• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略命令参考

目录

01-IPv4控制策略命令

本章节下载 01-IPv4控制策略命令  (265.81 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Command/Command_Manual/ACG1000_CR(R6611P06_E6401)-6W102/03/202008/1317728_30005_0.htm

01-IPv4控制策略命令

目  录

1 IPv4控制策略

1.1 IPv4控制策略配置命令

1.1.1 policy

1.2 IPv4控制策略修改命令

1.2.1 source-address

1.2.2 dest-address

1.2.3 enable

1.2.4 in-interface

1.2.5 out-interface

1.2.6 schedule

1.2.7 service

1.2.8 user

1.2.9 terminal

1.3 IPv4控制策略白名单命令

1.3.1 policy white-list

1.4 IPv4控制策略移动命令

1.4.1 policy move

1.5 IPv4控制策略插入命令

1.5.1 policy insert

1.6 修改IPv4控制策略默认规则命令

1.6.1 policy default-action

1.7 应用控制策略配置命令

1.7.1 app-policy control

1.7.2 app-policy control id { enable | disable }

1.8 URL控制策略配置命令

1.8.1 website-policy

1.8.2 website-policy { enable | disable }

1.8.3 website-policy malware

1.9 邮件控制策略

1.9.1 app-policy mail { enable | disable }

1.9.2 app-policy mail { sender | receiver }

1.9.3 app-policy mail title-content

1.9.4 app-policy mail title-content keyword

1.9.5 app-policy mail mail-size

1.9.6 app-policy mail attach-file num

1.10 web关键字控制策略

1.10.1 app-policy search

1.10.2 app-policy http post

1.10.3 app-policy web-content

1.11 虚拟账号控制策略

1.11.1 app-policy account qq

1.11.2 app-policy account qq

1.11.3 app-policy account qq action keyword

1.12 终端公告提醒

1.12.1 terminal-remind

1.12.2 terminal-remind remind-type

1.12.3 terminal-remind announce-type

1.13 查看配置的IPv4控制策略

1.13.1 display running-config policy

2 策略分组与分析

2.1 策略分组命令

2.1.1 policy-group

2.2 策略分析命令

2.2.1 policy analyze enable

2.2.2 policy analyze cpu_threshold

2.2.3 policy analyze daily

2.2.4 policy analyze weekly

2.2.5 policy analyze monthly

2.2.6 policy analyze time


1 IPv4控制策略

1.1  IPv4控制策略配置命令

1.1.1  policy

policy命令用来创建控制策略。

policy id命令用来进入控制策略视图,编辑控制策略。

no policy命令用来删除控制策略。

【命令】

policy in-interface out-interface source-address dest-address service-name user-name application-name schedule-name terminal {permit | deny} [ id ]

