02-Context命令
本章节下载: 02-Context命令 (221.05 KB)
1.1.4 capability object-policy-rule maximum
1.1.5 capability session maximum
1.1.11 display blade-controller-team
1.1.13 display context interface
1.1.14 display context resource
1.1.19 location blade-controller
1.1.20 location blade-controller-team (Context view)
1.1.21 reset blade-controller-team
allocate interface命令用来为Context分配接口。
undo allocate interface命令用来取消为Context分配的接口。
【命令】
allocate interface { interface-type interface-number }&<1-24> [ share ]
undo allocate interface { interface-type interface-number }&<1-24>
allocate interface interface-type interface-number1 to interface-type interface-number2 [ share ]
undo allocate interface interface-type interface-number1 to interface-type interface-number2
【缺省情况】
设备上的所有接口都属于缺省Context,不属于任何非缺省Context。(集中式防火墙/分布式防火墙/防火墙IRF)
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
{ interface-type interface-number }&<1-24>:表示给Context分配非连续的接口。interface-type interface-number表示接口类型和编号,&<1-24>表示前面的参数最多可以输入24次。
interface-type interface-number1 to interface-type interface-number2:表示给Context分配一组连续的接口。其中,interface-type表示接口类型,interface-number1表示起始接口的编号,interface-number2表示结束接口的编号。起始接口和结束接口的类型必须相同,并且处于同一接口板上,否则将配置失败。
share:表示接口是否共享。不指定该参数表示独占。
【使用指导】
物理接口和逻辑接口均可以独占或共享方式分配给某个Context。
· 独占方式分配(不带share参数)。使用该方式分配的接口仅归该Context所有、使用。用户登录该Context后,能查看到该接口,并执行接口支持的所有命令。
· 共享方式分配(带share参数)。使用该方式分配的接口归多个Context所有、使用。在缺省Context内仍然存在该接口,可执行接口支持的所有命令;在分配给的非缺省Context内,会新建同名接口,用户登录这些Context后,能查看到该接口,但只能执行shutdown、description、以及网络/安全相关的命令。
· 当设备运行在IRF模式时,禁止将IRF物理端口分配给自定义Context。
· 当三层子接口作为冗余口的成员端口时,禁止把其主接口共享给自定义Context。
【举例】
# 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/3以共享的方式分配给context sub1。
<Sysname> system-view
[Sysname] context sub1
[Sysname-context-2-sub1] allocate interface gigabitethernet 1/0/1 gigabitethernet 1/0/3 share
The interfaces will be shared by contexts. Continue? [Y/N]:y
allocate vlan命令用来为Context分配VLAN。
undo allocate vlan命令用来取消为Context分配的VLAN。
【命令】
allocate vlan vlan-id&<1-24>
undo allocate vlan vlan-id&<1-24>
allocate vlan vlan-id1 to vlan-id2
undo allocate vlan vlan-id1 to vlan-id2
【缺省情况】
没有为Context分配VLAN。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
vlan-id&<1-24>:表示给Context分配非连续的VLAN。vlan-id表示VLAN的编号,&<1-24>表示前面的参数最多可以输入24次。
vlan-id1 to vlan-id2:表示给Context分配一组连续的VLAN。其中,vlan-id1表示起始VLAN的编号,vlan-id2表示结束VLAN的编号。
【使用指导】
创建Context时,通过vlan-unshared参数可选择是否和其它Context共享VLAN:
· 如果选择和其它Context共享VLAN,可以通过本命令将设备上存在的静态VLAN分配给非缺省Context。共享VLAN由多个Context共同所有。VLAN被分配后,用户须在缺省Context内对该VLAN配置,非缺省Context内不能配置该VLAN,只能查看该VLAN的相关信息。
· 如果选择不和其它Context共享VLAN,请登录该Context,并使用vlan命令创建VLAN 1~VLAN 4094。Context各自使用和管理VLAN,互不干扰。
【举例】
# 将VLAN100分配给context sub1。
<Sysname> system-view
[Sysname] context sub1
[Sysname-context-2-sub1] allocate vlan 100
The VLAN will be allocated to context sub1. Continue? [Y/N]:y
【相关命令】
· display context vlan
blade-controller-team命令用来创建安全引擎组,并进入安全引擎组视图。如果指定的安全引擎组已经存在,则直接进入安全引擎组视图。
undo blade-controller-team命令用来删除指定的安全引擎组。
【命令】
blade-controller-team blade-controller-team-name [ id blade-controller-team-id ]
