01-gRPC命令
本章节下载: 01-gRPC命令 (286.37 KB)
目 录
1.3.1 destination-group (subscription view)
1.3.2 destination-group (telemetry view)
1.3.9 sensor-group (subscription view)
1.3.10 sensor-group (telemetry view)
crl check enable命令用来开启CRL检查。
undo crl check enable命令用来关闭CRL检查。
【命令】
crl check enable
undo crl check enable
【缺省情况】
CRL检查处于开启状态。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【使用指导】
CRL(Certificate Revocation List,证书废除列表)是一个由CA签发的文件,该文件中包含被该CA吊销的所有证书的列表。一个证书有可能在有效期达到之前被CA吊销。使能CRL检查的目的是查看设备上的实体证书或者即将要导入、获取到设备上的实体证书是否已经被CA吊销,若检查结果表明实体证书已被吊销,那么该证书就不被设备信任。
【举例】
# 禁止CRL检查。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] undo crl check enable
【相关命令】
· pki import
pki domain命令用来创建PKI域,并进入PKI域视图。如果指定的PKI域已存在,则直接进入PKI域视图。
undo pki domain命令用来删除指定的PKI域。
【命令】
pki domain domain-name
undo pki domain domain-name
【缺省情况】
不存在PKI域。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain-name:PKI域名,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
【使用指导】
删除PKI域的同时,会将该域相关的证书和CRL都删除掉,因此请慎重操作。
【举例】
# 创建PKI域aaa并进入PKI域视图。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa]
pki import命令用来将CA证书、本地证书或对端证书导入到指定的PKI域中保存。
【命令】
pki import domain domain-name { der { ca | local | peer } filename filename | p12 local filename filename | pem { ca | local | peer } [ filename filename ] }
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain domain-name:保存证书的PKI域的名称,为1~31个字符的字符串,不区分大小写,不能包括“~”、“*”、“\”、“|”、“:”、“.”、“<”、“>”、“"”和“'”。
der:指定证书文件格式为DER编码(包括PKCS#7格式的证书)。
p12:指定证书文件格式为PKCS#12编码。
pem:指定证书文件格式为PEM编码。
ca:表示CA证书。
local:表示本地证书。
peer:表示对端证书。
filename filename:要导入的证书所在的文件名,不区分大小写。如果不指定本参数,则表示要通过直接在终端上粘贴证书内容的方式导入证书,这种方式仅PEM编码格式的证书才支持。
【使用指导】
如果设备所处的环境中,没有证书的发布点,或者CA服务器不支持通过SCEP协议与设备交互,则可通过此命令将证书导入到设备。另外,当证书对应的密钥对由CA服务器生成时,CA服务器会将证书和对应的密钥对打包成一个文件,使用这样的证书前也需要通过此命令将其导入到设备。只有PKCS#12格式或PEM格式的证书文件中可能包含密钥对。
证书导入之前:
· 需要通过FTP、TFTP等协议将证书文件传送到设备的存储介质中。如果设备所处的环境不允许使用FTP、TFTP等协议,则可以直接在终端上粘贴证书的内容,但是粘贴的证书必须是PEM格式的,因为只有PEM编码的证书内容为可打印字符。
· 必须存在签发本地证书(或对端证书)的CA证书链才能成功导入本地证书(或对端证书),这里的CA证书链可以是保存在设备上的PKI域中的,也可以是本地证书(或对端证书)中携带的。因此,若设备和本地证书(或对端证书)中都没有CA证书链,则需要首先执行导入CA证书的命令。
导入本地证书或对端证书时:
· 如果用户要导入的本地证书(或对端证书)中含有CA证书链,则可以通过导入本地证书(或对端证书)的命令一次性将CA证书和本地证书(或对端证书)均导入到设备。导入的过程中,如果发现签发此本地证书(或对端证书)的CA证书已经存在于设备上的任一PKI域中,则系统会提示用户是否将其进行覆盖。
· 如果要导入的本地证书(或对端证书)中不含有CA证书链,但签发此本地证书(或对端证书)的CA证书已经存在于设备上的任一PKI域中,则可以直接导入本地证书(或对端证书)。
导入CA证书时:
· 若要导入的CA证书为根CA或者包含了完整的证书链(即含有根证书),则可以导入到设备。
· 若要导入的CA证书没有包含完整的证书链(即不含有根证书),但能够与设备上已有的CA证书拼接成完整的证书链,则也可以导入到设备;如果不能与设备上已有的CA证书拼接成完成的证书链,则不能导入到设备。
一些情况下,在证书导入的过程中,需要用户确认或输入相关信息:
