- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-服务链命令
本章节下载: 01-服务链命令 (230.62 KB)
目 录
1.1.2 display service-chain cache ip
1.1.3 display service-chain cache ipv6
1.1.4 display service-chain cache ip fragment
1.1.5 display service-chain path
1.1.6 display service-chain statistics
blade-load-balance-team命令用来配置设备内服务链服务节点的负载分担组。
undo blade-load-balance-team命令用来恢复缺省情况。
【命令】
blade-load-balance-team team-name
undo blade-load-balance-team
【缺省情况】
设备内服务链未配置服务节点的负载分担组。
【视图】
服务节点视图
【缺省用户角色】
network-admin
【参数】
team-name:负载分担组的名称,该名称由系统预定义,包括Blade3fw、Blade4fw和AFC三种。
【使用指导】
根据服务节点的业务板类型指定对应的负载分担组,具体如下:
· Blade3fw:用于服务节点为第三代防火墙业务板。
· Blade4fw:用于服务节点为第四代防火墙业务板。
· AFC:用于服务节点为异常流量清洗业务板。
设备内服务链下配置多个服务节点时,需要注意:
· 同一设备内服务链下各服务节点配置的负载分担组不能相同,且各负载分担组必须在同一个引擎组内。
· 每个服务节点仅可以指定一个负载分担组,且AFC负载分担组必须配置于第一个服务节点。
· 同一个负载分担组不能配置在多个服务节点下。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置服务节点1的负载分担组为AFC。
<Sysname> system-view
[Sysname] service-chain path 1
[Sysname-spath1] service function 1
[Sysname-spath1-func1] blade-load-balance-team AFC
【相关命令】
· blade-controller-team(虚拟化技术命令参考/Context)
· service function
display service-chain cache ip命令用来显示设备内服务链的IPv4快速转发表信息。
【命令】
(独立运行模式)
display service-chain cache ip [ ip-address ] [ slot slot-number cpu cpu-number ]
(IRF模式)
display service-chain cache ip [ ip-address ] [ chassis chassis-number slot slot-number cpu cpu-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip-address:显示指定IPv4地址的快速转发表信息。如果不指定ip-address,将显示所有IPv4快速转发表信息。
slot slot-number:显示指定单板的IPv4快速转发表信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板的IPv4快速转发表信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的IPv4快速转发表信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板的IPv4快速转发表信息。(IRF模式)
cpu cpu-number:显示指定CPU上的IPv4快速转发表信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
仅异常流量清洗业务板支持该命令。
【举例】
# 显示指定异常流量清洗业务板上的服务链IPv4快速转发表信息。
<Sysname> display service-chain cache ip chassis 1 slot 2 cpu 1
Total number of service-chain entries: 2
SIP SPort DIP DPort Pro InputIf OutputIf
10.0.1.1 1024 10.0.0.2 1024 6 GE1/7/0/17 Blade1/1/0/2
10.0.0.2 1024 10.0.1.1 1024 6 N/A N/A
表1-1 display service-chain cache ip命令显示信息描述表
|
字段 |
描述 |
|
Total number of service-chain entries |
设备内服务链的IPv4快速转发表项数目 |
|
SIP |
源IPv4地址 |
|
SPort |
源端口号 |
|
DIP |
目的IPv4地址 |
|
DPort |
目的端口号 |
|
Pro |
协议号 |
|
InputIf |
报文入接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及入接口,“-”表示接口不存在) |
|
OutputIf |
报文出接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及出接口,“-”表示接口不存在),引流的出接口是引擎聚合接口而不是接口板的物理接口 |
display service-chain cache ipv6命令用来显示设备内服务链的IPv6快速转发表信息。
【命令】
(独立运行模式)
display service-chain cache ipv6 [ ipv6-address ] [ slot slot-number cpu cpu-number ]
(IRF模式)
display service-chain cache ipv6 [ ipv6-address ] [ chassis chassis-number slot slot-number cpu cpu-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ipv6-address:显示指定IPv6地址的快速转发表信息。如果不指定ipv6-address,将显示所有IPv6快速转发表信息。
slot slot-number:显示指定单板的IPv6快速转发表信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板的IPv6快速转发表信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的IPv6快速转发表信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板的IPv6快速转发表信息。(IRF模式)
cpu cpu-number:显示指定CPU上的快速转发表信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
仅异常流量清洗业务板支持该命令。
【举例】
#显示指定异常流量清洗业务板上的服务链IPv6快速转发表信息。
<Sysname> display service-chain cache ipv6 chassis 1 slot 2 cpu 1
Total number of IPv6 fast-forwarding items: 2