undo blade-controller-team { blade-controller-team-name | id blade-controller-team-id }
设备各款型对于本节所描述的命令支持情况有所不同,详细差异信息如下:
型号 |
命令 |
描述 |
T9006/T9010/T9014 |
blade-controller-team |
支持 |
T5010/T5020 |
不支持 |
|
T1020/T1030/T1050/T1060/T1080 |
不支持 |
|
LSWM1IPSD0 |
不支持 |
【缺省情况】
存在安全引擎组,名称为Default,编号为1。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
blade-controller-team-name:安全引擎组的名称,为1~31个字符的字符串,区分大小写。
id blade-controller-team-id:安全引擎组的编号,取值范围为2~256。不指定该参数时,系统会自动分配一个当前空闲的最小编号。
【使用指导】
缺省安全引擎组不能创建、删除,且不能进入缺省安全引擎组的视图。
当删除安全引擎组时,如果该组中有进驻的安全引擎,请先用undo location blade-controller命令取消进驻后,再删除该组。
【举例】
# 创建名为abc的安全引擎组,并进入安全引擎组视图。
<sysname> system-view
[sysname] blade-controller-team abc
[sysname-blade-controller-team-3-abc]
capability object-policy-rule maximum命令用来设置Context的对象策略规则总数限制。
undo capability object-policy-rule maximum命令用来恢复缺省情况。
【命令】
capability object-policy-rule maximum max-number
undo capability object-policy-rule maximum
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-number:表示Context内可配置的对象策略规则最大数目。
【使用指导】
配置本命令后,该Context已进驻的每个安全引擎上都将获得相同的对象策略规则总数限制。
当规则总数达到最大值时,不能新增规则。
如果当前设置的最大值比之前设置的最大值小,则可能存在最大值比当前存在的规则总数小的情况,但配置仍会成功,多出的规则不会删除,后续不能新增规则。
【举例】
# 配置Context的安全策略规则数最多为1000条。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability object-policy-rule maximum 1000
【相关命令】
· display object-policy ip(安全命令参考/对象策略)
capability session maximum命令用来设置Context的单播会话并发数限制。
undo capability session maximum命令用来恢复缺省情况。
【命令】
capability session maximum max-number
undo capability session maximum
【缺省情况】
未对该Context允许的单播会话并发数进行限制,由该Context上各安全引擎当前的内存能力决定。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-number:允许同时存在的最大单播会话数目,取值范围为1~4294967295。
【使用指导】
配置本命令后,该Context己进驻的每个安全引擎都将获得相同的会话并发数限制。当安全引擎上的会话总数达到最大数目后,该安全引擎上将不允许新建会话;如果本次设置的数值小于当前安全引擎上的会话总数,则配置可以成功,但不再允许新建会话,且已经创建的会话不会被删除,直到已建立的会话通过老化机制使得会话总数低于配置的最大值后,系统才允许新建会话。
【举例】
# 配置Context cnt2上的单播会话并发数为1000000。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability session maximum 1000000
【相关命令】
· context
· display session statistics(安全命令参考/会话管理)
capability session rate命令用来设置Context的会话新建速率限制。
undo capability session rate命令用来恢复缺省情况。
【命令】
capability session rate max-value
undo capablility session rate
【缺省情况】
未对该Context允许的会话新建速率进行限制,由该Context上各安全引擎当前的内存能力决定。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-value:允许的会话新建速率最大值,单位为每秒会话个数。
【使用指导】
配置本命令后,该Context己进驻的每个安全引擎都将获得相同的会话新建速率限制。当安全引擎上的会话新建速率达到最大值后,该安全引擎上将不允许新建会话。
【举例】
# 配置Context cnt2上的会话新建速率最大值为每秒20000个会话数。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability session rate 20000
【相关命令】
· context
· display session statistics(安全命令参考/会话管理)
capability throughput命令用来设置Context的吞吐量限制。
undo capability throughput命令用来恢复缺省情况。
capability throughput { kbps | pps } value
设备各款型对于本节所描述的命令支持情况有所不同,详细差异信息如下:
型号 |
命令 |
描述 |
T9006/T9010/T9014 |
capability throughput |
不支持 |
T5010/T5020 |
支持 |
|
T1020/T1030/T1050/T1060/T1080 |
支持 |
|
LSWM1IPSD0 |
支持 |
value:表示吞吐量限制值,取值范围为1000~100000000。
配置本命令后,该Context已进驻的每个安全引擎上都将获得相同的吞吐量限制。