policy id

no policy id

【视图】

系统视图

【参数】

in-interface:安全策略匹配的源接口,设备上可用的接口如ge0,也可为any。

out-interface:安全策略匹配的目的接口,设备上可用的接口如ge0,也可为any。

source-address:安全策略匹配的源IP地址,可以引用某地址对象或者地址组,any表示源地址为任意地址。

dest-address:安全策略匹配的目的地址,可以引用某个地址对象或者地址组,any表示源地址为任意地址。

service-name:安全策略匹配的服务对象,可以引用服务对象或者服务组。

user-name:指定安全策略匹配的用户对象名称。

application-name:指定安全策略匹配的应用对象名称。

schedule-name:指定安全策略生效的时间对象名称。

Terminal指定安全策略匹配的终端类型。

id:安全策略的唯一标识。范围是1~9999或50001~65535,其中50001~65535是集中网关创建的策略。

permit:允许匹配的流量通过。

deny:丢弃匹配的流量。

【使用指导】

出入接口、源目的ip地址、服务、应用、用户、时间等匹配条件除了any或者always外,需要配置具体的对象,才能被安全策略引用。

【举例】

# 创建一条服务是TCP,其余匹配条件为any,动作是允许的安全策略。

host# system-view

host(config)# policy any any any any tcp any any always any permit

1.2  IPv4控制策略修改命令

1.2.1  source-address

source-address命令用来增加策略的源地址。

no source-address命令用来删除策略的源地址。

【命令】

source-address addr-name

no source-address addr-name

【视图】

IPv4策略视图

【参数】

addr-name:地址对象的名称。

【使用指导】

策略上最多可以指定8个源地址对象。

【举例】

# IPv4控制策略1添加源地址对象abc。

host# system-view

host(config)# address abc

host(config-address)# ip address 192.168.1.1

host(config)# policy 1

host(config-policy)# source-address abc

1.2.2  dest-address

dest-address命令用来增加策略的目的地址。

no dest-address 命令用来删除策略的目的地址。

【命令】

dest-address address-name

no dest-address address-name

【视图】

IPv4策略视图

【参数】

address-name:目的地址对象或地址对象组名称。

【使用指导】

策略上最多可以指定8个目的地址对象。

【举例】

# IPv4策略1添加目的地址对象abc。

host# system-view

host(config)# address abc

host(config-address)# ip address 192.168.1.1

host(config)# policy 1

host(config-policy)# dest-address abc

1.2.3  enable

enable命令用来启用IPv4策略。

disable命令用来禁用IPv4策略。

【命令】

enable

disable

【缺省情况】

缺省情况下,IPv4策略是启用的。

【视图】

IPv4策略视图

【举例】

# 禁用IPv4策略1。

host# system-view

host(config)#policy 1

host(config-policy)# disable

1.2.4  in-interface

in-interface命令用来修改策略匹配的入接口。

【命令】

in-interface { interface-name | any }

【缺省情况】

【视图】

IPv4策略视图

【参数】

interface-name:安全策略匹配的入接口。

any:标识任意接口。

【举例】

# 修改IPv4策略1的入接口为ge0。

host# system-view

host(config)# policy 1

host(config-policy)# in-interface ge0

1.2.5  out-interface

out-interface命令用来修改策略匹配的出接口。

【命令】

out-interface { interface-name | any }

【视图】

IPv4策略视图

【参数】

interface-name:出接口的名称。

any:任意出接口。

【举例】

#修改IPv4策略1的出接口为ge1。

host# system-view

host(config)#policy 1

host(config-policy)# out-interface ge1

1.2.6  schedule

schedule命令用来修改安全策略的生效时间。

【命令】

schedule schedule-name

【视图】

IPv4策略视图

【参数】

schedule-name:时间对象或对象组名称。

【使用指导】

只有在时间对象处于active状态,IPv4策略才会生效

【举例】

# 修改IPv4策略1的生效时间,使其仅仅在9:00-18:00生效。

host# system-view

host(config)# schedule-day worktime

host(config-schedule-day)# periodic start 9:00 end 18:00

host(config-schedule-day)# exit

host(config)# policy 1

host(config-policyt)# schedule worktime

1.2.7  service

service命令用来添加安全策略匹配的服务类型对象。

no service 命令用来删除安全策略匹配的服务类型对象。

【命令】

service service-name

no service service-name

【视图】

IPv4策略视图

【参数】

service-name:服务类型对象或对象组名称。

【举例】

# IPv4策略1添加目的服务对象icmp。

host# system-view

host(config)#policy 1

host(config-policy)# service icmp

1.2.8  user

user命令用来添加安全策略匹配的用户对象。

no user命令用来删除安全策略匹配的用户对象。

【命令】

user user-name

no user user-name

【视图】

IPv4策略视图

【参数】

user-name:用户对象或对象组名称。

【举例】

# 给安全策略1添加abc用户对象。

host# system-view

host(config)# policy 1

host(config-policy)# user abc

1.2.9  terminal

terminal命令用来添加安全策略匹配的终端类型。

no terminal命令用来删除安全策略匹配的终端类型。

【命令】

terminal type

【视图】

策略配置节点视图

【参数】

type:终端类型,包括移动终端或PC或多终端类型,也可以选择所有终端类型。

【举例】

# 给安全策略1添加基于移动终端的安全策略。

host# system-view

host(config)# policy 1

host(config-policy)# terminal mobile

 

