- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-共享上网管理命令
本章节下载: 03-共享上网管理命令 (214.89 KB)
目 录
1.1.2 application-inspect enable
1.1.7 display netshare-control
1.1.11 per-ip-shared max-terminals
action命令用来配置共享上网管理策略的动作。
undo action命令用来恢复缺省情况。
【命令】
action { freeze freeze-time | permit } [ logging ]
undo action
【缺省情况】
共享上网管理策略的动作为允许。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【参数】
freeze:表示对存在共享上网行为的IP地址进行冻结,即来自该IP地址的报文将被丢弃。
freeze-time:表示冻结时间,取值范围为5~720,单位为分钟。达到冻结时间后,已冻结的IP地址将自动解冻。
permit:表示允许共享上网的行为。
logging:表示生成日志。
【使用指导】
如果检测到共享某IP地址上网的终端数目超过了每个IP地址可被共享的最大终端数(由per-ip-shared max-terminals命令配置),设备将根据本命令中配置的动作对该IP地址进行管理。
【举例】
# 在共享上网管理策略abc中,配置策略动作为冻结,并指定冻结时间为10分钟。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] policy name abc
[Sysname-netshare-control-policy-abc] action freeze 10
【相关命令】
· per-ip-shared max-terminals
application-inspect enable命令用来开启应用检测功能。
undo application-inspect enable命令用来关闭应用检测功能。
【命令】
application-inspect enable
undo application-inspect enable
【缺省情况】
应用检测功能处于开启状态。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,设备将针对用户特定应用(包括QQ、微信、58同城和美团)的共享上网状态进行检测。如果应用本身进行了加密处理,则应用检测功能无法对其进行共享上网行为检测。
建议在没有特定应用的场景下关闭本功能。
应用检测功能与IPID轨迹检测功能互不影响,可同时使用两种方式对共享上网行为进行检测,请管理员根据实际场景进行配置。
开启本功能后,将对设备业务处理性能产生影响,请管理员根据设备实际情况进行配置。
【举例】
# 在名为share的共享上网管理策略下开启应用检测功能。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] policy name share
[Sysname-netshare-control-policy-share] application-inspect enable
【相关命令】
· ipid-trail enable
description命令用来配置共享上网管理策略的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
未配置共享上网管理策略的描述信息。
【视图】
共享上网管理策略视图。
【缺省用户角色】
network-admin
【参数】
text:表示共享上网管理策略的描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置共享上网管理策略abc的描述信息为The Netshare Management。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] policy name abc
[Sysname-netshare-control-policy-abc] description The Netshare Management
destination-address命令用来配置作为共享上网管理策略过滤条件的目的IP地址。
undo destination-address命令用来删除作为共享上网管理策略过滤条件的目的IP地址。
【命令】
destination-address { ipv4 | ipv6 } object-group-name
undo destination-address { ipv4 | ipv6 } object-group-name
【缺省情况】
未配置作为共享上网管理策略过滤条件的目的IP地址。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示指定IPv4地址对象组。
ipv6:表示指定IPv6地址对象组。
object-group-name:表示地址对象组的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
多次执行本命令,可配置多个目的IPv4/IPv6地址对象组作为共享上网管理策略的过滤条件。
【举例】
# 在名为abc的共享上网管理策略中,配置目的IP地址过滤条件为obgroup2。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] policy name abc
[Sysname-netshare-control-policy-abc] destination-address ipv4 obgroup2
【相关命令】
· object-group(安全命令参考/对象组)
destination-zone命令用来配置作为共享上网管理策略过滤条件的目的安全域。
undo destination-zone命令用来删除作为共享上网管理策略过滤条件的目的安全域。
【命令】
