- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
21-信任等级命令
本章节下载: 21-信任等级命令 (197.57 KB)
目 录
bind ssl-server-policy命令用来绑定服务器端使用的SSL策略。
undo bind ssl-server-policy命令用来取消绑定服务器端使用的SSL策略。
【命令】
bind ssl-server-policy ssl-server-policy-name
undo bind ssl-server-policy
【缺省情况】
未绑定服务器端使用的SSL策略。
【视图】
trust-level-server视图
【缺省用户角色】
network-admin
【参数】
ssl-server-policy-name:SSL服务器端策略名,为1~31个字符的字符串,不区分大小写。
【使用指导】
配置本功能后,当信任等级客户端发起连接请求时,信任等级服务器端将使用SSL服务器端策略指定的SSL参数建立连接,以加强该连接的安全性。关于SSL服务器端策略的配置,请参见“安全配置指导”中的“SSL”。
配置本命令前,请先创建SSL服务器端策略,否则,配置失败。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置信任等级服务器端使用的SSL服务器端策略为ssl-p1。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] server enable
[Sysname-trust-level-server] bind ssl-server-policy ssl-p1
【相关命令】
· ssl server-policy(安全命令参考/SSL)
boundary命令用来配置报文安全级别的分界点。
undo boundary命令用来恢复缺省情况。
【命令】
boundary origin-point k0 level-point k1 k2 k3 k4 k5 k6 k7
undo boundary
【缺省情况】
未配置报文安全级别的分界点。
【视图】
trust-level视图
【缺省用户角色】
network-admin
【参数】
origin-point k0:表示分界点0。
level-point k1 k2 k3 k4 k5 k6 k7:表示分界点1~7。一次必须输入7个分界点,不同分界点之间用空格分隔。为方便用户配置,在执行该命令时,可以按照任意顺序输入分界点1~7。
【使用指导】
仅信任等级服务器端支持配置本命令。在服务器端配置本命令后,服务器端会将该命令下发给客户端。该命令在客户端上生效。
分界点用于确定报文的安全级别。安全级别是报文的一个属性,用于表示报文的安全程度。设备支持0~7共8个安全级别,安全级别值越大,安全级别越高。
· 终端生成业务报文时,会在源IPv6地址的后64位中使用3个比特位来表示报文的安全级别。终端将该源IPv6地址经过算法转换后,发送给边界设备。
· 边界设备收到业务报文后,将收到报文的源IPv6地址和配置的分界点进行比较,根据比较结果分配对应的安全级别。边界设备再将安全级别映射成信任等级,路由模块根据信任等级选路,将业务报文发送出去。
分界点采用IPv6地址格式,分界点的生成方法请参见“安全配置分册”中的“信任等级”。
【举例】
# 配置报文安全级别的分界点。(因为客户端的转换算法未知,本举例中参数的值仅作为示例)
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] server enable
[Sysname-trust-level-server] quit
[Sysname-trust-level] boundary origin-point ::8000:0:0:0 level-point ::2000:0:0:0 ::4000:0:0:0 ::6000:0:0:0 :: ::A000:0:0:0 ::C000:0:0:0 ::E000:0:0:0
【相关命令】
· trust-level
· server enable
client enable命令用来开启信任等级客户端功能,并进入trust-level-client视图。
undo client enable命令用来关闭信任等级客户端功能。
【命令】
client enable
undo client enable
【缺省情况】
信任等级客户端功能处于关闭状态。
【视图】
trust-level视图
【缺省用户角色】
network-admin
【使用指导】
配置本命令后,设备将作为信任等级的客户端,接受信任等级服务器端下发的配置。
【举例】
# 开启信任等级客户端功能,并进入trust-level-client视图。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] client enable
[Sysname-trust-level-client]
flex-algo命令用来将安全级别和Flex-Algo算法绑定。
undo flex-algo命令用来恢复缺省情况。
【命令】
flex-algo algorithm-id
undo flex-algo
【缺省情况】
未将安全级别和Flex-Algo绑定。
【视图】
报文安全级别视图
【缺省用户角色】
network-admin
【参数】
algorithm-id:Flex-Algo的算法标识符,取值范围为128~255。
【使用指导】
配置本命令后,当设备收到指定安全级别的业务报文,会使用该安全级别绑定的Flex-Algo算法计算出来的路由拓扑来转发该安全级别的业务报文。
本命令配置的Flex-Algo算法必须包含在IS-IS视图下配置的Flex-Algo算法列表中,否则,信任等级功能不能按照预期的路径转发业务报文。关于Flex-Algo的详细介绍请参见“三层技术-IP路由配置指导”中的“IS-IS”。
【举例】
# 将安全级别5和Flex-Algo算法128绑定。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] server enable
[Sysname-trust-level-server] quit
[Sysname-trust-level] security-level 5
[Sysname-trust-level-sec-5] flex-algo 128
【相关命令】
· trust-level
isis-system-id命令用来配置信任策略包含的IS-IS System ID。
undo isis-system-id命令用来恢复缺省情况。
【命令】
isis-system-id system-id
