- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
07-SSLO流量编排命令
本章节下载: 07-SSLO流量编排命令 (580.01 KB)
目 录
1.1.3 display loadbalance probe undetected
1.1.5 display sslo security-node
1.1.6 display sslo security-node statistics
1.1.7 display sslo security-pool
1.1.8 display sslo service-chain
1.1.9 display ssl-transparent bypass-decrypt
1.1.10 display ssl-transparent bypass-decrypt domain
1.1.11 display ssl-transparent cm-certificate
1.1.13 from-security-node-interface
1.1.14 from-security-node-nexthop
1.1.16 loadbalance probe nqa-task-restrict disable
1.1.28 priority (SSLO security pool member view)
1.1.29 probe (SSLO security node view)
1.1.30 probe (SSLO security pool view)
1.1.32 reset sslo security-node statistics
1.1.33 reset ssl-transparent bypass-decrypt ip
1.1.34 reset ssl-transparent server-certificate
1.1.38 service enable (SSLO security node view)
1.1.39 service enable (SSLO security pool member view)
1.1.47 ssl-transparent bypass-decrypt activate
1.1.48 ssl-transparent bypass-decrypt domain
1.1.49 ssl-transparent cm-certificate delete
1.1.50 ssl-transparent cm-certificate import
1.1.51 success-criteria (SSLO security node view)
1.1.52 success-criteria (SSLO security pool view)
1.1.53 to-security-node-interface
1.1.54 to-security-node-nexthop
1.1.56 weight (SSLO security node view)
1.1.57 weight (SSLO security pool member view)
bypass命令用来开启安全资源池的Bypass功能。
undo bypass命令用来关闭安全资源池的Bypass功能。
【命令】
bypass
【缺省情况】
安全资源池的Bypass功能处于关闭状态。
【视图】
安全资源池视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
安全资源池配置本命令后,流量会直接跳过该安全资源池,转发给服务链下一个安全资源池进行处理。
【举例】
# 在安全资源池sp1视图下,开启安全资源池的Bypass功能。
<Sysname> system-view
[Sysname] sslo security-pool sp1 mode layer2
[Sysname-sslo-security-pool-l2-sp1] bypass
description命令用来配置描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【视图】
安全网元视图
安全资源池视图
服务链视图
SSLO编排策略视图
【缺省情况】
未配置描述信息。
【缺省用户角色】
network-admin
context-admin
【参数】
text:描述信息,为1~127个字符的字符串,区分大小写。
【举例】
# 配置安全网元的描述信息为“security node test”。
<Sysname> system-view
[Sysname] sslo security-node sn
[Sysname-sslo-security-node-sn] description security node test
display loadbalance probe undetected显示由于NQA健康检测速率限制而未启动的健康检测任务信息。
【命令】
display loadbalance probe undetected { dns-server | link | real-server | security-node }
【视图】
任意视图
【缺省用户角色】
network-admin
context-admin
【参数】
dns-server:显示DNS服务器下未启动的NQA健康检测任务信息。
link:显示链路下未启动的NQA健康检测任务信息。
real-server:显示实服务器下未启动的NQA健康检测任务信息。
security-node:显示安全网元下未启动的NQA健康检测任务信息。
【使用指导】
仅在开启NQA健康检测速率限制功能的情况下,存在因超出速率限制而未能启动的NQA健康检测任务时,系统才会显示相关内容。
【举例】
# 显示实服务器下未启动的NQA健康检测任务信息。
<Sysname> display loadbalance probe undetected real-server
Real server: rs
Port: 20
Server farm: sf1
NQA template: t1
Probe type: IPv6
Record time: 2023-06-25 17:14:39
Real server: rs
Port: 20
Server farm: -
NQA template: t2
Probe type: IPv4
Record time: 2023-06-25 17:14:40
# 显示链路下未启动的NQA健康检测任务信息。
<Sysname> display loadbalance probe undetected link
Link: LK1
Link group: lg
NQA template: t3
Probe type: IPv4
Record time: 2023-06-25 17:14:41
Link: LK2
Link group: -
NQA template: t
Probe type: IPv4
Record time: 2023-06-25 17:14:46
# 显示DNS服务器下未启动的NQA健康检测任务信息。
<Sysname> display loadbalance probe undetected dns-server
DNS server: dns1
Port:2
DNS server pool: dnspool1
NQA template: t
Probe type:IPv4
Record time: 2023-06-25 17:14:42
DNS server: dns2
Port: -
DNS server pool: -
NQA template: t7
Probe type: IPv4
Record time: 2023-06-25 17:14:43
# 显示安全网元下未启动的NQA健康检测任务信息。
<Sysname> display loadbalance probe undetected security node
Security node: n1
Security pool: p1
NQA template: t1
Probe type: IPv4
Record time: 2025-05-29 17:14:39
Security node: n2
Security pool: -
NQA template: t2
Probe type: IPv4
Record time: 2025-05-29 17:14:40
表1-1 display loadbalance probe undetected命令显示信息描述表
|
字段 |
描述 |
|
Real server |
实服务器或实服务组成员的名称 |
|
Server farm |
未启动NQA健康检测的实服务组名称,如果是实服务器,显示为“-” |
|
Link group |
未启动NQA健康检测的链路组名称,如果是链路,显示为“-” |
|
Link |
链路或链路组成员的名称 |
|
DNS server |
DNS服务器或DNS服务池成员的名称 |
|
DNS server pool |
未启动NQA健康检测的DNS服务池的名称,如果是DNS服务器,显示为“-” |
|
Security node |
安全网元或安全资源池成员的名称 |
|
Security pool |
未启动NQA健康检测的安全资源池的名称,如果是安全网元,显示为“-” |
|
Port |
NQA探测任务使用的探测端口,“-”表示使用探测模板配置的端口号探测 |
|
NQA template |
NQA健康检测模板的名称 |
|
Probe type |
健康检测类型,包括IPv4、IPv6、Interface |
|
Record time |
加入等待启动队列的时间 |
display sslo policy命令用来显示SSLO编排策略的信息。
【命令】
display sslo policy [ name policy-name ]
【视图】
系统视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name policy-name:显示指定SSLO编排策略的信息。policy-name为SSLO编排策略的名称,为1~255个字符的字符串,不区分大小写。如果未指定本参数,将显示所有SSLO编排策略的信息。
【举例】
# 显示所有SSLO编排策略的详细信息。
<Sysname> display sslo policy
SSLO policy: sslop1
Description: sslo policy
Type: Generic
Match mode: Any
Service chains: sc1
Match rules:
match r1 source range 1.2.3.4 1.2.3.9
match r2 source ipv4 subnet 2.2.2.2
SSLO policy: sslop2
Description:
Type: HTTP
Match mode: All
Service chains: sc2
Match rules:
match r1 url .*.html
match rule1 header user-agent pattern abcd
表1-2 表1-1 display sslo policy命令显示信息描述表
|
字段 |
描述 |
|
SSLO policy |
SSLO编排策略的名称 |
|
Description |
SSLO编排策略的描述信息 |
|
Type |
SSLO编排策略的类型,包括: · Generic:表示通用类型 · HTTP:表示HTTP类型 |
|
Match mode |
SSLO编排策略的匹配方式 |
|
Service chains |
SSLO编排策略下引用的服务链 |
|
Match rules |
SSLO编排策略包含的匹配规则 |
【相关命令】
sslo policy
display sslo security-node命令用来显示安全网元的信息。
【命令】
display sslo security-node { brief | name node-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
brief:显示安全网元的简要信息。如果未指定本参数,将显示安全网元的详细信息。
name node-name:显示指定安全网元的信息。node-name为安全网元的名称,为1~255个字符的字符串,不区分大小写。如果未指定本参数,将显示所有安全网元的信息。
【举例】
# 显示所有安全网元的简要信息。
<Sysname> display sslo security-node brief
Security node Mode State Service
sn1 Layer2 Active enable
sn2 Mirror Busy enable
sn3 Layer2 Bypass(Active) enable
# 显示所有安全网元的详细信息。
<Sysname> display sslo security-node
Security node: sn1
Description:
State: Active
Mode: Mirror
Interface to security node: GigabitEthernet 1/0/0
IPv4 address: 1.1.1.1
MAC address: 5632-7542-5697
Weight: 150
Probe log: Enabled
Bypass: Disabled
Probe information:
Probe success criteria: All
Probe method State
icmp Succeeded
Security node: sn2
Description: l2 security node
State: Active
Mode: Layer2
Interface to security node: GigabitEthernet 1/0/0
Nexthop to security node: 1.1.1.1
Interface from security node: GigabitEthernet 1/0/2
Nexthop from security node: 1.1.1.2
Weight: 150
Probe log: Enabled
Service: Enabled
Probe information:
Probe success criteria: All
Probe method State
icmp Succeeded
Security node: sn3
Description: l3 security node
State: Active
Mode: Layer3
Interface to security node: GigabitEthernet 1/0/3
Nexthop to security node: 1.1.1.3
Interface from security node: GigabitEthernet 1/0/4
Nexthop from security node: 1.1.1.4
Weight: 150
Probe log: Enabled
Service: Enabled
Probe information:
Probe success criteria: All
Probe method State
icmp Succeeded
Security node: sn4
Description:
State: Bypass(Active)
Mode: Layer2