destination-zone destination-zone-name
undo destination-zone destination-zone-name
【缺省情况】
未配置作为共享上网管理策略过滤条件的目的安全域。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【参数】
destination-zone-name:表示目的安全域的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
多次执行本命令,可以配置多个目的安全域作为共享上网管理策略的过滤条件。
【举例】
# 在名为abc的共享上网管理策略中,配置目的安全域过滤条件为zone2。
<Sysname> system-view
[Sysname] netshare-control
[sysname-netshare-control] policy name abc
[sysname-netshare-control-policy-abc] destination-zone zone2
【相关命令】
· security-zone name(安全配置命令参考/安全域)
disable命令用来禁用共享上网管理策略。
undo disable命令用来启用共享上网管理策略。
【命令】
disable
undo disable
【缺省情况】
共享上网管理策略处于启用状态。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【使用指导】
如果在某些组网环境中暂时不需要启用共享上网管理策略,可以使用本命令禁用该策略。
目前设备仅支持配置一个共享上网管理策略,禁用该策略后,共享上网管理功能将失效。
【举例】
# 禁用名为abc的共享上网管理策略。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] policy name abc
[Sysname-netshare-control-policy-abc] disable
display netshare-control命令用来显示共享上网状态信息。
【命令】
display netshare-control [ { ipv4 | ipv6 } ip-address | status { frozen | unfrozen } ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示指定IPv4地址。
ipv6:表示指定IPv6地址。
ip-address:表示指定的IP地址。
status:表示IP地址的状态。
frozen:表示冻结状态。
unfrozen:表示未冻结状态。
slot slot-number:显示指定成员设备上的共享上网状态信息,slot-number表示设备在IRF中的成员编号。不指定该参数时,显示所有成员设备上的共享上网状态信息。
【使用指导】
本命令显示的IP地址,是所有检测到的IP地址。
【举例】
# 显示所有处于冻结状态下的共享上网信息。
<Sysname> display netshare-control status frozen
Slot 1:
Total frozen shared IP addresses:2
IP address VPN instance Policy Terminals Status Remaining time User
192.168.1.18 vpn1 P1 3 Frozen 20 min abc
12.12.12.1 - P1 4 Frozen 10 min kwq123
表1-1 display netshare-control命令显示信息描述表
|
字段 |
描述 |
|
Total frozen shared IP addresses |
当前处于冻结状态下的IP地址总数 |
|
IP address |
IP地址 |
|
VPN instance |
VPN实例名称,显示为“-”时表示IP地址属于公网 |
|
Policy |
共享上网管理策略名称 |
|
Terminals |
使用指定IP地址进行共享上网的终端总数 |
|
Status |
存在共享上网行为的IP地址的状态,包含如下取值: · frozen:冻结状态 · unfrozen:未冻结状态 |
|
Remaining time |
剩余冻结时间 |
|
User |
用户名 |
freeze命令用来手工冻结IP地址。
【命令】
freeze { ipv4 | ipv6 } ip-address [ vpn-instance vpn-instance-name ] time freeze-time
【视图】
共享上网管理视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示指定IPv4地址。
ipv6:表示指定IPv6地址。
ip-address:表示冻结的IP地址。
vpn-instance vpn-instance-name:表示IP地址所属的VPN。vpn-instance-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示IP地址属于公网。
freeze-time:表示冻结时间,取值范围为5~720,单位为分钟。达到冻结时间后,IP地址将自动解冻。
【使用指导】
本命令用来对存在共享上网行为的IP地址进行手工冻结,对于已经被冻结的IP地址,执行本命令将会失败。可通过display netshare-control命令查看存在共享上网行为的IP地址。
【举例】
# 手工冻结IP地址12.12.12.1,并设置冻结时间为15分钟。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] freeze ipv4 12.12.12.1 time 15
【相关命令】
· display netshare-control
· unfreeze
ipid-trail enable命令用来开启IPID轨迹检测功能。
undo ipid-trail enable命令用来关闭IPID轨迹检测功能。
