址。
【视图】
配置模板—DHCP地址池视图
【缺省用户角色】
network-admin
【参数】
ip-address&<1-64>:网关的IP地址。&<1-64>表示最多可以输入64个IP地址,每个IP地址之间用空格分隔。网关地址需要和DHCP客户端在同一个网段中。
export-route:将网关列表信息下发给地址管理,通过应答客户端的ARP请求,即可实现对不同类型的业务流量的引导。如果未指定本参数,则不将网关列表信息下发给地址管理。
【使用指导】
执行undo gateway-list命令时,如果未指定任何参数,则删除所有配置的网关地址。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置地址池1为DHCP客户端分配的网关地址为20.1.1.1。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] dhcp server ip-pool 1
[Sysname-config-profile-ap1-dhcp-pool-1] gateway-list 20.1.1.1
network命令用来配置DHCP地址池动态分配的IP地址网段。
undo network命令用来删除已经创建的用于动态分配的IP地址网段。
【命令】
network network-address [ mask-length | mask mask ] [ export-route ]
undo network network-address [ mask-length | mask mask ]
【缺省情况】
未配置动态分配的IP地址网段,即没有可供分配的IP地址。
【视图】
配置模板—DHCP地址池视图
【缺省用户角色】
network-admin
【参数】
network-address:用于动态分配的网段地址。未指定掩码长度和掩码时,表示采用自然掩码。
mask-length:IP地址的网络掩码长度,取值范围为1~30。
mask mask:IP地址的网络掩码,mask为点分十进制形式。
export-route:将网段信息下发给路由管理,由路由管理发布指定网段信息的路由。引导指定网段的下行数据流量。如果未指定本参数,则不会将网段信息下发给路由管理。
【使用指导】
每个DHCP地址池中只能配置一个主网段,多次执行network命令配置主网段,最后一次执行的命令生效。
一个DHCP地址池中各个主网段的网络号和掩码不能完全相同。
修改或删除network配置,会导致该地址池下现有的已分配地址被删除。
配置network export-route命令可以用来发布网段路由,多次执行本命令,最后一次执行的命令生效。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置地址池1动态分配的主地址网段为192.168.10.0/24。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] dhcp server ip-pool 1
[Sysname-config-profile-ap1-dhcp-pool-1] network 192.168.10.0 mask 255.255.255.0
A.8 DHCP客户端命令
ip address dhcp-alloc命令用来配置接口通过DHCP协议获取IP地址。
undo ip address dhcp-alloc命令用来取消接口通过DHCP协议获取的IP地址。
【命令】
ip address dhcp-alloc
undo ip address dhcp-alloc
【缺省情况】
接口不通过DHCP协议获取IP地址。
【视图】
配置模板—接口视图
【缺省用户角色】
network-admin
【使用指导】
取消接口通过DHCP协议获取IP地址时,DHCP客户端会发送DHCP-RELEASE报文通知DHCP服务器释放租约。如果此时该接口处于down状态,则无法保证报文成功发送。
如果配置子接口通过DHCP协议获取IP地址,在其主接口上执行shutdown命令时,DHCP客户端不会发送请求释放子接口IP地址租约的DHCP-RELEASE报文。
【举例】
# 创建名为ap1的配置模板,在该配置模板下配置VLAN接口通过DHCP获取IP地址。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface vlan-interface 10
[Sysname-config-profile-ap1-Vlan-interface10] ip address dhcp-alloc
A.9 DHCP中继命令
A.9.1 dhcp relay server-address
dhcp relay server-address命令用来在DHCP中继上指定DHCP服务器的地址。
undo dhcp relay server-address命令用来在DHCP中继上删除指定DHCP服务器的地址。
【命令】
dhcp relay server-address ip-address
undo dhcp relay server-address [ ip-address ]
【视图】
接口视图
配置模板—接口视图
【修改说明】
新增配置模板—接口视图
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置在VLAN接口10上为DHCP中继指定DHCP服务器的地址为2.1.1.1。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface vlan-interface 10
[Sysname-config-profile-ap1-Vlan-interface10] dhcp relay server-address 2.1.1.
dhcp snooping enable命令用来开启DHCP Snooping功能。
undo dhcp snooping enable命令用来关闭DHCP Snooping功能。
【命令】
dhcp snooping enable
undo dhcp snooping enable
【缺省情况】
DHCP Snooping功能处于关闭状态。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【使用指导】
开启DHCP Snooping功能后,如果不信任端口接收到DHCP服务器发送的报文,将丢弃该报文,以保证客户端从合法的DHCP服务器获取IP地址。
在DHCP Snooping功能关闭后,所有端口都可转发DHCP服务器的响应报文。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下开启DHCP Snooping功能。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] dhcp snooping enable
dhcp snooping trust命令用来配置端口为信任端口。
undo dhcp snooping trust命令用来恢复端口为不信任端口。
【命令】
dhcp snooping trust
undo dhcp snooping trust
【缺省情况】
在开启DHCP Snooping功能后,设备上所有支持DHCP Snooping功能的端口均为不信任端口。
【视图】
配置模板—接口视图
【缺省用户角色】
network-admin
【使用指导】
指向DHCP服务器方向的端口需要设置为信任端口,其他端口设置为不信任端口,从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址,私自架设的伪DHCP服务器无法为DHCP客户端分配IP地址。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置二层以太网接口GigabitEthernet1/0/1为信任端口。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] dhcp snooping trust
A.11 NAT命令
address命令用来添加地址成员。
undo address命令用来删除地址成员。
【命令】
address start-address end-address
undo address start-address end-address
【缺省情况】
不存在地址成员。
【视图】
配置模板—NAT地址组视图
【缺省用户角色】
network-admin
【参数】
start-address end-address:地址成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
一个NAT地址组是多个地址成员的集合。当需要对到达外部网络的数据报文进行地址转换时,报文的源地址将被转换为地址成员中的某个地址。
在同一NAT地址组中多次执行本命令添加的地址成员不能互相重叠,且一次添加的地址成员的数量不能超过65535。不同NAT地址组中地址成员的IP地址段不能互相重叠。
所有NAT地址组中能够添加的地址成员总数与设备的型号有关,请以设备的实际情况为准。
在同一个NAT地址组中,如果已经使用address interface命令将接口地址作为地址成员,则无法通过本命令添加地址成员。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下的NAT地址组2中添加地址成员。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] nat address-group 2
[Sysname-config-profile-ap1-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-config-profile-ap1-address-group-2] address 10.1.1.20 10.1.1.30
nat address-group命令用来创建地址组,并进入地址组视图。如果指定的地址组已经存在,则直接进入地址组视图。
undo nat address-group命令用来删除指定的地址组。
【命令】
nat address-group group-id [ name group-name ]
undo nat address-group group-id
【缺省情况】
不存在地址组。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
group-id:地址组编号,取值范围为0~65535。
name group-name:地址组的名称,为1~63个字符的字符串,区分大小写。
【使用指导】
一个地址组是多个地址组成员的集合,各个地址组成员通过address命令配置。当需要对数据报文进行动态地址转换时,其源地址将被转换为地址组成员中的某个地址。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下创建一个编号为1、名称为abc的地址组。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] nat address-group 1 name abc
nat inbound命令用来配置入方向动态地址转换。
undo nat inbound命令用来删除指定的入方向动态地址转换。
【命令】
nat inbound { ipv4-acl-number | name ipv4-acl-name } address-group { group-id | name group-name } [ no-pat [ reversible ] [ add-route ] ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ]
undo nat inbound { ipv4-acl-number | name ipv4-acl-name }
【缺省情况】
不存在入方向动态地址转换配置。
【视图】
配置模板—接口视图
【缺省用户角色】
network-admin
【参数】
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
address-group:指定地址转换使用的地址组。
group-id:地址组的编号,取值范围为0~65535。
group-name:地址组的名称,为1~63个字符的字符串,不区分大小写。
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息。如果未指定本参数,则表示使用PAT方式进行转换,即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文,由于ICMP报文没有端口的概念,NAT将ICMP ID作为ICMP报文的源端口。