Interface to security node: GigabitEthernet1/0/1
Nexthop to security node: 1.2.3.5
Interface from security node: GigabitEthernet1/0/0
Nexthop from security node: 1.2.3.4
Weight: 100
Priority: 4
Probe log: Disabled
Service: Enabled
Probe information:
Probe success criteria: All
Probe method State
icmp Succeeded
表1-3 display sslo security-node命令显示信息描述表
|
字段 |
描述 |
|
Security node |
安全网元的名称 |
|
Address |
安全网元的IPv4地址 |
|
Mode |
安全网元的部署模式,包括: · Layer2:二层部署模式 · Layer3:三层部署模式 · Mirror:镜像部署模式 |
|
State |
安全网元的状态,包括: · Active:可用 · Inactive:不可用(由于配置不完全、未被引用或安全网元尚未开启) · Probe-failed:健康检测失败 · Unknown:未配置健康检测 · Shutdown:安全网元或安全资源池成员处于关闭状态(当安全网元配置了undo service enable) |
|
IPv4 address |
安全网元的IPv4地址,只有镜像模式的安全网元才会显示本字段 |
|
MAC address |
安全网元的MAC地址,只有镜像模式的安全网元才会显示本字段 |
|
Interface to security node |
设备上流向安全网元的请求流量对应的出接口 |
|
Nexthop to security node |
设备上流向安全网元的请求流量对应的出接口下一跳IP地址 |
|
Interface from security node |
设备上来自安全网元的请求流量对应的入接口下一跳IP地址 |
|
Nexthop from security node |
设备上来自安全网元的请求流量对应的入接口下一跳IP地址 |
|
Description |
安全网元的描述信息 |
|
Weight |
安全网元的权值 |
|
Probe log |
安全网元健康检测日志的状态,包括: · Enabled:开启 · Disabled:关闭 |
|
Service |
安全网元服务状态,包括: · Enabled:开启 · Disabled:关闭 |
|
Probe success criteria |
安全网元健康检测的成功条件: · All:只有全部方法都通过检测才认为健康检测成功 · At least X:健康检测成功所需通过检测的最少方法数为X |
|
Probe method |
健康检测方法所使用的NQA模板名称 |
|
State |
NQA健康检测方法的状态,包括: · Failed:健康检测失败 · In progress:正在进行健康检测 · Invalid:健康检测不可用(因其所使用的NQA模板配置不完全),或者网元不可用 · Succeeded:健康检测成功 · Undetected:由于NQA健康检测速率限制,NQA健康检测未启动 |
display sslo security-node statistics命令用来显示安全网元或安全资源池成员的统计信息。
【命令】
display sslo security-node statistics [ name security-node-name | service-chain service-chain-name [ security-pool security-pool-name [ name security-node-name ] ] ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name security-node-name:显示指定安全网元或安全资源池成员的统计信息。security-node-name为安全网元的名称,为1~255个字符的字符串,不区分大小写。service-chain service-chain-name:显示指定服务链下安全资源池中成员的统计信息。security-chain-name表示服务链的名称,为1~255个字符的字符串,不区分大小写。
security-pool security-pool-name:显示指定安全资源池下成员的统计信息。security-pool-name表示安全资源池的名称,为1~255个字符的字符串,不区分大小写。
slot slot-number:显示指定单板上的安全网元或安全资源池成员的统计信息,slot-number表示单板所在槽位号。如果未指定本参数,将显示所有单板上的信息。
【使用指导】
配置本命令时未指定任何参数,将显示所有安全网元的统计信息。
【举例】
# 显示安全网元sn的统计信息。
<Sysname> display sslo security-node statistics name sn
Slot 1:
Security node: sn
To security node:
Total connections: 1798
Active connections: 788
Max connections: 803
recorded at 11:02:49 on Tue May 21 2019
Connections per second: 157
Max connections per second: 163
recorded at 11:02:49 on Tue May 21 2019
Total throughput: 4396 bps
Input throughput: 1214 bps
Output throughput: 3128 bps
Max throughput: 4564 bps
recorded at 11:02:49 on Tue May 21 2019
Max input throughput: 1214 bps
recorded at 11:02:49 on Tue May 21 2019
Max output throughput: 3320 bps
recorded at 11:02:49 on Tue May 21 2019
Received packets: 1557
Sent packets: 1426
Dropped packets: 0
From security node:
Total connections: 1798
Active connections: 788
Max connections: 803
recorded at 11:02:49 on Tue May 21 2019
Connections per second: 157
Max connections per second: 163
recorded at 11:02:49 on Tue May 21 2019
Total throughput: 4396 bps
Input throughput: 1214 bps
Output throughput: 3128 bps
Max total throughput: 4564 bps
recorded at 11:02:49 on Tue May 21 2019
Max input throughput: 1214 bps
recorded at 11:02:49 on Tue May 21 2019
Max output throughput: 3320 bps
recorded at 11:02:49 on Tue May 21 2019
Received packets: 1557
Sent packets: 1426
Dropped packets: 0
State: Busy
# 显示服务链sc下所有安全资源池成员的统计信息。
<Sysname> display sslo security-node statistics service-chain sc
Slot 1:
Service chain: sc
Security pool: sp
Security node: sn1
To security node:
Total connections: 0
Active connections: 0
Max connections: 0
recorded at 11:02:49 on Tue May 21 2019
Connections per second: 0
Max connections per second: 0
recorded at 11:02:49 on Tue May 21 2019
Total throughput: 0 bps
Input throughput:0 bps
Output throughput: 0 bps
Max throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Max input throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Max output throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Received packets: 0
Sent packets: 0
Dropped packets: 0
From security node:
Total connections: 0
Active connections: 0
Max connections: 0
recorded at 11:02:49 on Tue May 21 2019
Connections per second: 0
Max connections per second: 0
recorded at 11:02:49 on Tue May 21 2019
Total throughput: 0 bps
Input throughput:0 bps
Output throughput: 0 bps
Max throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Max input throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Max output throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Received packets: 0
Sent packets: 0
Dropped packets: 0
State: Busy
# 显示服务链sc下安全资源池sp中所有成员的统计信息。
<Sysname> display sslo security-node statistics service-chain sc security-pool sp
Slot 1:
Service chain: sc
Security pool: sp
Security node: sn1
To security node:
Total connections: 0
Active connections: 0
Max connections: 0
recorded at 11:02:49 on Tue May 21 2019
Connections per second: 0
Max connections per second: 0
recorded at 11:02:49 on Tue May 21 2019
Total throughput: 0 bps
Input throughput:0 bps
Output throughput: 0 bps
Max throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Max input throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Max output throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Received packets: 0
Sent packets: 0
Dropped packets: 0
From security node:
Total connections: 0
Active connections: 0
Max connections: 0
recorded at 11:02:49 on Tue May 21 2019
Connections per second: 0
Max connections per second: 0
recorded at 11:02:49 on Tue May 21 2019
Total throughput: 0 bps
Input throughput:0 bps
Output throughput: 0 bps
Max throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Max input throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Max output throughput: 0 bps
recorded at 11:02:49 on Tue May 21 2019
Received packets: 0
Sent packets: 0
Dropped packets: 0
State: Busy
表1-4 display sslo security-node statistics命令显示信息描述表
|
字段 |
描述 |
|
Security node |
安全网元的名称 |
|
Service chain |
服务链的名称 |
|
Security pool |
安全资源池的名称 |
|
To security node |
设备到安全网元的请求流量对应的出接口统计信息 |
|
From security node |
安全网元到设备的请求流量对应的入接口统计信息 |
|
Total connections |
总连接数 |
|
Active connections |
当前活动的连接数 |
|
Max connections |
最大连接数 |
|
Connections per second |
每秒连接数 |
|
Max connections per second |
最大每秒连接数 |
|
Total throughput |
报文的总吞吐量,单位为bps |
|
Input throughput |
报文的入吞吐量,单位为bps |
|
Output throughput |
报文的出吞吐量,单位为bps |
|
Max total throughput |
报文的最大总吞吐量,单位为bps |
|
Max input throughput |
报文的最大入吞吐量,单位为bps |
|
Max output throughput |
报文的最大出吞吐量,单位为bps |
|
Received packets |
接收报文数 |
|
Sent packets |
发送报文数 |
|
Dropped packets |
丢弃报文数 |
|
State |
安全网元的状态,包括: · --:不可用 · Normal:正常 · Busy:繁忙 |
【相关命令】