【命令】
ipid-trail enable
undo ipid-trail enable
【缺省情况】
IPID轨迹检测功能处于关闭状态。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【使用指导】
缺省情况下,设备使用应用检测功能对共享上网状态进行检测,但是,该功能只对特征库中的特定应用有效(包括QQ、微信、58同城和美团)。如果应用本身进行了加密处理,则应用检测功能无法对其进行共享上网行为检测。为了满足更多场景的需求,可同时开启IPID轨迹检测功能。
开启此功能后,设备将对报文的IPID字段(报文首部的标识字段)进行检测。同一主机发出的IPID字段连续变化并呈递增趋势,且起始值随机。设备将根据统计出的IPID值描绘轨迹,如果在一段时间内,检测到某个源IP地址的IPID在多个区间内连续变化,即检测出多条轨迹,则认为该IP地址被多个终端共享,从而可对该共享上网行为进行管理。
开启此功能后,将对设备业务处理性能产生影响,请管理员根据设备实际情况进行配置。
IPID轨迹检测功能仅支持检测Windows系统的终端,且报文IPID呈规律性变化。
IPID轨迹检测功能仅支持检测IPV4类型地址。
IPID轨迹检测功能不支持对移动终端进行共享上网行为检测。
【举例】
# 创建一个名称为abc的共享上网管理策略,并开启IPID轨迹检测功能。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] policy name abc
[Sysname-netshare-control-policy-abc] ipid-trail enable
netshare-control命令用来进入共享上网管理视图。
【命令】
netshare-control
【视图】
系统视图
【缺省用户角色】
network-admin
【举例】
# 进入共享上网管理视图。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control]
per-ip-shared max-terminals命令用来配置每个IP地址可被共享的最大终端数。
undo per-ip-shared max-terminals命令用来恢复缺省情况。
【命令】
per-ip-shared max-terminals number
undo per-ip-shared max-terminals
【缺省情况】
不限制每个IP地址可被共享的终端数。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【参数】
number:表示终端数目,取值范围为1~15。取值为1时,即仅允许本机使用,不可共享给其他终端。
【使用指导】
本命令用于限制可以同时使用相同IP地址的终端数量。当设备检测到某IP地址下的共享终端数大于策略所配置的最大终端数时,将对该IP地址执行共享上网管理策略中配置的动作;如果检测到的终端数小于配置的最大终端数,则允许此共享行为。
【举例】
# 在共享上网管理策略abc中配置每IP地址允许共享上网的最大终端数为3。
<sysname> system-view
[sysname] netshare-control
[sysname-netshare-control] policy name abc
[sysname-netshare-control-policy-abc] per-ip-shared max-terminals 3
【相关命令】
· action
policy name命令用来创建共享上网管理策略,并进入共享上网管理策略视图。如果指定的共享上网管理策略已经存在,则直接进入共享上网管理策略视图。
undo policy name命令用来删除指定的共享上网管理策略。
【命令】
policy name policy-name
undo policy name policy-name
【缺省情况】
未配置共享上网管理策略。
【视图】
共享上网管理视图
【缺省用户角色】
network-admin
【参数】
policy-name:表示共享上网策略的名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
目前仅支持配置一个共享上网管理策略。
共享上网管理策略中可以配置源IP地址、目的IP地址、源安全域、目的安全域、用户和用户组等过滤条件,用于匹配需要进行共享上网检测的上网流量。
【举例】
# 创建一个名称为abc的共享上网管理策略,并进入共享上网管理策略视图。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] policy name abc
[Sysname-netshare-control-policy-abc]
source-address命令用来配置作为共享上网管理策略过滤条件的源IP地址。
undo source-address命令用来删除作为共享上网管理策略过滤条件的源IP地址。
【命令】
source-address { ipv4 | ipv6 } object-group-name
undo source-address { ipv4 | ipv6 } object-group-name
【缺省情况】
未配置作为共享上网管理策略过滤条件的源IP地址。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示指定IPv4地址对象组。
ipv6:表示指定IPv6地址对象组。
object-group-name:表示地址对象组的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
多次执行本命令,可配置多个源IPv4/IPv6地址对象组作为共享上网管理策略的过滤条件。
【举例】
# 在名为abc的共享上网管理策略中,配置源IP地址过滤条件为obgroup1。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] policy name abc
[Sysname-netshare-control-policy-abc] source-address ipv4 obgroup1