1.3  IPv4控制策略白名单命令

1.3.1  policy white-list

policy white-list enable命令用来开启控制策略白名单功能,默认此功能开启。

policy white-list disable命令用来关闭控制策略白名单功能。

policy white-list permit count <1-30>命令用来配置控制策略白名单放通用于进行应用识别的报文个数,默认数量是20。

【命令】

policy white-list enable

policy white-list disable

policy white-list permit count <1-30>

【视图】

系统视图

【参数】

【举例】

# 关闭控制策略白名单功能。

host# system-view

host(config)# policy white-list disable

host(config)#

 

1.4  IPv4控制策略移动命令

1.4.1  policy move

policy move命令用来将策略移到某条策略之后或者之前。

【命令】

policy move id { before | after } ref-id

【视图】

系统视图

【参数】

id:被移动的安全策略的唯一标识。范围是1~9999或50001~65535,其中50001~65535是集中网关创建的策略。

before:将策略移到参考策略之前。

after:将策略移到参考策略之前。

ref-id:参考策略标识。范围是1~9999或50001~65535,其中50001~65535是集中网关创建的策略。

【举例】

# 将安全策略1移到安全策略2之后。

host# system-view

host(config)# policy move 1 after 2

 

1.5  IPv4控制策略插入命令

1.5.1  policy insert

policy insert命令用来在某条策略之前插入一条新的策略。

【命令】

policy insert in-interface out-interface source-address dest-address service-name user-name application-name schedule-name terminal { permit | deny } [ id ] before ref-id

【视图】

系统视图

【参数】

in-interface:安全策略匹配的源接口,设备上可用的接口如ge0,也可为any。

out-interface:安全策略的匹配的目的接口,设备上可用的接口如ge0,也可为any。

source-address:安全策略匹配的源IP地址,可以引用某地址对象或者地址组,any表示源地址为任意地址。

dest-address:安全策略匹配的目的地址,可以引用某个地址对象或者地址组,any表示源地址为任意地址。

service-name:安全策略匹配的服务对象,可以引用服务对象或者服务组。

user-name:指定安全策略匹配的用户对象名称。

application-name:指定安全策略匹配的应用对象名称。

schedule-name:指定安全策略生效的时间对象名称。

Terminal:指定安全策略匹配的终端类型。

permit:允许匹配的流量通过。

deny:丢弃匹配的流量。

id:安全策略的唯一标识。范围是1~9999或50001~65535,其中50001~65535是集中网关创建的策略。

ref-id:参考策略标识。范围是1~9999或50001~65535,其中50001~65535是集中网关创建的策略。

【使用指导】

出入接口、源目的ip地址、服务、应用、用户、时间等匹配条件除了any或者always外,需要配置具体的对象,才能被安全策略引用。

【举例】

# 在安全策略1之前插入一条新的ID为3的安全策略。

host# system-view

host(config)# policy insert any any any any any any any always any deny 3 before 1

1.6  修改IPv4控制策略默认规则命令

1.6.1  policy default-action

policy default-action命令用来修改控制策略的默认规则配置。

【命令】

policy default-action { permit | deny }

【缺省情况】

缺省情况下,默认规则的行为是允许。

【视图】

系统视图

【参数】

permit:允许匹配的流量通过。

deny:丢弃匹配的流量。

【举例】

# 修改默认策略的值为permit。

host# system-view

host(config)# policy default-action permit

1.7  应用控制策略配置命令

1.7.1  app-policy control

app-policy  control命令用来新建一条应用控制策略。

no app-policy control 命令用来删除一条应用控制策略。

【命令】

app-policy control id  action  { permit | deny }  log-level  { emerg | alert | crit | err | warning | notice | info | debug | ignore }  [.DESCRIPTION]

【视图】

系统视图

【参数】

id应用控制策略ID,最小为1,最大为64

permit:控制动作为放行。

deny:控制动作为阻断。

emerg:日志级别为紧急。

alert:日志级别为告警。

crit:日志级别为严重。

err:日志级别为错误。

warning:日志级别为警告

notice:日志级别为通知。

info:日志级别为信息。

ignore不记录日志。

description描述内容。

【使用指导】

配置应用控制策略的IPV4安全策略的动作必须是允许。

【举例】

# 给id为1应用控制策略,定义其动作为允许以及日志级别为信息。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy control 1 action permit log-level info