· reset sslo security-node statistics
display sslo security-pool命令用来显示安全资源池的信息。
【命令】
display sslo security-pool { brief | name security-pool-name }
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
brief:显示安全资源池的简要信息。如果未指定本参数,将显示资源池的详细信息。
name security-pool-name:显示指定安全资源池的信息。security-pool-name为安全资源池的名称,为1~255个字符的字符串,不区分大小写。如果未指定本参数,将显示所有安全资源池的信息。
【举例】
# 显示所有安全资源池的简要信息。
<Sysname> display sslo security-pool brief
Predictor: RR - Round robin, RD - Random, LC - Least connection,
LCM - Least connection member,
HASH(SIP) - Hash address source IP,
HASH(DIP) - Hash address destination IP,
HASH(SIP-PORT) - Hash address source IP-port,
LTM - Least time member,
CARP(SIP) - CARP address source IP,
CARP(DIP) - CARP address destination IP,
CARP(SIP-PORT) - CARP address source IP-port,
CARP(HTTP) - CARP HTTP payload,
HASH(HTTP) - Hash HTTP payload
Security pool Mode Predictor Total Active
sp1 Layer2 RR 2 2
# 显示安全资源池sp1的详细信息。
<Sysname> display sslo security-pool name sp1
Security pool: sp1
Description: security-pool sp1
Mode:Layer2
Type: WAF
Predictor: Round robin
SSL mapping port: 80
Bypass: Enabled
Fail-action: Bypass
Selected node limit: Enabled
Min nodes: 100
Max nodes: 600
Probe information:
Probe success criteria: All
Probe method:
t1
Total security node: 2
Active security node: 2
Reference count: 1
Security node list:
Name State Weight Priority Service
sn1 Probe-failed 120 3 enable
表1-5 display sslo security-pool命令显示信息描述表
|
字段 |
描述 |
|
Security pool |
安全资源池的名称 |
|
Mode |
安全资源池的部署模式,包括: · Layer2:二层部署模式 · Layer3:三层部署模式 · Mirror:镜像部署模式 |
|
Type |
安全资源池中安全网元的类型,包括: · FW:防火墙类型。 · NGFW:下一代防火墙类型。 · IPS:入侵防御系统类型。 · WAF:Web应用防火墙类型。 · ACG:访问控制网关类型。 · DLP:数据防泄漏类型。 |
|
Predictor |
安全资源池的调度算法,包括: · RR - Round robin ,加权轮转算法 · RD – Random ,随机算法 · LC - Least connection ,最小连接数算法 · LCM - Least connection member ,基于成员的最小连接数算法 · HASH(SIP):根据源IP地址进行的哈希算法 · HASH(DIP):根据目的IP地址进行的哈希算法 · HASH(SIP-PORT):根据源IP地址和端口号进行的哈希算法 · LTM:安全资源池成员的最快响应算法 · CARP(SIP):根据源IP地址进行的CARP哈希算法 · CARP(DIP):根据目的IP地址进行的CARP哈希算法 · CARP(SIP-PORT):根据源IP地址和端口号进行的CARP哈希算法 · CARP(HTTP):基于HTTP载荷进行的CARP哈希算法 · HASH(HTTP):基于HTTP载荷进行的哈希算法 |
|
Total |
包含的安全网元数量 |
|
Active |
活跃的安全网元数量 |
|
Description |
安全资源池的描述信息 |
|
Predictor |
安全资源池的调度算法,包括: · Round robin ,加权轮转算法 · Random ,随机算法 · Least connection:最小连接数算法 · Least connection member :基于成员的最小连接数算法 · HASH address source IP:根据源IP地址进行的哈希算法 · HASH address destination IP:根据目的IP地址进行的哈希算法 · HASH address source IP-port:根据源IP地址和端口号进行的哈希算法 · Least time:最快响应算法 · CARP address source IP:根据源IP地址进行的CARP哈希算法 · CARP address destination IP:根据目的IP地址进行的CARP哈希算法 · CARP address source IP-port:根据源IP地址和端口号进行的CARP哈希算法 · CARP HTTP:基于HTTP载荷进行的CARP哈希算法 · HASH HTTP:基于HTTP载荷进行的哈希算法 |
|
SSL mapping port |
安全资源池SSL流量的映射端口号 |
|
Bypass |
安全资源池的Bypass功能状态,包括: · Enabled:开启 · Disabled:关闭 |
|
Fail-action |
安全资源池的故障处理方式,包括: · Bypass:跳过安全资源池 · Drop:丢弃报文 |
|
Selected node limit |
安全资源池中可被调度算法调用的安全网元数量限制功能的状态,包括Disabled(关闭)和Enabled(开启)两种。在开启状态下还会显示: · Min nodes:可被调度算法调用的安全网元最小数量 · Max nodes:可被调度算法调用的安全网元最大数量 |
|
Probe success criteria |
· All:只有全部方法都通过检测才认为健康检测成功 · At least x:健康检测成功所需通过检测的最少方法数为x |
|
健康检测方法所使用的NQA模板名称 |
|
|
Total security node |
包含的安全网元数量 |
|
Active security node |
活跃的安全网元数量 |
|
Reference count |
被引用次数 |
|
Security node list |
安全资源池成员列表 |
|
Name |
安全资源池成员的名称 |
|
State |
安全资源池成员的状态,包括: · Active:可用 · Inactive:不可用(由于配置不完全、未被引用或安全网元尚未开启) · Probe-failed:健康检测失败 · Unknown:未配置健康检测 · Shutdown:安全网元或安全资源池成员处于关闭状态(当安全网元或者安全资源池成员配置了undo service enable) |
|
Weight |
安全资源池成员的权值 |
|
Priority |
安全资源池成员的调用优先级 |
|
Service |
安全资源池成员的服务状态 |
display sslo service-chain命令用来显示服务链的信息。
【命令】
display sslo service-chain [ name service-chain-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
name service-chain-name:显示指定服务链的信息。service-chain-name为服务链的名称,为1~255个字符的字符串,不区分大小写。如果未指定本参数,将显示所有服务链的信息。
【举例】
# 显示服务链sc的详细信息。
<Sysname> display sslo service-chain name sc
Service chain: sc
Description:
Operating mode: Normal
Total security pools: 2
Security pool list:
Name Mode
sp1 Layer2
sp2 Layer3
表1-6 display sslo service-chain命令显示信息描述表
|
字段 |
描述 |
|
Service chain |
服务链的名称 |
|
Description |
服务链的描述信息 |
|
Operating mode |
服务链的工作模式,包括: · Shutdown:一键断网模式,关闭所有服务链,丢弃走服务链的报文 · Bypass:一键Bypass模式,报文跳过SSLO编排,直接转发 · Normal:通用模式,报文走SSLO编排 |
|
Total security pools |
服务链下引用的安全资源池数量 |
|
Security pool list |
· 服务链下引用的安全资源池列表 |
|
Name |
· 服务链下引用的安全资源池名称 |
|
Mode |
· 服务链下引用的安全资源池部署模式,包括: · Layer2 · Layer3 · Mirror |
display ssl-transparent bypass-decrypt命令用来显示SSL透明代理免卸载IP地址的信息。
【命令】
display ssl-transparent bypass-decrypt { ipv4 [ ipv4-address ] | ipv6 [ ipv6-address ] } [ slot slot-number [ cpu cpu-number ] ]
【视图】
系统视图
【缺省用户角色】
network-admin
networlk-operator
context-admin
context-operator
【参数】
ipv4:表示显示免卸载的IPv4地址。
ipv6:表示显示免卸载的IPv6地址。
ipv4-address:指定IPv4地址。
ipv6-address:指定IPv6地址。
slot slot-number:显示指定单板上的信息,slot-number表示单板所在槽位号。如果未指定本参数,将显示所有单板上的信息。
cpu cpu-number:显示指定CPU上的信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示所有免卸载IPv4地址。
<Sysname> display ssl-transparent bypass-decrypt ipv4
Slot 0:
IPv4 address Port
10.1.1.1 443
10.10.1.1 443
图1-1 display ssl-transparent bypass-decrypt命令显示信息描述表
|
字段 |
描述 |
|
IPv4 address |
免卸载的IPv4地址 |
|
IPv6 address |
免卸载的IPv6地址 |
|
Port |
免卸载的IP地址对应的端口号 |
【相关命令】
· reset ssl-transparent bypass-decrypt ip
display ssl-transparent bypass-decrypt domain命令用来显示SSL透明代理的免卸载域名。
【命令】
display ssl-transparent bypass-decrypt domain
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
#显示SSL透明代理的免卸载域名。
<Sysname> display ssl-transparent bypass-decrypt domain
1.example.com
display ssl-transparent cm-certificate命令用来显示商密算法的SSL透明代理解密证书的信息。
【命令】
display ssl-transparent cm-certificate
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示SSL透明代理的解密证书。
<Sysname> display ssl-transparent cm-certificate
Trusted:
File name:abc.cer
Certificate:
Data:
Version: 3 (0x2)
Serial number:
aa:31:f8:3d:06:b0:9b: Signature algorithm: sha1WithRSAEncryption
Issuer: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Validity
Not before: Sep 7 12:00:43 2017 GMT
Not after : Aug 28 12:00:43 2057 GMT
Subject: C=CN, ST=bj, L=cp, O=dpi, OU=sec, CN=trustca
Subject public key info:
Public key algorithm: rsaEncryption
Public key: (2048 bit)
Modulus:
00:ec:d7:73:af:03:07:07:86:e6:31:4d:e5:32:09:
20:7f:93:19:20:b2:25:c4:cc:32:8e:e4:29:fd:e0:
30:48:4c:8d:0a:83:66:28:af:6a:e0:69:81:08:58:
ca:cf:e4:3d:5a:e8:69:92:67:71:e3:c0:66:87:8e:
16:cc:6a:89:1d:d4:22:5f:93:14:47:bd:39:60:44:
3c:ee:0a:d1:8d:d4:16:84:65:e9:b7:b1:0f:6d:af:
6e:ef:21:b5:5a:02:4f:63:46:6e:8b:73:b5:95:70:
8a:ed:5d:23:8b:d8:0e:45:2d:8b:52:ab:34:6d:3b:
d5:85:ae:1c:d4:26:6e:fb:2c:1e:18:db:55:22:96:
d8:1f:1a:33:e9:ff:1f:8c:be:28:9d:de:77:d8:9b:
a7:27:0f:7e:e2:52:3e:bd:02:ee:c3:06:93:d0:16:
b0:c7:96:bb:c8:b1:96:8d:ee:ca:6e:76:63:1e:b1:
b6:fb:31:bf:d0:13:66:ad:f6:97:cf:0b:37:f7:6c:
