02-Context命令
本章节下载: 02-Context命令 (192.72 KB)
1.1.3 capability security-policy-rule maximum
1.1.4 capability session maximum
1.1.11 display context interface
1.1.12 display context resource
设备各款型对于本特性的支持情况有所不同,详细差异信息如下:
型号 |
特性 |
描述 |
L5000-C/L5000-S |
Context |
支持 |
L1000-E/L1000-M/L1000-S |
支持 |
|
L1000-AK310/L1000-AK320/L1000-AK330 |
支持 |
|
L100-C/L1000-C |
· L100-C不支持 · L1000-C:支持 |
|
LSU1ADECEA0/LSWM1ADED0/LSQM1ADEDSC0 |
支持 |
对于本文列出的命令,缺省Context均支持,非缺省Context只支持display context interface命令。
allocate interface命令用来为Context分配接口。
undo allocate interface命令用来取消为Context分配的接口。
【命令】
allocate interface { interface-type interface-number }&<1-24> [ share ]
undo allocate interface { interface-type interface-number }&<1-24>
allocate interface interface-type interface-number1 to interface-type interface-number2 [ share ]
undo allocate interface interface-type interface-number1 to interface-type interface-number2
【缺省情况】
设备上的所有接口都属于缺省Context,不属于任何非缺省Context。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
{ interface-type interface-number }&<1-24>:表示给Context分配非连续的接口。interface-type interface-number表示接口类型和编号,&<1-24>表示前面的参数最多可以输入24次。
interface-type interface-number1 to interface-type interface-number2:表示给Context分配一组连续的接口。其中,interface-type表示接口类型,interface-number1表示起始接口的编号,interface-number2表示结束接口的编号。起始接口和结束接口的类型必须相同,并且处于同一接口板上,否则将配置失败。
share:表示接口是否共享。不指定该参数表示独占。
【使用指导】
· 独占方式分配(不带share参数)。使用该方式分配的接口仅归该Context所有、使用。用户登录该Context后,能查看到该接口,并执行接口支持的所有命令。
· 共享方式分配(带share参数)。使用该方式分配的接口归多个Context所有、使用。在缺省Context内仍然存在该接口,可执行接口支持的所有命令;在分配给的非缺省Context内,会新建同名接口,用户登录这些Context后,能查看到该接口,但只能执行shutdown、description、以及网络/安全相关的命令。
· 当设备运行在IRF模式时,禁止将IRF物理端口分配给自定义Context。
· 当三层子接口作为冗余口的成员端口时,禁止把其主接口共享给自定义Context。
· 逻辑接口仅支持独占方式分配。
【举例】
# 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/3以共享的方式分配给context sub1。
<Sysname> system-view
[Sysname] context sub1
[Sysname-context-2-sub1] allocate interface gigabitethernet 1/0/1 gigabitethernet 1/0/3 share
The interfaces will be shared by contexts. Continue? [Y/N]:y
allocate vlan命令用来为Context分配VLAN。
undo allocate vlan命令用来取消为Context分配的VLAN。
【命令】
allocate vlan vlan-id&<1-24>
undo allocate vlan vlan-id&<1-24>
allocate vlan vlan-id1 to vlan-id2
undo allocate vlan vlan-id1 to vlan-id2
【缺省情况】
没有为Context分配VLAN。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
vlan-id&<1-24>:表示给Context分配非连续的VLAN。vlan-id表示VLAN的编号,&<1-24>表示前面的参数最多可以输入24次。
vlan-id1 to vlan-id2:表示给Context分配一组连续的VLAN。其中,vlan-id1表示起始VLAN的编号,vlan-id2表示结束VLAN的编号。
【使用指导】
创建Context时,通过vlan-unshared参数可选择是否和其它Context共享VLAN:
· 如果选择和其它Context共享VLAN,可以通过本命令将设备上存在的除VLAN 1以外的静态VLAN分配给非缺省Context。共享VLAN由多个Context共同所有。VLAN被分配后,用户须在缺省Context内对该VLAN配置,非缺省Context内不能配置该VLAN,只能查看该VLAN的相关信息。
· 如果选择不和其它Context共享VLAN,请登录该Context,并使用vlan命令创建VLAN 2~VLAN 4094。VLAN 1为缺省VLAN,用户不能手工创建和删除。Context各自使用和管理VLAN,互不干扰。
【举例】
# 将VLAN100分配给context sub1。
<Sysname> system-view
[Sysname] context sub1
[Sysname-context-2-sub1] allocate vlan 100
The VLAN will be allocated to context sub1. Continue? [Y/N]:y
【相关命令】
· display context vlan
capability security-policy-rule maximum命令用来设置Context的安全策略规则总数限制。
undo capability security-policy-rule maximum命令用来恢复缺省情况。
【命令】
capability security-policy-rule maximum max-number
undo capability security-policy-rule maximum
【缺省情况】
不限制该Context的安全策略规则总数。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-number:表示Context内可配置的安全策略规则最大数目。
【使用指导】
配置本命令后,该Context已进驻的每个安全引擎上都将获得相同的安全策略规则总数限制。
当规则总数达到最大值时,不能新增规则。