1.7.2  app-policy control id { enable | disable }

app-policy control id { enable | disable }命令启用或禁用已定义的应用控制策略。

【命令】

app-policy control id { enable | disable }

【缺省情况】

缺省情况下,默认策略的状态是启用。

【视图】

IPv4视图

【举例】

# 禁用应用控制策略1。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy control 1 disable

1.8  URL控制策略配置命令

1.8.1  website-policy

website-policy命令用来新建一条网站策略。

no website-policy命令用来删除一条网站策略

【命令】

website-policy id { url-category | any }  { accept | deny } { emerg | alert | crit | err | notice | info | ignore } display

【视图】

IPv4策略视图

【参数】

id网站策略ID,最小为1,最大为64

url-category进行网站策略控制的分类,any表示所有分类。

permit:控制动作为放行。

deny:控制动作为阻断。

emerg:日志级别为紧急。

alert:日志级别为警告。

crit:日志级别为严重。

err:日志级别为错误。

notice:日志级别为通知。

info:日志级别为信息。

ignore:不记录日志。

display:策略描述。

【使用指导】

·     参数url-category可输入至多8个分类,用逗号进行分隔。

·     配置应用控制策略的安全策略的动作必须是审计。

【举例】

# 给id为1的ipv4策略增加网站策略,不允许赌博、色情类网站,日志级别严重。

host# system-view

host(config)# policy 1

host(config-policy)# website-policy 1 gambling,porn deny crit FilterUrl 赌博,色情  

1.8.2  website-policy { enable | disable }

website-policy { enable | disable }命令启用或禁用已定义的网站策略象。

【命令】

website-policy { enable | disable } id

【视图】

IPv4策略视图

【举例】

# 启用id为1 的ipv4策略的网站策略1。

host# system-view

host(config)# policy 1

host(config-policy)# website-policy enable 1

1.8.3  website-policy malware

website-policy malware enable命令启用恶意URL过滤。

website-policy malware disable命令停用恶意URL过滤。

【命令】

website-policy malware { enable | disable }

【缺省情况】

缺省情况下,恶意URL过滤是禁用的。

【视图】

IPv4策略视图

【举例】

# 启用id为1 的ipv4策略的恶意URL过滤。

host# system-view

host(config)# policy 1

host(config-policy)# website-policy malware enable

1.9  邮件控制策略

1.9.1  app-policy mail { enable | disable }

app-policy { enable | disable }命令启用或禁用已定义的邮件策略。

【命令】

app-policy mail { enable | disable } id

【视图】

IPv4策略视图

【举例】

# 给启用id为1 的ipv4策略的邮件策略1。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy mail enable

1.9.2  app-policy mail { sender | receiver }

app-policy mail { sender | receiver }命令用于定义邮件控制策略发件人、收件人黑白名单关键字配置。

【命令】

app-policy mail { sender | receiver } action { permit | deny } keyword { KEYWORD | NULL}

【视图】

IPv4策略视图

【参数】

sender:发件人

receiver:收件人。

permit:设置关键字白名单。

deny:设置关键字黑名单

KEYWORD|NULL:关键字

【举例】

# 启用邮件控制策略,定义发件人过滤白名单关键字为邮件关键字。

host# system-view

host(config)# policy 1   

host(config-policy)# app-policy mail sender action permit keyword 邮件关键字

1.9.3  app-policy mail title-content

app-policy mail title-content 命令用于开启邮件控制策略标题内容关键字匹配功能。

【命令】

app-policy mail title-content { enable | disable }

【视图】

IPv4策略视图

【举例】

# 启用邮件控制策略标题内容关键字匹配。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy mail title-content enable

1.9.4  app-policy mail title-content keyword

app-policy mail title-content keyword命令用于定义邮件控制策略标题内容关键字定义。

【命令】

app-policy mail title-content keyword { KEYWORD | NULL }

【视图】

IPv4策略视图

【举例】

# 定义邮件控制策略标题内容关键字为邮件关键字。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy mail title-content keyword 邮件关键字

1.9.5  app-policy mail mail-size

app-policy mail mail-size命令用于定义邮件控制策略邮件大小数值。

【命令】

app-policy mail mail-size size

【视图】

IPv4策略视图

【参数】

size:邮件大小的值,范围为0-100M。

【举例】

#定义邮件控制策略邮件大小为10M。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy mail mail-size enable

host(config-policy)# app-policy mail mail-size 10

 