reversible:表示允许反向地址转换。即,在外网用户主动向内网发起连接并成功触发建立地址转换表项的情况下,允许内网向该外网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
add-route:为转换后的地址添加路由表,其目的地址是转换后的地址,出接口为进行地址转换的接口,下一跳为该报文转换前的源地址。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””、和“@”。如果不指定该参数,则表示该规则无名称。
priority priority:NAT规则的匹配优先级,取值范围为0~2147483647,缺省值为4294967295。优先级的数值越小,优先级越高。如果不指定该参数,那么相应的NAT规则在同类NAT规则中,其匹配优先级最低。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
counting:NAT转换计数功能,即对每一次首报文地址转换进行计数。
description text:配置入方向动态地址转换的描述信息,text为1~63个字符的字符串,不区分大小写。
【使用指导】
从配置了入方向地址转换的接口接收到的符合ACL permit规则的报文,会使用地址组group-id中的地址进行源地址转换。
入方向地址转换有两种转换方式:
· PAT方式:对于从外网到内网的报文,如果符合ACL,则使用地址组中的地址进行源地址转换,同时转换源端口(IP1/port1转换为IP2/port2)。
· NO-PAT方式:对于从外网到内网的报文,如果符合ACL,则使用地址组中的地址进行源地址转换,不转换源端口(IP1转换为IP2);如果用户配置了reversible,则允许内网通过IP2主动访问外网,对于此类访问报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并将目的地址转换为IP1,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能进行转换(将目的地址IP2转换为IP1),否则不予转换。
nat inbound命令通常与nat outbound配合使用,用于支持在外网侧口上对报文同时进行源和目的转换,即双向NAT。
指定入方向和出方向动态地址转换引用的地址组时,需要注意:
· 一个地址组被nat inbound配置引用后,就不能再被nat outbound配置引用。
· 一个地址组被PAT方式的nat inbound配置引用后,不能再被NO-PAT方式的nat inbound配置引用,反之亦然。
add-route参数不能应用在内网与外网地址重叠的组网场景中。在其他组网场景中:
· 如果指定了add-route参数,则有报文命中该配置时,设备会自动添加路由表项:目的地址为本次地址转换使用的地址组中的地址,出接口为本配置所在接口,下一跳地址为报文的源地址。
· 如果没有指定add-route参数,则用户需要在设备上手工添加路由。由于自动添加路由表项速度较慢,通常建议手工添加路由。
在一个接口下,一个ACL只能被一个nat inbound引用。
一个接口下可同时配置多条入方向地址转换。
对于入方向动态地址转换,当NAT规则的匹配优先级相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下:
· 对于ACL名称,设备将根据名称的字符序对NAT规则进行排序,在字符序中的位置越靠前,相应的NAT规则的匹配优先级越高。
· 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下创建ACL 2001,允许对10.110.10.0/24网段的主机进行地址转换。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] acl basic 2001
[Sysname-config-profile-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Sysname-config-profile-acl-ipv4-basic-2001] rule deny
[Sysname-config-profile-acl-ipv4-basic-2001] quit
# 在配置模板ap1下创建地址组1,并添加地址组成员:202.110.10.10、202.110.10.11、202.110.10.12。
[Sysname-config-profile-ap1] nat address-group 1
[Sysname-config-profile-ap1-address-group-1] address 202.110.10.10 202.110.10.12
[Sysname-config-profile-ap1-address-group-1] quit
# 在配置模板ap1下,进入接口Vlan-interface10,并配置入方向动态地址转换,使用地址组1中的地址进行地址转换,在转换的时候不使用TCP/UDP的端口信息,且需要添加路由。同时指定该入方向动态NAT规则的名称为abc,匹配优先级为0。
[Sysname-config-profile-ap1] interface vlan-interface 10
[Sysname-config-profile-ap1-Vlan-interface10] nat inbound 2001 address-group 1 no-pat add-route rule abc priority 0
nat outbound命令用来配置出方向动态地址转换。
undo nat outbound命令用来删除指定的出方向动态地址转换。
【命令】
· NO-PAT方式
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] address-group { group-id | name group-name } no-pat [ reversible ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ]
undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]
· PAT方式
nat outbound [ ipv4-acl-number | name ipv4-acl-name ] [ address-group { group-id | name group-name } ] [ port-preserved ] [ rule rule-name ] [ priority priority ] [ disable ] [ counting ] [ description text ]
undo nat outbound [ ipv4-acl-number | name ipv4-acl-name ]
【缺省情况】
不存在动态地址转换配置。
【视图】
配置模板—接口视图
【参数】
ipv4-acl-number:ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
address-group group-id:指定地址转换使用的地址组。如果不指定该参数,则直接使用该接口的IP地址作为转换后的地址,即实现Easy IP功能。
group-id:地址组的编号,取值范围为0~65535。
group-name:地址组的名称,为1~63个字符的字符串,不区分大小写。
no-pat:表示使用NO-PAT方式进行转换,即转换时不使用报文的端口信息;如果未指定本参数,则表示使用PAT方式进行转换,即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文,由于ICMP报文没有端口的概念,NAT将ICMP ID作为ICMP报文的源端口。
reversible:表示允许反向地址转换。即在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
port-preserved:PAT方式分配端口时尽量不转换端口。port-preserved参数对NAT端口块动态映射无效。
rule rule-name:NAT规则的名称,取值范围为1~63个字符的字符串,区分大小写,不能包括“\”、“/”、“:”、“*”、“?”、“<”、“>”、“|”、“””、和“@”。如果不指定该参数,则表示该规则无名称。
priority priority:NAT规则的匹配优先级,取值范围为0~2147483647,缺省值为4294967295。优先级的数值越小,优先级越高。如果不指定该参数,那么相应的NAT规则在同类NAT规则中,其匹配优先级最低。
disable:表示禁用该地址转换映射。如果不指定该参数,则地址转换映射处于启用状态。
counting:开启NAT转换计数功能,即对每一次首报文地址转换进行计数。
description text:配置出方向动态地址转换的描述信息,text为1~63个字符的字符串,不区分大小写。
【使用指导】
一般情况下,出方向动态地址转换配置在和外部网络连接的接口上,一个接口下可同时配置多条出方向地址转换。动态地址转换有两种转换方式:
· PAT方式:对于从内网到外网的报文,如果符合ACL permit规则,则使用地址组中的地址或该接口的地址(Easy IP方式)进行源地址转换,同时转换源端口(IP1/port1转换为IP2/port2);如果同时配置了PAT方式下的地址转换模式为EIM(Endpoint-Independent Mapping),则外网可以通过IP2/port2主动访问内网,NAT设备根据EIM表项转换目的地址和端口(IP2/port2转换为IP1/port1)。
· NO-PAT方式:对于从内网到外网的报文,如果符合ACL permit规则,则使用地址组中的地址进行源地址转换,不转换源端口(IP1转换为IP2);如果同时配置了reversible,则允许外网通过IP2主动访问内网,对于此类报文,需要进行ACL反向匹配(提取报文的源地址/端口和目的地址/端口,并将目的地址转换为IP1,然后将源地址/端口和目的地址/端口互换去匹配ACL),只有反向匹配ACL的报文才能进行转换(将目的地址IP2转换为IP1),否则不予转换。NAT444端口块动态映射不支持该方式。
指定出方向和入方向动态地址转换引用的地址组时,需要注意:
· 一个地址组被nat outbound配置引用后,不能再被nat inbound引用。
· 一个地址组被PAT方式的nat outbound配置引用后,不能再被NO-PAT方式的nat outbound配置引用,反之亦然。
· 如果PAT方式的nat outbound所引用的地址组中配置了端口块参数,则将对匹配的报文进行NAT444端口块动态映射。
指定出方向动态地址转换引用的ACL时,需要注意:
· 在一个接口下,一个ACL只能被一个nat outbound引用。
· 配置多条出方向动态地址转换时,只有一个nat outbound可以不引用ACL。
· 不指定ACL编号或名称的情况下,不对转换对象进行限制。
· 对于同一接口下的出方向动态地址转换配置,指定了ACL的配置的优先级高于未指定ACL的配置的优先级;对于指定了ACL的出方向动态地址转换配置,其生效优先级由ACL编号的大小决定,编号越大,优先级越高。
对于引用了ACL的出方向动态地址转换,当NAT规则的匹配优先级相同时,设备将按照ACL名称或ACL编号进行匹配,且ACL名称的优先级高于ACL编号的优先级,具体规则如下:
· 对于ACL名称,设备将根据名称的字符序对NAT规则进行排序,在字符序中的位置越靠前,相应的NAT规则的匹配优先级越高。
· 对于ACL编号,编号越大,优先级越高,设备将优先进行匹配。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下创建ACL 2001,允许对10.110.10.0/24网段的主机报文进行地址转换。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] acl basic 2001
[Sysname-config-profile-ap1-acl-ipv4-basic-2001] rule permit source 10.110.10.0 0.0.0.255
[Sysname-config-profile-ap1-acl-ipv4-basic-2001] rule deny
[Sysname-config-profile-ap1-acl-ipv4-basic-2001] quit
# 在配置模板ap1下创建地址组1,并添加地址组成员:202.110.10.10、202.110.10.11、202.110.10.12。
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] nat address-group 1