f8:46:b6:76:f1:70:6f:24:6c:92:a6:dd:c2:3b:cf:
3c:35:c7:74:60:dd:db:a3:bf:70:b4:55:05:4b:d7:
cd:dd:c1:1b:59:0d:41:e7:95:5a:79:44:9d:b0:8b:
a7:f2:f4:67:0e:0c:4a:b6:35:97:1e:e6:99:88:fc:
c8:e9
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 subject alternative name:
IP address:1.1.1.1, DNS:trustca, email:[email protected]
X509v3 basic constraints: Critical
CA:TRUE
X509v3 key usage: Critical
Certificate sign, CRL sign
X509v3 subject key identifier:
D4:35:A8:66:63:03:04:2B:CA:4E:91:06:11:F5:72:1C:26:E0:BE:33
Netscape cert type:
SSL CA
Netscape comment:
example comment extension
Signature algorithm: sha1WithRSAEncryption
b9:d2:eb:98:bd:f9:8d:7e:03:a8:0e:b4:29:cf:3a:a1:fd:f4:
2a:fa:56:1c:cf:40:a4:9e:7f:5a:15:6b:88:8a:dd:86:d2:03:
c3:38:49:7a:11:09:78:81:8c:8f:0a:3b:fb:d6:60:59:c4:0b:
12:0e:38:b0:92:f3:2e:b5:96:ab:d3:a4:2d:cb:ef:fd:a0:97:
d0:63:43:8e:91:1f:f1:fc:39:c8:cf:e5:ee:4b:e7:8c:8b:f8:
3b:ff:5e:dc:00:df:5b:2f:98:53:f2:c7:da:fa:b8:2e:92:dd:
33:6a:80:df:0e:22:62:62:5d:2f:6c:eb:4c:80:c4:56:c9:00:
01:a6:82:60:e4:32:69:f7:7b:8f:6c:93:e5:c3:64:65:fe:aa:
e1:0b:10:92:bd:ea:2f:2f:e5:b6:fd:b5:5b:df:34:c8:5d:5a:
91:9a:0d:89:10:76:b8:ed:28:ef:6a:c4:7b:48:d7:88:57:7c:
cf:4e:c8:38:84:ad:54:6d:3f:40:a0:38:d7:36:61:23:7a:82:
62:34:41:3d:cc:b2:ee:4a:23:f1:7d:12:e2:23:26:10:df:c8:
a1:6f:00:00:b7:c2:1f:ce:1b:63:60:e0:63:33:e0:59:31:78:
bc:27:99:b6:27:40:95:da:1b:37:07:75:2f:99:97:56:33:f5:
4f:ad:14:31
图1-2 display ssl-transparent cm-certificate命令显示信息描述表
|
字段 |
描述 |
|
Trusted |
证书的可信度,取值包括: · Trusted:客户端信任的证书 · Untrusted:客户端不信任的证书 |
|
File name |
证书文件的名称 |
|
Certificate |
证书的信息 |
|
Data |
证书的数据 |
|
Version |
证书的版本 |
|
Serial number |
证书的序列号 |
|
Signature algorithm |
证书的签名算法 |
|
Issuer |
证书的颁发者 |
|
Validity |
证书的有效期 |
|
Subject |
证书的主题 |
|
Subject public key info |
证书的主题公钥信息 |
|
Public key algorithm |
公钥算法 |
|
Public key |
公钥信息 |
|
Modulus |
密钥模数 |
|
Exponent |
密钥指数 |
|
X509v3 extensions |
X.509v3证书扩展项 |
|
X509v3 subject alternative name |
主题的备用名称 |
|
IP address |
实体的IP地址 |
|
DNS |
实体的DNS名 |
|
|
实体的电子邮箱地址 |
|
X509v3 basic constraints |
基本约束,指出一个证书是否是CA证书 |
|
X509v3 key usage |
密钥用法,指出有效用途 |
|
X509v3 subject key identifier |
主题密钥标识符 |
|
Netscape cert type |
Netscape证书类型,可以用于指定网景软件的密钥用途 |
|
Netscape comment |
Netscape注释,在某些浏览器中可以用于展示注释信息 |
fail-action命令用来配置安全资源池的故障处理方式。
undo fail-action命令用来恢复缺省情况。
【命令】
fail-action { drop | bypass }
【缺省情况】
安全资源池的故障处理方式为跳过故障安全资源池,放行报文。
【视图】
安全资源池视图
【缺省用户角色】
network-admin
context-admin
【参数】
bypass:跳过故障安全资源池,放行报文。
drop:丢弃报文。
【使用指导】
当安全资源池中所有成员都发生故障时,设备将根据配置的故障处理方式来决定报文的处理方式。
若同时在安全资源池下开启bypass功能后,本命令不生效。
【举例】
# 配置安全资源池sp1中所有安全网元发生故障时的处理方式为跳过故障该故障资源池,放行报文。
<Sysname> system-view
[Sysname] sslo security-pool sp1 mode layer2
[Sysname-sslo-security-pool-l2-sp1] fail-action bypass
【相关命令】
· bypass
from-security-node-interface命令用来指定设备上请求流量从安全网元返回的入接口。
undo from-security-node-interface命令用来恢复缺省情况。
【命令】
from-security-node-interface { interface-name | interface-type interface-num }
undo from-security-node-interface
【视图】
二层/三层模式的安全网元视图
【缺省情况】
未配置设备上请求流量从安全网元返回的入接口
【缺省用户角色】
network-admin
context-admin
【参数】
interface-name:表示设备上请求流量从安全网元返回的入接口名。
interface-type interface-number:表示入接口类型和接口编号。
【使用指导】
SSLO设备上请求流量从安全网元返回的入接口,即从安全网元返回的客户端请求流量从此接口进入设备,服务器应答流量从此接口进入安全网元。
【举例】
# 配置SSLO设备上请求流量从安全网元sn1返回的入接口为GigabitEthernet1/0/2。
<Sysname> system-view
[Sysname] sslo security-node sn1 mode layer2
[Sysname-sslo-security-node-l2-sn1] from-security-node-interface GigabitEthernet 1/0/2
【相关命令】
· from-security-node-nexthop
· to-security-node-interface
from-security-node-nexthop命令用来配置设备上请求流量从安全网元返回的入接口互联地址。
undo from-security-node-nexthop命令用来恢复缺省情况。
【命令】
from-security-node-nexthop ipv4-address
undo from-security-node-nexthop
【视图】
二层/三层模式的安全网元视图
【缺省情况】
未配置设备上请求流量从安全网元返回的入接口互联地址。
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:设备上请求流量从安全网元返回的入接口互联IPv4地址,不能为环回地址、组播地址、广播地址和0.X.X.X。
【使用指导】
对于二层模式安全网元:入接口互联IP地址:即设备的出接口IP地址。
对于三层模式安全网元:入接口互联IP地址:即安全网元的出接口IP地址。
【举例】
# 配置设备上请求流量从安全网元sn1返回的入接口互联IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslo security-node sn1 mode layer2
[Sysname-sslo-security-node-l2-sn1] from-security-node-nexthop 1.1.1.1
【相关命令】
· from-node-interface
ip-address命令用来配置镜像模式的安全网元的IPv4地址。
undo ip-address命令用来恢复缺省情况。
【命令】
ip-address ipv4-address
undo ip-address
【视图】
镜像模式的安全网元视图
【缺省情况】
未配置镜像模式安全网元的IPv4地址。
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:镜像模式的安全网元IPv4地址,不能为环回地址、组播地址、广播地址和0.X.X.X。
【使用指导】
对于镜像部署模式的安全网元,需要配置其IPv4地址,否则该安全网元不生效。
【举例】
# 配置镜像模式的安全网元sn1的IPv4地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslo security-node sn1 mode mirror
[Sysname-sslo-security-node-mirror-sn1] ip-address 1.1.1.1
【相关命令】
· mac-address
loadbalance probe nqa-task-restrict disable命令用来关闭NQA健康检测速率限制功能。
undo loadbalance probe nqa-task-restrict disable命令用来开启NQA健康检测速率限制功能。
【命令】
loadbalance probe nqa-task-restrict disable
undo loadbalance probe nqa-task-restrict disable
【缺省情况】
NQA健康检测速率限制功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启本功能后,设备将对每秒可执行的NQA健康检测任务数进行限制。当新增NQA健康检测任务时,系统会结合当前已启动的所有任务计算设备NQA健康检测速率,并判断是否会超过最大NQA健康检测速率:若未超过,则启动任务;否则,将该任务加入等待队列。
等待队列的任务按以下从高到低的优先级启动(按名称的字典序):
(1) DNS服务器名称
(2) 链路名称
(3) 实服务器名称
(4) DNS服务器池成员名称
(5) 链路组成员名称
(6) 实服务组成员名称
(7) 安全网元名称
(8) 安全资源池成员名称
而停止任务时则按从低到高的优先级执行。
若设备当前NQA健康检测任务启动速率已经超过最大NQA健康检测速率时,可通过延长健康检测模板的测试间隔或减少检测任务释放出一些资源。
通常情况下,建议开启NQA健康检测速率限制功能,防止任务数过多导致设备资源紧张。而在小型网络或故障排查等无需担心资源争用的场景下,可关闭本功能,以提升健康检测效率。
修改NQA模板的测试间隔时,将首先影响关联该模板的任务启停。
每次启停本功能时,系统都会按照上述原则重新调整所有任务的队列。因此,反复操作可能导致任务队列的顺序变化。
最大NQA健康检测速率与设备型号有关,可以在Probe视图下执行display system internal loadbalance statistics probe命令查看。
【举例】
# 开启NQA健康检测速率限制功能。
<Sysname> system-view
[Sysname] undo loadbalance probe nqa-task-restrict disable
mac-address命令用来配置镜像模式的安全网元的MAC地址。
undo mac-address命令用来恢复缺省情况。
【命令】
mac-address mac-address
undo mac-address
【视图】
镜像模式的安全网元视图
【缺省情况】
未配置镜像模式的安全网元的MAC地址。
【缺省用户角色】
network-admin
context-admin
【参数】
mac-address:指定镜像模式的安全网元的MAC地址,格式为H-H-H。
【使用指导】
对于镜像部署模式的安全网元,需要配置其MAC地址,否则该安全网元不生效。
【举例】
# 配置镜像模式安全网元sn1的MAC地址。
<Sysname> system-view
[Sysname] sslo security-node sn1 mode mirror
[Sysname-sslo-security-node-mirror-sn1] mac-address 5632-7542-5697
【相关命令】
· ip-address
match destination命令用来创建目的IP地址类型的匹配规则。
undo match命令用来删除指定的匹配规则。
【命令】
match match-rule-name destination ipv4 { range start-ipv4-address end-ipv4-address | subnet ipv4-address { mask-length | mask } | object-group-name }
undo match match-rule-name
【缺省情况】
SSLO编排策略中不存在匹配规则。
【视图】
SSLO编排策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
match-rule-name:匹配规则的名称,为1~255个字符的字符串,不区分大小写。
ipv4:表示匹配IPv4地址。
range start-ipv4-address end-ipv4-address:表示以地址段方式配置的IPv4地址范围。start-ipv4-address表示起始目的IPv4地址,end-ipv4-address表示终止目的IPv4地址。
subnet ipv4-address { mask-length | mask }:表示以子网方式配置的IPv4地址范围。ipv4-address表示IPv4地址,mask-length表示IPv4地址的掩码长度,取值范围为0~32,mask表示IPv4地址子网掩码。
object-group-name:IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写,且对象组的名称必须全局唯一。