· 若要导入的证书文件中包含了根证书,且设备上目前还没有任何PKI域中有此根证书,且要导入的PKI域中没有配置root-certificate fingerprint,则在导入过程中还需要确认该根证书的指纹信息是否与用户的预期一致。用户需要通过联系CA服务器管理员来获取预期的根证书指纹信息。
· 当导入含有密钥对的本地证书时,需要输入口令。用户需要联系CA服务器管理员取得口令的内容。
导入含有密钥对的本地证书时,系统首先会根据查找到的PKI域中已有的密钥对配置来保存该密钥对。若PKI域中已保存了对应的密钥对,则设备会提示用户选择是否覆盖已有的密钥对。若PKI域中没有任何密钥对的配置,则根据密钥对的算法及证书的密钥用途,生成相应的密钥对配置。密钥对的具体保存规则如下:
· 如果本地证书携带的密钥对的用途为通用,则依次查找指定PKI域中通用用途、签名用途、加密用途的密钥对配置,并以找到配置中的密钥对名称保存该密钥对;若以上用途的密钥对配置均不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置。
· 如果本地证书携带的密钥对的用途为签名,则依次查找指定PKI域中通用用途、签名用途的密钥对配置,并以找到配置中的密钥对名称保存该密钥对;若以上两种用途的密钥对配置均不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置。
· 如果本地证书携带的密钥对的用途为加密,则查找指定PKI域中加密用途的密钥对配置,并以该配置中的密钥对名称保存密钥对;若加密用途密钥对的配置不存在,则提示用户输入密钥对名称(缺省的密钥对名称为PKI域的名称),并生成相应的密钥对配置。
由于以上过程中系统会自动更新或生成密钥对配置,因此建议用户在进行此类导入操作后,保存配置文件。
【举例】
# 向PKI域aaa中导入CA证书,证书文件格式为PEM编码,证书文件名称为rootca_pem.cer,证书文件中包含根证书。
<Sysname> system-view
[Sysname] pki import domain aaa pem ca filename rootca_pem.cer
The trusted CA's finger print is:
MD5 fingerprint:FFFF 3EFF FFFF 37FF FFFF 137B FFFF 7535
SHA1 fingerprint:FFFF FF7F FF2B FFFF 7618 FF4C FFFF 0A7D FFFF FF69
Is the finger print correct?(Y/N):y
[Sysname]
# 向PKI域bbb中导入CA证书,证书文件格式为PEM编码,证书文件名称为aca_pem.cer,证书文件中不包含根证书。
<Sysname> system-view
[Sysname] pki import domain bbb pem ca filename aca_pem.cer
[Sysname]
# 向PKI域bbb中导入本地证书,证书文件格式为PKCS#12编码,证书文件名称为local-ca.p12,证书文件中包含了密钥对。
<Sysname> system-view
[Sysname] pki import domain bbb p12 local filename local-ca.p12
Please input challenge password:
******
[Sysname]
# 向PKI域bbb中通过粘贴证书内容的方式导入PEM编码的本地证书。证书中含有密钥对和CA证书链。
<Sysname> system-view
[Sysname] pki import domain bbb pem local
Enter PEM-formatted certificate.
End with a Ctrl+c on a line by itself.
Bag Attributes
localKeyID: 01 00 00 00
friendlyName: {F7619D96-3AC2-40D4-B6F3-4EAB73DEED73}
Microsoft CSP Name: Microsoft Enhanced Cryptographic Provider v1.0
Key Attributes
X509v3 Key Usage: 10
-----BEGIN RSA PRIVATE KEY-----
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,8DCE37F0A61A4B8C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-----END RSA PRIVATE KEY-----
Bag Attributes
localKeyID: 01 00 00 00
subject=/CN=sldsslserver
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Bag Attributes: <Empty Attributes>
subject=/C=cn/O=ccc/OU=sec/CN=ssl
issuer=/C=cn/O=ccc/OU=sec/CN=ssl
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Please input the password:********
Local certificate already exist, confirm to overwrite it? [Y/N]:y
The PKI domain already has a CA certificate. If it is overwritten, local certificates, peer certificates and CRL of this domain will also be deleted.