[Sysname-config-profile-ap1-address-group-1] address 202.110.10.10 202.110.10.12
[Sysname-config-profile-ap1-address-group-1] quit
# 在配置模板ap1下,进入接口Vlan-interface10,并配置出方向动态地址转换,允许对匹配ACL 2001的报文使用地址组1中的地址进行地址转换,且在转换的时候使用TCP/UDP的端口信息。
[Sysname-config-profile-ap1] interface vlan-interface 10
[Sysname-config-profile-ap1-Vlan-interface10] nat outbound 2001 address-group 1
[Sysname-config-profile-ap1-Vlan-interface10] quit
# 如果在接口Vlan-interface10上不使用TCP/UDP的端口信息进行地址转换,可以使用如下配置。
[Sysname-config-profile-ap1] interface vlan-interface 10
[Sysname-config-profile-ap1-Vlan-interface10] nat outbound 2001 address-group 1 no-pat
[Sysname-config-profile-ap1-Vlan-interface10] quit
# 如果直接使用接口Vlan-interface10接口的IP地址进行地址转换,可以使用如下的配置。
[Sysname-config-profile-ap1] interface vlan-interface 10
[Sysname-config-profile-ap1-Vlan-interface10] nat outbound 2001
[Sysname-config-profile-ap1-Vlan-interface10] quit
# 内网10.110.10.0/24网段的主机使用地址组1中的地址作为转换后的地址访问外部网络。如果要在内网用户向外网主动发起访问之后,允许外网用户主动向10.110.10.0/24网段的主机发起访问,并利用已建立的地址转换表项进行反向地址转换,可以使用如下配置。
[Sysname-config-profile-ap1] interface vlan-interface 10
[Sysname-config-profile-ap1-Vlan-interface10] nat outbound 2001 address-group 1 no-pat reversible
A.12 IP地址命令
ip address命令用来配置接口的IP地址。
undo ip address命令用来删除接口的IP地址。
【命令】
ip address ip-address { mask-length | mask } [ sub ]
undo ip address [ ip-address { mask-length | mask } [ sub ] ]
【缺省情况】
未配置接口IP地址。
【视图】
配置模板—接口视图
【缺省用户角色】
network-admin
【参数】
ip-address:接口的IP地址,为点分十进制格式。
mask-length:子网掩码长度,即掩码中连续“1”的个数,取值范围为1~31,当接口为LoopBack接口时,取值范围为1~32。
mask:接口IP地址相应的子网掩码,为点分十进制格式。
sub:表示该地址为接口的从IP地址。
【使用指导】
ip address命令用来配置接口的IP地址。设备的每个接口可以配置多个IP地址,其中一个为主IP地址,其余为从IP地址。一般情况下,一个接口只需配置一个主IP地址,有时为了实现一个接口下的多个子网之间能够通信,需要在接口上配置从IP地址。
· 一个接口只能有一个主IP地址,在同一个接口上多次执行本命令,最后一次执行的命令生效。
· 当接口被配置为通过BOOTP、DHCP方式获取IP地址或借用其它接口的IP地址后,则不能再给该接口配置从IP地址。
undo ip address命令中不指定任何参数表示删除该接口的所有IP地址。undo ip address ip-address { mask | mask-length }表示删除主IP地址。undo ip address ip-address { mask | mask-length } sub表示删除指定的从IP地址。
同一接口的主、从IP地址可以在同一网段,但不同接口之间的IP地址不可以在同一网段。
【举例】
# 创建名为ap1的配置模板,在该配置模板下指定VLAN接口10的IP地址为129.12.0.1,子网掩码都为255.255.255.0。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface vlan-interface 10
[Sysname-config-profile-ap1-Vlan-interface10] ip address 129.12.0.1 255.255.255.0
A.13 IP性能优化命令
tcp mss命令用来配置接口的TCP最大报文段长度。
undo tcp mss命令用来恢复缺省情况。
【命令】
tcp mss value
undo tcp mss
当前,仅创建配置模板时指定型号(model model-name)为CPE设备后,支持配置本命令。
【缺省情况】
未配置接口的TCP最大报文段长度。
【视图】
配置模板—以太网通道接口视图
【缺省用户角色】
network-admin
【参数】
value:TCP最大报文段长度,取值范围为128~1(接口的最大MTU值-40),单位为字节。
【使用指导】
TCP最大报文段长度(Max Segment Size,MSS)表示TCP连接的对端发往本端的最大TCP报文段的长度,目前作为TCP连接建立时的一个选项来协商:当一个TCP连接建立时,连接的双方要将MSS作为TCP报文的一个选项通告给对端,对端会记录下这个MSS值,后续在发送TCP报文时,会限制TCP报文的大小不超过该MSS值。当对端发送的TCP报文的长度小于本端的TCP最大报文段长度时,TCP报文不需要分段;否则,对端需要对TCP报文按照最大报文段长度进行分段处理后再发给本端。
该配置仅对新建的TCP连接生效,对于配置前已建立的TCP连接不生效。
【举例】
# 创建名为test的配置模板,配置以太网通道接口Eth-channel2/4/0:0的TCP最大报文段长度为300字节。
<Sysname> system-view
[Sysname] configuration profile test model CPE5100
[Sysname-config-profile-test] interface int Eth-channel 2/4/0:0
[Sysname-config-profile-test-Eth-channel2/4/0:0] tcp mss 300
ip route-static命令用来配置静态路由。
undo ip route-static命令用来删除指定的静态路由。
【命令】
ip route-static dest-address { mask-length | mask } next-hop-address
undo ip route-static dest-address { mask-length | mask } [ next-hop-address ]
【缺省情况】
未配置静态路由。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
dest-address:静态路由的目的IP地址,点分十进制格式。
mask-length:网络掩码长度,取值范围为0~32。
mask:网络掩码,点分十进制格式。
next-hop-address:指定路由的下一跳的IP地址,点分十进制格式。在指定路由的下一跳的IP地址时需要注意的事项,详见使用指导。
【使用指导】
如果目的IP地址和掩码都为0.0.0.0(或掩码为0),则配置的路由为缺省路由。当没有匹配的路由表项时,将使用缺省路由进行报文转发。
对不同的优先级配置,可采用不同的路由管理策略。例如,为同一目的地配置多条路由,如果指定相同的优先级,则实现路由负载分担;如果指定不同的优先级,则实现路由备份。
配置静态路由时,可根据实际需要指定出接口或下一跳地址。需要注意的是:
· 对于Null0接口,配置了出接口就不需要配置下一跳地址。
· 对于广播类型接口,如VLAN接口,因为可能有多个下一跳,配置时必须同时指定出接口和下一跳。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下创建一个目的地址为1.1.1.0/24、下一跳为2.2.2.2的静态路由。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] ip route-static 1.1.1.0 24 2.2.2.2
A.15 移动通信Modem管理命令
当前,仅创建配置模板时指定型号(model model-name)为CPE设备后,支持配置本命令。
controller cellular命令用来进入Cellular接口视图。
【命令】
controller cellular cellular-number
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
cellular-number:Cellular接口的编号。
【举例】
# 创建名称为test的配置模板,进入接口Cellular2/4/0的视图。
<Sysname> system-view
[Sysname] configuration profile test model CPE5100
[Sysname-config-profile-test] controller cellular 2/4/0
[Sysname-config-profile-test-Cellular 2/4/0]
eth-channel命令用来将Cellular接口通道化出以太网通道接口。
undo eth-channel命令用来将Cellular接口通道化出的以太网通道接口删除。
【命令】
eth-channel channel-number
undo eth-channel channel-number
【视图】
配置模板—Cellular接口视图
【缺省用户角色】
network-admin
【参数】
channel-number:通道化出的以太网通道接口编号。不同型号的设备支持的取值范围不同,请以设备的实际情况为准。
【使用指导】
Cellular接口在配置该命令后通道化出一个以太网通道接口,接口名是eth-channel cellular-number:channel-number。
【举例】
# 创建名称为test的配置模板,将接口Cellular2/4/0通道化出一个以太网通道接口。
<Sysname> system-view
[Sysname] configuration profile test model CPE5100
[Sysname-config-profile-test] controller cellular 2/4/0
[Sysname-config-profile-test-Cellular2/4/0] eth-channel 0
interface eth-channel命令用来进入以太网通道接口视图。
【命令】
interface eth-channel interface-number
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
interface-number:以太网通道接口的编号。
【举例】
# 创建名称为test的配置模板,进入以太网通道接口Eth-channel2/4/0:0的视图。
<Sysname> system-view
[Sysname] configuration profile test model CPE5100
[Sysname-config-profile-test] interface eth-channel 2/4/0:0
[Sysname-config-profile-test-Eth-channel2/4/0:0]
A.15.4 ip address cellular-alloc
ip address cellular-alloc命令用来配置接口通过Modem私有协议获取IP地址。
undo ip address cellular-alloc命令用来恢复缺省情况。
【命令】
ip address cellular-alloc
undo ip address cellular-alloc
【缺省情况】
接口不通过Modem私有协议获取IP地址。
【视图】
配置模板—以太网通道接口视图
