- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-SDP零信任命令
本章节下载: 02-SDP零信任命令 (281.35 KB)
目 录
1.1.1 display trusted-access controller sdp assigned-resource
1.1.2 display trusted-access controller sdp default-policy
1.1.3 display trusted-access controller sdp ip-tunnel route
1.1.4 display trusted-access controller sdp mode transparent
1.1.5 display trusted-access controller sdp session
1.1.6 display trusted-access controller sdp tcp-proxy-connection
1.1.11 trusted-access controller sdp
本功能的支持情况与设备型号有关,请以设备实际情况为准。
|
系列 |
型号 |
说明 |
|
F5000系列 |
F5000-AI-160-G、F5000-AI-130-G、F5000-AI-120-G、F5000-AI-110-G、F5000-AI-55-G、F5000-AI-15-G、F5000-A-G、F5000-CN160-G、F5000-E-G、F5000-M-G2、F5000-S-G |
支持 |
|
F5000-AI160、F5000-CN160、F5000-CN-G55、F5080、F5030 |
支持 |
|
|
F1000系列 |
F1000-AK9130 |
不支持 |
|
F1000-AI-90、F1000-AI-25、F1000-AI-90-G、F1000-AI-80-G、F1000-AI-75-G、F1000-AI-65-G、F1000-AI-55-G |
支持 |
vSystem支持本特性的所有功能。有关vSystem的详细介绍请参见“虚拟化技术配置指导”中的“vSystem”。
display trusted-access controller sdp assigned-resource命令用来显示SDP控制器下发给用户的内网资源。
【命令】
display trusted-access controller sdp assigned-resource { api | app } [ context context-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
api:显示SDP控制器下发给用户的API资源。
app:显示SDP控制器下发给用户的APP资源。
context context-name:显示指定SDP访问实例对应的APP或API资源。context-name表示SDP访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SDP访问实例对应的APP或API资源。
【举例】
# 显示SDP控制器下发给用户的APP资源。
<Sysname> display trusted-access controller sdp assigned-resource app
Total Apps : 2
Context : default
Apps : 2
App ID : 1
App Name : udp
AccessType : ip-tunnel
Address : Protocol : ALL
IPv4Address : 15.0.0.2
Port : 1-65535
App ID : 13
App Name : udpv6
AccessType : ip-tunnel
Address : Protocol : ALL
IPv6Address : 88::93
Port : 9090
Address : Protocol : ICMP
IPv4Address : 4.1.1.1-4.1.1.10
Address : Protocol : ICMP
IPv6Address : 66::77-66::88
表1-1 display trusted-access controller sdp assigned-resource app命令显示信息描述表
|
字段 |
描述 |
|
Total Apps |
SDP控制器下发给SDP网关的APP总数 |
|
Context |
SDP用户所属的SDP访问实例,SDP访问实例的名称必须配置为default |
|
Apps |
SDP访问实例下的APP总数 |
|
App ID |
SDP控制器下发给用户的APP ID |
|
App Name |
SDP控制器下发给用户的APP名称 |
|
AccessType |
APP支持的访问方式,取值包括: · ip-tunnel:IP接入方式 · web-access:Web接入方式 · tcp-access:TCP接入方式 |
|
HostName |
APP的主机名 |
|
Gateway Port |
应用服务器对应的SDP网关端口号,仅在TCP代理类型应用中显示本字段 |
|
Identity Location |
用户Token在TCP应用客户端向SDP网关发送的请求报文中的位置,取值范围为1~65535,取值表示从第几个位开始表示用户信息,仅在TCP代理类型应用中显示本字段 |
|
Address |
APP的地址,可以显示一个或多个 |
|
Protocol |
APP所属的协议,取值包括: · TCP:TCP协议 · UDP:UDP协议 · HTTP:HTTP协议 · HTTPS:HTTPS协议 · ALL:TCP协议、UDP协议和ICMP协议 · ICMP:ICMP协议 |
|
IPv4Address |
APP的IPv4地址 |
|
IPv6Address |
APP的IPv6地址 |
|