【举例】
#在通用类型的SSLO编排策略sslop1中,创建目的IP子网方式匹配规则为:匹配子网1.1.1.1/24
<Sysname> system-view
[Sysname] sslo policy sslop1 type generic
[Sysname-sslo-policy-generic-sslop1] match r1 destination ipv4 subnet 1.1.1.1 24
【相关命令】
· sslo policy
· object-group(安全命令参考/对象组)
match destination-port命令用来创建目的端口的匹配规则。
undo match命令用来删除指定的匹配规则。
【命令】
match match-rule-name destination-port port
undo match match-rule-name
【缺省情况】
SSLO编排策略中不存在匹配规则。
【视图】
SSLO编排策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
match-rule-name:匹配规则的名称,为1~255个字符的字符串,不区分大小写。
destination-port port:目的端口号,取值范围为0~65535,0表示任意端口号。
【举例】
# 在通用类型的SSLO编排策略sslop1中,创建目的端口为80的匹配规则
<Sysname> system-view
[Sysname] sslo policy sslop1 type generic
[Sysname-sslo-policy-generic-sslop1] match m1 destnation-port 80
【相关命令】
· sslo policy
match header命令用来创建HTTP首部匹配规则。
undo match命令用来删除指定的匹配规则。
【命令】
match match-rule-name header header-name pattern [ case-sensitive ] regex expression
undo match match-rule-name
【缺省情况】
SSLO编排策略中不存在匹配规则。
【视图】
HTTP类型的SSLO编排策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
match-rule-name:匹配规则的名称,为1~255个字符的字符串,不区分大小写。
header-name:HTTP报文首部的名称,为1~63个字符的字符串,不区分大小写。不包括(、)、<、>、@、,、;、:、\、"、/、[、]、?、=、{、}、SP(空格符)、HT(水平制表符),以及ASCII码中小于等于31、大于等于127的字符。
pattern:表示HTTP首部值。
case-sensitive:表示匹配正则表达式时区分大小写。若未指定本参数,则匹配正则表达式时不区分大小写。
regex:表示首部值的输入格式为正则表达式。
expression:首部值的正则表达式,为1~255个字符的字符串,不支持正则元字符?。
【使用指导】
配置了本命令后,如果HTTP报文中携带有指定名称的首部,且首部值匹配了指定的正则表达式,便认为此报文匹配了该规则。
【举例】
# 在HTTP类型的SSLO编排策略sslop1中,创建HTTP首部匹配规则为:名为user-agent的HTTP报文首部,其值为abcd。
<Sysname> system-view
[Sysname] sslo policy sslop1 type http
[Sys-name-sslo-policy-http-sslop1] match rule1 header user-agent pattern abcd
match interface命令用来创建入接口匹配规则。
undo match命令用来删除指定的匹配规则。
【命令】
match match-rule-name interface { interface-type interface-number | interface-name }
undo match match-rule-name
【缺省情况】
SSLO编排策略中不存在匹配规则。
【视图】
SSLO编排策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
match-rule-name:匹配规则的名称,为1~255个字符的字符串,不区分大小写。
interface-type interface-number:指定入接口类型和接口编号。
interface-name:指定入接口名称。
【举例】
# 在通用类型的SSLO编排策略sslop1中,创建入接口匹配规则为:匹配接口GigabitEthernet1/0/1。
<Sysname> system-view
[Sysname] sslo policy sslop1 type generic
[Sysname-sslo-policy-generic-sslop1] match r1 interface gigabitethernet 1/0/1
【相关命令】
· sslo policy
match source命令用来创建源IP地址类型的匹配规则。
undo match命令用来删除指定的匹配规则。
【命令】
match match-rule-name source ipv4 { range start-ipv4-address end-ipv4-address | subnet ipv4-address { mask-length | mask } | object-group-name }
undo match match-rule-name
【缺省情况】
SSLO编排策略中不存在匹配规则。
【视图】
SSLO编排策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
match-rule-name:匹配规则的名称,为1~255个字符的字符串,不区分大小写。
ipv4:表示匹配IPv4地址。
range start-ipv4-address end-ipv4-address:表示以地址段方式配置的IPv4地址范围。start-ipv4-address表示起始源IPv4地址,end-ipv4-address表示终止源IPv4地址。
subnet ipv4-address { mask-length | mask }:表示以子网方式配置的IPv4地址范围。ipv4-address表示IPv4地址,mask-length表示IPv4地址的掩码长度,取值范围为0~32,mask表示IPv4地址子网掩码。
object-group-name:IPv4地址对象组的名称,为1~63个字符的字符串,不区分大小写,且对象组的名称必须全局唯一。
【举例】
#在通用类型的SSLO编排策略sslop1中,创建源IP子网方式匹配规则为:匹配子网1.1.1.1/24
<Sysname> system-view
[Sysname] sslo policy sslop1 type generic
[Sys-name-sslo-policy-generic-sslop1] match r1 source ipv4 subnet 1.1.1.1 24
【相关命令】
· sslo policy
· object-group(安全命令参考/对象组)
match url命令用来创建HTTP URL类型的匹配规则。
undo match命令用来删除指定的匹配规则。
【命令】
match match-rule-name url expression
undo match match-rule-name
【缺省情况】
SSLO编排策略中不存在匹配规则。
【视图】
HTTP类型的SSLO编排策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
match-rule-name:匹配规则的名称,为1~255个字符的字符串,不区分大小写。
expression:URL的正则表达式,为1~255个字符的字符串,区分大小写,不支持正则元字符?。
【举例】
# 在HTTP类型的SSLO编排策略sslop1中,创建HTTP URL类型的匹配规则为:.*.html。
<Sysname> system-view
[Sysname] sslo policy sslop1 type http
[Sysname-sslo-policy-http-sslop1] match r1 url .*.html
【相关命令】
· sslo policy
match user命令用来创建基于用户的匹配规则。
undo match命令用来删除指定的匹配规则。
【命令】
match match-rule-name [ identity-domain domain-name ] user user-name
undo match match-rule-name
【缺省情况】
SSLO编排策略中不存在匹配规则。
【视图】
SSLO编排策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
match-rule-name:匹配规则的名称,为1~255个字符的字符串,不区分大小写。
identity-domain domain-name:表示在指定的身份识别域中匹配此用户。domain-name是身份识别域的名称,为1~255个字符的字符串,不区分大小写,不能包括字符“?”。若未指定本参数,则表示在不属于任何身份识别域的用户中匹配此用户。
user-name:用户名,为1~55个字符的字符串,区分大小写。
【使用指导】
如果匹配规则中指定的用户或身份识别域不存在或者用户和身份识别域不匹配,则此规则不生效。
【举例】
#在通用类型的SSLO编排策略sslop1中,创建基于用户的匹配规则为:匹配属于身份识别域domain1的用户u1。
<Sysname> system-view
[Sysname] sslo policy sslop1 type generic
[Sysname-sslo-policy-generic-sslop1] match r1 identity-domain domain1 user u1
【相关命令】
· sslo policy
· user-identity enable(安全命令参考/用户身份识别与管理)
· user-identity static-user(安全命令参考/用户身份识别与管理)
match-mode命令用来配置SSLO编排策略的匹配方式。
undo match-mode命令用来恢复缺省情况。
【命令】
match-mode { all-rules | any-rule }
undo match-mode
【缺省情况】
SSLO编排策略的匹配方式为匹配任一规则。
【视图】
SSLO编排策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
all-rules:表示匹配所有规则,即需要匹配所有规则才算匹配该SSLO编排策略。
any-rule:表示匹配任一规则,只需匹配任意一条规则就算匹配该SSLO编排策略。
【举例】
# 在HTTP类型的SSLO编排策略视图sslop1下,配置SSLO编排策略的匹配方式为匹配所有规则。
<Sysname> system-view
[Sysname] sslo policy sslop1 type http
[Sysname-sslo-policy-http-sslop1] match-mode all-rules
【相关命令】
· sslo policy
move match命令用来调整匹配规则的排序。
【命令】
move match match-rule-name1 { after match-rule-name2 | before match-rule-name2 | bottom | top }
【缺省情况】
SSLO编排策略的匹配规则按照创建时间的先后进行排序。
【视图】
SSLO编排策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
match-rule-name1:指定待移动的匹配规则的名称,为1~255个字符的字符串,不区分大小写。
after:将match-rule-name1移动到match-rule-name2后面。
before:将match-rule-name1移动到match-rule-name2前面。
rule-name2:表示用于参照的匹配规则的名称,为1~255个字符的字符串,不区分大小写。
bottom:将match-rule-name1移动到底部。
top:将match-rule-name1移动到顶部。
【使用指导】
管理员可通过执行本命令调整匹配规则的排序,报文会按照排序依次匹配。
待移动的匹配规则和用于参照的匹配规则必须已存在,否则配置不生效。
【举例】
# 在通用类型的SSLO编排策略sp1视图下,将匹配规则r1移动到匹配规则r2前面。
<Sysname> system-view
[Sysname] sslo policy sp1 type generic
[Sysname-sslo-policy-generic-sp1] move match r1 before r2
predictor命令用来配置安全资源池的调度算法。
undo predictor命令用来恢复缺省情况。
【命令】
基于安全网元:
predictor least-connection
undo predictor
基于安全资源池成员:
predictor hash [ carp ] address { destination | source | source-ip-port } [ mask mask-length ]
predictor hash [ carp ] http [ offset offset ] [ start start-string ] [ end end-string | length length ]
predictor { least-connection member | least-time member | random | round-robin }
undo predictor
【缺省情况】
安全资源池的调度算法为加权轮转算法。
【视图】
安全资源池视图
【缺省用户角色】
network-admin
context-admin
【参数】
hash address:根据IP地址进行的哈希算法。
carp:CARP(Cache Array Routing Protocol,缓存阵列路由协议)算法。当可用的网元数量发生变化时,采用CARP哈希算法,可使当前所有可用网元负载分担变动最小。
destination:根据目的IP地址进行的哈希算法。
source:根据源IP地址进行的哈希算法。
source-ip-port:根据源IP地址和端口号进行的哈希算法。
mask mask-length:IPv4地址的掩码长度,取值范围为0~32,缺省值为32。
http:根据HTTP载荷进行的哈希算法。
offset offset:基于HTTP载荷起始位置的偏移量,取值范围为0~1000,缺省值为0,单位为字节。
start start-string:HTTP载荷起始位置的正则表达式,即从offset起到本标记为开始,为1~127字符的字符串,区分大小写,不支持正则元字符?。
end end-string:HTTP载荷结束位置的正则表达式,即从start-string起到本标记为结束,为1~127字符的字符串,区分大小写,不支持正则元字符?。