Overwrite it? [Y/N]:y
The system is going to save the key pair. You must specify a key pair name, which is a case-insensitive string of 1 to 64 characters. Valid characters include a to z, A to Z, 0 to 9, and hyphens (-).
Please enter the key pair name [default name: bbb]:
The key pair already exists.
Please enter the key pair name:
import-key
【相关命令】
· public-key rsa
public-key rsa命令用来指定证书申请使用的RSA密钥对。
undo public-key命令用来恢复缺省情况。
【命令】
public-key rsa { { encryption name encryption-key-name [ length key-length ] | signature name signature-key-name [ length key-length ] } * | general name key-name [ length key-length ] }
undo public-key
【缺省情况】
未指定证书申请使用的密钥对。
【视图】
PKI域视图
【缺省用户角色】
network-admin
【参数】
encryption:指定密钥对的用途为加密。
name encryption-key-name:加密密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符“-”。
signature:指定密钥对的用途为签名。
name signature-key-name:签名密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符“-”。
general:指定密钥对的用途为通用,既可以用于签名也可以用于加密。
name key-name:通用密钥对的名称,为1~64个字符的字符串,不区分大小写,只能包含字母、数字和连字符“-”。
length key-length:密钥的长度。key-length的取值范围为512~2048,单位为比特,缺省为1024。密钥越长,密钥安全性越高,但相关的公钥运算越耗时。
【使用指导】
本命令中引用的密钥对并不要求已经存在,可以通过以下任意一种途径获得:
· 通过执行public-key local create命令生成。
· 通过应用程序认证过程触发生成。例如IKE协商过程中,如果使用数字签名认证方式,则可能会触发生成密钥对。
· 通过导入证书(使用pki import命令)的方式从外界获得。
对于RSA密钥对来说,一个PKI域中只允许单独存在一种用途的RSA密钥对,或同时存在一个用于签名的和一个用于加密的RSA密钥对。因此,在一个PKI域中,RSA签名密钥对和RSA加密密钥对的配置不会互相覆盖。
分别指定RSA签名密钥对和RSA加密密钥对时,它们的密钥长度可以不相同。
本命令中指定的密钥长度仅对将要由设备生成的密钥对有效。如果执行本命令时,设备上已经存在指定名称的密钥对,则后续通过此命令指定的该密钥对的密钥长度没有意义。如果指定名称的密钥对是通过导入证书的方式获得,则通过本命令指定的密钥长度也没有意义。
【举例】
# 指定证书申请所使用的RSA密钥对为abc,密钥用途为通用,密钥的长度为2048比特。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa general name abc length 2048
# 指定证书申请所使用的加密RSA密钥对为rsa1(密钥的长度为2048比特),签名RSA密钥对为sig1(密钥的长度为2048比特)。
<Sysname> system-view
[Sysname] pki domain aaa
[Sysname-pki-domain-aaa] public-key rsa encryption name rsa1 length 2048
[Sysname-pki-domain-aaa] public-key rsa signature name sig1 length 2048
【相关命令】
· pki import
· public-key local create(安全命令参考/公钥管理)
grpc data-model命令用来配置gRPC使用的Telemetry数据模型。
undo grpc data-model命令用来恢复缺省情况。
【命令】
grpc data-model { 2-layer | 3-layer }
undo grpc data-model
【缺省情况】
设备使用二层Telemetry数据模型上送数据。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
2-layer:使用二层Telemetry数据模型上送数据。
3-layer:使用三层Telemetry数据模型上送数据。
【使用指导】
本命令目前仅用于gRPC Dial-out模式。
设备使用二层Telemetry数据模型上送数据时,不支持对上送数据使用GPB编码格式(encoding gpb)。
关于Telemetry数据模型的介绍,请参见“Telemetry配置指导”中的“gRPC”。
【举例】
# 配置设备使用三层Telemetry数据模型上送数据。
<Sysname> system-view
[Sysname] grpc data-model 3-layer
【相关命令】
· encoding
grpc enable命令用来开启gRPC功能。
undo grpc enable命令用来关闭gRPC功能。
【命令】
grpc enable
undo grpc enable
【缺省情况】
gRPC功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