[Sysname-context-2-cnt2] capability throughput kbps 100000
[Sysname-context-2-cnt2] capability throughput pps 10000
context命令用来创建Context,并进入Context视图。如果指定的Context已经存在,则直接进入Context视图。
undo context命令用来删除指定Context。
【命令】
context context-name [ id context-id ] [ vlan-unshared ]
undo context context-name
【缺省情况】
存在缺省Context,名称为Admin,编号为1。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
context-name:Context的名称,为1~15个字符的字符串,区分大小写。
context-id:Context的编号,取值范围请见差异信息表。不指定该参数时,系统会自动给Context分配一个当前空闲的最小编号。设备各款型对于本命令所描述的参数支持情况有所不同,详细差异信息如下:
型号 |
参数 |
描述 |
T9006/T9010/T9014 |
context-id |
取值范围为1~65279,设备最大支持创建256个 |
T5010/T5020 |
取值范围为1~257,设备最大支持创建32个 |
|
T1020/T1030/T1050/T1060/T1080 |
· T1020取值范围为1~33,设备最大支持创建16个 · T1030/T1050/T1060取值范围为1~65,设备最大支持创建16个 · T1080取值范围为1~129,设备最大支持创建32个 |
|
LSWM1IPSD0 |
取值范围为1~257,设备最大支持创建256个 |
vlan-unshared:不和其它Context共享VLAN。不指定该参数时,表示和其它Context共享VLAN。
【使用指导】
创建Context时,通过vlan-unshared参数可选择是否和其它Context共享VLAN:
· 如果选择和其它Context共享VLAN,需要在缺省Context内创建并配置VLAN,再分配给非缺省Context。共享VLAN由多个Context共同所有。
· 如果选择不和其它Context共享VLAN,请登录该Context,并使用vlan命令创建VLAN 1~VLAN 4094。Context各自使用和管理VLAN,互不干扰。
【举例】
# 创建一个名称为test的Context。
<Sysname> system-view
[Sysname] context test
[Sysname-context-2-test]
# 创建一个名称为test,ID为2的Context。
<Sysname> system-view
[Sysname] context test id 2
[Sysname-context-2-test]
context start命令用来启动Context。
undo context start命令用来停止该Context。
【命令】
context start [ force ]
undo context start [ force ]
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
force:强制启动/停止Context。不指定该参数时,表示按正常程序启动Context。
【使用指导】
停止Context会导致该Context的业务中断,以及登录该Context的用户自动退出,请谨慎使用。为避免Context的当前配置丢失,停止Context前请保存Context的配置。
Context创建后需要执行context start命令,才能完成新Context的初始化,相当于上电启动。启动后,用户可以登录到该Context执行配置。
【举例】
# 启动Context cnt2。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] context start
It will take some time to start the context...
Context started successfully.
description命令用来配置Context的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
缺省Context描述信息为DefaultContext。非缺省Context没有描述信息。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:Context的描述信息,为1~255个字符的字符串,区分大小写。
【使用指导】
当设备上配置的Context较多时,用户可以为Context配置特定的描述信息,以便记忆和管理Context。
【举例】
# 将Context的描述信息配置为test。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] description test
display blade-controller-team命令用来显示安全引擎组的信息。
【命令】
display blade-controller-team [ blade-controller-team-name | id blade-controller-team-id ]
设备各款型对于本节所描述的命令支持情况有所不同,详细差异信息如下:
型号 |
命令 |
描述 |
T9006/T9010/T9014 |
display blade-controller-team |
支持 |
T5010/T5020 |
不支持 |
|
T1020/T1030/T1050/T1060/T1080 |
不支持 |
|
LSWM1IPSD0 |
不支持 |
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
blade-controller-team-name:安全引擎组的名称,为1~31个字符的字符串,区分大小写。
id blade-controller-team-id:安全引擎组的编号,取值范围为1~256。
【使用指导】
不指定任何参数时,显示所有安全引擎组的信息。
【举例】
# 显示安全引擎组的信息。
<Sysname> display blade-controller-team
ID Name
1 abc
2 fff
# 显示名称为abc的安全引擎组的信息。(分布式设备-独立运行模式/集中式IRF设备)
<Sysname> display blade-controller-team abc
ID: 2 Name: abc
Slot CPU Status
1 1 Absent
* 1 1 Normal
* : Primary blade controller of the team.