Port |
APP的端口号,如果是ICMP协议,则不显示端口 |
# 显示SDP控制器下发给用户的API资源。
<Sysname> display trusted-access controller sdp assigned-resource api
Total APIs : 2
Context : default
APIs : 2
API ID : 4
API Name : ui1
URL : /ui1
App ID : 7
API ID : 5
API Name : ui2
URL : /ui2
App ID : 7
表1-2 display trusted-access controller sdp assigned-resource api命令显示信息描述表
|
字段 |
描述 |
|
Total APIs |
SDP控制器下发给SDP网关的API总数 |
|
Context |
SDP用户所属的SDP访问实例,SDP访问实例的名称必须配置为default |
|
APIs |
SDP访问实例下的API总数 |
|
API ID |
SDP控制器下发给用户的API ID |
|
API Name |
SDP控制器下发给用户的API名称 |
|
URL |
URL后缀 |
|
App ID |
API所属的App ID |
display trusted-access controller sdp default-policy用来显示SDP控制器下发给网关的默认策略。
【命令】
display trusted-access controller sdp default-policy
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【举例】
# 显示SDP控制器下发给网关的默认策略。
<Sysname> display trusted-access controller sdp default-policy
App default policy: Deny
API default policy: Permit
表1-3 display trusted-access controller sdp default-policy命令显示信息描述表
|
字段 |
描述 |
|
App default policy |
SDP控制器下发给网关的APP的默认策略,取值包括: · Permit:通过 · Deny:拒绝 |
|
API default policy |
SDP控制器下发给网关的API的默认策略,取值包括: · Permit:通过 · Deny:拒绝 |
display trusted-access controller sdp ip-tunnel route命令用来显示SDP控制器下发给网关的内网隧道路由。
【命令】
display trusted-access controller sdp ip-tunnel route
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【举例】
# 显示SDP控制器下发给网关的内网隧道路由。
<Sysname> display trusted-access controller sdp ip-tunnel route
State:Enabled
IPv4 route:
IPv4 address Mask length
12.1.0.0 16
13.1.1.0 24
IPv6 route:
IPv6 address Prefix length
2002::0 16
表1-4 display trusted-access controller sdp ip-tunnel route命令显示信息描述表
|
字段 |
描述 |
|
State |
SDP控制器下发给网关的指定路由状态,取值包括: · Enabled:开启指定路由 · Disabled:关闭指定路由 |
|
IPv4 route |
SDP控制器下发给网关的IPv4路由表项 |
|
IPv4 address |
指定的IPv4路由地址 |
|
Mask length |
指定IPv4路由地址的掩码长度 |
|
IPv6 route |
SDP控制器下发给网关的IPv6路由表项 |
|
IPv6 address |
指定的IPv6路由地址 |
|
Prefix length |
指定IPv6路由地址的前缀长度 |
display trusted-access controller sdp mode transparent命令用来显示SDP控制器下发的透明模式信息。
【命令】
display trusted-access controller sdp mode transparent
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【举例】
# 显示SDP控制器下发的透明模式信息。
<Sysname> display trusted-access controller sdp mode transparent
Transparent mode : Enabled
Heartbeat port : 2002
Heartbeat interval : 10 min
表1-5 display trusted-access controller sdp mode命令显示信息描述表
|
字段 |
描述 |
|
Mode |
SDP控制器下发的透明模式开启状态,取值包括: · Disabled:透明模式已关闭 · Enabled:透明模式已开启 透明模式仅适用于内网零信任场景 |
|
Heartbeat port |
心跳报文的端口号,仅在透明模式下才会显示该字段 |
|
Heartbeat interval |
心跳报文的发送时间间隔,单位为分钟,仅在透明模式下才会显示该字段 |
display trusted-access controller sdp session命令用来显示SDP会话信息。
【命令】
