30-IP-SGT策略随行命令
本章节下载: 30-IP-SGT策略随行命令 (189.20 KB)
display ipsgt map命令用来显示当前设备上的IP-SGT映射表项信息。
【命令】
display ipsgt map [ ip [ ipv4-address ] | ipv6 [ ipv6-address ] ] [ microsegment microsegment-id ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
ip [ ipv4-address ]:显示指定IPv4地址与微分段ID的IP-SGT映射表项信息。如果未指定ipv4-address参数,则显示所有IPv4地址的IP-SGT映射表项信息。
ipv6 [ ipv6-address ]:显示指定IPv6地址与微分段ID的IP-SGT映射表项信息。如果未指定ipv6-address参数,则显示所有IPv6地址的IP-SGT映射表项信息。
microsegment microsegment-id:显示指定微分段内的IP与微分段ID的IP-SGT映射表项信息。microsegment-id表示微分段ID,取值范围为1~65535。
vpn-instance vpn-instance-name:指定VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定该参数,则表示指定公网。
【使用指导】
如果不指定任何参数,则显示当前所有IPv4和IPv6地址与微分段ID的IP-SGT映射表项信息。
【举例】
# 显示当前设备上所有的IP-SGT映射表项信息。
<Sysname> display ipsgt map
Total IPv4 IP-SGT entries: 1
Microsegment ID:1
IPv4 address Vpn-instance
1.1.1.1 N/A
Total IPv6 IP-SGT entries: 1
Microsegment ID:2
IPv6 address Vpn-instance
11::5 N/A
表1-1 display ipsgt map命令显示信息描述表
字段 |
描述 |
Total IPv4 IP-SGT entries |
IPv4地址的IP-SGT表项总数 |
Total IPv6 IP-SGT entries |
IPv6地址的IP-SGT表项总数 |
Microsegment ID |
微分段ID |
IPv4 address |
IPv4地址 |
IPv6 address |
IPv6地址 |
Vpn-instance |
VPN实例名称,如果表项不属于任何VPN,则显示为N/A |
【相关命令】
· ipsgt enable
· ipsgt on-demand
display ipsgt on-demand命令用来显示配置的IP-SGT按需地址网段信息。
【命令】
display ipsgt on-demand [ ip [ ipv4-address { mask-length | mask } ] | ipv6 [ ipv6-address prefix-length ] ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
ip [ ipv4-address { mask-length | mask }:显示指定IPv4按需地址网段的信息。如果未指定ipv4-address参数,则表示显示当前所有IPv4按需地址网段的信息。其中,ipv4-address表示允许匹配的IPv4地址;mask-length表示子网掩码长度,取值范围为0~31;mask表示子网掩码,点分十进制格式,不允许指定255.255.255.255掩码。
ipv6 [ ipv6-address prefix-length ]:显示指定IPv6按需地址网段的信息。如果未指定ipv6-address参数,则表示显示当前所有IPv6按需地址网段的信息。其中,ipv6-address表示允许匹配的IPv6地址;prefix-length表示IPv6地址前缀长度,取值范围为0~127。
vpn-instance vpn-instance-name:指定VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定该参数,则表示按需网段位于公网。
【使用指导】
如果不指定任何参数,则显示配置的所有IPv4和IPv6按需地址网段的信息。
【举例】
# 显示配置的所有IP-SGT按需地址网段的信息。
<Sysname> display ipsgt on-demand
Total IPv4 on-demand networks: 1
IPv4 address Mask Vpn-instance
1.1.1.1 255.255.255.0 N/A
Total IPv6 on-demand networks: 1
IPv6 address Prefix length Vpn-instance
11::5 64 N/A
表1-2 display ipsgt on-demand命令显示信息描述表
字段 |
描述 |
Total IPv4 on-demand networks |
IPv4按需地址网段总数 |
Total IPv6 on-demand networks |
IPv6按需地址网段总数 |
IPv4 address |
IPv4按需地址 |
IPv6 address |
IPv6按需地址 |
Mask |
IPv4按需地址网段的子网掩码 |
Prefix length |
IPv6按需地址网段的地址前缀长度 |
Vpn-instance |
VPN实例名称,如果表项不属于任何VPN,则显示为N/A |
【相关命令】
· ipsgt on-demand
display ipsgt state命令用来显示当前IP-SGT策略随行的运行状态。
【命令】
display ipsgt state
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示当前IP-SGT策略随行的运行状态。
<Sysname> display ipsgt state
Global IP-SGT parameters:
IP-SGT: Enabled
Connection status with:
EIA server: Connected
IPv4 routing management: Connected
IPv6 routing management: Connected
IP-SGT URL:
http://1.1.1.1/ipsgtmgr/vim active
http://2.1.1.1/ipsgtmgr/vim inactive
表1-3 display ipsgt state命令显示信息描述表
字段 |
描述 |
Global IP-SGT parameters |
全局IP-SGT配置信息 |
IP-SGT |
IP-SGT策略随行功能开启状态 · Enabled:已开启 · Disabled:未开启 |
Connection status with |
连接状态 |
EIA server |
与EIA服务器的云平台连接状态: · Connected:已连接 · Disconnected:未连接 |
IPv4 routing management |
与IPv4路由管理模块的连接状态: · Connected:已连接 · Disconnected:未连接 |
IPv6 routing management |