# 显示名称为abc的安全引擎组的信息。(分布式设备-IRF模式)
<Sysname> display blade-controller-team abc
ID: 2 Name: abc
Chassis Slot CPU Status
1 1 1 Absent
* 1 7 1 Normal
* : Primary blade controller of the team.
表1-1 display blade-controller-team命令显示信息描述表
字段 |
描述 |
ID |
安全引擎组的编号 |
Name |
安全引擎组的名称 |
Chassis |
安全引擎所在设备的成员编号(分布式设备-IRF模式) |
Slot |
安全引擎所在的槽位号 |
CPU |
安全引擎的CPU号 |
Status |
安全引擎的状态: · Absent:表示该位置没有插入安全引擎 · Fault:表示该节点的单板不能正常启动 · Normal:表示该位置的安全引擎运行正常 |
* : Primary blade controller of the team. |
*表示安全引擎组的主安全引擎 |
display context命令用来显示已经创建的Context的信息,包括编号和状态等。
【命令】
display context [ name context-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name context-name:Context的名称,为1~15个字符的字符串,区分大小写。
【使用指导】
在缺省Context中,可使用name context-name参数查看指定Context的信息。不指定name context-name参数时,则显示设备上创建的所有Context的信息。
【举例】
# 显示已经创建的Context的信息。
<Sysname> display context
ID Name Status BelongTo Description
1 cnt1 active Admin context1
2 cnt2 inactive Admin context2
3 cnt3 inactive Admin context3
表1-2 display context命令显示信息描述表
字段 |
描述 |
ID |
Context的编号 |
Name |
Context的名称 |
Status |
Context的状态: · active:表示Context正常运行 · inactive:表示Context处于未启动状态 · starting:表示Context正在启动 · updating:表示正在将Context加入安全引擎组 · stopping:表示Context正在停止 |
Description |
Context描述信息 |
display context interface命令用来显示Context的接口列表。
【命令】
display context [ name context-name ] interface
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name context-name:Context的名称,为1~15个字符的字符串,区分大小写。
【使用指导】
在缺省Context中,可使用name context-name参数查看指定Context的接口列表;不指定name context-name参数时,则显示设备上创建的所有Context的接口列表。
【举例】
# 显示所有Context的接口列表。
<Sysname> display context interface
Context stub1's interfaces:
GigabitEthernet0/1/4
Context stub2's interfaces:
FortyGigE0/1/8
【相关命令】
· allocate interface
display context resource命令用来显示Context对CPU/磁盘/内存资源的使用情况。
【命令】
分布式设备-独立运行模式/集中式IRF设备:
display context [ name context-name ] resource [ cpu | disk | memory ] [ slot slot-number cpu cpu-number ]
分布式设备-IRF模式:
display context [ name context-name ] resource [ cpu | disk | memory ] [ chassis chassis-number slot slot-number cpu cpu-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name context-name:显示指定Context对CPU/磁盘/内存资源的使用情况。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。
cpu:显示Context对CPU的使用情况。
disk:显示Context对磁盘的使用情况。
memory:显示Context对内存的使用情况。
slot slot-number cpu cpu-number:显示Context对指定安全引擎的CPU/磁盘/内存资源的使用情况,slot-number表示安全引擎所在的槽位号,cpu-number表示安全引擎的CPU的编号。不指定该参数时,显示Context对所有安全引擎的CPU/磁盘/内存资源的使用情况。(分布式设备-独立运行模式)
slot slot-number cpu cpu-number:显示Context对指定成员设备上安全引擎的CPU/磁盘/内存资源的使用情况,slot-number表示设备在IRF中的成员编号,cpu-number表示安全引擎的CPU的编号。不指定该参数时,显示Context对所有安全引擎的CPU/磁盘/内存资源的使用情况。(集中式IRF设备)