undo isis-system-id
【缺省情况】
未配置信任策略包含的IS-IS SystemID。
【视图】
trust-level-policy视图
【缺省用户角色】
network-admin
【参数】
system-id:可信网络中参与信任转发的设备的IS-IS System ID。
【使用指导】
IS-IS System ID用于在IS-IS协议中唯一的标识一台设备,可以通过IS-IS的network-entity命令配置中获取。
在同一视图下,多次执行本命令,最新配置生效。
【举例】
# 配置信任策略a包含的IS-IS System ID为1680.1000.1001。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] server enable
[Sysname-trust-level-server] quit
[Sysname-trust-level] policy a
[Sysname-trust-level-policy-a] isis-system-id 1680.1000.1001
【相关命令】
· network-entity(三层技术-IP路由命令参考/IS-IS)
policy命令用来创建信任策略,并进入trust-level-policy视图。如果指定的信任策略已经存在,则直接进入trust-level-policy视图。
undo policy命令用来删除信任策略。
【命令】
policy policy-name
undo policy policy-name
【缺省情况】
不存在信任策略。
【视图】
trust-level视图
【缺省用户角色】
network-admin
【参数】
policy-name:信任策略名,为1~31个字符的字符串,不区分大小写。
【使用指导】
信任策略仅支持在服务器端配置。
一个信任策略用于将一台网络传输设备和它的信任等级绑定。可信网络中有多少台网络传输设备参与转发,就需要在服务器端上配置多少个信任策略。服务器端将配置的所有信任策略下发给所有客户端。网络中所有参与可信转发的设备上都保存着所有网络传输设备的IS-IS System ID和信任等级列表,该列表将用于计算转发拓扑。
多次执行本命令,可以创建多个信任策略。管理员需要为每个参与信任转发的网络传输设备配置信任策略。
【举例】
# 创建信任策略A,并进入trust-level-policy视图。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] server enable
[Sysname-trust-level-server] quit
[Sysname-trust-level] policy A
[Sysname-trust-level-policy-a]
【相关命令】
· isis-system-id
· trust level
port trust-level enable命令用来开启接口的信任等级功能。
undo port trust-level命令用来关闭接口的信任等级功能。
【命令】
port trust-level enable
undo port trust-level enable
【缺省情况】
接口的信任等级功能处于关闭状态。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
【缺省用户角色】
network-admin
【使用指导】
在三层以太网子接口和三层聚合子接口上开启本功能时,请确保接口上已配置普通VLAN终结方式(配置vlan-type dot1q vid命令或配置vlan-type dot1q vid second-dot1q命令),否则无法开启本功能。关于如何配置vlan-type dot1q vid命令和vlan-type dot1q vid second-dot1q命令,请参见“二层技术-以太网交换命令参考”中的“VLAN终结”。
需要在边界设备连接可信任终端的接口上配置本命令。
开启接口的信任等级功能后,边界设备才能根据分界点配置提取收到的业务报文的安全级别,然后进行可信转发。非边界设备上无需配置本命令,非边界设备只需按照路由正常转发报文即可。
【举例】
# 开启接口Ten-GigabitEthernet3/1/1的信任等级功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] port trust-level enable
security-level命令用来进入报文安全级别视图。
undo security-level命令用来删除报文安全级别视图,并删除报文安全级别视图下的配置。
【命令】
security-level sec-level
undo security-level sec-level
【视图】
trust-level视图
【缺省用户角色】
network-admin
【参数】
sec-level:表示业务报文的安全级别,取值范围为0~7,取值越大,表示信任等级越高,越可靠。
【使用指导】
报文安全级别视图用于为指定安全级别的业务报文配置转发参数:Flex-Algo算法和转发类。其中Flex-Algo算法决定该安全级别的业务报文可以使用的路由拓扑,转发类决定该安全级别的业务报文可以使用的SRv6 TE policy。
配置security-level命令前,必须先执行server enable命令开启信任等级服务器端功能,否则,security-level命令将执行失败。
【举例】
# 进入报文安全级别7视图。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] server enable
[Sysname-trust-level-server] quit
[Sysname-trust-level] security-level 7
[Sysname-trust-level-sec-7]
【相关命令】
· flex-algo
· server enable
· service-class
server enable命令用来开启信任等级服务器端功能,并进入trust-level-server视图。
undo server enable命令用来关闭信任等级服务器端功能。
【命令】
server enable
undo server enable
【缺省情况】
信任等级服务器端功能处于关闭状态。
【视图】
trust-level视图
【缺省用户角色】
network-admin
【使用指导】
信任等级采用服务器端/客户端配置模式:
(1) 用户在服务器端完成信任等级参数的配置。
(2) 在客户端指定服务器端地址后,客户端自动和服务器端建立SSL连接。