与IPv6路由管理模块的连接状态: · Connected:已连接 · Disconnected:未连接 |
IP-SGT URL |
EIA服务器下发的建立IP-SGT通道的URL,以及该通道的连接状态: · active:已连接 · inactive:未连接 若显示两条URL,则表示主备IP-SGT通道。主备通道不会同时建立,主通道故障切换到备通道,主通道恢复正常切换回主通道 |
【相关命令】
· ipsgt enable
display ipsgt statistics命令用来显示当前IP-SGT策略随行的报文统计信息。
【命令】
display ipsgt statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示当前IP-SGT策略随行的报文统计信息。
<Sysname> display ipsgt statistics
Messages received :
Add mapping: 1
Delete mapping: 1
Batch batch start: 0
Batch batch end: 0
Invalid: 0
Messages sent :
Add mapping: 1
Delete mapping: 1
Update mapping: 0
Add On-demand network: 1
Delete on-demand Network: 1
Batch backup start: 1
Batch backup mapping: 1
Batch backup end: 1
表1-4 display ipsgt statistics命令显示信息描述表
字段 |
描述 |
Messages received |
设备接收到EIA服务器发送的报文数,报文类型包括: · Add mapping:添加IP-SGT表项 · Delete mapping:删除IP-SGT表项 · Batch batch start:IP-SGT表项批量备份开始 · Batch batch end:IP-SGT表项批量备份结束 · Invalid:无效信息 |
Messages sent |
设备发送给路由管理模块的报文数,报文类型包括: · Add mapping:添加IP-SGT表项 · Delete mapping:删除IP-SGT表项 · Update mapping:更新IP-SGT表项 · Add On-demand network:添加按需匹配网段 · Delete on-demand network:删除按需匹配网段 · Batch backup start:IP-SGT表项批量备份开始 · Batch backup mapping:批量备份IP-SGT表项 · Batch backup end:IP-SGT表项批量备份结束 |
【相关命令】
· reset ipsgt statistics
ipsgt enable命令用来开启IP-SGT策略随行功能。
undo ipsgt enable命令用来关闭IP-SGT策略随行功能。
【命令】
ipsgt enable
undo ipsgt enable
【缺省情况】
IP-SGT策略随行功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
缺省情况下,只有认证设备能接收和执行服务器下发的微分段安全组策略来限制用户访问的网络资源,认证设备之外的设备无法接收和执行微分段安全组策略来控制用户的网络访问权限。
开启本功能后,设备将作为策略随行执行点接收EIA服务器推送的IP地址与微分段ID的映射表项。转发流量报文时,执行点设备会识别报文的源或目的IP地址,根据IP-SGT映射关系执行对应的微分段组策略,控制不同安全组间的网络访问权限。微分段及组策略的详细介绍请参见“安全配置指导”中的“微分段”。
【举例】
# 开启IP-SGT策略随行功能。
<Sysname> system-view
[Sysname] ipsgt enable
【相关命令】
· display ipsgt
ipsgt on-demand命令用来配置IP-SGT按需地址网段。
undo ipsgt on-demand命令用来删除IP-SGT按需地址网段。
【命令】
ipsgt on-demand { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
undo ipsgt on-demand [ ip [ ipv4-address { mask-length | mask } ] | ipv6 [ ipv6-address prefix-length ] ] [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置IP-SGT按需地址网段。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip ipv4-address { mask-length | mask }:指定IP-SGT策略随行中的IPv4按需地址网段。其中,ipv4-address表示配置的IPv4按需地址;mask-length表示子网掩码长度,取值范围为0~31;mask表示子网掩码,点分十进制格式,不允许指定255.255.255.255掩码。
ipv6 ipv6-address prefix-length:指定IP-SGT策略随行中的IPv6按需地址网段。其中,ipv6-address表示配置的IPv6按需地址;prefix-length表示IPv6地址前缀长度,取值范围为0~127。
vpn-instance vpn-instance-name:指定VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定该参数,则表示指定公网。
【使用指导】
缺省情况下,EIA服务器下发的所有IP-SGT映射表项会在设备上通过硬件表项资源存储起来,当接收到来自对应IP地址的报文时可以直接匹配微分段规则,转发效率高。但如果设备处于报文交互较少的链路,将所有IP地址对应的映射表项都存储起来会浪费大量硬件资源。
开启IP-SGT策略随行功能后,用户可以在执行点设备上通过本命令指定按需地址网段,设备硬件不会立即存储该网段的IP-SGT映射表项,只有当用户的IP地址属于该网段时,设备才会存储其对应的IP-SGT映射表项,后续相同流量过来就可以直接匹配微分段规则,从而节省了硬件资源。
本命令最多可配置1024条,其中IPv4和IPv6网段分别可最多配置512条。
如果undo命令中不指定任何参数,则表示删除所有IPv4和IPv6按需地址网段。
【举例】
# 配置一条IP地址为20.20.20.1,子网掩码为24的按需地址网段。
<Sysname> system-view
[Sysname] ipsgt on-demand ip 20.20.20.1 24
【相关命令】
· display ipsgt on-demand
· ipsgt enable
reset ipsgt statistics命令用来清除当前IP-SGT策略随行的报文统计信息。
【命令】
reset ipsgt statistics
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【举例】
# 清除当前IP-SGT策略随行的报文统计信息。
<Sysname> reset ipsgt statistics
【相关命令】
· display ipsgt statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!