只有开启gRPC功能后,才能进行gRPC相关的配置(grpc pki domain命令除外)。
如果关闭gRPC功能,所有gRPC相关配置都会被删除。
【举例】
# 开启gRPC功能。
<Sysname> system
[Sysname] grpc enable
grpc pki domain命令用来指定与采集器进行SSL通信时使用的PKI域。
undo grpc pki domain命令用来恢复缺省情况。
【命令】
grpc pki domain domain-name
undo grpc pki domain
【缺省情况】
未指定与采集器进行SSL通信时使用的PKI域。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain-name:表示与采集器进行SSL通信时使用的PKI域名称,为1~31个字符的字符串,区分大小写。
【使用指导】
与采集器进行SSL通信时需要通过本命令指定PKI域。
请在开启gRPC功能之前配置本功能。如果已经开启了gRPC功能,则配置不会生效。
指定的PKI域必须存在,并且PKI域中包含完整的证书和密钥,否则设备不能和采集器建立gRPC连接。
【举例】
# 指定与采集器进行SSL通信时使用的PKI域为grpc_test,然后开启gRPC功能。
<Sysname> system-view
[Sysname] grpc pki domain grpc_test
[Sysname] grpc enable
【相关命令】
· grpc enable
display grpc命令用来显示gRPC Dial-in模式的相关信息。
【命令】
display grpc
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示gRPC Dial-in模式的相关信息。
<Sysname> display grpc
gRPC status : enabled.
gRPC port : 50051
gRPC idle-timeout : 3 minutes
Session count: 1.
Session ID: 1
User name: test
Login time:2011-01-05 06:46:43 Idle time : 2 mins 56 s
Client IP address : 169.254.100.170:40810
Received RPCs : 0 Received error RPCs : 0
Received subscription: 0 Output notifications: 0
表1-1 display grpc命令显示信息描述表
字段 |
描述 |
gRPC status |
gRPC功能状态: · enabled:表示gRPC功能处于开启状态 · disabled:表示gRPC功能处于关闭状态 |
gRPC port |
gRPC服务使用的端口号 |
gRPC idle-timeout |
gRPC会话超时时间,单位为分钟 |
Session count |
gRPC会话数量 |
Session ID |
gRPC会话ID |
User name |
用户名 |
Login time |
登录时间 |
Idle time |
gRPC会话达到超时前的剩余空闲时间,0表示不超时 |
Client IP address |
客户端的IP地址和端口号 |
Received RPCs |
设备接收到的gRPC请求报文数量 |
Received error RPCs |
设备接收到的错误gRPC请求报文数量 |
Received subscription |
设备接收到的gRPC订阅请求报文数量 |
Output notifications |
设备上报通知的数量 |
grpc idle-timeout命令用来配置gRPC会话超时时间。
undo grpc idle-timeout命令用来恢复缺省情况。
【命令】
grpc idle-timeout minutes
undo grpc idle-timeout
【缺省情况】
gRPC会话超时时间为5分钟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
minutes:表示gRPC会话超时时间,取值范围为0~30,单位为分钟。0表示设备不会因为超时自动断开用户连接。
【使用指导】
用户登录后,如果在超时时间内设备和用户之间没有gRPC报文交互,则超时时间到达时设备会自动断开该用户的连接。
【举例】
# 配置gRPC会话超时时间为6分钟。
<Sysname> system
[Sysname] grpc idle-timeout 6
grpc log dial-in gnmi命令用来开启gRPC Dial-in模式的gNMI类操作日志功能。
undo grpc log dial-in gnmi命令用来关闭gRPC Dial-in模式的gNMI类操作日志功能。
【命令】
grpc log dial-in gnmi { all | { capabilities | get | set | subscribe }* }
undo grpc log dial-in gnmi { all | { capabilities | get | set | subscribe }* }
【缺省情况】
gRPC Dial-in模式的gNMI Set操作日志功能处于开启状态,其他gNMI类操作日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all:表示输出所有gNMI类操作日志。
capabilities:表示输出gNMI Capabilities操作日志。
get:表示输出gNMI Get操作日志。
set:表示输出gNMI Set操作日志。
subscribe:表示输出gNMI Subscribe操作日志。
【使用指导】
为了管理员定位gRPC问题的需要,可以开启gRPC日志功能,以便记录设备对gRPC报文的处理信息。