1.9.6  app-policy mail attach-file num

app-policy mail attach-file num命令用于开启或关闭邮件控制策略邮件附件个数控制。

【命令】

app-policy mail attach-file num

【视图】

IPv4策略视图

【举例】

# 开启邮件控制策略邮件附件个数控制为10个。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy mail attach-file num enable

host(config-policy)# app-policy mail attach-file num 10

1.10  web关键字控制策略

1.10.1  app-policy search

app-policy search keyword action log-level命令用于创建一条web关键字搜索引擎策略。

【命令】

app-policy search ID keyword KEYWORD action { permit | deny } log-level { emerg | alert | crit | err | warning | notice | info | debug | ignore } [.DESCRIPTION]

【视图】

IPv4策略视图

【参数】

ID:搜索引擎ID。

KEYWORD:关键字对象。

permit:处理动作为允许。

deny:处理动作为拒绝。

emerg:日志级别为紧急。

alert:日志级别为告警。

crit:日志级别为严重。

err:日志级别为错误。

warning:日志级别为警告

notice:日志级别为通知。

info:日志级别为信息。

ignore不记录日志。

DESCRIPTION描述信息。

【举例】

# 创建一条描述为1的搜索引擎策略,关键字对象为搜索关键字,处理动作允许,日志级别为信息。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy search 1 keyword 搜索关键字 action permit log-level info 1

host(config-policy)# app-policy search 1 enable

 

1.10.2  app-policy http post

app-policy http post keyword action log-level命令用于创建一条web关键字http上传策略。

【命令】

app-policy http post ID keyword KEYWORD action { permit | deny } log-level { emerg | alert | crit | err | warning | notice | info | debug | ignore }  [.DESCRIPTION]

【视图】

IPv4策略视图

【参数】

ID:http上传策略ID。

KEYWORD:关键字对象。

permit:处理动作为允许。

deny:处理动作为拒绝。

emerg:日志级别为紧急。

alert:日志级别为告警。

crit:日志级别为严重。

err:日志级别为错误。

warning:日志级别为警告

notice:日志级别为通知。

info:日志级别为信息。

ignore不记录日志。

DESCRIPTION描述信息。

【举例】

# 创建一条描述为1的http上传策略,关键字对象为http上传,处理动作允许,日志级别为信息。

host# system-view

host(config)# policy 1   

host(config-policy)# app-policy  http  post 1 keyword http上传 action permit log-level info 1

host(config-policy)# app-policy http post 1 enable

 

1.10.3  app-policy web-content

app-policy web-content keyword action log-level命令用于创建一条web关键字网页内容策略。

【命令】

app-policy web-content ID keyword KEYWORD action { permit | deny } log-level { emerg | alert | crit | err | warning | notice | info | debug | ignore }  [.DESCRIPTION]

【视图】

IPv4策略视图

【参数】

ID:http上传策略ID。

KEYWORD:关键字对象。

permit:处理动作为允许。

deny:处理动作为拒绝。

emerg:日志级别为紧急。

alert:日志级别为告警。

crit:日志级别为严重。

err:日志级别为错误。

warning:日志级别为警告

notice:日志级别为通知。

info:日志级别为信息。

ignore不记录日志。

DESCRIPTION描述信息。

【举例】

# 创建一条描述为1的网页内容策略,关键字对象为网页内容,处理动作允许,日志级别为信息。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy  web-content 1 keyword 网页内容action permit log-level info 1

host(config-policy)# app-policy web-content 1 enable

 