【相关命令】
· object-group(安全命令参考/对象组)
source-zone命令用来配置作为共享上网管理策略过滤条件的源安全域。
undo source-zone命令用来删除作为共享上网管理策略过滤条件的源安全域。
【命令】
source-zone source-zone-name
undo source-zone source-zone-name
【缺省情况】
未配置作为共享上网管理策略过滤条件的源安全域。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【参数】
source-zone-name:表示源安全域的名称,为1~31个字符的字符串,不区分大小写。
【使用指导】
多次执行本命令,可以配置多个源安全域作为共享上网管理策略的过滤条件。
【举例】
# 在名为abc的共享上网管理策略中,配置源安全域过滤条件为zone1。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] policy name abc
[Sysname-netshare-control-policy-abc] source-zone zone1
【相关命令】
· security-zone name(安全配置命令参考/安全域)
unfreeze命令用来手工解冻IP地址。
【命令】
unfreeze { ipv4 | ipv6 } ip-address [ vpn-instance vpn-instance-name ]
【视图】
共享上网管理视图
【缺省用户角色】
network-admin
【参数】
ipv4:表示指定IPv4地址。
ipv6:表示指定IPv6地址。
ip-address:表示手工解冻的IP地址。
vpn-instance vpn-instance-name:表示IP地址所属的VPN。vpn-instance-name为MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则表示要解冻的IP地址属于公网。
【使用指导】
本命令用来对已被冻结的IP地址进行手工解冻。可通过display netshare-control命令查看已冻结的IP地址。
【举例】
# 解冻IP地址12.12.12.1。
<Sysname> system-view
[Sysname] netshare-control
[Sysname-netshare-control] unfreeze ipv4 12.12.12.1
【相关命令】
· display netshare-control
user命令用来配置作为共享上网管理策略过滤条件的用户。
undo user命令用来删除作为共享上网管理策略过滤条件的用户。
【命令】
user username [ domain domain-name ]
undo user username [ domain domain-name ]
【缺省情况】
未配置作为共享上网管理策略过滤条件的用户。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【参数】
username:表示用户的名称,为1~55个字符的字符串,区分大小写。
domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括字符“?”。若不指定此参数,则表示在不属于任何身份识别域的用户中匹配此用户。有关身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
【使用指导】
多次执行本命令,可以配置多个用户作为共享上网管理策略的过滤条件。
【举例】
# 创建名为abc的共享上网管理策略,并配置用户过滤条件为managers。
<sysname> system-view
[sysname] netshare-control
[sysname-netshare-control] policy name abc
[sysname-netshare-control-policy-abc] user managers
【相关命令】
· user-identity enable(安全命令参考/用户身份识别与管理)
user-group命令用来配置作为共享上网管理策略过滤条件的用户组。
undo user-group命令用来删除作为共享上网管理策略过滤条件的用户组。
【命令】
user-group user-group-name [ domain domain-name ]
undo user-group user-group-name [ domain domain-name ]
【缺省情况】
未配置作为共享上网管理策略过滤条件的用户组。
【视图】
共享上网管理策略视图
【缺省用户角色】
network-admin
【参数】
user-group-name:表示用户组的名称,为1~32个字符的字符串,不区分大小写。
domain domain-name:表示在指定的身份识别域中匹配此用户组。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括字符“?”。若不指定此参数,则表示在不属于任何身份识别域的用户组中匹配此用户组。有关身份识别域的详细介绍,请参见“安全配置指导”中的“用户身份识别与管理”。
【使用指导】
多次执行本命令,可以配置多个用户组作为共享上网管理策略的过滤条件。
【举例】
# 创建名为abc的共享上网管理策略,并配置用户组过滤条件为group1。
<sysname> system-view
[sysname] netshare-control
[sysname-netshare-control] policy name abc
[sysname-netshare-control-policy-abc] user-group group1
【相关命令】
· identity-group(安全命令参考/AAA)
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