length length:参与运算的HTTP载荷的长度,取值范围为0~1000,缺省值为0。
least-connection:基于安全网元的加权最小连接算法,即总是把新连接分发给加权活动连接数(当前安全网元在所有安全资源池中的活动连接总数/权值)最小的安全网元。该算法中使用的权值为安全网元视图下配置的权值。
least-connection member:基于安全资源池成员的加权最小连接算法,即总是把新连接分发给加权活动连接数(安全资源池成员在指定安全资源池中的活动连接数/权值)最小的安全资源池成员。该算法中使用的权值为安全资源池成员视图下配置的权值。
least-time member:基于安全资源池成员的最快响应算法,即根据安全资源池成员的响应时间计算出当前负载能力的权值。响应时间越短,权值越大,分配到的新连接越多。
random:随机算法,即把新连接随机分发给每个安全网元。
round-robin:加权轮转算法,即根据安全资源池成员视图下配置的权值的大小把新连接依次分发给每个安全资源池成员,权值越大,分配的新连接越多。
【使用指导】
设备根据安全资源池中配置的调度算法,计算出处理用户请求的安全网元或安全资源池成员。
【举例】
# 配置安全资源池sp1的调度算法为根据IP地址进行的哈希算法。
<Sysname> system-view
[Sysname] sslo security-pool sp1 mode layer2
[Sysname-sslo-security-pool-l2-sp1] predictor hash carp address source mask 24
priority命令用来配置资源池下引用的安全网元的调度优先级。
undo priority命令用来恢复缺省情况。
【命令】
priority priority-value
undo priority
【视图】
安全网元视图
【缺省情况】
安全网元的调度优先级为4。
【缺省用户角色】
network-admin
context-admin
【参数】
priority-value:安全网元调度优先级,取值范围为1~8。数值越大,越被优先调用。
【使用指导】
通常使用负载分担时,优先使用资源池下引用高优先级的安全网元的处理流量。如果最高优先级安全网元的个数少于配置的参与调度的最少个数,则在次高优先级中选择安全网元,达到配置的最少个数。
本命令与安全资源池视图下的selected-node-limit命令配合使用。
【举例】
# 配置安全资源池下引用二层安全网元n1,并配置调用优先级为3。
<Sysname> system-view
[Sysname] sslo security-pool p1 mode layer2
[Sysname-sslo-security-pool-l2-p1]security-node n1
[Sysname-sslo-security-pool-p1-#member#-n1] priority 3
【相关命令】
· selected-node-limit
probe命令用来指定安全网元的健康检测方法。
undo probe命令用来恢复缺省情况。
【命令】
probe template-name [ from-security-node-interface | to-security-node-interface ]
undo probe template-name
【视图】
安全网元视图
【缺省情况】
未指定安全网元的健康检测方法。
【缺省用户角色】
network-admin
context-admin
【参数】
template-name:健康检测方法所使用的NQA模板名称,为1~32个字符的字符串,不区分大小写。
to-security-node-interface:指定发送NQA探测报文的接口为设备的出接口。仅二层和三层模式的安全网元支持本参数。
from-security-node-interface:指定发送NQA探测报文的接口为设备的入接口。仅二层和三层模式的安全网元支持本参数。
【使用指导】
请使用nqa template命令创建健康检测方法所使用的NQA模板,通过健康检测可以对安全网元进行检测,保证其能够提供有效的服务。
若配置本命令时,未指定NQA探测报文发送的接口,则必须在NQA模板中配置探测报文的目的地址。
镜像模式下,安全网元引用健康检测方法时,若指定了发送NQA探测报文的接口,探测的目的地址为网元IP地址;否则,使用NQA模板中配置的目的地址。
二层或三层模式下,安全网元引用健康检测方法时,建议配置发送NQA探测报文的接口,健康检测将使用该接口互联地址和VPN进行探测;否则,使用NQA模板中配置的目的地址。
目前,二层模式的安全网元只支持ICMP类型的健康检测模板,其他模式的安全网元只支持引用ICMP、TCP、UDP类型的健康检测模板。
【举例】
# 创建ICMP类型的NQA模板t4,并将其指定为网元sn1的健康检测方法。
<Sysname> system-view
[Sysname] nqa template icmp t4
[Sysname-nqatplt-icmp-t4] quit
[Sysname] sslo security-node sn1 mode layer2
[Sysname-sslo-security-node-l2-sn1] probe t4 to-security-node-interface
【相关命令】
· nqa template(网络管理和监控命令参考/NQA)
· probe (SSLO security pool view)
· success-criteria (SSLO security node view)
probe命令用来指定安全资源池的健康检测方法。
undo probe命令用来删除指定安全资源池的健康检测方法。
【命令】
probe template-name [ from-security-node-interface | to-security-node-interface ]
undo probe template-name
【缺省情况】
未配置安全资源池的健康检测方法。
【视图】
安全资源池视图
【缺省用户角色】
network-admin
context-admin
【参数】
template-name:健康检测方法所使用的NQA模板名称,为1~32个字符的字符串,不区分大小写。
from-security-node-interface:指定发送NQA探测报文的接口为设备的入接口。
to-security-node-interface:指定发送NQA探测报文的接口为设备的出接口。
【使用指导】
请使用nqa template命令创建健康检测方法所使用的NQA模板,通过健康检测可以对安全网元进行检测,保证其能够提供有效的服务。
若配置本命令时,未指定NQA探测报文发送的接口,则必须在NQA模板中配置探测报文的目的地址。
镜像模式下,安全资源池引用健康检测方法时,若指定了发送NQA探测报文的接口,探测的目的地址为网元IP地址;否则,使用NQA模板中配置的目的地址。
二层或三层模式下,安全资源池引用健康检测方法时,建议配置发送NQA探测报文的接口,健康检测将使用该接口互联地址和VPN进行探测;否则,使用NQA模板中配置的目的地址。
目前,二层模式的安全网元只支持ICMP类型的健康检测模板,其他模式的安全网元只支持引用ICMP、TCP、UDP类型的健康检测模板。
【举例】
# 创建ICMP类型的NQA模板t4,并将其指定为安全资源池sp1的健康检测方法。
<Sysname> system-view
[Sysname] nqa template icmp t4
[Sysname-nqatplt-icmp-t4] quit
[Sysname] sslo security-pool sp1 mode layer2
[Sysname-sslo-security-pool-l2-sp1] probe t4 to-security-node-interface
【相关命令】
· nqa template(网络管理和监控命令参考/NQA)
· probe (SSLO security node view)
· success-criteria
probe log enable命令用来开启安全网元的健康检测日志功能。
undo probe log enable命令用来关闭安全网元的健康检测日志功能。
【命令】
probe log enable
undo probe log enable
【视图】
安全网元视图
【缺省情况】
安全网元的健康检测日志功能处于开启状态。
【缺省用户角色】
network-admin
context-admin
【使用指导】
通过开启安全网元健康检测日志功能,可实现在安全网元的健康状态发生变化时输出日志信息。
【举例】
# 开启安全网元sn1的健康检测日志功能。
<Sysname> system-view
[Sysname] sslo security-node sn1 mode layer2
[Sysname-sslo-security-node-l2-sn1] probe log enable
reset sslo security-node statistics命令用来清除安全网元或安全资源池成员的统计信息。
【命令】
reset sslo security-node statistics [ security-node-name | service-chain service-chain-name [ security-pool security-pool-name [ name security-node-name ] ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
context-admin
【参数】
security-node-name:清除指定安全网元的统计信息。security-node-name为安全网元的名称,为1~255个字符的字符串,不区分大小写。如果未指定本参数,将显示所有安全网元的统计信息。
service-chain service-chain-name:清除指定服务链下安全资源池中成员的统计信息。security-chain-name表示服务链的名称,为1~255个字符的字符串,不区分大小写。
security-pool security-pool-name:清除指定安全资源池下安全资源池成员的统计信息。security-pool-name表示安全资源池的名称,为1~255个字符的字符串,不区分大小写。
name security-node-name:清除指定名称的安全资源池成员的统计信息。security-node-name表示安全资源池成员的名称,为1~255个字符的字符串,不区分大小写。
【举例】
# 清除所有安全网元的统计信息。
<Sysname> reset sslo security-node statistics
# 清除服务链sc下所有安全资源池成员的统计信息。
<Sysname> reset sslo security-node statistics service-chain sc
# 清除服务链sc下安全资源池sp下所有安全资源池成员的统计信息。
<Sysname> reset sslo security-node statistics service-chain sc security-pool sp
reset ssl-transparent bypass-decrypt ip命令用来清除SSL透明代理免卸载IP地址的信息。
【命令】
reset ssl-transparent bypass-decrypt ip
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
删除免卸载域名后,但未清除免卸载的IP地址,那么客户端请求匹配免卸载IP地址后还是不进行解密,直接进行SSLO流量编排。
【举例】
# 清除免卸载IP地址。
<Sysname> reset ssl-transparent bypass-decrypt ip
【相关命令】
· display ssl-transparent bypass-decrypt
reset ssl-transparent server-certificate命令用来清除客户端访问的服务器的证书。
【命令】
reset ssl-transparent server-certificate
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 清除客户端访问的服务器的证书。
<Sysname> reset ssl-transparent server-certificate
【相关命令】
· display ssl-transparent server-certificate
security-node命令用来添加安全资源池成员,并进入安全资源池成员视图。
undo security-node命令用来删除指定的安全资源池成员。
【命令】
security-node node-name
undo security-node node-name
【缺省情况】
不存在安全资源池成员。
【视图】
安全资源池视图
【缺省用户角色】
network-admin
context-admin
【参数】
node-name:安全资源池成员的名称,为1~255个字符的字符串,不区分大小写。
【使用指导】
安全资源池只能添加与自身部署模式相同的安全网元,如:二层模式的安全资源池只能添加二层模式的安全网元,三层模式的安全资源池只能添加三层模式的安全网元,镜像模式的安全资源池只能添加镜像模式的安全网元。
【举例】
# 添加安全资源池池成员n1。
<Sysname> system-view
[Sysname] sslo security-pool sp1 mode layer2
[Sysname-sslo-security-pool-l2-sp1] security-node sn1
[Sysname-sslo-security-pool-sp1-#member#-sn1]
【相关命令】
· sslo security-pool
security-pool命令用来向服务链中添加安全资源池,并调整安全资源池位置。
undo security-pool命令用来从服务链中删除指定的安全资源池。
【命令】
security-pool security-pool-name1 [ insert-after security-pool-name-2 | insert-before security-pool-name-2 | bottom | top ]
undo security-pool security-pool-name1
【视图】
服务链视图
【缺省情况】
服务链上未添加任何安全资源池。
【缺省用户角色】
network-admin
context-admin
【参数】
security-pool-name:安全资源池名称,为1~255个字符的字符串,不区分大小写。
insert-after:将security-pool-name插入到pool-name-2后面。
insert-before:将security-pool-name插入到pool-name-2前面。
security-pool-name-2:表示用于参照的安全资源池名称,为1~255个字符的字符串,不区分大小写。
bottom:将security-pool-name插入到底部。
top:将security-pool-name插入到顶部。
【使用指导】
在服务链中添加安全资源池,并调整安全资源池顺序,匹配上服务链的用户访问流量按照排列顺序通过各个安全资源池进行处理。