chassis chassis-number slot slot-number cpu cpu-number:显示Context对指定成员设备安全引擎的CPU/磁盘/内存资源的使用情况,chassis-number表示设备在IRF中的成员编号,slot-number表示安全引擎所在的槽位号,cpu-number表示安全引擎的CPU的编号。不指定该参数时,显示Context对IRF中所有安全引擎的CPU/磁盘/内存资源的使用情况。(分布式设备-IRF模式)
【举例】
# 显示Context对所有安全引擎上CPU资源的使用情况。(分布式设备-独立运行模式/集中式IRF设备)
<Sysname> display context resource cpu
CPU usage:
Slot 2 CPU 1:
ID Name Weight Usage(%)
1 cnt1 10 24
2 cnt2 10 0
Slot 3 CPU 1:
ID Name Weight Usage(%)
1 cnt3 10 0
2 cnt4 10 0
# 显示Context对所有安全引擎上CPU资源的使用情况。(分布式设备-IRF模式)
<Sysname> display context resource cpu
CPU usage:
Chassis 1 slot 2 CPU 1:
ID Name Weight Usage(%)
1 cnt1 10 24
2 cnt2 10 0
Chassis 1 slot 3 CPU 1:
ID Name Weight Usage(%)
1 cnt3 10 0
2 cnt4 10 0
表1-3 display context resource命令显示信息描述表
字段 |
描述 |
Memory |
表示下面显示的是内存的使用情况 |
CPU |
表示下面显示的是CPU的使用情况 |
Disk |
表示下面显示的是磁盘的使用情况 |
Slot 2 CPU 1 |
表示Context对指定安全引擎上资源的使用情况(分布式设备-独立运行模式) |
Slot 2 CPU 1 |
表示Context对指定安全引擎上资源的使用情况(集中式IRF设备) |
Chassis 1 slot 2 CPU 1 |
表示Context对指定安全引擎上资源的使用情况(分布式设备-IRF模式) |
Used 238.1MB, Free 249.3MB, Total 487.4MB |
内存的使用情况,Used表示内存已使用空间的大小(单位为MB),Free表示当前空闲内存的大小(单位为MB),Total表示整个内存大小(单位为MB)。如果Context没有启动,则Used会显示为0 |
Cfa0: Used 0MB, Free 61MB, Total 61MB |
Cfa0表示磁盘的名称,Used表示整个磁盘已使用空间的大小(单位为MB),Free表示整个磁盘当前空闲空间的大小(单位为MB),Total表示整个磁盘空间大小(单位为MB)。如果Context没有启动,则Used会显示为0 |
ID |
Context的编号 |
name |
Context的名称 |
Weight |
Context使用CPU的权重值 |
Usage(%) |
Context对CPU的实际占用率,用百分比表示 |
Quota(MB) |
Context使用磁盘/内存的限制值,单位为MB |
Used(MB) |
Context当前已使用的磁盘/内存空间的大小,单位为MB |
Free(MB) |
Context还可以使用的磁盘/内存空间的大小,单位为MB |
display context vlan命令用来显示Context的VLAN列表。
【命令】
display context [ name context-name ] vlan
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name context-name:Context的名称,为1~15个字符的字符串,区分大小写。
【使用指导】
在缺省Context中,可使用name context-name参数查看指定Context的VLAN列表;不指定name context-name参数时,则显示设备上创建的所有Context的VLAN列表。
【举例】
# 显示所有Context的VLAN列表。
<Sysname> display context vlan
Context stub1's VLAN(s):
Context stub2's VLAN(s):
2,4094
Context stub3's VLAN(s):
5,6,800-3000,3400
# 显示Context sub1的VLAN列表。
<Sysname> display context name sub1 vlan
Context stub1's VLAN(s):
5,6,11-23,3400
【相关命令】
· allocate vlan
limit-resource cpu命令用来配置Context的CPU权重。
undo limit-resource cpu命令用来恢复缺省情况。
【命令】
limit-resource cpu weight weight-value
undo limit-resource cpu
【缺省情况】
各Context的CPU权重均为10。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
weight weight-value:表示Context在指定安全引擎上的CPU权重,取值范围为1~10。系统根据Context的权重为Context分配CPU时间。
【使用指导】
进驻到同一安全引擎的Context共享该安全引擎的CPU资源。配置本命令后,Context在己进驻的安全引擎上都将获得相同的CPU权重。
【举例】
# 配置Context的CPU权重为2。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource cpu weight 2
limit-resource disk命令用来配置Context可使用的磁盘空间上限(用百分比表示)。
