- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
32-IP-SGT策略随行命令
本章节下载: 32-IP-SGT策略随行命令 (194.88 KB)
display ipsgt map命令用来显示当前设备上的IP-SGT映射表项信息。
【命令】
display ipsgt map [ critical ] [ ip [ ipv4-address ] | ipv6 [ ipv6-address ] ] [ microsegment microsegment-id ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
critical:显示IP-SGT逃生映射表项信息。
ip [ ipv4-address ]:显示指定IPv4地址与微分段ID的IP-SGT映射表项信息。如果未指定ipv4-address参数,则显示所有IPv4地址的IP-SGT映射表项信息。
ipv6 [ ipv6-address ]:显示指定IPv6地址与微分段ID的IP-SGT映射表项信息。如果未指定ipv6-address参数,则显示所有IPv6地址的IP-SGT映射表项信息。
microsegment microsegment-id:显示指定微分段内的IP与微分段ID的IP-SGT映射表项信息。microsegment-id表示微分段ID,取值范围为1~65535。
vpn-instance vpn-instance-name:指定VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定该参数,则表示指定公网。
【使用指导】
如果不指定任何参数,则显示当前所有IPv4和IPv6地址与微分段ID的IP-SGT映射表项信息。
【举例】
# 显示当前设备上所有的IP-SGT映射表项信息。
<Sysname> display ipsgt map
Total IPv4 IP-SGT entries: 1
Microsegment ID: 1
IPv4 address VPN instance
1.1.1.1 N/A
Total IPv6 IP-SGT entries: 1
Microsegment ID: 2
IPv6 address VPN instance
11::5 N/A
# 显示当前设备上所有的IP-SGT逃生映射表项信息。
<Sysname> display ipsgt map critical
Total IPv4 critical IP-SGT entries: 1
Microsegment ID: 1
IPv4 address VPN instance
1.1.1.1 N/A
Total IPv6 critical IP-SGT entries: 1
Microsegment ID: 2
IPv6 address VPN instance
11::5 N/A
表1-1 display ipsgt map命令显示信息描述表
|
字段 |
描述 |
|
Total IPv4 IP-SGT entries |
IPv4地址的IP-SGT映射表项总数 |
|
Total IPv6 IP-SGT entries |
IPv6地址的IP-SGT映射表项总数 |
|
Total IPv4 critical IP-SGT entries |
IPv4地址的IP-SGT逃生映射表项总数 |
|
Total IPv6 critical IP-SGT entries |
IPv6地址的IP-SGT逃生映射表项总数 |
|
Microsegment ID |
微分段ID |
|
IPv4 address |
IPv4地址 |
|
IPv6 address |
IPv6地址 |
|
VPN instance |
VPN实例名称,如果表项不属于任何VPN,则显示为N/A |
【相关命令】
· ipsgt enable
display ipsgt state命令用来显示当前IP-SGT策略随行的运行状态。
【命令】
display ipsgt state
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示当前IP-SGT策略随行的运行状态。
<Sysname> display ipsgt state
Global IP-SGT parameters:
IP-SGT: Enabled
Connection status with:
EIA server: Connected
IPv4 routing management: Connected
IPv6 routing management: Connected
IP-SGT URL:
https://1.1.1.1/ipsgtmgr/vim active
https://2.1.1.1/ipsgtmgr/vim inactive
表1-2 display ipsgt state命令显示信息描述表
|
字段 |
描述 |
|
Global IP-SGT parameters |
全局IP-SGT配置信息 |
|
IP-SGT |
IP-SGT策略随行功能开启状态 · Enabled:已开启 · Disabled:未开启 |
|
Connection status with |
连接状态 |
|
EIA server |
与EIA服务器的云平台连接状态: · Connected:已连接 · Disconnected:未连接 |
|
IPv4 routing management |
与IPv4路由管理模块的连接状态: · Connected:已连接 · Disconnected:未连接 |
|
IPv6 routing management |
与IPv6路由管理模块的连接状态: · Connected:已连接 · Disconnected:未连接 |
|
IP-SGT URL |
EIA服务器下发的建立IP-SGT通道的URL,以及该通道的连接状态: · active:已连接 · inactive:未连接 · 若显示两条URL,则表示主备IP-SGT通道。主备通道不会同时建立,主通道故障切换到备通道,主通道恢复正常切换回主通道 |