display trusted-access controller sdp session [ context context-name ] [ user user-name ] [ transparent ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
context context-name:显示指定SDP访问实例下的SDP会话的详细信息。context-name表示SDP访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SDP访问实例下的SDP会话的详细信息。
user user-name:显示指定或所有SDP访问实例下指定SDP用户对应的SDP会话的详细信息。user-name表示SDP用户名称,为1~63个字符的字符串,不区分大小写。如果不指定本参数,则显示指定或所有SDP访问实例下所有SDP用户的SDP会话的详细信息。
transparent:显示指定或所有SDP访问实例下指定或所有SDP用户对应的SDP会话的透明模式相关信息。如果不指定本参数,则显示指定或所有SDP访问实例下指定或所有SDP用户的SDP会话的详细信息。
【举例】
# 显示所有SDP用户对应的SDP会话的详细信息。
<Sysname> display trusted-access controller sdp session
Total users : 3
User : user1
Context : default
Created at : 13:49:27 UTC Wed 04/14/2021
Latest : 17:50:58 UTC Wed 04/14/2021
Allocated IPv4 address : 2.2.2.1
Allocated IPv6 address : 3001::C351
Session ID : 1
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
Mode : Tunnel
Apps : app1/permit;
User : user2
Context : default
Created at : 13:50:20 UTC Wed 04/14/2021
Latest : 17:55:58 UTC Wed 04/14/2021
Allocated IPv4 address : 2.2.2.1
Allocated IPv6 address : 3001::C34C
Session ID : 9
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
Mode : Transparent (client)
Apps : app1/permit;
User : user3
Context : default
Created at : 13:52:20 UTC Wed 04/14/2021
Latest : 17:59:58 UTC Wed 04/14/2021
Allocated IPv4 address : 2.2.2.2
Allocated IPv6 address : 3001::C34D
Session ID : 10
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
Mode : Transparent (no client)
Apps : app1/permit;
# 显示SDP用户user1对应的SDP会话的详细信息。
<Sysname> display trusted-access controller sdp session user user1
User : user1
Context : default
Created at : 13:49:27 UTC Wed 04/14/2021
Latest : 17:50:58 UTC Wed 04/14/2021
Allocated IPv4 address : 2.2.2.1
Allocated IPv6 address : 3001::C34C
Session ID : 1
Send rate : 0.00 B/s
Receive rate : 0.00 B/s
Sent bytes : 0.00 B
Received bytes : 0.00 B
Mode : Tunnel
Apps : app1/permit;
# 显示SDP用户对应的SDP会话的透明模式相关信息。
<Sysname> display trusted-access controller sdp session transparent
User : user1
Context : default
Session ID : 1
Source IPv4 address : 192.0.2.1,192.67.1.1
Source IPv6 address : 12::12
表1-6 display trusted-access controller sdp session命令显示信息描述表
|
字段 |
描述 |
|
Total users |
SDP用户总数 |
|
User |
SDP用户的登录名 |
|
Context |
SDP用户所属的SDP访问实例,SDP访问实例的名称必须配置为default |
|
Created at |
SDP会话的创建时间 |
|
Latest |
用户最近一次访问时间 |
|
Allocated IPv4 address |
iNode客户端分配到的IPv4地址。对于通过iNode客户端登录的用户,会显示该字段信息 |
|
Allocated IPv6 address |
iNode客户端分配到的IPv6地址。对于通过iNode客户端登录的用户,会显示该字段信息 |
|
Session ID |
SDP会话的标识 |
|
Send rate |
SDP会话的报文发送速率,单位取值包括: · B/s:字节/秒 · KB/s:千字节/秒 · MB/s:兆字节/秒 · GB/s:吉字节/秒 · TB/s:太字节/秒 · PB/s:拍字节/秒 透明模式下,不显示此字段 |