若未配置insert-after、insert-before、bottom或top,则表示插入到所有安全资源池底部。
【举例】
# 向服务链sc中添加安全资源池sp,并插入到顶部。
<Sysname> system-view
[Sysname] sslo service-chain sc
[Sysname-sslo-service-chain-sc] security-pool sp top
【相关命令】
· sslo security-pool
selected-node-limit命令用来配置安全资源池中可被调度算法调用的安全网元数量限制。
undo selected-node-limit命令用来恢复缺省情况。
【命令】
selected-node-limit min min-number max max-number
【缺省情况】
安全资源池中优先级最高的成员全部被调度算法调用。
【视图】
安全资源池视图
【缺省用户角色】
network-admin
context-admin
【参数】
min min-number:可被调度算法调用的安全网元的最小数量,取值范围为1~32。
max max-number:可被调度算法调用的安全网元的最大数量,取值范围为1~32,且必须大于等于min-number。
【使用指导】
用户通过本命令可以限制可被调度算法调用的安全网元的数量:
· 如果调用优先级值最高的安全网元数量大于max-number时,则只选用max-number个安全网元。
· 如果调用优先级值最高的可用安全网元数量小于min-number时,除了调用全部优先级值最高的可用安全网元外,还会调用优先级值次高的可用安全网元,直至调用的可用安全网元数量达到min-number,或者没有可用的安全网元可调用为止。
【举例】
# 配置安全资源池sp1中可被调度算法调用的安全网元的最小数量为2,最大数量为4。
<Sysname> system-view
[Sysname] sslo security-pool sp1 mode layer2
[Sysname-sslo-security-pool-l2-sp1] selected-node-limit min 2 max 4
【相关命令】
· predictor
service enable命令用来开启安全网元。
undo service enable命令用来关闭安全网元。
【命令】
service enable
undo service enable
【视图】
安全网元视图
【缺省情况】
安全网元处于开启状态。
【缺省用户角色】
network-admin
context-admin
【使用指导】
关闭安全网元后,流量会直接跳过所有资源池下引用的该网元,该网元不参与新的调度,但已经建立的连接会继续保持。
配置undo service enable后,该网元和引用该网元的资源池下成员的状态为不可用,display sslo security-node和display sslo security-pool命令显示会带Disable标记。
【举例】
# 关闭安全网元sn1。
<Sysname> system-view
[Sysname] sslo security-node sn1 mode layer2
[Sysname-sslo-security-node-l2-sn1] undo service enable
【相关命令】
· service enable (SSLO security pool member view)
service enable命令用来开启安全资源池成员。
undo service enable命令用来关闭安全资源池成员。
【命令】
service enable
undo service enable
【视图】
安全资源池成员视图
【缺省情况】
安全资源池下成员处于开启状态。
【缺省用户角色】
network-admin
context-admin
【使用指导】
关闭安全资源池成员后,流量会直接跳过该资源池成员,该成员将不参与新的调度,但已经建立的连接会继续保持。
【举例】
# 关闭安全资源池p1的成员n1。
<Sysname> system-view
[Sysname] sslo security-pool p1 mode layer2
[Sysname-sslo-security-pool-l2-p1]security-node n1
[Sysname-sslo-security-pool-p1-#member#-n1] undo service enable
【相关命令】
· service enable (SSLO security node view)
service-chain命令用来在SSLO编排策略视图下添加服务链。
undo service-chain命令用来删除服务链。
【命令】
service-chain service-chain-name
undo service-chain
【缺省情况】
SSLO编排策略下不存在服务链。
【视图】
SSLO编排策略视图
【缺省用户角色】
network-admin
context-admin
【参数】
service-chain-name:服务链的名称,为1~255个字符的字符串,不区分大小写。
【使用指导】
如果指定的服务链不存在,则此命令不生效。
【举例】
# 在HTTP类型的SSLO编排策略sslop1中添加服务链s1
<Sysname> system-view
[Sysname] sslo policy sslop1 type http
[Sysname-sslo-policy-http-sslop1] service-chain s1
【相关命令】
· sslo policy
· sslo service-chain
· display sslo policy
ssl mapping-port命令用来配置安全资源池SSL流量的端口映射功能。
undo ssl mapping-port命令用来恢复缺省情况。
【命令】
ssl mapping-port port
【缺省情况】
未配置安全资源池SSL流量的端口映射。
【视图】
安全资源池视图
【缺省用户角色】
network-admin
context-admin
【参数】
port:SSL流量的映射端口号,取值范围为0~65535,0表示不映射端口,继续使用原报文携带的端口号。
【使用指导】
针对SSL卸载流量,如果直接将其发送给安全网元可能导致端口识别问题。通过本命令配置SSL流量的端口映射功能,将SSLO设备发送给安全网元的流量中的目的端口替换为指定端口号。当安全网元返回消息时,SSLO设备再将端口号替换回原始端口。这样可以确保流量在网络中正常传输并且端口识别不会受到影响。
【举例】
# 配置安全资源池sp1的映射端口号为80。
<Sysname> system-view
[Sysname] sslo security-pool sp1 mode layer2
[Sysname-sslo-security-pool-l2-sp1] ssl mapping-port 80
sslo policy命令用来创建SSLO编排策略,并进入SSLO编排策略视图。如果指定的SSLO编排策略已经存在,则直接进入SSLO编排策略视图。
undo sslo policy命令用来删除指定的SSLO编排策略。
【命令】
sslo policy policy-name [ type { generic | http } ]
undo sslo policy policy-name
【缺省情况】
不存在SSLO编排策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
policy-name:SSLO编排策略的名称,为1~255个字符的字符串,不区分大小写。
type:SSLO编排策略的类型,创建SSLO编排策略时必须指定本参数;进入已创建的SSLO编排策略视图时可以不指定本参数,若要指定本参数,则必须与创建时的类型一致。包括:
· generic:表示通用类型。
· http:表示HTTP类型。
【使用指导】
通用类型的SSLO编排策略可被IP、TCP、UDP和HTTP类型的虚服务器引用。HTTP类型的SSLO编排策略可被HTTP类型的虚服务器引用。通过引用SSLO编排策略,可根据流量特征决定加解密处理及流量编排。
【举例】
# 创建通用类型的SSLO编排策略sslop1,并进入SSLO编排策略视图。
<Sysname> system-view
[Sysname] sslo policy sslop1 type generic
[Sysname-sslo-policy-generic-sslop1]
【相关命令】
· display sslo policy
sslo security-node命令用来创建安全网元,并进入安全网元视图。如果指定的安全网元已经存在,则直接进入安全网元视图。
undo sslo security-node命令用来删除指定的网元。
【命令】
sslo security-node node-name [ mode { layer2 | layer3 | mirror } ]
undo sslo security-node node-name
【视图】
系统视图
【缺省情况】
未配置安全网元。
【缺省用户角色】
network-admin
context-admin
【参数】
node-name:安全网元的名称,为1~255个字符的字符串,不区分大小写。
mode:安全网元的部署模式,创建安全网元时必须指定本参数;进入已创建的安全网元视图时可以不指定本参数,若要指定本参数,则必须与创建时的类型一致。安全网元部署模式包括:
· layer2:二层部署。
· layer3:三层部署。
· mirror:镜像部署。
【使用指导】
创建安全网元时,需要根据网络实际情况指定安全网元的部署模式。安全网元部署模式分为二层部署、三层部署以及镜像部署。
· 二层部署模式:安全网元工作在数据链路层,用于本地网络中的数据帧传输和交换,实现对本地网络内部流量的安全控制和保护。
· 三层部署模式:安全网元工作在网络层,对不同网络间的数据包进行安全控制和策略检查。
· 镜像部署模式:安全网元旁路连接到网络设备(如交换机)上的指定镜像端口,该端口复制的数据流量会发送到安全网元上进行实时监控和分析。
【举例】
# 创建二层部署的安全网元sn1,并进入安全网元视图。
<Sysname> system-view
[Sysname] sslo security-node snl mode layer2
[Sysname-sslo-security-node-l2-snl]
sslo security-pool命令用来创建安全资源池,并进入安全资源池视图。如果指定的安全资源池已经存在,则直接进入安全资源池视图。
undo sslo security-pool命令用来恢复缺省情况。
【命令】
sslo security-pool pool-name [ mode { layer2 | layer3 | mirror } ]
undo sslo security-pool pool-name
【缺省情况】
不存在任何安全资源池。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
pool-name:安全资源池的名称,为1~255个字符的字符串,不区分大小写。
mode:安全资源池中的安全网元的部署模式,包括:
· layer2:安全资源池中的安全网元为二层部署模式。
· layer3:安全资源池中的安全网元为三层部署模式。
· mirror:安全资源池中的安全网元为镜像部署模式。
【使用指导】
根据安全网元的部署模式,创建相应的安全资源池部署模式并将同一模式的安全网元归入其中。部署模式包括二层部署、三层部署和镜像部署。通过这种方式可以更好地组织和管理安全网元,并实现安全网元的平滑扩展。
【举例】
# 创建二层模式的安全资源池,并进入安全资源池视图。
<Sysname> system-view
[Sysname] sslo security-pool sp1 mode layer2
[Sysname-sslo-security-pool-l2-sp1]
sslo service-chain命令用来创建服务链,并进入服务链视图。如果指定的服务链已经存在,则直接进入服务链视图。
undo service-chain命令用来删除指定的服务链。
【命令】
sslo service-chain service-chain-name
undo sslo service-chain service-chain-name
【视图】
系统视图
【缺省情况】
不存在服务链。
【缺省用户角色】
network-admin
context-admin
【参数】
service-chain-name:服务链的名称,为1~255的字符串,不区分大小写。
【举例】
# 创建服务链sc,并进入服务链视图。
<Sysname> system-view
[Sysname] sslo service-chain sc
[Sysname-sslo-service-chain-sc]
sslo work-mode命令用来配置服务链的工作模式。
undo sslo work-mode命令用来恢复缺省情况。
【命令】
sslo work-mode { bypass | normal | shutdown }
undo sslo work-mode
【视图】
系统视图
【缺省情况】
服务链工作模式为通用模式。
【缺省用户角色】
network-admin
context-admin
【参数】
bypass:Bypass模式,报文跳过SSLO编排,直接转发。
normal:通用模式,报文走SSLO编排。
shutdown:阻断模式,关闭所有服务链,丢弃报文。
【使用指导】
该配置为全局配置,针对所有服务链生效。
服务链的工作模式包括Bypass、断网和通用模式。
· Bypass模式:报文会直接跳过SSLO编排策略。在某些情况下,可能需要绕过安全设备对特定流量进行处理,或者避免对特定服务或应用进行安全设备流量管控时,可以使用Bypass模式。
· 断网模式:用来关闭所有服务链,丢弃所有走服务链的报文。当需要临时停止所有服务链的流量传送时,可以使用一键断网模式。例如,在网络维护、故障排查或安全漏洞修复过程中暂时关闭所有服务链的情况。
· 通用模式:报文按照设定的SSLO编排策略经过安全设备进行相关处理和分析。通用模式是服务链的默认工作模式,适用于大多数情况下的网络流量处理,确保所有流量按照规定的SSLO编排策略进行安全处理和管控。
【举例】
# 配置SSLO服务链的工作模式为断网模式。
<Sysname> system-view
[Sysname] sslo work-mode shutdown
ssl-transparent bypass-decrypt activate命令用于激活SSL透明代理的免卸载域名。
【命令】
ssl-transparent bypass-decrypt activate
【视图】
系统视图
【缺省情况】
未激活SSL透明代理的免卸载域名。
【缺省用户角色】
network-admin
context-admin
【使用指导】
SSL透明代理免卸载域名进行添加、修改和删除操作后,需要通过本命令激活SSL代理免卸载域名。
【举例】
# 添加SSL透明代理免卸载域名1.example.com,并激活免卸载域名。
[Sysname] ssl-transparent bypass-decrypt domain-name 1.example.com
To activate the setting, execute ssl-transparent whitelist activate.