【相关命令】
· ipsgt enable
display ipsgt statistics命令用来显示当前IP-SGT策略随行的报文统计信息。
【命令】
display ipsgt statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示当前IP-SGT策略随行的报文统计信息。
<Sysname> display ipsgt statistics
Messages received :
Add mapping: 1
Delete mapping: 1
Batch backup start: 0
Batch backup end: 0
Invalid: 0
Messages sent :
Add mapping: 1
Delete mapping: 1
Update mapping: 0
Add critical 0
Delete critical: 0
Update critical: 0
Add On-demand network: 1
Delete on-demand Network: 1
Batch backup start: 1
Batch backup mapping: 1
Batch backup critical: 0
Batch backup end: 1
表1-3 display ipsgt statistics命令显示信息描述表
|
字段 |
描述 |
|
Messages received |
设备接收到EIA服务器发送的报文数,报文类型包括: · Add mapping:添加IP-SGT表项 · Delete mapping:删除IP-SGT表项 · Batch backup start:IP-SGT表项批量备份开始 · Batch backup end:IP-SGT表项批量备份结束 · Invalid:无效信息 |
|
Messages sent |
设备发送给路由管理模块的报文数,报文类型包括: · Add mapping:添加IP-SGT表项 · Delete mapping:删除IP-SGT表项 · Update mapping:更新IP-SGT表项 · Add critical:添加IP-SGT逃生用户表项 · Delete critical:删除IP-SGT逃生用户表项 · Update critical:更新IP-SGT逃生用户表项 · Add On-demand network:添加按需匹配网段 · Delete on-demand network:删除按需匹配网段 · Batch backup start:IP-SGT表项批量备份开始 · Batch backup mapping:批量备份IP-SGT表项 · Batch backup critical:批量备份IP-SGT逃生用户表项 · Batch backup end:IP-SGT表项批量备份结束 |
【相关命令】
· reset ipsgt statistics
ipsgt enable命令用来开启IP-SGT策略随行功能。
undo ipsgt enable命令用来关闭IP-SGT策略随行功能。
【命令】
ipsgt enable
undo ipsgt enable
【缺省情况】
· IP-SGT策略随行功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
缺省情况下,只有认证设备能接收和执行服务器下发的微分段安全组策略来限制用户访问的网络资源,认证设备之外的设备无法接收和执行微分段安全组策略来控制用户的网络访问权限。
开启本功能后,设备将作为策略随行执行点接收EIA服务器推送的IP地址与微分段ID的映射表项。转发流量报文时,执行点设备会识别报文的源或目的IP地址,根据IP-SGT映射关系执行对应的微分段组策略,控制不同安全组间的网络访问权限。微分段及组策略的详细介绍请参见“安全配置指导”中的“微分段”。
【举例】
# 开启IP-SGT策略随行功能。
<Sysname> system-view
[Sysname] ipsgt enable
【相关命令】
· display ipsgt
reset ipsgt statistics命令用来清除当前IP-SGT策略随行的报文统计信息。
【命令】
reset ipsgt statistics
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 清除当前IP-SGT策略随行的报文统计信息。
<Sysname> reset ipsgt statistics
【相关命令】
· display ipsgt statistics
snmp-agent trap enable ipsgt命令用来开启IP-SGT策略随行告警功能。
undo snmp-agent trap enable ipsgt命令用来恢复缺省情况。
【命令】
snmp-agent trap enable ipsgt
undo snmp-agent trap enable ipsgt
【缺省情况】
IP-SGT策略随行告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启IP-SGT模块的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件(例如执行点设备与EIA服务器之间建立连接或者连接断开)。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。
有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
【举例】
# 开启IP-SGT策略随行告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable ipsgt
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