1.11  虚拟账号控制策略

1.11.1  app-policy account qq

app-policy account qq命令用于开启/关闭qq控制策略。

【命令】

app-policy account qq { enable | disable }

【视图】

IPv4策略视图

【参数】

enable:开启qq控制策略。

disable:关闭qq控制策略。

【举例】

# 开启qq控制策略。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy account qq enable

1.11.2  app-policy account qq

app-policy account qq命令用于qq控制策略关键字黑白名单使能。

【命令】

app-policy account qq { white_list | black_list }

【参数】

white_list:使能qq控制策略白名单。

black_list:使能qq控制策略黑名单。

【视图】

IPv4策略视图

【举例】

# 使能qq控制策略黑名单。

host# system-view

host(config)# policy 1   

host(config-policy)# app-policy account qq black_list

1.11.3  app-policy account qq action keyword

app-policy account qq action keyword命令用于qq控制策略黑白名单设置。

【命令】

app-policy account qq action { permit | deny } keyword { KEYWORD | NULL }

【视图】

IPv4策略视图

【举例】

# 创建一条QQ账号过滤策略,黑名单关键字为QQ控制。

host# system-view

host(config)# policy 1

host(config-policy)# app-policy account qq black_list

host (config-policy)# app-policy account qq action deny keyword QQ控制

1.12  终端公告提醒

1.12.1  terminal-remind

terminal-remind enable 命令用来打开公告推送页面功能。

terminal-remind disable 命令用来关闭公告推送页面功能。

【命令】

terminal-remind { enable | disable }

【缺省情况】

缺省情况下,没有启用终端公告推送页面功能。

【视图】

policy视图

【参数】

enable打开公告推送页面功能。

disable关闭公告推送页面功能。

【使用指导】

开启该功能后,允许设备向连接设备的终端在设定时间中推送公告页面。

【举例】

# 策略1下启用公告推送页面功能。

HOST# configure terminal

HOST(config)# policy 1

HOST(config-policy)# terminal-remind enable  

1.12.2  terminal-remind remind-type

terminal-remind remind-type interval 命令用来设定公告推送频率为周期提醒。

terminal-remind remind-type fix 命令用来设定公告推送频率为固定时间提醒。

【命令】

terminal-remind remind-type interval interval_time

terminal-remind remind-type fix hour hour minute minute

【缺省情况】

缺省情况下,启用终端公告推送页面功能后,设备以默认公告向规定终端推送页面,默认推送时间间隔为1440分钟。

【视图】

IPv4策略视图

【参数】

interval_time:周期间隔,单位为分钟,范围是10-1440 分钟。

hour:固定时间小时,范围是0-23。

minute:固定时间分钟,范围是 0-59。

【使用指导】

该命令可以设置公告推送频率类型,可以设置为固定时间,最小单位为分钟;也可以设置为周期间隔推送,单位也为分钟。

【举例】

# 策略1下设置公告推送为固定时间10:00。

HOST# configure terminal

HOST(config)# policy 1

HOST(config-policy)# terminal-remind remind-type fix hour 10 minute 00

# 策略1下设置公告推送时间间隔为每10分钟推送一次

HOST# configure terminal

HOST(config)# policy 1

HOST(config-policy)# terminal-remind remind-type interval 10

1.12.3  terminal-remind announce-type

terminal-remind announce-type命令用于配置终端公告页面推送项。

【命令】

terminal-remind announce-type { internal ID | external URL }

【缺省情况】

缺省情况下,启用终端公告推送页面功能后,缺省以设备内置的默认公告页面为返回页面。

【视图】

IPv4策略视图

【参数】

Internal:设定公告推送页面使用内置公告页面。

External:设定公告推送页面使用外部公告页面。

ID内置公告引用的自定义公告ID,可以通过display announce命令查看。

URL:外部公告对应的URL。

【使用指导】

该命令可以设置公告推送页面类型,可以设置为设备内置的公告页面,且可以预览;也可以设置为外部对应的URL公告页面。

【举例】

# 策略1下设置公告推送页面为设备内置的ID为1自定义页面。

HOST# configure terminal

HOST(config)# policy 1

HOST(config-policy)# terminal-remind announce-type internal 1

# 策略1下设置公告推送页面为urlhttp://www.192.168.1.1.com/的页面

HOST# configure terminal

HOST(config)# policy 1

HOST(config-policy)# terminal-remind announce-type external http://www.192.168.1.1.com