Src IP: 10::2 Src Port: 0
Dst IP: 10::1 Dst Port: 32768
Protocol: 58
VPN instance: N/A
Input interface: N/A
Output interface: Blade3/0/2
Src IP: 10::1 Src Port: 0
Dst IP: 10::2 Dst Port: 33024
Protocol: 58
VPN instance: N/A
Input interface: N/A
Output interface: N/A
表1-2 display service-chain cache ip命令显示信息描述表
|
字段 |
描述 |
|
Total number of IPv6 fast-forwarding items |
设备内服务链的IPv6快速转发表项数目 |
|
Src IP |
源IPv6地址 |
|
Src Port |
源端口号 |
|
Dst IP |
目的IPv6地址 |
|
Dst Port |
目的端口号 |
|
Protocol |
协议号 |
|
Input interface |
报文入接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及入接口,“-”表示接口不存在) |
|
Output interface |
报文出接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及出接口,“-”表示接口不存在),引流的接口是引擎聚合接口而不是接口板的物理接口 |
display service-chain cache ip fragment命令用来显示设备内服务链的分片报文快速转发表信息。
【命令】
(独立运行模式)
display service-chain cache ip fragment [ ip-address ] [ slot slot-number cpu cpu-number ]
(IRF模式)
display service-chain cache ip fragment [ ip-address ] [ chassis chassis-number slot slot-number cpu cpu-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip-address:显示指定IP地址的分片快速转发表信息。如果不指定ip-address,将显示所有的分片快速转发表信息。
slot slot-number:显示指定单板的分片快速转发表信息。slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板的分片快速转发表信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的分片快速转发表信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则显示所有单板的分片快速转发表信息。(IRF模式)
cpu cpu-number:显示指定CPU上的分片快速转发表信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
仅异常流量清洗业务板支持该命令。
【举例】
# 显示指定异常流量清洗业务板上的设备内服务链分片报文快速转发表信息。
<Sysname> display service-chain cache ip fragment chassis 1 slot 2 cpu 1
Total number of fragment service-chain entries: 448
SIP SPort DIP DPort Pro InputIf ID
10.0.1.1 1024 10.0.0.2 1024 6 GE1/7/0/17 964
10.0.1.1 1024 10.0.0.2 1024 6 GE1/7/0/17 1166
表1-3 display service-chain cache ip命令显示信息描述表
|
字段 |
描述 |
|
Total number of fragment service-chain entries |
设备内服务链的分片报文快速转发表项数目 |
|
SIP |
源IP地址 |
|
SPort |
源端口号 |
|
DIP |
目的IP地址 |
|
DPort |
目的端口号 |
|
Pro |
协议号 |
|
InputIf |
报文入接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及入接口,“-”表示接口不存在) |
|
ID |
报文ID |
display service-chain path用来显示服务链的配置信息。
【命令】
display service-chain path { path-id | all }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
path-id:服务链的编号,取值范围为1~8388606。
all:显示所有服务链信息。
【举例】
# 显示所有服务链的配置信息。
<Sysname> display service-chain path all
PathID: 22
Next service node: 4.4.4.4
Previous service node: 5.5.5.5
Function: 1
Service-list: fw
表1-4 display service-chain path命令显示信息描述表
|
字段 |
描述 |
|
PathID |
服务链的编号 |
|
Next service node |
正向报文下一个服务节点的IP地址 |
|
Previous service node |
反向报文下一个服务节点的IP地址 |
|
Function |
服务节点的编号 |
|
Service-list |
服务列表 |
display service-chain statistics用来显示服务链的统计信息。
【命令】
display service-chain statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示所有服务链的统计信息。
<Sysname> display service-chain path statistics
Service-chain statistics
Board : all
Total receive : 0 Total send : 0
Service drop : 0 Error drop : 0
表1-5 display service-chain statistics命令显示信息描述表
|
字段 |
描述 |
|
Service-chain statistics |
服务链的统计信息 |
|
Board |
显示指定单板的统计信息,目前取值固定为all |
|
Total receive |
服务链接收的报文总数 |
|
Total send |
服务链发送的报文总数 |
|
Service drop |
服务链丢弃的报文总数 |
|
Error drop |
服务链丢弃的错误报文总数 |
if-match命令用来创建设备内服务链引流规则。
undo if-match命令用来删除设备内服务链引流规则。
【命令】
if-match input-interface interface-type interface-number acl { ipv4-acl-number | name ipv4-acl-name }