设备生成的gRPC日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
多次执行本命令,最终生效的是多次配置的集合。
【举例】
# 配置设备输出gRPC Dial-in模式的gNMI Get操作日志。
<Sysname> system
[Sysname] grpc log dial-in gnmi get
grpc log dial-in rpc命令用来开启gRPC Dial-in模式的RPC(Remote Procedure Call,远程过程调用)类操作日志功能。
undo grpc log dial-in rpc命令用来关闭gRPC Dial-in模式的RPC类操作日志功能。
【命令】
grpc log dial-in rpc { all | { cli | get }* }
undo grpc log dial-in rpc { all | { cli | get }* }
【缺省情况】
gRPC Dial-in模式的RPC类操作日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all:表示输出CLI操作和Get操作的日志。
cli:表示输出CLI操作日志。
get:表示输出Get操作日志。
【使用指导】
为了管理员定位gRPC问题的需要,可以开启gRPC日志功能,以便记录设备对gRPC报文的处理信息。
设备生成的gRPC日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
多次执行本命令,最终生效的是多次配置的集合。
【举例】
# 配置设备输出gRPC Dial-in模式的Get操作的日志。
<Sysname> system
[Sysname] grpc log dial-in rpc get
grpc port命令用来配置gRPC服务的端口号。
undo grpc port命令用来恢复缺省情况。
【命令】
grpc port port-number
undo grpc port
【缺省情况】
gRPC服务的端口号为50051。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
port-number:gRPC服务的端口号,取值范围为1~65535。
【使用指导】
修改端口号后,gRPC服务将重启,正在访问的客户端将被断开,客户端需要重新发送连接请求才能继续访问。
如果指定的端口号因端口被占用等原因无法用于gRPC服务,则系统使用修改前的端口号重启gRPC服务。
【举例】
# 配置gRPC服务的端口号为50052。
<Sysname> system
[Sysname] grpc port 50052
【相关命令】
· grpc enable
destination-group命令用来配置关联目标组。
undo destination-group命令用来删除关联目标组。
【命令】
destination-group group-name
undo destination-group group-name
【缺省情况】
未配置关联目标组。
【视图】
订阅视图
【缺省用户角色】
network-admin
【参数】
group-name:目标组的名称,为1~31个字符的字符串,区分大小写。
【使用指导】
本命令配置的目标组将会和同一订阅视图下的传感器组自动关联。
本命令指定的目标组需要先在Telemetry视图下使用destination-group命令创建。
每个订阅可关联的目标组数量上限为5。
【举例】
# 在订阅A中配置关联目标组为collector1。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry] subscription A
[Sysname-telemetry-subscription-A] destination-group collector1
【相关命令】
· destination-group (telemetry view)
destination-group命令用来创建目标组,并进入目标组视图。如果指定的目标组已经存在,则直接进入目标组视图。
undo destination-group命令用来删除目标组。
【命令】
destination-group group-name
undo destination-group group-name
【缺省情况】
不存在目标组。
【视图】
Telemetry视图
【缺省用户角色】
network-admin
【参数】
group-name:目标组的名称,为1~31个字符的字符串,区分大小写。
【使用指导】
建议系统中创建的目标组数量不超过5个,否则会影响系统性能。
通过destination-group (subscription view)命令将目标组关联到订阅后,如需删除该目标组,请先解除订阅关系。
【举例】
# 创建名为collector1的目标组。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry] destination-group collector1
[Sysname-telemetry-destination-group-collector1]
【相关命令】
· destination-group (subscription view)
· subscription
dscp命令用来配置设备发送的订阅报文的DSCP优先级。
undo dscp命令用来恢复缺省情况。
【命令】
dscp dscp-value
undo dscp
【缺省情况】
设备发送的订阅报文的DSCP优先级为0。
【视图】
订阅视图
【缺省用户角色】
network-admin
【参数】
dscp-value:订阅报文的DSCP优先级,取值范围为0~63。
【使用指导】
DSCP(Differentiated Services Code Point,差分服务编码点)携带在IPv4报文中的ToS字段或者IPv6报文中的Traffic Class字段,用来体现报文自身的优先等级,决定报文传输的优先程度。DSCP优先级的取值越大,报文的优先级越高。