(3) 服务器端通过SSL连接自动将信任等级配置下发给客户端。
【举例】
# 开启信任等级服务器端功能,并进入trust-level-server视图。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] server enable
[Sysname-trust-level-server]
【相关命令】
· bind ssl-server-policy
server ipv6-address命令用来配置信任等级服务器端参数。
undo server ipv6-address命令用来恢复缺省情况。
【命令】
server ipv6-address ipv6-address ssl-client-policy policy-name
undo server ipv6-address
【缺省情况】
未配置信任等级服务器端参数。
【视图】
trust-level-client视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:信任等级服务器端的IPv6地址。
ssl-client-policy policy-name:SSL客户端策略名,为1~31个字符的字符串,不区分大小写。
【使用指导】
本命令用于在信任等级客户端配置信任等级服务器端的参数,以便和信任等级服务器端建立SSL连接。
【举例】
# 配置信任等级服务器端参数:服务器端的地址为2000::1,使用的SSL客户端策略名为test。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] client enable
[Sysname-trust-level-client] server ipv6-address 2000::1 ssl-client-policy test
【相关命令】
· ssl client-policy(安全命令参考/SSL)
service-class命令用来将安全级别和SRv6 TE Policy转发类绑定。
undo service-class命令用来恢复缺省情况。
【命令】
service-class service-class-value
undo service-class
【缺省情况】
未将安全级别和SRv6 TE Policy转发类绑定。
【视图】
报文安全级别视图
【缺省用户角色】
network-admin
【参数】
service-class-value:SRv6 TE Policy转发类的值,取值范围为1~15。SRv6 TE Policy转发类的取值越小,SRv6 TE Policy转发的优先级越低,没有配置转发类的SRv6 TE Policy优先级最低。
【使用指导】
配置本命令后,当设备收到指定安全级别的业务报文,设备将根据其绑定的转发类找到对应的SRv6 TE Policy转发隧道来进行报文的转发。关于SRv6 TE Policy转发类的详细介绍请参见“Segment Routing配置指导”中的“SRv6 TE Policy”。
【举例】
# 将安全级别7和SRv6 TE Policy转发类5绑定。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] server enable
[Sysname-trust-level-server] quit
[Sysname-trust-level] security-level 7
[Sysname-trust-level-sec-7] service-class 5
trust level命令用来配置设备的信任等级。
undo trust level命令用来恢复缺省情况。
【命令】
trust level trust-level
undo trust level
【缺省情况】
未配置设备的信任等级。
【视图】
trust-level-policy视图
【缺省用户角色】
network-admin
【参数】
trust-level:表示信任等级。取值范围为0~7,取值越大,表示信任等级越高,越可靠。
【使用指导】
信任策略下包含IS-IS System ID和信任等级配置,IS-IS System ID是参与可信转发的设备的唯一标识,信任等级是IS-IS System ID所属设备的信任等级。
信任等级是信任网络中网络传输设备的一个属性,用于标识该网络传输设备的可信任程度。网络传输设备的信任等级也分为0~7共8个等级,对应报文的8个安全级别,数值越大,表示安全级别越高,可信任程度越高。
网络传输设备只能转发安全级别小于等于其信任等级的报文。例如信任等级为5的网络传输设备,可转发安全级别为0~5的报文,不能转发安全级别为6和7的报文。
在同一视图下,多次执行本命令,最新配置生效。
【举例】
# 配置信任策略a下绑定的信任等级为3。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level] server enable
[Sysname-trust-level-server] quit
[Sysname-trust-level] policy a
[Sysname-trust-level-policy-a] trust level 7
trust-level命令用来开启信任等级功能,并进入trust-level视图。如果信任等级功能已处于开启状态,则直接进入trust-level视图。
undo trust-level命令用来关闭信任等级功能。
【命令】
trust-level
undo trust-level
【缺省情况】
信任等级功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
信任等级功能用于为不同安全级别的业务报文提供差异性转发,从而实现指定安全级别的业务报文只能通过信任等级大于等于其安全级别的网络设备转发,具体原理请参见“安全配置指导”中的“信任等级”。
请注意,关闭信任等级功能,会将trust-level视图下的命令行恢复到缺省情况。
【举例】
# 开启信任等级功能,并进入trust-level视图。
<Sysname> system-view
[Sysname] trust-level
[Sysname-trust-level]
# 关闭信任等级功能。
<Sysname> system-view
[Sysname] undo trust-level
Disabling trust level will restore the default settings in trust-level view. Continue? [Y/N]: Y
[Sysname]
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
