- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
27-终端识别命令
本章节下载: 27-终端识别命令 (219.25 KB)
目 录
1.1.5 display terminal-identification terminal predefined
1.1.6 display terminal-identification terminal-group
1.1.12 terminal-identification
allowlist action命令用来配置白名单的动作。
undo allowlist action命令用来恢复缺省情况。
【命令】
allowlist action { drop | permit }
undo allowlist action
【缺省情况】
放行匹配白名单的终端流量。
【视图】
终端识别视图
【缺省用户角色】
network-admin
context-admin
【参数】
drop:仅终端设备信息发生变化后,才丢弃终端流量。
permit:放行终端流量。
【使用指导】
此功能仅在白名单工作模式下生效。
当终端初次上线时,如果终端的IP地址在白名单内,且配置的动作为丢弃,系统则丢弃初次上线的终端流量。如需放行这些终端的流量,需配合使用approved命令对这些识别出的终端进行可信认证,认证后系统将放行这些终端的流量。
如果配置白名单的动作为放行,无论终端是否发生变化,系统均放行匹配白名单的终端流量。
【举例】
# 配置白名单内的动作。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] allowlist action drop
allowlist object-group命令用来引用IP地址对象组生成白名单。
undo allowlist object-group命令用来恢复缺省情况。
【命令】
allowlist object-group ipv4 object-group-name
undo allowlist object-group ipv4
【缺省情况】
未引用IP地址对象组生成白名单。
【视图】
终端识别视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4 object-group-name:表示IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写,对象组的名称必须全局唯一。
【使用指导】
此功能仅在白名单工作模式下生效。
执行allowlist object-group命令时,引用的IPv4地址对象组必须已经存在。有关地址对象组的详细介绍,请参见“安全配置指导”中的“对象组”。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 引用地址对象组aa生成白名单。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] allowlist object-group ipv4 aa
approved命令用来将终端审批为合法。
【命令】
approved { all | ipv4 ipv4-address }
【缺省情况】
未对终端进行审批。
【视图】
终端识别视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:表示将所有的终端审批为合法。
ipv4 ipv4-address:表示对指定的IPv4地址对应的终端审批为合法。
【使用指导】
此功能仅在白名单工作模式下生效。
终端识别支持将终端审批为合法,即当管理员认为系统识别的终端信息准确可信时,系统可以将当前识别出的终端信息及其对应的IP地址自动记录下来作为合法凭证并展示在设备Web界面。
如果白名单动作为阻断,当白名单中的终端设备信息变化后,系统会丢弃这些终端的流量。若管理员认为变更后的终端可信,则可以使用该功能对变更后的终端进行审批合法,并放行变更后的流量。
【举例】
# 配置终端识别将IP地址1.1.1.1对应的终端审批为合法。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] approved ipv4 1.1.1.1
description命令用来配置终端组的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
终端组的描述信息为“User-defined terminal group”。
【视图】
终端组视图
【缺省用户角色】
network-admin
context-admin
【参数】
text:终端组的描述信息,为1~127个字符的字符串,区分大小写,当有空格时,必须用双引号把整个字符串引起来。
【使用指导】
通过合理编写描述信息,便于管理员快速理解和识别该终端组的作用,有利于后期维护。
【举例】
# 配置名称为test的终端组描述信息为“User defined test terminal group”。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] terminal-group test
[Sysname-terminal-identification-terminal-group-test] description "User defined test terminal group"
【相关命令】
· terminal-group
display terminal-identification terminal predefined命令用来显示预定义终端信息。
【命令】
display terminal-identification terminal predefined
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
用户可通过本命令查看特征库中预定义的终端的信息。
【举例】
# 显示终端信息。
<Sysname> system-view
[Sysname] display terminal-identification terminal predefined
display terminal-identification terminal-group命令用来显示终端组信息。
【命令】
display terminal-identification terminal-group
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
本命令可用于查看特征库中的所有预定义终端组信息以及用户自定义的终端组信息。
【举例】
# 显示终端组信息。
<Sysname> system-view
[Sysname] display terminal-identification terminal-group
Pre-defined count: 2
Terminal name Type Terminal ID
DahuaIPC Pre-defined 0x0000681e
DahuaNVR Pre-defined 0x00006829
表1-1 display terminal-identification terminal predefined
|
字段 |
描述 |
|
Pre-defined count |
预定义的终端个数 |
|
Terminal name |
终端名称 |
|
Type |
终端类型 |
|
Terminal ID |
终端ID |
【相关命令】
· terminal-group
include terminal命令用来向终端组内添加终端。
undo include terminal命令用来删除终端组内的终端。
【命令】
include terminal terminal-name
undo include terminal terminal-name
【缺省情况】
终端组中不存在终端。
【视图】
终端组视图
【缺省用户角色】
network-admin
context-admin
【参数】
terminal-name:终端的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”或“other”。
【使用指导】
可多次执行本命令为一个自定义终端组中添加多个终端,每个组里可以包含的终端个数不限制。
【举例】
# 在终端组test中增加终端dahua和haikang。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] terminal-group test
[Sysname-terminal-identification-terminal-group-test] include terminal dahua