|
Receive rate |
SDP会话的报文接收速率,单位取值包括: · B/s:字节/秒 · KB/s:千字节/秒 · MB/s:兆字节/秒 · GB/s:吉字节/秒 · TB/s:太字节/秒 · PB/s:拍字节/秒 透明模式下,不显示此字段 |
|
Sent bytes |
SDP会话的报文总发送流量,单位取值包括: · B:字节 · KB:千字节 · MB:兆字节 · GB:吉字节 · TB:太字节 · PB:拍字节 透明模式下,不显示此字段 |
|
Received bytes |
SDP会话的报文总接收流量,单位取值包括: · B:字节 · KB:千字节 · MB:兆字节 · GB:吉字节 · TB:太字节 · PB:拍字节 透明模式下,不显示此字段 |
|
Mode |
SDP用户接入的模式,取值包括: · Transparent (client):有客户端透明模式(透明直连接入),该模式仅适用于内网零信任场景 · Tunnel:IP隧道模式 · Web proxy:Web代理模式 · Transparent (no client):无客户端透明模式(透明直连接入),该模式仅适用于内网零信任场景 |
|
Apps |
SDP控制器允许用户访问或拒绝用户访问的APP |
|
APIs |
SDP控制器允许用户访问或拒绝用户访问的API |
|
Source IPv4 address |
透明模式下,SDP用户的源IPv4地址 |
|
Source IPv6 address |
透明模式下,SDP用户的源IPv6地址 |
display trusted-access controller sdp tcp-proxy-connection命令用来显示TCP代理类型应用的连接信息。
【命令】
display trusted-access controller sdp tcp-proxy-connection [ context context-name ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
vsys-admin
vsys-operator
【参数】
context context-name:显示指定SDP访问实例下的TCP代理应用连接信息。context-name 表示SDP访问实例名称,为1~31个字符的字符串,只能包含字母、数字、下划线,不区分大小写。如果不指定本参数,则显示所有SDP访问实例下的TCP代理应用连接信息。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定Master设备。
【举例】
# 显示所有SDP访问实例下TCP代理应用的连接信息。
<Sysname> display trusted-access controller sdp tcp-proxy-connection
Slot : 1
Total count : 2
Context : default
User : user1
Client address : 192.0.2.1
Client port : 1025
Server address : 192.168.0.39
Server port : 80
TCP connection status : Connected
User : user2
Client address : 192.0.2.4
Client port : 56190
Server address : 192.168.0.50
Server port : 23
TCP connection status : Connecting
表1-7 display trusted-access controller sdp tcp-proxy-connection命令显示信息描述表
|
字段 |
描述 |
|
Total count |
当前SDP访问实例下SDP用户总数 |
|
Context |
SDP访问实例 |
|
User |
SDP用户的登录名称 |
|
Client address |
SDP客户端的IP地址 |
|
Client port |
SDP客户端的端口号 |
|
Server address |
应用服务器的IP地址 |
|
Server port |
应用服务器的端口号 |
|
TCP connection status |
TCP连接状态,取值包括: · Connected:连接成功 · Connecting:正在连接 |
sdp access-method命令用来配置用户通过SDP网关访问内网资源的方式。
undo sdp access-method命令用来恢复缺省情况。
【命令】
sdp access-method { ip-tunnel | mix | web-access }
undo sdp access-method
【缺省情况】
用户通过SDP网关访问内网资源的方式为混合方式。
【视图】
SDP可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
ip-tunnel:IP接入方式,该方式下用户仅能通过iNode客户端登录SDP控制器进行身份认证,认证成功后仅能通过iNode客户端访问内网资源。
mix:混合方式,该方式下用户必须首先通过iNode客户端登录SDP控制器进行身份认证,认证成功后可以通过浏览器或iNode客户端访问内网资源。
web-access:Web接入方式,该方式下用户仅能通过浏览器登录SDP控制器进行身份认证,认证成功后仅能通过浏览器访问内网资源。
【使用指导】
本功能仅在SDP可信访问控制功能处于开启状态下生效。
对于已登录的用户,若管理员通过本命令修改了访问方式,则该用户需要重新登录SDP控制进行身份认证,认证成功后才能继续访问内网资源。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置用户访问SDP网关的访问方式为Web接入方式。