【缺省用户角色】
network-admin
【使用指导】
ip address cellular-alloc与ip address dhcp-alloc命令用于设置接口以何种方式从Modem获取接口IP地址,Modem的IP地址由运营商自动分配。
其中,ip address cellular-alloc命令是配置接口采用Modem私有协议获取IP地址,而ip address dhcp-alloc命令是配置接口采用标准DHCP协议获取IP地址。
【举例】
#创建名称为test的配置模板,在该配置模板下为接口Cellular2/4/0创建以太网通道接口,并采用Modem私有协议获取运营商自动分配的IP地址。
<Sysname> system-view
[Sysname] configuration profile test model CPE5100
[Sysname-config-profile-test] controller cellular 2/4/0
[Sysname-config-profile-test-Cellular2/4/0] eth-channel 0
[Sysname-config-profile-test-Cellular2/4/0] quit
[Sysname-config-profile-test] interface eth-channel 2/4/0:0
[Sysname-config-profile-test-Eth-channel2/4/0:0] ip address cellular-alloc
A.15.5 ipv6 address cellular-alloc
ipv6 address cellular-alloc命令用来配置接口通过Modem私有协议获取IPv6地址。
undo ipv6 address cellular-alloc命令用来恢复缺省情况。
【命令】
ipv6 address cellular-alloc
undo ipv6 address cellular-alloc
【缺省情况】
接口不通过Modem私有协议获取IPv6地址。
【视图】
配置模板—以太网通道接口视图
【缺省用户角色】
network-admin
【使用指导】
ipv6 address cellular-alloc与ipv6 address dhcp-alloc命令用于设置接口以何种方式从Modem获取接口IPv6地址,Modem的IPv6地址由运营商自动分配。
其中,ipv6 address cellular-alloc命令是配置接口采用Modem私有协议获取IPv6地址,而ipv6 address dhcp-alloc命令是配置接口采用标准DHCP协议获取IPv6地址。
【举例】
#创建名称为test的配置模板,在该配置模板下为接口Cellular2/4/0创建以太网通道接口,并采用Modem私有协议获取运营商自动分配的IPv6地址。
<Sysname> system-view
[Sysname] configuration profile test model CPE5100
[Sysname-config-profile-test] controller cellular 2/4/0
[Sysname-config-profile-test-Cellular2/4/0] eth-channel 0
[Sysname-config-profile-test-Cellular2/4/0] quit
[Sysname-config-profile-test] interface eth-channel 2/4/0:0
[Sysname-config-profile-test-Eth-channel2/4/0:0] ipv6 address cellular-alloc
A.16.1 user-isolation permit-broadcast
user-isolation permit-broadcast命令用来允许接收有线用户发送给无线用户的广播和组播报文。
undo user-isolation permit-broadcast命令用来恢复缺省情况。
【命令】
user-isolation permit-broadcast
undo user-isolation permit-broadcast
【缺省情况】
隔离有线用户发往无线用户的广播和组播报文。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【使用指导】
当有线用户和无线用户属于同一VLAN时必须隔离有线用户发往无线用户的广播和组播报文,其他情况下允许接收有线用户发送给无线用户的广播和组播报文。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下配置允许接收有线用户发送给无线用户的广播和组播报文。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] user-isolation permit-broadcast
A.16.2 user-isolation vlan enable
user-isolation vlan enable命令用来开启指定VLAN的用户隔离功能。
undo user-isolation vlan enable命令用来关闭指定VLAN的用户隔离功能。
【命令】
user-isolation vlan vlan-list enable [ permit-unicast ]
undo user-isolation vlan vlan-list enable
【缺省情况】
基于VLAN的用户隔离功能处于关闭状态。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表,表示开启用户隔离功能的VLAN的范围。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
permit-unicast:表示不隔离单播,仅隔离广播和组播。如果未指定该参数,表示同时隔离单播、广播和组播。
【使用指导】
为了避免在指定VLAN上开启用户隔离功能后,出现断网情况,用户必须根据user-isolation vlan permit-mac命令先将用户网关的MAC地址加入到用户隔离允许列表中,再开启该VLAN的用户隔离功能。
如果多次执行user-isolation vlan enable命令,则开启用户隔离功能的VLAN是多次配置中指定的VLAN的合集;若同一VLAN多次配置,则最后一条配置生效。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下开启VLAN 10的用户隔离功能。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] user-isolation vlan 10
A.16.3 user-isolation vlan permit-bmc acl
user-isolation vlan permit-bmc acl命令用来允许指定VLAN内的无线用户接收广播和组播报文。
undo user-isolation vlan permit-bmc acl命令用来取消允许指定VLAN内的无线用户接收广播和组播报文。
【命令】
user-isolation vlan vlan-list permit-bmc acl [ ipv6 ] acl-number
undo user-isolation vlan vlan-list permit-bmc acl [ ipv6 ]
【缺省情况】
同一VLAN内的无线用户不能接收广播和组播报文。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表。表示方式为vlan-list={ vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id1的取值范围为1~4094,vlan-id2的值要大于或者等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
ipv6:指定ACL类型为IPv6类型,若不指定本参数,则表示指定ACL类型为IPv4类型。
acl-number:指定ACL的编号,取值范围3000~3999。
【使用指导】
当有线用户和无线用户属于同一VLAN时,若需要允许无线用户接收有线用户或者无线用户发送的广播和组播报文,则需要配置本功能,允许指定协议的报文通过。
可以同时配置IPv4和IPv6类型的ACL。对于同一类型的ACL,多次执行本命令,最后一次执行的命令生效。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下允许VLAN 10内的无线用户接收广播和组播报文规则为ACL 3002。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] user-isolation vlan 10 permit-bmc acl 3002
A.16.4 user-isolation vlan permit-mac
user-isolation vlan permit-mac命令用来配置指定VLAN的MAC地址允许转发列表。
undo user-isolation permit-mac命令用来删除指定VLAN的MAC地址允许转发列表。
【命令】
user-isolation vlan vlan-list permit-mac mac-list
undo user-isolation vlan vlan-list permit-mac { mac-list | all }
【缺省情况】
未配置指定VLAN的MAC地址允许转发列表。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
vlan-list:VLAN列表。表示方式为vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id的取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以输入10次。
mac-list:MAC地址允许转发列表,MAC地址格式为H-H-H。在一个VLAN内最多可以配置64个允许的MAC地址,该MAC地址不允许为广播或组播地址。
all:删除指定VLAN的所有允许MAC地址。
【使用指导】
配置指定VLAN的MAC地址允许转发列表,当在该VLAN内开启用户隔离功能后,所配置的MAC地址不会被隔离。
如果多次执行user-isolation vlan permit-mac命令,则指定VLAN允许的MAC地址为多次配置的MAC地址的集合。每一个VLAN内最多允许配置64个允许的MAC地址,一次最多允许配置16个允许的MAC地址。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下VLAN 10所允许MAC地址为00bb-ccdd-eeff和0022-3344-5566。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] user-isolation vlan 10 permit-mac 00bb-ccdd-eeff 0022-3344-5566
A.17 AAA命令
A.17.1 authorization-attribute
authorization-attribute命令用来设置本地用户或用户组的授权属性,该属性在本地用户认证通过之后,由设备下发给用户。
undo authorization-attribute命令用来删除指定的授权属性,恢复用户具有的缺省访问权限。
【命令】
authorization-attribute { idle-cut minutes | user-role role-name | work-directory directory-name } *
undo authorization-attribute { idle-cut | user-role role-name | work-directory } *
【缺省情况】
授权FTP/SFTP/SCP用户可以访问的目录为设备的根目录,但无访问权限。
由用户角色为network-admin或level-15的用户创建的本地用户被授权用户角色network-operator。
【视图】
配置模板—设备管理类本地用户视图
【缺省用户角色】
network-admin
【参数】
idle-cut minutes:设置本地用户的闲置切断时间。其中,minutes为设定的闲置切断时间,取值范围为1~120,单位为分钟。如果用户在线后连续闲置的时长超过该值,设备会强制该用户下线。
user-role role-name:指定本地用户的授权用户角色。其中,role-name表示用户角色名称,为1~63个字符的字符串,区分大小写。可以为每个用户最多指定64个用户角色。