undo limit-resource disk命令用来恢复缺省情况。
【命令】
分布式设备-独立运行模式/集中式IRF设备:
limit-resource disk slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource disk slot slot-number cpu cpu-number
分布式设备-IRF模式:
limit-resource disk chassis chassis-number slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource disk chassis chassis-number slot slot-number cpu cpu-number
【缺省情况】
进驻到同一安全引擎的所有Context共享该安全引擎的所有磁盘空间,每个Context可使用的磁盘空间上限为该安全引擎的空闲磁盘空间值。(分布式设备-独立运行模式/集中式IRF设备/分布式设备-IRF模式)
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number cpu cpu-number:表示安全引擎所在的位置,其中,slot-number表示安全引擎所在的槽位号,cpu-number表示安全引擎的CPU的编号。(分布式设备-独立运行模式)
slot slot-number cpu cpu-number:表示成员设备安全引擎所在的位置,其中,slot-number表示安全引擎所在的设备的成员编号,cpu-number表示安全引擎的CPU的编号。(集中式IRF设备)
chassis chassis-number slot slot-number cpu cpu-number:表示成员设备安全引擎所在的位置,其中,chassis-number表示安全引擎所在的设备的成员编号,slot-number表示安全引擎所在的槽位号,cpu-number表示安全引擎的CPU的编号。(分布式设备-IRF模式)
ratio limit-ratio:表示Context在指定安全引擎上最多可使用的磁盘空间大小与该安全引擎整个磁盘空间大小的百分比,取值范围为1~100。
【使用指导】
缺省情况下,所有的Context共享已进驻的安全引擎的所有磁盘空间。只要磁盘物理空间足够,就可以无限制使用。为了防止单个Context过多的占用磁盘而影响其它Context,特别是为防止异常情况下对磁盘的占用,可以为指定的Context配置磁盘上限。
请在Context启动后配置磁盘上限。执行limit-resource disk命令前,请使用display context resource命令查看Context当前实际已经使用的磁盘空间大小。配置值应大于Context当前实际已经使用的磁盘空间大小,否则,会导致Context申请新的磁盘空间失败,从而无法进行文件夹创建、文件拷贝和保存等操作。
如果设备上有多块磁盘,该命令对所有磁盘生效。
【举例】
# 配置Context cnt2最多可使用3号单板上安全引擎磁盘空间的20%。(分布式设备-独立运行模式)
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource disk slot 3 cpu 1 ratio 20
# 配置Context cnt2最多可使用2号成员设备上安全引擎磁盘空间的30%。(集中式IRF设备)
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource disk slot 2 cpu 1 ratio 30
# 配置Context cnt2最多可使用2号成员设备3号单板上安全引擎磁盘空间的30%。(分布式设备-IRF模式)
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource disk chassis 2 slot 3 cpu 1 ratio 30
limit-resource memory命令用来配置Context可使用的内存空间上限(用百分比表示)。
undo limit-resource memory命令用来恢复到缺省情况。
【命令】
分布式设备-独立运行模式/集中式IRF设备:
limit-resource memory slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource memory slot slot-number cpu cpu-number
分布式设备-IRF模式:
limit-resource memory chassis chassis-number slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource memory chassis chassis-number slot slot-number cpu cpu-number
【缺省情况】
进驻到同一安全引擎的所有Context共享该安全引擎的所有内存空间,每个Context可使用的内存空间上限为该安全引擎的空闲内存空间值。(分布式设备-独立运行模式/集中式IRF设备/分布式设备-IRF模式)
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number cpu cpu-number:表示安全引擎所在的位置,其中,slot-number表示安全引擎所在的槽位号,cpu-number表示安全引擎的CPU的编号。(分布式设备-独立运行模式)
slot slot-number cpu cpu-number:表示成员设备安全引擎所在的位置,其中,slot-number表示设备的成员编号,cpu-number表示安全引擎的CPU的编号。(集中式IRF设备)