undo if-match input-interface interface-type interface-number
【缺省情况】
未配置设备内服务链引流规则。
【视图】
服务链视图
【缺省用户角色】
network-admin
【参数】
input-interface interface-type interface-number:报文入接口的类型和编号。
acl:指定IPv4 ACL的编号或名称。
ipv4-acl-number:指定IPv4 ACL的编号,取值范围为2000~3999。
name ipv4-acl-name:指定IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
【使用指导】
设备内服务链引流规则由接口和ACL组成,只有指定接口上收到的匹配指定ACL规则的报文,才会进入服务链处理。ACL规则仅支持IP地址/掩码形式,不支持地址对象组形式。
配置引流规格时需要注意:
· 需保证进入服务链处理的报文的目的IP地址属于某个DDoS攻击防护对象。
· 同一个接口不能在同一条服务链下配置两次。
· 同一个接口和同一个ACL不能同时配置在不同的服务链下。
对于接口类型有如下要求:
· 入接口不能是以太网子接口,若入接口为冗余接口,其成员接口亦不能是子接口。
· 入接口不能是VLAN接口。
· 入接口不能是用户Context分配的独占接口。
【举例】
# 创建设备内服务链引流规则:报文的入接口为GigabitEthernet1/7/0/1,匹配的ACL编号为2000。
<Sysname> system-view
[Sysname] service-chain path 1
[Sysname-spath1] if-match input-interface gigabitethernet 1/7/0/1 acl 2000
【相关命令】
· service-chain path
next-service-node命令用来配置服务链正向报文下一个服务节点的IP地址。
undo next-service-node命令用来恢复缺省情况。
【命令】
next-service-node ip-address
undo next-service-node
【缺省情况】
未配置服务链正向报文下一个服务节点的IP地址。
【视图】
服务链视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:服务节点所在设备的IP地址。
【举例】
# 配置服务链1的正向报文下一个服务节点IP地址为2.2.2.2。
<Sysname> system-view
[Sysname] service-chain path 1
[Sysname-spath1] next-service-node 2.2.2.2
【相关命令】
· display service-chain path
previous-service-node命令用来配置服务链反向报文下一个服务节点的IP地址。
undo previous-service-node命令用来恢复缺省情况。
【命令】
previous-service-node ip-address
undo previous-service-node
【缺省情况】
未配置服务链反向报文下一个服务节点的IP地址。
【视图】
服务链视图
【缺省用户角色】
network-admin
context-admin
【参数】
ip-address:服务节点所在设备的IP地址。
【举例】
# 配置服务链1的反向报文下一个服务节点IP地址为3.3.3.3。
<Sysname> system-view
[Sysname] service-chain path 1
[Sysname-spath1] previous-service-node 3.3.3.3
【相关命令】
· display service-chain path
service-chain path命令用来创建服务链,并进入服务链视图。如果指定的服务链已创建,则直接进入该服务链视图。
undo service-chain path命令用来删除服务链。
【命令】
service-chain path path-id
undo service-chain path { path-id | all }
【缺省情况】
不存在服务链。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
path-id:服务链的编号,取值范围为1~8388606。服务链编号用来唯一确定一条服务链。
all:删除设备上所有的服务链。
【举例】
# 创建服务链1,并进入服务链视图。
<Sysname> system-view
[Sysname] service-chain path 1
[Sysname-spath1]
【相关命令】
· display service-chain path
service function命令用来创建服务节点,并进入服务节点视图。如果指定的服务节点已创建,则直接进入该服务节点视图。
undo service function命令用来删除服务链的服务节点。
【命令】
service function function-number
undo service function { function-number | all }
【缺省情况】
不存在服务节点。
【视图】
服务链视图
【缺省用户角色】
network-admin
context-admin
【参数】
function-number:服务节点的编号,本参数的取值范围为1~2。
all:所有的服务节点。如果指定该参数,则表示undo命令将删除服务链上所有的服务节点。
【使用指导】
同一条服务链上,配置多个服务节点时,各服务节点配置的服务类型不能重复。
【举例】
# 创建编号为1的服务节点,并进入服务节点视图。
<Sysname> system-view
[Sysname] service-chain path 1
[Sysname-spath1] service function 1
[Sysname-spath1-func1]
【相关命令】
· display service-chain path
service list命令用来配置服务节点的服务列表。
undo service list命令用来恢复缺省情况。
【命令】
service list { acg | atk | connect-limit | dpi | fw | ips | ipsec | lb | nat } *
undo service list
【缺省情况】
不存在服务列表。
【视图】
服务节点视图
【缺省用户角色】
network-admin
context-admin
【参数】
acg:表示ACG服务。
atk:表示攻击检测与防范服务。
connect-limit:表示连接数限制服务。
dpi:表示DPI服务。
fw:表示防火墙服务。
ips:表示IPS服务。
ipsec:表示IPsec服务。
lb:表示LB服务。
nat:表示NAT服务。
【使用指导】
每个服务节点上仅可以配置一个服务列表,且同一条服务链中,各服务节点指定的服务类型不能重复。
服务列表中配置有多个服务时,服务节点按照服务列表中服务的配置顺序依次执行。
【举例】
# 配置服务节点1的服务为防火墙和LB。
<Sysname> system-view
[Sysname] service-chain path 1
[Sysname-spath1] service function 1
[Sysname-spath1-func1] service list fw lb
【相关命令】
· display service-chain path
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