work-directory directory-name:授权FTP/SFTP/SCP用户可以访问的目录。其中,directory-name表示FTP/SFTP/SCP用户可以访问的目录,为1~255个字符的字符串,不区分大小写,且该目录必须已经存在。
【使用指导】
可配置的授权属性都有其明确的使用环境和用途,请针对用户的服务类型配置对应的授权属性
· 对于Telnet、Terminal、SSH用户,仅授权属性user-role有效。
· 对于http、https用户,仅授权属性user-role有效。
· 对于FTP用户,仅授权属性user-role、work-directory有效。
· 对于其它类型的本地用户,所有授权属性均无效。
用户组的授权属性对于组内的所有本地用户生效,因此具有相同属性的用户可通过加入相同的用户组来统一配置和管理。
为确保本地用户仅使用本命令指定的授权用户角色,请先使用undo authorization-attribute user-role命令删除该用户已有的缺省用户角色。
被授权安全日志管理员的本地用户登录设备后,仅可执行安全日志文件管理相关的命令以及安全日志文件操作相关的命令,具体命令可通过display role name security-audit命令查看。为本地用户授权安全日志管理员角色时,需要注意的是:
· 安全日志管理员角色和其它用户角色互斥:
¡ 为一个用户授权安全日志管理员角色时,系统会通过提示信息请求确认是否删除当前用户的所有其它他用户角色;
¡ 如果已经授权当前用户安全日志管理员角色,再授权其它的用户角色时,系统会通过提示信息请求确认是否删除当前用户的安全日志管理员角色。
· 系统中的最后一个安全日志管理员角色的本地用户不可被删除。
为本地用户授权system-admin、security-admin、audit-admin角色时,需要注意的是:
· 被授权此类角色的本地用户登录设备后,仅有执行指定Web页面的操作权限,以及执行ping和tracert命令的命令行权限。
· 这些角色和其它用户角色互斥,且彼此之间也互斥。为一个用户授权用户角色时,系统会通过提示信息请求确认是否删除与当前用户角色互斥的其它用户角色。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下设置设备管理类本地用户user1的授权VLAN为VLAN 2。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] local-user user1 class manage
[Sysname-config-profile-ap1-luser-manage-user1] authorization-attribute vlan 2
local-user命令用来添加本地用户,并进入本地用户视图。如果指定的本地用户已经存在,则直接进入本地用户视图。
undo local-user命令用来删除指定的本地用户。
【命令】
local-user user-name [ class manage ]
undo local-user { user-name class manage | all [ service-type { ftp | http | https | ssh | telnet | terminal } | class manage ] }
【缺省情况】
不存在本地用户。
【视图】
配置模板视图
【缺省用户角色】
network-admin
【参数】
user-name:表示本地用户名,为1~55个字符的字符串,区分大小写。用户名不能携带域名,不能包括符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,且不能为“a”、“al”或“all”。若本地用户名中携带域名,则格式为“纯用户名@域名”,其中,纯用户名区分大小写,不能包含符号“\”、“|”、“/”、“:”、“*”、“?”、“<”、“>”和“@”,并且不能为“a”、“al”或“all”;域名不区分大小写,不能包含符号“@”。
class:指定本地用户的类别。若不指定本参数,则表示设备管理类用户。
manage:设备管理类用户,用于登录设备,对设备进行配置和监控。此类用户可以提供ftp、http、https、telnet、ssh和terminal服务。
all:所有的用户。
service-type:指定用户的类型。
· ftp:表示FTP类型用户。
· http:表示HTTP类型用户。
· https:表示HTTPS类型用户。
· ssh:表示SSH用户。
· telnet:表示Telnet用户。
· terminal:表示从Console口登录的终端用户。
【使用指导】
目前,配置模板视图下执行local-user命令仅支持进入设备管理类本地用户视图,且最多支持配置16个设备管理类本地用户。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下添加设备管理类本地用户user1。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] local-user user1 class manage
[Sysname-config-profile-ap1-luser-manage-user1]
password命令用来设置本地用户的密码。
undo password命令用来恢复缺省情况。
【命令】
password [ { hash | simple } string ]
undo password
【缺省情况】
不存在本地用户密码,即本地用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。
【视图】
配置模板—设备管理类本地用户视图
【缺省用户角色】
network-admin
【参数】
hash:表示以哈希方式设置密码。
simple:表示以明文方式设置密码,该密码将以密文形式存储。
string:密码字符串,区分大小写。明文密码为1~63个字符的字符串;哈希密码为1~110个字符的字符串。
【使用指导】
如果不指定任何参数,则表示以交互式设置明文形式的密码。
若不为本地用户设置密码,则该用户认证时无需输入密码,只要用户名有效且其它属性验证通过即可认证成功。为提高用户帐户的安全性,建议设置本地用户密码。
对于配置模板下创建的设备管理类本地用户,如下密码属性采用系统缺省配置:
· 密码最小长度为10。
· 密码元素的最少组合类型为2。
· 密码中至少包含每种元素的个数为1。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下设置设备管理类本地用户user1的密码为明文123456TESTplat&!。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] local-user user1 class manage
[Sysname-config-profile-ap1-luser-manage-user1] password simple 123456TESTplat&!
service-type命令用来设置用户可以使用的服务类型。
undo service-type命令用来删除用户可以使用的服务类型。
【命令】
service-type { ftp | { http | https |ssh | telnet | terminal } * }
undo service-type { ftp | { http | https | ssh | telnet | terminal } *}
【缺省情况】
系统不对用户授权任何服务,即用户不能使用任何服务。
【视图】
配置模板—设备管理类本地用户视图
【缺省用户角色】
network-admin
【参数】
ftp:指定用户可以使用FTP服务。若授权FTP服务,授权目录可以通过authorization-attribute work-directory命令来设置。
http:指定用户可以使用HTTP服务。
https:指定用户可以使用HTTPS服务。
ssh:指定用户可以使用SSH服务。
telnet:指定用户可以使用Telnet服务。
terminal:指定用户可以使用terminal服务(即从Console口、AUX口、Asyn口登录)。
【使用指导】
可以通过多次执行本命令,设置用户可以使用多种服务类型。
【举例】
# 创建名为ap1的配置模板,并在该配置模板下设置设备管理类本地用户user1可以使用Telnet服务。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] local-user user1 class manage
[Sysname-config-profile-ap1-luser-manage-user1] service-type telnet
A.18 ACL命令
acl命令用来创建ACL,并进入ACL视图。如果指定的ACL已存在,则直接进入ACL视图。
undo acl命令用来删除指定或全部ACL。
【命令】
acl { name acl-name | number acl-number [ name acl-name ] }
undo acl { all | name acl-name | number acl-number }
acl { advanced | basic } { acl-number | name acl-name }
acl mac { acl-number | name acl-name }
undo acl { all | { advanced | basic } { acl-number | name acl-name } }
undo acl mac { all | acl-number | name acl-name }
【缺省情况】
不存在ACL。
【视图】
配置模板视图
【参数】
basic:指定创建基本ACL。
advanced:指定创建高级ACL。
mac:指定创建二层ACL。
acl-number:指定ACL的编号。acl-number表示ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
all:指定类型中全部ACL。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下创建一个编号为2000的IPv4基本ACL,并进入其视图。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] acl basic 2000
[Sysname-config-profile-ap1-acl-ipv4-basic-2000]
packet-filter命令用来在接口上应用ACL进行报文过滤。
undo packet-filter命令用来取消在接口上应用ACL进行报文过滤。
【命令】
packet-filter [ mac ] { acl-number | name acl-name } { inbound | outbound }
undo packet-filter [ mac ] { acl-number | name acl-name } { inbound | outbound }
【缺省情况】
接口不对报文进行过滤。
【视图】
配置模板—接口视图
【缺省用户角色】
network-admin
【参数】
mac:指定ACL类型为二层ACL。
acl-number:指定ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示基本ACL。
· 3000~3999:表示高级ACL。
· 4000~4999:表示二层ACL。
name acl-name:指定ACL的名称。acl-name表示ACL的名称,为1~63个字符的字符串,不区分大小写。
inbound:对收到的报文进行过滤。
outbound:对发出的报文进行过滤。
【使用指导】
引用ACL时,需要注意:若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示不引用ACL进行报文过滤。
此功能在聚合成员端口上不生效。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下创建应用IPv4基本ACL 2001对接口GigabitEthernet1/0/1收到的报文进行过滤。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] packet-filter 2001 inbound
A.18.3 rule (IPv4 advanced ACL view)
rule命令用来为IPv4高级ACL创建一条规则。
undo rule命令用来为IPv4高级ACL删除一条规则或删除规则中的部分内容。
【命令】
rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | { dscp dscp1 | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | source { source-address source-wildcard | any } | source-port operator port1 [ port2 ] | time-range time-range-name ] *
undo rule rule-id [ { { ack | fin | psh | rst | syn | urg } * | established } | counting | destination | destination-port | { dscp | { precedence | tos } * } | fragment | icmp-type | source | source-port | time-range ] *
undo rule [ rule-id ] { deny | permit } protocol [ { { ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * | established } | counting | destination { dest-address dest-wildcard | any } | destination-port operator port1 [ port2 ] | { dscp dscp | { precedence precedence | tos tos } * } | fragment | icmp-type { icmp-type [ icmp-code ] | icmp-message } | source { source-address source-wildcard | any } | source-port | time-range time-range-name ] *
【缺省情况】
IPv4高级ACL内不存在任何规则。
【视图】
配置模板—IPv4高级ACL视图
【缺省用户角色】
network-admin
【参数】
rule-id:指定IPv4高级ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将从规则编号的起始值开始,自动分配一个大于现有最大编号的步长最小倍数。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
protocol:表示IPv4承载的协议类型,可输入的形式如下:
· 数字:取值范围为0~255;
· 名称(括号内为对应的数字):可选取gre(47)、icmp(1)、igmp(2)、ip、ipinip(4)、ospf(89)、tcp(6)或udp(17)。ip表示所有协议类型。
protocol之后可配置如表5-1所示的规则信息参数。
|
参数 |
类别 |
作用 |
说明 |
|
source { source-address source-wildcard | any } |
源地址信息 |
指定ACL规则的源地址信息 |
source-address:源IP地址 source-wildcard:源IP地址的通配符掩码(为0表示主机地址) any:任意源IP地址 |
|
destination { dest-address dest-wildcard | any } |
目的地址信息 |
指定ACL规则的目的地址信息 |
dest-address:目的IP地址 dest-wildcard:目的IP地址的通配符掩码(为0表示主机地址) any:任意目的IP地址 |
|
counting |
统计 |
开启规则匹配软件统计功能,缺省为关闭 |
本参数用于开启本规则的匹配统计功能 |
|
precedence precedence |
报文优先级 |
指定IP优先级 |
precedence用数字表示时,取值范围为0~7;用字符表示时,分别对应routine、priority、immediate、flash、flash-override、critical、internet、network |
|
tos tos |
报文优先级 |
指定ToS优先级 |
tos用数字表示时,取值范围为0~15;用字符表示时,可以选取max-reliability(2)、max-throughput(4)、min-delay(8)、min-monetary-cost(1)、normal(0) |
|
dscp dscp |
报文优先级 |
指定DSCP优先级 |
dscp用数字表示时,取值范围为0~63;用字符表示时,可以选取af11(10)、af12(12)、af13(14)、af21(18)、af22(20)、af23(22)、af31(26)、af32(28)、af33(30)、af41(34)、af42(36)、af43(38)、cs1(8)、cs2(16)、cs3(24)、cs4(32)、cs5(40)、cs6(48)、cs7(56)、default(0)、ef(46)。 |
|
fragment |
分片信息 |
仅对分片报文的非首个分片有效,而对非分片报文和分片报文的首个分片无效 |
若未指定该参数,则表示该规则对所有报文(包括非分片报文和分片报文的每个分片)均有效 |
|
logging |
日志操作 |
表示记录规则匹配报文的日志信息,包括匹配报文的规则和匹配报文的个数 |
该功能需要使用该ACL的模块支持日志记录功能,例如报文过滤 |
|
time-range time-range-name |
时间段 |
指定本规则生效的时间段 |
time-range-name:时间段的名称,为1~63个字符的字符串,不区分大小写。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。 |
当protocol为tcp(6)或udp(17)时,用户还可配置如表5-2所示的规则信息参数。
表5-2 TCP/UDP特有的规则信息参数
|
参数 |
类别 |
作用 |
说明 |
|
source-port operator port1 [ port2 ] |
源端口 |
定义TCP/UDP报文的源端口信息 |
operator为操作符,取值可以为lt(小于)、gt(大于)、eq(等于)、neq(不等于)或者range(在范围内,包括边界值)。只有操作符range需要两个端口号做操作数,其它的只需要一个端口号做操作数 port1、port2:TCP或UDP的端口号,用数字表示时,取值范围为0~65535;用字符表示时,TCP端口号可以选取chargen(19)、bgp(179)、cmd(514)、daytime(13)、discard(9)、dns(53)、domain(53)、echo (7)、exec (512)、finger(79)、ftp(21)、ftp-data(20)、gopher(70)、hostname(101)、irc(194)、klogin(543)、kshell(544)、login(513)、lpd(515)、nntp(119)、pop2(109)、pop3(110)、smtp(25)、sunrpc(111)、tacacs(49)、talk(517)、telnet(23)、time(37)、uucp(540)、whois(43)、www(80);UDP端口号可以选取biff(512)、bootpc(68)、bootps(67)、discard(9)、dns(53)、dnsix(90)、echo (7)、mobilip-ag(434)、mobilip-mn(435)、nameserver(42)、netbios-dgm(138)、netbios-ns(137)、netbios-ssn(139)、ntp(123)、rip(520)、snmp(161)、snmptrap(162)、sunrpc(111)、syslog(514)、tacacs-ds(65)、talk(517)、tftp(69)、time(37)、who(513)、xdmcp(177) |
|
destination-port operator port1 [ port2 ] |
目的端口 |
定义TCP/UDP报文的目的端口信息 |
|
|
{ ack ack-value | fin fin-value | psh psh-value | rst rst-value | syn syn-value | urg urg-value } * |
TCP报文标识 |
定义对携带不同标志位(包括ACK、FIN、PSH、RST、SYN和URG六种)的TCP报文的处理规则 |
TCP协议特有的参数。表示匹配携带不同标志位的TCP报文,各value的取值可为0或1(0表示不携带此标志位,1表示携带此标志位) 对于一条规则中各标志位的配置组合,按照“或”的规则进行匹配。譬如:当配置为ack 0 psh 1时,匹配不携带ACK或携带PSH标志位的TCP报文 |
|
established |
TCP连接建立标识 |
定义对TCP连接报文的处理规则 |
TCP协议特有的参数。表示匹配携带ACK或RST标志位的TCP连接报文 |
当protocol为icmp(1)时,用户还可配置如表5-3所示的规则信息参数。
表5-3 ICMP特有的规则信息参数
|
参数 |
类别 |
作用 |
说明 |
|
icmp-type { icmp-type icmp-code | icmp-message } |
ICMP报文的消息类型和消息码信息 |
指定本规则中ICMP报文的消息类型和消息码信息 |
icmp-type:ICMP消息类型,取值范围为0~255 icmp-code:ICMP消息码,取值范围为0~255 icmp-message:ICMP消息名称。可以输入的ICMP消息名称,及其与消息类型和消息码的对应关系如表5-4所示 |
表5-4 ICMP消息名称与消息类型和消息码的对应关系
|
ICMP消息名称 |
ICMP消息类型 |
ICMP消息码 |
|
echo |
8 |
0 |
|
echo-reply |
0 |
0 |
|
fragmentneed-DFset |
3 |
4 |
|
host-redirect |
5 |
1 |
|
host-tos-redirect |
5 |
3 |
|
host-unreachable |
3 |
1 |
|
information-reply |
16 |
0 |
|
information-request |
15 |
0 |
|
net-redirect |
5 |
0 |
|
net-tos-redirect |
5 |
2 |
|
net-unreachable |
3 |
0 |
|
parameter-problem |
12 |
0 |
|
port-unreachable |
3 |
3 |
|
protocol-unreachable |
3 |
2 |
|
reassembly-timeout |
11 |
1 |
|
source-quench |
4 |
0 |
|
source-route-failed |
3 |
5 |
|
timestamp-reply |
14 |
0 |
|
timestamp-request |
13 |
0 |
|
ttl-exceeded |
11 |
0 |
【使用指导】
使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
创建的规则若与动态规则的内容完全相同,则会覆盖已有动态规则。
新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。
新创建或修改的规则若指定对象组,则该对象组必须存在,否则将提示出错,并导致该操作失败。
当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。
删除规则时需要注意的是:
· 使用undo rule rule-id命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
· undo rule [ rule-id ] { deny | permit }命令无法删除规则中的部分内容,使用undo rule { deny | permit }命令时,必须输入已存在规则的完整形式。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下IPv4高级ACL 3001创建规则如下:允许IP报文通过,但拒绝发往192.168.1.0/24网段的ICMP报文通过。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] acl advanced 3001
[Sysname-config-profile-ap1-acl-ipv4-adv-3001] rule deny icmp destination 192.168.1.0 0.0.0.255
[Sysname-config-profile-ap1-acl-ipv4-adv-3001] rule permit ip