chassis chassis-number slot slot-number cpu cpu-number:表示成员设备安全引擎所在的位置,其中,chassis-number表示安全引擎所在的设备的成员编号,slot-number表示安全引擎所在的槽位号,cpu-number表示安全引擎的CPU的编号。(分布式设备-IRF模式)
ratio limit-ratio:表示Context在指定安全引擎上最多可使用的内存大小与该安全引擎整个内存大小的百分比,取值范围为1~100。
【使用指导】
缺省情况下,所有的Context共享使用已进驻的安全引擎的所有内存空间。只要物理内存足够,就可以无限制使用。为了防止单个Context过多的占用内存而影响其它Context,特别是为防止异常情况下对内存的占用,可以为指定的Context配置内存上限。
请在Context启动后再配置内存上限,并且配置的上限值不应过小,以免Context内业务申请不到内存而引起功能异常。
【举例】
# 配置Context cnt2最多可使用1号单板安全引擎内存的30%。(分布式设备-独立运行模式)
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource memory slot 1 cpu 1 ratio 30
# 配置Context cnt2最多可使用2号成员设备安全引擎内存的30%。(集中式IRF设备)
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource memory slot 2 cpu 1 ratio 30
# 配置Context cnt2最多可使用2号成员设备1号单板安全引擎内存的30%。(分布式设备-IRF模式)
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource memory chassis 2 slot 1 cpu 1 ratio 30
location blade-controller命令用来将安全引擎加入安全引擎组。
undo location blade-controller命令用来恢复缺省情况。
【命令】
分布式设备-独立运行模式:
location blade-controller slot slot-number cpu cpu-number
undo location blade-controller slot slot-number cpu cpu-number
分布式设备-IRF模式:
location blade-controller chassis chassis-number slot slot-number cpu cpu-number
undo location blade-controller chassis chassis-number slot slot-number cpu cpu-number
设备各款型对于本节所描述的命令支持情况有所不同,详细差异信息如下:
型号 |
命令 |
描述 |
T9006/T9010/T9014 |
location blade-controller |
支持 |
T5010/T5020 |
不支持 |
|
T1020/T1030/T1050/T1060/T1080 |
不支持 |
|
LSWM1IPSD0 |
不支持 |
【缺省情况】
安全引擎插入时会自动加入缺省安全引擎组。
【视图】
安全引擎组视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:表示安全引擎所在的槽位号。(分布式设备-独立运行模式)
chassis chassis-number:表示安全引擎所在设备的成员编号。(分布式设备-IRF模式)
slot slot-number:表示安全引擎所在的槽位号。(分布式设备-IRF模式)
cpu cpu-number:表示安全引擎的CPU编号。
【使用指导】
将一个已经在位的安全引擎加入安全引擎组,这样的命令会立即生效。
将一个不在位的安全引擎加入安全引擎组,这样的命令会在安全引擎插入后生效。这样的配置方式称为预配置,能够帮助用户先完成配置,再进行硬件部署。使用该方式配置前,请先规划安全引擎即将插入的位置。因为,如果配置的位置误插入非安全引擎,设备会自动将该命令删除,以后插入安全引擎时,需要重新配置。
当前,每个安全引擎组中可加入的安全引擎个数没有限制,但是一个安全引擎只能属于一个安全引擎组。
【举例】
# 将2号槽位上1号CPU的安全引擎加入安全引擎组abc。(分布式设备-独立运行模式)
<sysname> system-view
[sysname] blade-controller-team abc
[Sysname-blade-controller-team-2-abc] location blade-controller slot 2 cpu 1
This operation will also reboot the blade controller. Continue? [Y/N]:y
# 将2号成员设备2号槽位上1号CPU的安全引擎加入安全引擎组abc。(分布式设备-IRF模式)
<sysname> system-view
[sysname] blade-controller-team abc
[Sysname-blade-controller-team-2-abc] location blade-controller chassis 2 slot 2 cpu 1
This operation will also reboot the blade controller. Continue? [Y/N]:y
# 将3号槽位上1号CPU的安全引擎(不在位)加入安全引擎组abc。(分布式设备-独立运行模式)
<sysname> system-view
[sysname] blade-controller-team abc
[Sysname-blade-controller-team-2-abc] location blade-controller slot 3 cpu 1
Operation successed, but the blade controller is absent.