在同一个订阅视图下多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置设备发送的订阅A的报文的DSCP优先级为12。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry] subscription A
[Sysname-telemetry-subscription-A] dscp 12
encoding命令用来配置上送数据的编码格式。
undo encoding命令用来恢复缺省情况。
【命令】
encoding { gpb | json }
undo encoding
【缺省情况】
上送数据的编码格式为JSON。
【视图】
订阅视图
【缺省用户角色】
network-admin
【参数】
gpb:对上送数据使用GPB编码格式。仅当设备使用三层Telemetry数据模型时,可以对上送数据使用GPB编码格式。
json:对上送数据使用JSON编码格式。
【使用指导】
设备上支持订阅的数据均支持JSON编码格式,可能部分不支持GPB编码格式。当用户配置为GPB编码格式后,不支持GPB编码格式的数据不会上送。
【举例】
# 配置设备使用三层Telemetry数据模型,订阅A的上送数据的编码格式为GPB。
<Sysname> system-view
[Sysname] grpc data-model 3-layer
[Sysname] telemetry
[Sysname-telemetry] subscrption A
[Sysname-telemetry-subscription-A] encoding gpb
【相关命令】
· grpc data-model
grpc log dial-out命令用来开启gRPC Dial-out模式的日志功能。
undo grpc log dial-out命令用来关闭gRPC Dial-out模式的日志功能配置。
【命令】
grpc log dial-out { all | { event | sample }* }
undo grpc log dial-out { all | { event | sample }* }
【缺省情况】
gRPC Dial-out模式的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
all:表示输出gRPC Dial-out模式的所有类型的日志。
event:表示输出事件触发采样的日志。
sample:表示输出固定周期采样的日志。
【使用指导】
为了管理员定位gRPC问题的需要,可以开启gRPC日志功能,以便记录设备对gRPC报文的处理信息。
设备生成的gRPC日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。
多次执行本命令,最终生效的是多次配置的集合。
【举例】
# 配置设备输出gRPC Dial-out模式的固定周期采样的日志。
<Sysname> system
[Sysname] grpc log dial-out sample
ipv4-address命令用来往目标组中添加IPv4采集器。
undo ipv4-address命令用来将IPv4采集器从目标组中删除。
【命令】
ipv4-address ipv4-address [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ipv4-address ipv4-address [ port port-number ] [ vpn-instance vpn-instance-name ]
【缺省情况】
目标组中没有IPv4采集器。
【视图】
目标组视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:采集器的IPv4地址。
port port-number:采集器接收数据的端口号,取值范围为1~65535,缺省值为50051。本参数的值需要和采集器侧的配置一致,否则采集器接收不到相应数据。
vpn-instance vpn-instance-name:采集器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。指定的VPN实例必须已经存在。如果未指定本参数,则表示采集器位于公网中。
【使用指导】
多次执行本命令可配置多个采集器。配置本命令时,只要任意一个参数不同,就算不同的采集器。
每个目标组支持配置的采集器数量上限为5。
通过destination-group (subscription view)命令将目标组关联到订阅后,如需修改该目标组中的采集器配置,请先解除订阅关系。
【举例】
# 在目标组collector1中配置IP地址为192.168.21.21的采集器。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry] destination-group collector1
[Sysname-telemetry-destination-group-collector1] ipv4-address 192.168.21.21
【相关命令】
· destination-group (subscription view)
· subscription
ipv6-address命令用来往目标组中添加IPv6采集器。
undo ipv6-address命令用来将IPv6采集器从目标组中删除。
【命令】
ipv6-address ipv6-address [ port port-number ] [ vpn-instance vpn-instance-name ]
undo ipv6-address ipv6-address [ port port-number ] [ vpn-instance vpn-instance-name ]
【缺省情况】
目标组中没有IPv6采集器。
【视图】
目标组视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:采集器的IPv6地址。