A.18.4 rule (IPv4 basic ACL view)
rule命令用来为IPv4基本ACL创建一条规则。
undo rule命令用来为IPv4基本ACL删除一条规则或删除规则中的部分内容。
【命令】
rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { source-address source-wildcard | any } | time-range time-range-name ] *
undo rule rule-id [ counting | fragment | logging | source | time-range ] *
undo rule [ rule-id ] { deny | permit } [ counting | fragment | logging | source { source-address source-wildcard | any } | time-range time-range-name ] *
【缺省情况】
IPv4基本ACL内不存在任何规则。
【视图】
配置模板—IPv4基本ACL视图
【缺省用户角色】
network-admin
【参数】
rule-id:指定IPv4基本ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将从规则编号的起始值开始,自动分配一个大于现有最大编号的步长最小倍数。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
counting:表示开启规则匹配软件统计功能,缺省为关闭。
fragment:表示仅对非首片分片报文有效,而对非分片报文和首片分片报文无效。若未指定本参数,表示该规则对非分片报文和分片报文均有效。
logging:表示记录规则匹配报文的日志信息,包括匹配报文的规则和匹配报文的个数。该功能需要使用该ACL的模块支持日志记录功能,例如报文过滤。
source { source-address source-wildcard | any }:指定规则的源IP地址信息。source-address表示报文的源IP地址,source-wildcard表示源IP地址的通配符掩码(为0表示主机地址),any表示任意源IP地址。
time-range time-range-name:指定本规则生效的时间段。time-range-name表示时间段的名称,为1~63个字符的字符串,不区分大小写。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。
【使用指导】
使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。
当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。
删除规则时需要注意的是:
· 使用undo rule rule-id命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
· undo rule [ rule-id ] { deny | permit }命令无法删除规则中的部分内容,使用undo rule { deny | permit }命令时,必须输入已存在规则的完整形式。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下IPv4基本ACL 2000创建规则如下:仅允许来自10.0.0.0/8、172.17.0.0/16和192.168.1.0/24网段的报文通过,而拒绝来自所有其它网段的报文通过。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] acl basic 2000
[Sysname-config-profile-ap1-acl-ipv4-basic-2000] rule permit source 10.0.0.0 0.255.255.255
[Sysname-config-profile-ap1-acl-ipv4-basic-2000] rule permit source 172.17.0.0 0.0.255.255
[Sysname-config-profile-ap1-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Sysname-config-profile-ap1-acl-ipv4-basic-2000] rule deny source any
A.18.5 rule (Layer 2 ACL view)
rule命令用来为二层ACL创建一条规则。
undo rule命令用来为二层ACL删除一条规则或删除规则中的部分内容。
【命令】
rule [ rule-id ] { deny | permit } [ cos dot1p | counting | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
undo rule rule-id [ counting | time-range ] *
undo rule [ rule-id ] { deny | permit } [ cos dot1p | counting | dest-mac dest-address dest-mask | { lsap lsap-type lsap-type-mask | type protocol-type protocol-type-mask } | source-mac source-address source-mask | time-range time-range-name ] *
【缺省情况】
二层ACL内不存在任何规则。
【视图】
配置模板—二层ACL视图
【缺省用户角色】
network-admin
【参数】
rule-id:指定二层ACL规则的编号,取值范围为0~65534。若未指定本参数,系统将从规则编号的起始值开始,自动分配一个大于现有最大编号的步长最小倍数。譬如现有规则的最大编号为28,步长为5,那么自动分配的新编号将是30。
deny:表示拒绝符合条件的报文。
permit:表示允许符合条件的报文。
cos dot1p:指定802.1p优先级。dot1p表示802.1p优先级,可输入的形式如下:
· 数字:取值范围为0~7;
· 名称:best-effort、background、spare、excellent-effort、controlled-load、video、voice和network-management,依次对应于数字0~7。
counting:表示开启规则匹配软件统计功能,缺省为关闭。
dest-mac dest-address dest-mask:指定目的MAC地址范围。dest-address表示目的MAC地址,格式为H-H-H。dest-mask表示目的MAC地址的掩码,格式为H-H-H。
lsap lsap-type lsap-type-mask:指定LLC封装中的DSAP字段和SSAP字段。lsap-type表示数据帧的封装格式,取值范围为十六进制数0~ffff。lsap-type-mask表示LSAP的类型掩码,用于指定屏蔽位,取值范围为十六进制数0~ffff。
type protocol-type protocol-type-mask:指定链路层协议类型。protocol-type表示数据帧类型,对应Ethernet_II类型和Ethernet_SNAP类型帧中的type域,取值范围为十六进制数0~ffff。protocol-type-mask表示类型掩码,用于指定屏蔽位,取值范围为十六进制数0~ffff。
source-mac source-address source-mask:指定源MAC地址范围。source-address表示源MAC地址,格式为H-H-H。source-mask表示源MAC地址的掩码,格式为H-H-H。
time-range time-range-name:指定本规则生效的时间段。time-range-name表示时间段的名称,为1~63个字符的字符串,不区分大小写。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。
【使用指导】
使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
新创建或修改的规则不能与已有规则的内容完全相同,否则将提示出错,并导致该操作失败。
当ACL的规则匹配顺序为配置顺序时,允许修改该ACL内的任意一条已有规则;当ACL的规则匹配顺序为自动排序时,不允许修改该ACL内的已有规则,否则将提示出错。
删除规则时需要注意的是:
· 使用undo rule rule-id命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
· undo rule [ rule-id ] { deny | permit }命令无法删除规则中的部分内容,使用undo rule { deny | permit }命令时,必须输入已存在规则的完整形式。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下的二层ACL 4000创建规则如下:允许ARP报文通过,但拒绝RARP报文通过。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] acl mac 4000
[Sysname-config-profile-ap1-acl-mac-4000] rule permit type 0806 ffff
[Sysname-config-profile-ap1-acl-mac-4000] rule deny type 8035 ffff
rule comment命令用来为规则配置描述信息。
undo rule comment命令用来删除指定规则的描述信息。
【命令】
rule rule-id comment text
undo rule rule-id comment
【缺省情况】
规则没有描述信息。
【视图】
配置模板—IPv4基本ACL视图/IPv4高级ACL视图
配置模板—二层ACL视图
【缺省用户角色】
network-admin
【参数】
rule-id:指定规则的编号,该规则必须存在。取值范围为0~65534。
text:表示规则的描述信息,为1~127个字符的字符串,区分大小写。
【使用指导】
使用rule comment命令时,如果指定的规则没有描述信息,则为其添加描述信息,否则修改其描述信息。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下的IPv4基本ACL 2000配置规则0,并为该规则配置描述信息。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] acl basic 2000
[Sysname-config-profile-ap1-acl-ipv4-basic-2000] rule 0 deny source 1.1.1.1 0
[Sysname-config-profile-ap1-acl-ipv4-basic-2000] rule 0 comment This rule is used on gigabitethernet 1/0/1
step命令用来配置规则编号的步长。
undo step命令用来恢复缺省情况。
【命令】
step step-value
undo step
【缺省情况】
规则编号的步长为5,起始值为0。
【视图】
配置模板—IPv4基本ACL视图/IPv4高级ACL视图
配置模板—二层ACL视图
【缺省用户角色】
network-admin
【参数】
step-value:表示规则编号的步长值,取值范围为1~20。
【使用指导】
系统为规则自动分配编号的方式如下:系统从规则编号的起始值开始,自动分配一个大于现有最大编号的步长最小倍数。譬如原有编号为0、5、9、10和12的五条规则,步长为5,此时如果创建一条规则且不指定编号,那么系统将自动为其分配编号15。
如果步长发生了改变,ACL内原有全部规则的编号都将自动从规则编号的起始值开始按步长重新排列。譬如,某ACL内原有编号为0、5、9、10和15的五条规则,当修改步长为2之后,这些规则的编号将依次变为0、2、4、6和8。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下的IPv4基本ACL 2000的规则编号的步长配置为2。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] acl basic 2000
[Sysname-config-profile-ap1-acl-ipv4-basic-2000] step 2
A.19 QoS命令