如果当前设置的最大值比之前设置的最大值小,则可能存在最大值比当前存在的规则总数小的情况,但配置仍会成功,多出的规则不会删除,后续不能新增规则。
【举例】
# 配置Context的安全策略规则数最多为1000条。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability security-policy-rule maximum 1000
【相关命令】
· display security-policy ip(安全命令参考/安全策略)
capability session maximum命令用来设置Context的单播会话并发数限制。
undo capability session maximum命令用来恢复缺省情况。
【命令】
capability session maximum max-number
undo capability session maximum
【缺省情况】
未对该Context允许的单播会话并发数进行限制,由该Context上各安全引擎当前的内存能力决定。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-number:允许同时存在的最大单播会话数目,取值范围为1~4294967295。
【使用指导】
配置本命令后,该Context己进驻的每个安全引擎都将获得相同的会话并发数限制。当安全引擎上的会话总数达到最大数目后,该安全引擎上将不允许新建会话;如果本次设置的数值小于当前安全引擎上的会话总数,则配置可以成功,但不再允许新建会话,且已经创建的会话不会被删除,直到已建立的会话通过老化机制使得会话总数低于配置的最大值后,系统才允许新建会话。
【举例】
# 配置Context cnt2上的单播会话并发数为1000000。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability session maximum 1000000
【相关命令】
· context
· display session statistics(安全命令参考/会话管理)
capability session rate命令用来设置Context的会话新建速率限制。
undo capability session rate命令用来恢复缺省情况。
【命令】
capability session rate max-value
undo capablility session rate
【缺省情况】
未对该Context允许的会话新建速率进行限制,由该Context上各安全引擎当前的内存能力决定。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
max-value:允许的会话新建速率最大值,单位为每秒会话个数。
【使用指导】
配置本命令后,该Context己进驻的每个安全引擎都将获得相同的会话新建速率限制。当安全引擎上的会话新建速率达到最大值后,该安全引擎上将不允许新建会话。
【举例】
# 配置Context cnt2上的会话新建速率最大值为每秒20000个会话数。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability session rate 20000
【相关命令】
· context
· display session statistics(安全命令参考/会话管理)
capability throughput命令用来设置Context的吞吐量限制。
undo capability throughput命令用来恢复缺省情况。
capability throughput { kbps | pps } value
value:表示吞吐量限制值,取值范围为1000~100000000。
为了防止一个Context的报文过多而导致其它Context的报文被丢弃,需要限制Context的吞吐量。当启用吞吐量限制时,系统优先处理协议报文,对于超过限制值的业务报文会被丢弃。
[Sysname-context-2-cnt2] capability throughput kbps 100000
[Sysname-context-2-cnt2] capability throughput pps 10000
context命令用来创建Context,并进入Context视图。如果指定的Context已经存在,则直接进入Context视图。
undo context命令用来删除指定Context。
【命令】
context context-name [ id context-id ] [ vlan-unshared ]
undo context context-name
【缺省情况】
存在缺省Context,名称为Admin,编号为1。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
context-name:Context的名称,为1~15个字符的字符串,区分大小写。
context-id:Context的编号,取值范围请见差异信息表。不指定该参数时,系统会自动给Context分配一个当前空闲的最小编号。
设备各款型对于本命令所描述的参数支持情况有所不同,详细差异信息如下:
型号 |
参数 |
描述 |
L5000-C/L5000-S |
context-id |
取值范围为1~257 |
L1000-E/L1000-M/L1000-S |
· L1000-E取值范围为1~129 · L1000-M/S取值范围为1~65 |
|
L1000-AK310/L1000-AK320/L1000-AK330 |
取值范围为1~33 |
|
L100-C/L1000-C |
· L100-C:不支持 · L1000-C取值范围为:1~33 |
|
LSU1ADECEA0/LSWM1ADED0/LSQM1ADEDSC0 |
取值范围为1~257 |
【使用指导】
创建Context时,通过vlan-unshared参数可选择是否和其它Context共享VLAN:
· 如果选择和其它Context共享VLAN,需要在缺省Context内创建并配置VLAN,再分配给非缺省Context。共享VLAN由多个Context共同所有。
· 如果选择不和其它Context共享VLAN,请登录该Context,并使用vlan命令创建VLAN 1~VLAN 4094。Context各自使用和管理VLAN,互不干扰。
【举例】
# 创建一个名称为test的Context。
<Sysname> system-view
[Sysname] context test
[Sysname-context-2-test]
# 创建一个名称为test,ID为2的Context。
<Sysname> system-view
[Sysname] context test id 2
[Sysname-context-2-test]
context start命令用来启动Context。
undo context start命令用来停止该Context。
【命令】
context start [ force ]
undo context start [ force ]
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
force:强制启动/停止Context。不指定该参数时,表示按正常程序启动Context。
【使用指导】
停止Context会导致该Context的业务中断,以及登录该Context的用户自动退出,请谨慎使用。为避免Context的当前配置丢失,停止Context前请保存Context的配置。
【举例】
# 启动Context cnt2。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] context start
It will take some time to start the context...