<Sysname> system-view
[Sysname] trusted-access controller sdp
[Sysname-tac-sdp] sdp access-method web-access
【相关命令】
· sdp enable
sdp api-access default命令用来配置用户通过SDP网关访问内网API的缺省动作。
undo sdp api-access default命令用来恢复缺省情况。
【命令】
sdp api-access default { deny | permit }
undo sdp api-access default
【缺省情况】
用户通过SDP网关访问内网API的缺省动作为允许。
【视图】
SDP可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【参数】
deny:表示用户通过SDP网关访问内网API的缺省动作为拒绝。
permit:表示用户通过SDP网关访问内网API的缺省动作为允许。
【使用指导】
若用户访问的内网API地址不在SDP控制器下发给SDP网关的API列表中,设备将使用本命令设置的缺省动作来拒绝或允许用户对内网API的访问行为。
当内网API数量巨大时,管理员可以针对特定的API进行权限管理,例如允许或拒绝用户访问某些重要的API,其他的API访问权限可以通过本命令配置缺省处理动作,而不必对每一条API都进行权限配置。
本功能仅在SDP可信访问控制功能处于开启状态下生效。
【举例】
# 配置用户通过SDP网关访问内网API的缺省动作为拒绝。
<Sysname> system-view
[Sysname] trusted-access controller sdp
[Sysname-tac-sdp] sdp api-access default deny
【相关命令】
· sdp enable
sdp enable命令用来开启SDP功能。
undo sdp enable命令用来关闭SDP功能。
【命令】
sdp enable
undo sdp enable
【缺省情况】
SDP功能处于关闭状态。
【视图】
SDP可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
SDP(Software Defined Perimeter,软件定义边界)功能是指设备作为SDP网关与SDP控制器联动,对访问指定APP或API的用户进行身份认证和鉴权,以实现对用户身份和访问权限的集中控制,防止非法用户访问。
SDP网关借助云平台连接功能向SDP可信访问控制器通报保活状态,由于SDP可信访问控制器设置的保活时间为30秒,为了保证SDP可信访问控制功能的正常运行,需要将设备向云平台服务器发送Keepalive报文的时间间隔(通过cloud-management keepalive命令)设置为10~29秒。关于云平台连接的详细介绍,请参见“网络管理和监控配置指导”中的“云平台连接”。
在零信任场景中SDP网关作为SSL VPN网关连接远端用户和企业内部网络。
【举例】
# 开启SDP可信访问控制功能。
<Sysname> system-view
[Sysname] trusted-access controller sdp
[Sysname-tac-sdp] sdp enable
【相关命令】
· cloud-management keepalive
spa enable命令用来开启单包认证功能。
undo spa enable命令用来关闭单包认证功能。
【命令】
spa enable
undo spa enable
【缺省情况】
单包认证功能处于关闭状态。
【视图】
SDP可信访问控制器视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【使用指导】
单包认证功能是指客户端访问SDP网关之前,必须向SDP网关发送SPA(Single Packet Authentication,单包认证)报文,SDP网关通过验证SPA报文判断客户端是否合法,若客户端合法,SDP网关将接收客户端的后续访问请求,否则SDP网关将拒绝客户端的访问请求。
本功能仅在SDP可信访问控制功能处于开启状态下生效,且仅在IP接入方式和混合方式下支持本功能。
重新使能本功能对在线用户有影响,在有用户访问资源的情况下,请不要随意重新使能本功能,可通过display trusted-access controller sdp session命令查看是否有在线用户。
本功能对TCP SPA认证和UDP SPA认证均生效。
【举例】
# 开启单包认证功能。
<Sysname> system-view
[Sysname] trusted-access controller sdp
[Sysname-tac-sdp] spa enable
【相关命令】
· sdp enable
· sdp access-method
· display trusted-access controller sdp session
trusted-access controller sdp命令用来进入SDP可信访问控制器视图。
undo trusted-access controller sdp命令用来退出SDP可信访问控制器视图。
【命令】
trusted-access controller sdp
undo trusted-access controller sdp
【缺省情况】
不存在SDP可信访问控制器视图。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
vsys-admin
【举例】
# 进入SDP可信访问控制器视图。
<Sysname> system-view
[Sysname] trusted-access controller sdp
[Sysname-tac-sdp]
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