qos trust命令用来配置端口优先级信任模式。
undo qos trust命令用来恢复缺省情况。
【命令】
qos trust { dot1p | dscp }
undo qos trust
【缺省情况】
不信任报文中的任何优先级,信任端口优先级。
【视图】
配置模板—接口视图
【缺省用户角色】
network-admin
【参数】
dot1p:信任报文自带的802.1p优先级,以此优先级进行优先级映射。
dscp:信任IP报文自带的DSCP,以此优先级进行优先级映射。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下创建接口GigabitEthernet1/0/1并在该接口上配置优先级信任模式为信任报文自带的802.1p优先级。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] qos trust dot1p
qos priority命令用来配置端口的端口优先级。
undo qos priority命令用来恢复端口优先级为缺省值。
【命令】
qos priority priority-value
undo qos priority
【缺省情况】
端口优先级为0。
【视图】
配置模板—接口视图
【缺省用户角色】
network-admin
【参数】
priority-value:端口优先级值。取值范围为0~7。
【举例】
# 创建名称为ap1的配置模板,并在该配置模板下创建接口GigabitEthernet1/0/1端口优先级为2。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] interface gigabitethernet 1/0/1
[Sysname-config-profile-ap1-GigabitEthernet1/0/1] qos priority 2
A.20 APR命令
destination命令用来配置自定义NBAR规则匹配的目的IP地址网段。
undo destination命令用来恢复缺省情况。
【命令】
destination ip ipv4-address [ mask-length ]
undo destination
【缺省情况】
NBAR规则匹配所有目的IP地址网段。
【视图】
配置模版—NBAR规则视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定匹配的目的IPv4地址或网段,为点分十进制格式。
mask-length:子网掩码长度,取值范围为0~32。如果未指定本参数,则默认子网掩码长度为32。
【使用指导】
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 创建名为ap1的配置模板,配置NBAR规则abcd匹配的目的IP地址网段为192.168.1.0/24。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] nbar application abcd protocol http
[Sysname-config-profile-ap1-nbar-application-abcd] destination ip 192.168.1.0 24
nbar application命令用来创建自定义NBAR规则,并进入NBAR规则视图。如果指定的NBA规则已经存在,则直接进入NBAR规则视图。
undo nbar application命令用来删除指定的自定义NBAR规则。
【命令】
nbar application application-name protocol { http | tcp | udp }
undo nbar application application-name
【缺省情况】
不存在自定义NBAR规则。
【视图】
配置模版视图
【缺省用户角色】
network-admin
【参数】
application-name:指定自定义NBAR规则的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”、“other”和系统预定义应用的名称。
http:表示该规则用于识别基于HTTP协议的报文。
tcp:表示该规则用于识别基于TCP协议的报文。
udp:表示该规则用于识别基于UDP协议的报文。
【使用指导】
如果APR特征库中预定义应用不能满足用户需求,可以使用本命令自定义NBAR规则,以及配置该规则的属性和特征。
【举例】
# 在配置模版ap1视图下,创建名称为bcde的自定义NBAR规则,并指定该规则用于识别基于HTTP协议的报文。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] nbar application bcde protocol http
[Sysname-config-profile-ap1-nbar-application-bcde]
service-port命令用来配置自定义NBAR规则匹配的端口号。
undo service-port命令用来恢复缺省情况。
【命令】
service-port { port-num | range start-port end-port }
undo service-port
【缺省情况】
NBAR规则匹配所有端口号。
【视图】
配置模版—NBAR规则视图
【缺省用户角色】
network-admin
【参数】
port-num:指定规则匹配的端口号,取值范围为0~65535。
range:指定规则匹配的端口号范围。
start-port:表示起始端口号,取值范围为0~65535。
end-port:表示终止端口号,取值范围为0~65535。
【使用指导】
本命令配置的端口号用来匹配报文的目的端口。
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 创建名为ap1的配置模板,配置NBAR规则abcd的端口号范围为2001~2004。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] nbar application abcd protocol http
[Sysname-config-profile-ap1-nbar-application-abcd] service-port range 2001 2004
signature命令用来创建自定义NBAR规则的特征。
undo signature命令用来删除自定义NBAR规则的特征。
【命令】
signature signature-id [ field field-name ] [ offset offset-value ] { hex hex-vector | regex regex-pattern | string string }
undo signature signature-id
【缺省情况】
未配置自定义NBAR规则的特征。
【视图】
配置模版—NBAR规则视图
【缺省用户角色】
network-admin
【参数】
signature-id:指定NBAR规则特征的编号。取值范围为1~65535。
field field-name:表示在指定的协议域中匹配特征,field-name表示协议域名称,且这些协议域是系统预定义的,不可自定义。只有基于HTTP协议的NBAR规则中的特征才能指定协议域,不指定协议域表示在整个HTTP报文中匹配特征。
offset offset-value:表示在数据起始位置的偏移指定字节后的内容中去匹配特征,offset-value表示字节偏移量,取值范围为0~65535,单位为字节。如果未指定本参数,将从数据起始位置后的所有内容中去匹配特征。如果指定了协议域,则偏移值从协议域的起始位置计算。
hex hex-vector:指定16进制向量特征。取值范围为8~126个字符的字符串,且字符个数必须为偶数,输入参数必须在两个竖杠(|)之间。
regex regex-pattern:指定正则表达式特征,为3~123个字符的字符串,支持所有可输入字符,区分大小写。
string string:指定字符串特征,为3~126个字符的字符串,支持所有可输入字符,区分大小写。
【使用指导】
对于一个自定义应用,允许配置多个特征(特征编号不同),特征可以是字符串、16进制向量或者正则表达式,不同特征之间是逻辑或的关系。
特征编号相同时,多次执行本命令,最后一次执行的命令生效。
正则表达式有如下限制:
· 总的分支不能超过四个。例如'abc(c|d|e|\x3D)'有效,'abc(c|onreset|onselect|onchange|style\x3D)'无效。
· 括号不能嵌套,即括号中不能有括号。例如'ab((abcs*?))'无效。
· 分支不支持串联,即分支后面不能有分支。例如'ab(a|b)(c|d)^\\r\\n]+?'无效。
· 零次重复量词'*'和'?'前面必须有四个确定字符。例如'abc*'无效,'abcd*DoS\x2d\d{5}\x20\x2bxi\\r\\nJOIN'有效。
【举例】
# 创建名为ap1的配置模板,在名为abcd的自定义NBAR规则中创建编号为1的自定义NBAR规则特征,配置字符串特征为abcdefg。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] nbar application bcde protocol http
[Sysname-config-profile-ap1-nbar-application-bcde] signature 1 string abcdefg
[Sysname-config-profile-ap1-nbar-application-bcde]
source命令用来配置自定义NBAR规则匹配的源IP地址网段。
undo source命令用来恢复缺省情况。
【命令】
source ip ipv4-address [ mask-length ]
undo source
【缺省情况】
NBAR规则匹配所有源IP地址网段。
【视图】
配置模版—NBAR规则视图
【缺省用户角色】
network-admin
【参数】
ip ipv4-address:指定匹配的源IPv4地址或网段,为点分十进制格式。
mask-length:子网掩码长度,取值范围为0~32。
【使用指导】
在同一个NBAR规则视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 创建名为ap1的配置模板,配置自定义NBAR规则abcd匹配的源IP地址网段为192.168.2.0/24。
<Sysname> system-view
[Sysname] configuration profile ap1 model WA6320
[Sysname-config-profile-ap1] nbar application abcd protocol http
[Sysname-config-profile-ap1-nbar-application-abcd] source ip 192.168.2.0 24
configuration-profile命令用来指定AP引用的配置模板。
undo configuration-profile命令用来恢复缺省情况。
【命令】
configuration-profile profile-name
undo configuration-profile
【缺省情况】
未指定AP引用的配置模板。
【视图】
AP视图
AP组ap-model视图
【缺省用户角色】
network-admin
【参数】
profile-name:配置模板的名称,为1~64个字符的字符串,可以包含字母、数字、下划线、“.”、“[”、“]”、“/”及“-”,区分大小写。
【使用指导】
通过本命令指定AP引用的配置模板后,AC会将配置模板中的配置批量下发到AP上。配置undo configuration-profile命令后,AC会将已下发到AP的配置模板中的配置恢复为出厂配置。
【举例】
# 指定AP引用的配置模板为profile1。(AP视图)
<Sysname> system-view
[Sysname] wlan ap ap1 model WA6320
[Sysname-wlan-ap-ap1] configuration-profile profile1
# 指定AP组下AP引用的配置模板为profile1。(AP组ap-model视图)
<Sysname> system-view
[Sysname] wlan ap-group apgroup1
[Sysname-wlan-ap-group-apgroup1] ap-model WA6320
[Sysname-wlan-ap-group-apgroup1-ap-model-WA6320] configuration-profile profile1
【相关命令】
· configuration profile
支持