# 将2号成员设备3号槽位上1号CPU的安全引擎(不在位)加入安全引擎组abc。(分布式设备-IRF模式)
<sysname> system-view
[sysname] blade-controller-team abc
[Sysname-blade-controller-team-2-abc] location blade-controller chassis 2 slot 3 cpu 1
Operation successed, but the blade controller is absent.
location blade-controller-team命令用于使Context进驻对应的安全引擎组。
undo location blade-controller-team命令用于将Context从安全引擎组中移除。
【命令】
location blade-controller-team team-id
undo location blade-controller-team team-id
设备各款型对于本节所描述的命令支持情况有所不同,详细差异信息如下:
型号 |
命令 |
描述 |
T9006/T9010/T9014 |
location blade-controller |
支持 |
T5010/T5020 |
不支持 |
|
T1020/T1030/T1050/T1060/T1080 |
不支持 |
|
LSWM1IPSD0 |
不支持 |
【缺省情况】
缺省Context进驻了所有安全引擎组,非缺省Context没有进驻任何安全引擎组。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
team-id:当前已经创建的安全引擎组的编号。
【使用指导】
如果没有进驻安全引擎,即使Context已经启动,Context也没有实际运行的环境,无法运行业务。
Context进驻安全引擎组后,才能使用安全引擎组中安全引擎上的资源,包括CPU、磁盘和内存。
Context和安全引擎组的关系如下:
· 一个Context只能进驻一个安全引擎组。如果该Context已经进驻一个安全引擎组,请先执行undo location blade-controller-team命令退出已进驻的安全引擎组,再配置location blade-controller-team命令,进驻其它安全引擎组。
· 安全引擎组中加入新的安全引擎后,安全引擎组上已进驻的Context会自动进驻到新加入的安全引擎上,不需要再次配置。
【举例】
# 将Context cnt2进驻到安全引擎组2。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] location blade-controller-team 2
【相关命令】
· blade-controller-team
reset blade-controller-team命令用来清除指定安全引擎组中不在位的安全引擎的数据信息。
【命令】
分布式设备-独立运行模式:
reset blade-controller-team team-id member slot slot-number cpu cpu-number
分布式IRF设备:
reset blade-controller-team team-id member chassis chassis-number slot slot-number cpu cpu-number
设备各款型对于本节所描述的命令支持情况有所不同,详细差异信息如下:
型号 |
命令 |
描述 |
T9006/T9010/T9014 |
reset blade-controller-team |
支持 |
T5010/T5020 |
不支持 |
|
T1020/T1030/T1050/T1060/T1080 |
不支持 |
|
LSWM1IPSD0 |
不支持 |
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
team-id:安全引擎所属安全引擎组的编号,取值范围为1~256。可使用display blade-controller-team命令查看。
slot slot-number:表示安全引擎所在的槽位号。(分布式设备-独立运行模式)
chassis chassis-number slot slot-number:chassis-number表示安全引擎所在设备的成员编号,slot-number表示安全引擎所在的槽位号。(分布式IRF设备)
cpu cpu-number:表示安全引擎的CPU编号。
【举例】
# 清除安全引擎组abc中安全引擎(编号为1,所在位置为2号槽位1号CPU)的数据信息。(分布式设备-独立运行模式)
<sysname> reset blade-controller-team 1 member slot 2 cpu 1
This operation will cause a short interruption of NAT session. Are you sure? [Y/N]:y
Erasing the controller data successed.
# 清除安全引擎组abc中安全引擎(编号为1,所在位置为1号成员设备2号槽位1号CPU)的数据信息。(分布式设备-IRF模式)
<sysname> reset blade-controller-team 1 member chassis 1 slot 2 cpu 1
This operation will cause a short interruption of NAT session. Are you sure? [Y/N]:y
Erasing the controller data successed.
switchto context命令用来登录到指定的Context。
【命令】
switchto context context-name
【视图】
系统视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
context-name:已启动的Context的名称。
【使用指导】
只要用户和物理设备之间路由可达,就能使用该命令,通过物理设备和Context的内联接口,登录Context。
【举例】
# 切换到Context test2。
<Sysname> system-view
[Sysname] switchto context test2
******************************************************************************
* Copyright (c) 2004-2016 Hangzhou H3C Tech. Co., Ltd. All rights reserved. *
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Context2>
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!