port port-number:采集器接收数据的端口号,取值范围为1~65535,缺省值为50051。本参数的值需要和采集器侧的配置一致,否则采集器接收不到相应数据。
vpn-instance vpn-instance-name:采集器所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。指定的VPN实例必须已经存在。如果未指定本参数,则表示采集器位于公网中。
【使用指导】
采集器的IPv6地址不能指定为IPv6链路本地地址。有关IPv6链路本地地址的介绍,请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
多次执行本命令可配置多个采集器。配置本命令时,只要任意一个参数不同,就算不同的采集器。
每个目标组支持配置的采集器数量上限为5。
通过destination-group (subscription view)命令将目标组关联到订阅后,如需修改该目标组中的采集器配置,请先解除订阅关系。
【举例】
# 在目标组collector1中配置IPv6地址为1::1的采集器。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry] destination-group collector1
[Sysname-telemetry-destination-group-collector1] ipv6-address 1::1
【相关命令】
· destination-group (subscription view)
· subscription
sensor path命令用来配置采样路径。
undo sensor path命令用来删除采样路径。
【命令】
sensor path path [ condition node node operator operator value value ]
undo sensor path path [ condition node node operator operator ]
【缺省情况】
未配置采样路径。
【视图】
传感器组视图
【缺省用户角色】
network-admin
【参数】
path:采样路径名称,配置时需要完整输入,不区分大小写,执行sensor path ?命令,通过帮助信息可获得该参数的取值。
condition:表示设置采样路径的推送条件,只有当指定节点满足指定条件时才会将采样路径的数据推送给采集器。如果未指定本参数,则采样路径不设推送条件。
node node:指定推送条件中的节点。node表示节点名称,配置时需要完整输入,不区分大小写,执行sensor path path condition node ?命令,通过帮助信息可获得该参数的取值。
operator operator:推送条件的比较运算符。支持的比较运算符以具体节点为准。operator的取值包括:
· eq:等于。
· ge:大于等于。
· gt:大于。
· le:小于等于。
· lt:小于。
· ne:不等于。
value value:参与比较运算的参考值。
【使用指导】
多次执行本命令可配置多个采样路径和推送条件。同一采样路径最多支持5个推送条件,只有这些条件都满足时才推送数据。
采样路径为ifmgr/statistics时,支持在路径后直接附加过滤条件[ifindex=”index”]。index表示接口名称或接口索引,不区分大小写。需要注意的是:
· 采样路径附加过滤条件时,不支持再配置condition参数(推送条件);反之亦然。
· 同一采样路径最多支持64个过滤条件,只要满足其中一个过滤条件就会推送数据。
· 配置的采样路径如果未指定condition参数也不附加过滤条件,则视为附加了一个“匹配全集”的过滤条件。
· index的最后一个字符可以为通配符“*”,例如sensor path ifmgr/statistics[ifindex="GigabitEthernet1/0/*"]。
设备支持配置的采样路径数量上限为128。
通过sensor-group (subscription view)命令将传感器组关联到订阅后,如需修改该传感器组的采样路径配置,请先解除订阅关系。
【举例】
# 在传感器组test中配置采样路径为ifmgr/devicecapabilities。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry] sensor-group test
[Sysname-telemetry-sensor-group-test] sensor path ifmgr/devicecapabilities
# 在传感器组test中,配置采样路径为device/base,仅当节点uptime大于等于377时,该采样路径才会推送数据给采集器。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry] sensor-group test
[Sysname-telemetry-sensor-group-test] sensor path device/base condition node uptime operator ge value 377
【相关命令】
· sensor-group (subscription view)
· subscription
sensor-group命令用来配置关联传感器组。
undo sensor-group命令用来删除关联传感器组。
【命令】
sensor-group group-name [ sample-interval [ msec ] interval ]
undo sensor-group group-name
【缺省情况】
未配置关联传感器组。
【视图】
订阅视图
【缺省用户角色】
network-admin
【参数】
group-name:传感器组的名称,为1~31个字符的字符串,区分大小写。
sample-interval:配置传感器组以固定的周期采样并推送数据。如果未指定该参数,则表示由事件触发数据采样,传感器组不进行周期采样。
msec:表示配置的周期为毫秒级。不指定该参数时,表示配置的周期为秒级。