Context started successfully.
description命令用来配置Context的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
缺省Context描述信息为DefaultContext。非缺省Context没有配置描述信息。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:Context的描述信息,为1~255个字符的字符串,区分大小写。
【使用指导】
当设备上配置的Context较多时,用户可以为Context配置特定的描述信息,以便记忆和管理Context。
【举例】
# 将Context的描述信息配置为test。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] description test
display context命令用来显示已经创建的Context的信息,包括编号和状态等。
【命令】
display context [ name context-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name context-name:Context的名称,为1~15个字符的字符串,区分大小写。
【使用指导】
在缺省Context中,可使用name context-name参数查看指定Context的信息。不指定name context-name参数时,则显示设备上创建的所有Context的信息。
【举例】
# 显示已经创建的Context的信息。
<Sysname> display context
ID Name Status Description
1 cnt1 active context1
2 cnt2 inactive context2
3 cnt3 inactive context3
表1-1 display context命令显示信息描述表
字段 |
描述 |
ID |
Context的编号 |
Name |
Context的名称 |
Status |
Context的状态: · active:表示Context正常运行 · inactive:表示Context处于未启动状态 · starting:表示Context正在启动 · updating:表示正在将Context加入安全引擎组 · stopping:表示Context正在停止 |
Description |
Context描述信息 |
display context interface命令用来显示Context的接口列表。
【命令】
display context [ name context-name ] interface
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name context-name:Context的名称,为1~15个字符的字符串,区分大小写。
【使用指导】
在缺省Context中,可使用name context-name参数查看指定Context的接口列表;不指定name context-name参数时,则显示设备上创建的所有Context的接口列表。
【举例】
# 显示所有Context的接口列表。
<Sysname> display context interface
Context stub1's interfaces:
GigabitEthernet0/1/4
Context stub2's interfaces:
GigabitEthernet0/1/3
【相关命令】
· allocate interface
display context resource命令用来显示Context对CPU/磁盘/内存资源的使用情况。
【命令】
display context [ name context-name ] resource [ cpu | disk | memory ] [ slot slot-number cpu cpu-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name context-name:显示指定Context对CPU/磁盘/内存资源的使用情况。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。
cpu:显示Context对CPU的使用情况。
disk:显示Context对磁盘的使用情况。
memory:显示Context对内存的使用情况。
slot slot-number cpu cpu-number:显示Context对指定成员设备上安全引擎的CPU/磁盘/内存资源的使用情况,slot-number表示设备在IRF中的成员编号,cpu-number表示安全引擎的CPU的编号。不指定该参数时,显示Context对所有安全引擎的CPU/磁盘/内存资源的使用情况。
【举例】
# 显示Context对所有安全引擎上CPU资源的使用情况。
<Sysname> display context resource cpu
CPU usage:
Slot 2 CPU 1:
ID Name Weight Usage(%)
1 cnt1 10 24
2 cnt2 10 0
表1-2 display context resource命令显示信息描述表
字段 |
描述 |
Memory |
表示下面显示的是内存的使用情况 |
CPU |
表示下面显示的是CPU的使用情况 |
Disk |
表示下面显示的是磁盘的使用情况 |
Slot 2 CPU 1 |
表示Context对指定安全引擎上资源的使用情况 |
Used 238.1MB, Free 249.3MB, Total 487.4MB |
内存的使用情况,Used表示内存已使用空间的大小(单位为MB),Free表示当前空闲内存的大小(单位为MB),Total表示整个内存大小(单位为MB)。如果Context没有启动,则Used会显示为0 |
Cfa0: Used 0MB, Free 61MB, Total 61MB |
Cfa0表示磁盘的名称,Used表示整个磁盘已使用空间的大小(单位为MB),Free表示整个磁盘当前空闲空间的大小(单位为MB),Total表示整个磁盘空间大小(单位为MB)。如果Context没有启动,则Used会显示为0 |
ID |
Context的编号 |
name |
Context的名称 |
Weight |
Context使用CPU的权重值 |
Usage(%) |
Context对CPU的实际占用率,用百分比表示 |
Quota(MB) |
Context使用磁盘/内存的限制值,单位为MB |
Used(MB) |
Context当前已使用的磁盘/内存空间的大小,单位为MB |
Free(MB) |
Context还可以使用的磁盘/内存空间的大小,单位为MB |
display context vlan命令用来显示Context的VLAN列表。
【命令】
display context [ name context-name ] vlan
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
name context-name:Context的名称,为1~15个字符的字符串,区分大小写。