 

1.13  查看配置的IPv4控制策略

1.13.1  display running-config policy

display running-config policy命令用来查看当前已配置的IPv4控制策略。

【命令】

display running-config policy

【视图】

全局视图

【参数】

【使用指导】

查看当前IPv4控制策略的配置信息。

【举例】

# 查看当前IPv4控制策略配置。

host#

host# display running-config policy

policy any any any any any any any always any permit 1

  app-policy mail enable

policy default-action permit

policy white-list disable

!

!policy-decrypt

!

sslproxy-optimize disable

policy decrypt any any any https https 1

policy listen block disable

policy analyze daily

policy analyze disable

!

2 策略分组与分析

2.1  策略分组命令

2.1.1  policy-group

policy-group 命令用来创建策略分组。

no policy-group name [ policy ] 命令用来删除策略分组。

【命令】

policy-group name

no policy-group name [ policy ]

【视图】

配置视图

【参数】

name:策略组名称,字符限制1-31字符。

policy:删除策略分组里的策略。

【举例】

#创建名称为“policy-group1”的策略分组。

Host# configure terminal

Host(config)# policy-group test1

Host(config)#

2.2  策略分析命令

2.2.1  policy analyze enable

policy analyze enable 命令用来开启策略分析开关。

policy analyze disable命令用来关闭策略分析开关。

【命令】

policy analyze { enable | disable }

【视图】

配置视图

【参数】

enable:开启策略分析。

disable:关闭策略分析。

【举例】

#开启策略分析。

Host# configure terminal

Host(config)# policy analyze enable

Host(config)#

2.2.2  policy analyze cpu_threshold

policy analyze cpu_threshold mem_threshold 命令用来配置策略分析cpu和内存阈值。

【命令】

policy analyze cpu_threshold <50-99> mem_threshold <50-99>

【视图】

配置视图

【参数】

cpu_threshold:配置CPU阈值,CPU使用率超过配置则不执行分析。

mem_threshold:配置内存阈值,内存使用率超过配置则不执行分析。

<50-99>:CPU或内存的使用率阈值,,范围50-99。

 

2.2.3  policy analyze daily

policy analyze daily 命令用来配置策略分析的周期为每天。

【命令】

policy analyze daily

【视图】

配置视图

【举例】

#配置策略分析周期为每天。

Host# configure terminal

Host(config)# policy analyze daily

Host(config)#

2.2.4  policy analyze weekly

policy analyze weekly命令用来配置策略分析周期为每周。

【命令】

policy analyze weekly { sun | null } { mon | null } { tue | null } { wed | null } { thu | null } { fri | null } {sat | null }

【视图】

配置视图

【参数】

sun:每周日自动分析。

mon:每周一自动分析。

tue:每周二自动分析。

wed:每周三自动分析。

thu:每周四自动分析。

fri:每周五自动分析。

sat:每周六自动分析。

null表示当前日期不分析。

【举例】

#修改策略分析模式为每周日、周一、周五自动进行分析。

Host# configure terminal

host(config)# policy analyze weekly sun mon null null null fri null

Host(config)#

2.2.5  policy analyze monthly

policy analyze monthly 命令用来配置策略分析按月分析。

【命令】

policy analyze monthly { word }

【视图】

配置视图

【参数】

word:每月具体日期,范围为1-31,例如1,12,26。

【举例】

#配置策略每月1号自动分析。

Host# configure terminal

Host(config)# policy analyze monthly 1

Host(config)#

2.2.6  policy analyze time

policy analyze time 命令用来配置策略分析时间。

【命令】

policy analyze time hour <0-23> minute <0-59>

【视图】

配置视图

【参数】

hour:配置小时。

<0-23>:小时的值,范围为0-23,单位为小时。

minute:配置分钟。

<0-59>:分钟的值,范围为0-59,单位为分钟。

#配置策略自动分析的时间为12:00。

Host# configure terminal

Host(config)# policy analyze time hour 12 minute 0

Host(config)#

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们