[Sysname-terminal-identification-terminal-group-test] include terminal haikang
【相关命令】
· display terminal-identification terminal-group
logging enable命令用来开启终端识别日志记录功能。
undo logging enable命令用来关闭终端识别日志记录功能。
【命令】
logging enable
undo logging enable
【缺省情况】
终端识别的日志记录功能处于关闭状态。
【视图】
终端识别视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启本功能后,当设备检测到终端信息(例如厂商、型号等)发生变化时,将以快速日志输出的方式向用户的日志主机发送日志信息。有关快速日志输出和日志主机的详细介绍,请参见“网络管理和监控配置指导”中的“快速日志输出”。
【举例】
# 开启终端识别日志记录功能。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] logging enable
manage object-group命令用来配置管理员地址对象组。
undo manage object-group命令用来删除管理员地址对象组。
【命令】
manage object-group { ipv4 | ipv6 } object-group-name
undo manage object-group { ipv4 | ipv6 } object-group-name
【缺省情况】
未配置管理员地址对象组。
【视图】
终端识别视图
【缺省用户角色】
network-admin
context-admin
【参数】
{ ipv4 | ipv6 } object-group-name:IPv4或IPv6管理员地址对象组的名称,为1~63个字符的字符串,不区分大小写,且对象组的名称必须全局唯一。
【使用指导】
管理员地址对象组是指管理终端设备的管理员所在的地址对象组,当确定管理地址后,可同时确定终端IP地址。当报文源/目的IP地址匹配管理员地址对象组时,则目的/源IP地址为终端地址。
为了方便管理员确定终端的地址,管理员地址对象组和终端地址对象组至少需要选择其中一种进行配置。若同时配置,则管理员地址对象组优先级更高。
引用的IPv4或IPv6地址对象组必须已经存在。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置管理员地址对象组为IPv4地址对象组obgroup1。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] manage object-group ipv4 obgroup1
reidentify命令用来使设备重新识别终端信息。
【命令】
reidentify { all | ipv4 ipv4-address }
【视图】
终端识别视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:表示重新识别全部IPv4地址对应的终端。
ipv4 ipv4-address:表示重新识别指定IPv4地址对应的终端。
【使用指导】
此功能在告警工作模式及白名单工作模式下均生效。
当管理员认为终端设备状态不准确需更新时,可使用该功能重新识别终端设备。执行本功能后,系统将先删除前期已识别出的终端信息和已有的合法终端信息,然后对接入的终端进行重新识别与Web展示。
【举例】
# 对IP地址为1.1.1.1的终端进行重识别。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] reidentify ipv4 1.1.1.1
terminal-group命令用来创建终端组,并进入终端组视图。如果指定的终端组已经存在,则直接进入终端组视图。
undo terminal-group命令用来删除指定的终端组。
【命令】
terminal-group group-name
undo terminal-group group-name
【缺省情况】
不存在终端组。
【视图】
终端识别视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:终端组的名称,为1~63个字符的字符串,不区分大小写,不允许为系统保留的“invalid”或“other”。
【使用指导】
当特征库中的预定义终端组无法满足需求时,用户可以自定义终端组。
【举例】
# 创建名称为test的终端组,并进入终端组视图。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] terminal-group test
[Sysname-terminal-identification-terminal-group-test]
【相关命令】
· include terminal
terminal-identification命令用来进入终端识别视图。
undo terminal-identification命令用来删除终端识别视图下的所有配置。
【命令】
terminal-identification
undo terminal-identification
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
终端识别视图下可以创建自定义终端组、向自定义终端组中添加终端以及开启终端识别日志记录功能等。
【举例】
# 进入终端识别视图。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification]
terminal object-group命令用来配置终端地址对象组。
undo terminal object-group命令用来删除终端地址对象组。
【命令】
terminal object-group { ipv4 | ipv6 } object-group-name
undo terminal object-group { ipv4 | ipv6 } object-group-name
【缺省情况】
不存在终端地址对象组。
【视图】
终端识别视图
【缺省用户角色】
network-admin
context-admin
【参数】
{ ipv4 | ipv6 } object-group-name:IPv4或IPv6终端地址对象组的名称,为1~63个字符的字符串,不区分大小写,且对象组的名称必须全局唯一。
【使用指导】
终端地址对象组是指终端所在的地址对象组。当报文源/目的IP地址匹配终端地址对象组时,则源/目的IP地址为终端地址。
为了方便管理员确定终端的地址,管理员地址对象组和终端地址对象组至少需要选择其中一种进行配置。若同时配置,则管理员地址对象组优先级更高。
引用的IPv4或IPv6地址对象组必须已经存在。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置终端地址对象组为IPv4地址对象组obgroup1。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] terminal object-group ipv4 obgroup1
work-mode命令用来配置终端识别的工作模式。
undo work-mode命令用来恢复缺省情况。
【命令】
work-mode { allowlist | warning }
undo work-mode
【缺省情况】
终端识别处于告警模式。
【视图】
终端识别视图
【缺省用户角色】
network-admin
context-admin
【参数】
allowlist:表示白名单工作模式
warning:表示告警工作模式。
【使用指导】
终端识别支持两种工作模式,分别为告警模式及白名单模式。
· 在告警模式下,若设备检测到终端信息(例如厂商、型号、MAC地址等)发生变化,将以快速日志的方式向日志主机发送日志信息。在安全控制要求比较宽松的场景中,可以采用此工作模式。
· 在白名单模式下,设备仅会放行白名单中的终端流量。若设备检测到到白名单中的终端信息(例如厂商、型号、MAC地址等)发生变化,将以快速日志的方式向日志主机发送日志信息。在安全控制要求比较严格的场景中,建议采用此工作模式。
【举例】
# 将终端识别功能配置为白名单模式。
<Sysname> system-view
[Sysname] terminal-identification
[Sysname-terminal-identification] work-mode allowlist
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