【使用指导】
在缺省Context中,可使用name context-name参数查看指定Context的VLAN列表;不指定name context-name参数时,则显示设备上创建的所有Context的VLAN列表。
【举例】
# 显示所有Context的VLAN列表。
<Sysname> display context vlan
Context stub1's VLAN(s):
Context stub2's VLAN(s):
2,4094
Context stub3's VLAN(s):
5,6,800-3000,3400
# 显示Context sub1的VLAN列表。
<Sysname> display context name sub1 vlan
Context stub1's VLAN(s):
5,6,11-23,3400
【相关命令】
· allocate vlan
limit-resource cpu命令用来配置Context的CPU权重。
undo limit-resource cpu命令用来恢复缺省情况。
【命令】
limit-resource cpu weight weight-value
undo limit-resource cpu
【缺省情况】
各Context的CPU权重均为10。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
weight weight-value:表示Context在指定安全引擎上的CPU权重,取值范围为1~10。系统根据Context的权重为Context分配CPU时间。
【使用指导】
进驻到同一安全引擎的Context共享该安全引擎的CPU资源。配置本命令后,Context在己进驻的安全引擎上都将获得相同的CPU权重。
【举例】
# 配置Context的CPU权重为2。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource cpu weight 2
limit-resource disk命令用来配置Context可使用的磁盘空间上限(用百分比表示)。
undo limit-resource disk命令用来恢复缺省情况。
【命令】
limit-resource disk slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource disk slot slot-number cpu cpu-number
【缺省情况】
Context可以使用物理设备上的所有空闲磁盘空间。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number cpu cpu-number:表示成员设备安全引擎所在的位置,其中,slot-number表示安全引擎所在的设备的成员编号,cpu-number表示安全引擎的CPU的编号。
ratio limit-ratio:表示Context在设备上最多可使用的磁盘空间大小与该设备整个磁盘空间大小的百分比,取值范围为1~100。
【使用指导】
缺省情况下,所有的Context共享已进驻的安全引擎的所有磁盘空间。只要磁盘物理空间足够,就可以无限制使用。为了防止单个Context过多的占用磁盘而影响其它Context,特别是为防止异常情况下对磁盘的占用,可以为指定的Context配置磁盘上限。
请在Context启动后配置磁盘上限。执行limit-resource disk命令前,请使用display context resource命令查看Context当前实际已经使用的磁盘空间大小。配置值应大于Context当前实际已经使用的磁盘空间大小,否则,会导致Context申请新的磁盘空间失败,从而无法进行文件夹创建、文件拷贝和保存等操作。
如果设备上有多块磁盘,该命令对所有磁盘生效。
【举例】
# 配置Context cnt2最多可使用2号成员设备上安全引擎磁盘空间的30%。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource disk slot 2 cpu 1 ratio 30
limit-resource memory命令用来配置Context可使用的内存空间上限(用百分比表示)。
undo limit-resource memory命令用来恢复到缺省情况。
【命令】
limit-resource memory slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource memory slot slot-number cpu cpu-number
【缺省情况】
所有Context共享物理设备上的所有内存空间,每个Context可使用的内存空间上限为空闲内存空间值。
【视图】
Context视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number cpu cpu-number:表示成员设备安全引擎所在的位置,其中,slot-number表示设备的成员编号,cpu-number表示安全引擎的CPU的编号。
ratio limit-ratio:表示Context在设备上最多可使用的内存大小与该设备整个内存大小的百分比,取值范围为1~100。
【使用指导】
缺省情况下,所有的Context共享使用已进驻的安全引擎的所有内存空间。只要物理内存足够,就可以无限制使用。为了防止单个Context过多的占用内存而影响其它Context,特别是为防止异常情况下对内存的占用,可以为指定的Context配置内存上限。
请在Context启动后再配置内存上限,并且配置的上限值不应过小,以免Context内业务申请不到内存而引起功能异常。
【举例】
# 配置Context cnt2最多可使用2号成员设备安全引擎内存的30%。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource memory slot 2 cpu 1 ratio 30
switchto context命令用来登录到指定的Context。
【命令】
switchto context context-name
【视图】
系统视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
context-name:已启动的Context的名称。
【使用指导】
只要用户和物理设备之间路由可达,就能使用该命令,通过物理设备和Context的内联接口,登录Context。
【举例】
# 切换到Context test2。
<Sysname> system-view
[Sysname] switchto context test2
******************************************************************************
* Copyright (c) 2004-2017 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Context2>
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!