interval:数据采样和推送周期。
· 未指定msec参数时,取值范围为1~86400,单位为秒。
· 指定msec参数时,取值范围为100~900,且为100的倍数,单位为毫秒。
【使用指导】
本命令配置的传感器组将会和同一订阅视图下的目标组自动关联。
本命令指定的传感器组需要先在Telemetry视图下使用sensor-group命令创建。
当传感器组中的采样路径为事件触发类型时,请不要配置sample-interval参数,否则该采样路径不生效;当采样路径为周期采样类型时,必须配置sample-interval参数才会采样和推送数据。
传感器组与订阅中的目标组关联后,如需修改该传感器组的sample-interval参数,请先解除订阅关系。
【举例】
# 在订阅A中配置关联传感器组为test,数据采样和推送周期为10秒。
<Sysname> system-view
[Sysname] telemetry
[Device-telemetry] subscription A
[Device-telemetry-subscription-A] sensor-group test sample-interval 10
【相关命令】
· sensor path
· sensor-group (telemetry view)
sensor-group命令用来创建传感器组,并进入传感器组视图。如果指定的传感器组已经存在,则直接进入传感器组视图。
undo sensor-group命令用来删除传感器组。
【命令】
sensor-group group-name
undo sensor-group group-name
【缺省情况】
不存在传感器组。
【视图】
Telemetry视图
【缺省用户角色】
network-admin
【参数】
group-name:传感器组的名称,为1~31个字符的字符串,区分大小写。
【使用指导】
设备支持配置的传感器组数量上限为32。
通过sensor-group (subscription view)命令将传感器组关联到订阅后,如需删除该传感器组,请先解除订阅关系。
【举例】
# 创建名为test的传感器组。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry] sensor-group test
[Sysname-telemetry-sensor-group-test]
【相关命令】
· sensor-group (subscription view)
· subscription
source-address命令用来配置设备发送订阅报文的源地址。
undo source-address命令用来恢复缺省情况。
【命令】
source-address { ipv4-address | interface interface-type interface-number | ipv6 ipv6-address }
undo source-address
【缺省情况】
设备使用路由出接口的主IP地址作为发送订阅报文的源IP地址。
【视图】
订阅视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:设置设备发送订阅报文的源IPv4地址。
interface interface-type interface-number:设置设备发送订阅报文的源接口,interface-type interface-number表示接口类型和接口编号,目前仅支持LoopBack接口。此接口下配置的主IP地址即为发送报文的源地址。如果该接口没有配置主IP地址,则设备使用路由出接口的主IP地址作为发送订阅报文的源IP地址。
ipv6 ipv6-address:设置设备发送订阅报文的源IPv6地址。
【使用指导】
多次执行本命令,最新一次执行的命令生效。
当设备发送订阅报文的源地址发生变化时,设备将会重新连接gRPC服务器。
【举例】
# 配置设备发送订阅A的报文的源IPv4地址为169.254.1.1。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry] subscription A
[Sysname-telemetry-subscription-A] source-address 169.254.1.1
subscription命令用来创建订阅,并进入订阅视图。如果指定的订阅已经存在,则直接进入订阅视图。
undo subscription命令用来删除订阅。
【命令】
subscription subscription-name
undo subscription subscription-name
【缺省情况】
不存在订阅。
【视图】
Telemetry视图
【缺省用户角色】
network-admin
【参数】
subscription-name:订阅的名称,为1~31个字符的字符串,区分大小写。
【使用指导】
设备支持配置的订阅数量上限为10。
【举例】
# 创建名为A的订阅。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry] subscription A
[Sysname-telemetry-subscription-A]
【相关命令】
· destination-group (subscription view)
· sensor-group (subscription view)
telemetry命令用来从系统视图进入Telemetry视图。
【命令】
telemetry
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
进入Telemetry视图后,可以配置Telemetry功能的相关参数。
【举例】
# 从系统视图进入Telemetry视图。
<Sysname> system-view
[Sysname] telemetry
[Sysname-telemetry]
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!