[Sysname] ssl-transparent bypass-decrypt activate
【相关命令】
· ssl-transparent bypass-decrypt domain
ssl-transparent bypass-decrypt domain命令用于添加SSL透明代理的免卸载域名。
undo ssl-transparent bypass-decrypt domain命令用于删除SSL透明代理指定的免卸载域名。
【命令】
ssl-transparent bypass-decrypt domain domain-name
undo ssl-transparent bypass-decrypt domain [ domain-name ]
【视图】
系统视图
【缺省情况】
未配置SSL透明代理的免卸载域名。
【缺省用户角色】
network-admin
context-admin
【参数】
domain-name:表示服务器域名,为1~63个字符的字符串。执行删除免卸载域名命令时,若不指定服务器域名则表示删除SSL透明代理免卸载域名列表中的所有域名。
【使用指导】
免卸载域名为PKI证书中的FQDN和通用名称(CN)字段。SSL透明代理时,优先匹配FQDN中的域名,当不存在FQDN,则检查CN字段中的域名是否为免卸载域名。添加免卸载域名后,匹配该域名的SSL流量将不进行解密,直接进行SSLO流量编排。此功能适用于需要保护隐私或避免解密干扰的特定域名。
多次执行本命令,可以添加多个域名,最多可以配置1000个。
【举例】
# 添加免卸载域名1.example.com。
[Sysname] ssl-transparent bypass-decrypt domain 1.example.com
【相关命令】
· display ssl-transparent bypass-decrypt domain
ssl-transparent cm-certificate delete命令用来删除商密算法的SSL解密证书。
【命令】
ssl-transparent cm-certificate delete { trusted | untrusted | both }
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
trusted:表示删除可信的SSL代理证书。
untrusted:表示删除不可信的SSL代理证书。
both:表示删除可信和不可信的SSL代理证书。
【使用指导】
如果删除SSL解密证书,设备将不能签发SSL代理服务器证书发送到客户端,SSL代理连接失败,设备将直接透传报文。
当证书成功导入设备后,文件类型会被改为CER格式,删除证书时需要将指定的证书后缀名改为.cer。
【举例】
# 删除可信和不可信的SSL解密证书。
<Sysname> system-view
[Sysname] ssl-transparent cm-certificate delete both
【相关命令】
· ssl-transparent cm-certificate import
ssl-transparent cm-certificate import命令用于导入支持商密算法的SSL解密证书。
【命令】
ssl-transparent cm-certificate import { trusted | untrusted | both } filename filename
【视图】
系统视图
【缺省情况】
不存在商密算法的SSL解密证书。
【缺省用户角色】
network-admin
context-admin
【参数】
trusted:表示SSL解密证书可以用于签发标识为可信的SSL代理证书。用于传递真实服务器证书合法的信息给客户端。
untrusted:表示SSL解密证书可以用于签发标识为不可信的SSL代理证书。客户端不信任的CA证书。用于传递真实服务器证书非法的信息给客户端,让用户感知到可能存在的安全风险。
both:表示SSL解密证书可以用于签发标识即为可信也为不可信的SSL代理证书。
filename filename:表示导入的证书文件的名称,filename为1~255个字符的字符串,不区分大小写。
【使用指导】
在出方向链路负载均衡进行SSLO流量编排的场景下,设备作为SSL代理服务器时,需要向内网客户端发送证书表明自身的身份。但设备并不是直接将客户端访问的服务器证书发送给客户端,也不是简单地将自己的证书发送给客户端,而是根据客户端访问的服务器证书的内容,使用导入的SSL解密证书重新签发一本新的“服务器证书”发送给客户端。
用户导入SSL解密证书时,需要为其标识为“可信”或者“不可信”,用于签发不同可信度的新的“服务器证书”:
· 可信:表示客户端信任的证书。
· 不可信:表示客户端不信任的证书。
当设备接收到服务器证书后,设备将使用PKI域中的CA证书替客户端验证服务器是否可信。有关PKI域的详细介绍,请参见“安全命令参考”中的“PKI”。根据验证结果不同,设备会使用不同标识的SSL解密证书:
· 当服务器可信时:设备将使用可签发“可信”标识的SSL解密证书,签发一个新的“服务器证书”发送给客户端。
· 当服务器不可信时:设备将使用可签发“不可信”标识的SSL解密证书,签发一个新的“服务器证书”给客户端,由客户端决定是否继续访问不可信的服务器。
设备上只能存在一份可信SSL解密证书和一份不可信SSL解密证书,多次执行本命令,后续导入的可信或者不可信证书会覆盖原有的证书。
需要在客户端浏览器上安装并信任SSL解密证书。
为了正确导入SSL解密证书,需要满足以下要求:
· 证书应具备签发证书的功能。
· 证书必须是p12或pem格式,并且应包含私钥。同时,需要提供用于解密私钥的密码。
· 证书必须在有效期内。
导入成功后,设备将修改证书文件类型为CER格式。
设备不支持对HTTP2.0版本协议流量进行SSL代理。配置SSL透明代理功能后,如果服务器仅支持HTTP2.0版本协议,则会导致客户端无法访问服务器。
默认情况下,火狐浏览器不共享系统中的证书库,如果已经在其他浏览器上导入SSL卸载证书,则可以通过修改火狐浏览器中的高级设置,使其共享系统中的证书库,不再单独导入证书,具体操作步骤如下:
(1) 在地址栏中输入:about:config
(2) 搜索框中输入:security.enterprise_roots.enabled
(3) 双击选中的条目,或者单击鼠标右键,选择切换,修改其值为true
(4) 导入成功后,设备将修改证书文件类型为CER格式
【举例】
# 导入PKCS#12编码格式的、用于签发可信SSL代理服务器证书的SSL解密证书。
[Sysname] ssl-transparent cm-certificate import trusted p12 filename example.p12
Password:
【相关命令】
· ssl-transparent cm-certificate delete
success-criteria命令用来配置安全网元健康检测的成功条件。
undo success-criteria命令用来恢复缺省情况。
【命令】
success-criteria { all | at-least min-number }
undo success-criteria
【视图】
安全网元视图
【缺省情况】
只有全部方法都通过检测才认为健康检测成功。
【缺省用户角色】
network-admin
context-admin
【参数】
all:只有全部方法都通过检测才认为健康检测成功。
at-least min-number:健康检测成功所需通过检测的最少方法数,取值范围为1~4294967295。
【使用指导】
当用户指定的最少方法数大于设备上实际存在的方法数量时,系统也将认为健康检测成功。
用户既可在安全资源池视图下对池内的所有安全网元进行配置,也可在安全网元视图下只对当前安全网元进行配置,后者的配置优先级较高。
【举例】
# 配置网元sn1的健康检测成功所需通过检测的最少方法数为2个。
<Sysname> system-view
[Sysname] sslo security-node sn1 mode layer2
[Sysname-sslo-security-node-l2-sn1] success-criteria at-least 2
【相关命令】
· success-criteria (SSLO security pool view)
success-criteria命令用来配置安全资源池健康检测的成功条件。
undo success-criteria命令用来恢复缺省情况。
【命令】
success-criteria { all | at-least min-number }
undo success-criteria
【缺省情况】
只有全部方法都通过检测才认为健康检测成功。
【视图】
安全资源池视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:只有全部方法都通过检测才认为健康检测成功。
at-least min-number:健康检测成功所需通过检测的最少方法数,取值范围为1~4294967295。
【使用指导】
用户指定的最少方法数大于设备上实际存在的方法数量时,系统也将认为健康检测成功。
用户既可在安全资源池视图下对池内的所有安全网元进行配置,也可在安全网元视图下只对当前安全网元进行配置,后者的配置优先级较高。
【举例】
# 配置安全资源池sp1的健康检测成功所需通过检测的最少方法数为2个。
<Sysname> system-view
[Sysname] sslo security-pool sp1 mode layer2
[Sysname-sslo-security-pool-l2-sp1] success-criteria at-least 2
【相关命令】
· success-criteria (SSLO security node view)
to-security-node-interface命令用来指定设备上请求流量流向安全网元的出接口。
undo to-security-node-interface命令用来恢复缺省情况。
【命令】
to-security-node-interface { interface-name | interface-type interface-number }
undo to-security-node-interface
【视图】
二层/三层/镜像模式的安全网元视图
【缺省情况】
未配置设备上请求流量流向安全网元的出接口。
【缺省用户角色】
network-admin
context-admin
【参数】
interface-name:表示设备上请求流量流向安全网元的出接口名。
interface-type interface-number:表示出接口类型和接口编号。
【使用指导】
SSLO设备上请求流量流向安全网元的出接口,即客户端请求流量从此接口进入安全网元,到达安全网元的服务器应答流量从此接口返回设备。
镜像部署模式的安全网元,数据流量通过设备的出接口复制到安全网元,安全检测后的报文不用再返回设备
【举例】
# 配置设备上请求流量流向安全网元sn1的出接口为GigabitEthernet1/0/1。
<Sysname> system-view
[Sysname] sslo security-node sn1 mode layer2
[Sysname-sslo-security-node-l2-sn1]to-security-node-interface GigabitEthernet 1/0/1
【相关命令】
· from-security-node-interface
· to-security-node-nexthop
to-security-node-nexthop命令用来配置设备上请求流量流向安全网元的出接口互联地址。
undo to-security-node-nexthop命令用来恢复缺省情况。
【命令】
to-security-node-nexthop ipv4-address
undo to-security-node-nexthop
【视图】
二层/三层模式的安全网元视图
【缺省情况】
未配置设备上请求流量流向安全网元的出接口互联地址。
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:设备上请求流量流向安全网元的出接口互联IPv4地址,不能为环回地址、组播地址、广播地址和0.X.X.X。
【使用指导】
对于二层模式安全网元:出接口互联IP地址:即设备的入接口IP地址。
对于三层模式安全网元:出接口互联IP地址:即安全网元的入接口IP地址。
【举例】
# 配置设备上请求流量流向安全网元sn1的出接口互联IP地址为1.1.1.1。
<Sysname> system-view
[Sysname] sslo security-node sn1 mode layer2
[Sysname-sslo-security-node-l2-sn1] to-security-node-nexthop 1.1.1.1
【相关命令】
· to-security-node-interface
type命令用来配置安全资源池中安全网元的类型。
undo type命令用来恢复缺省情况。
【命令】
type { acg | dlp | fw | ips | ngfw | waf |}
undo type
【缺省情况】
未配置安全资源池中安全网元的类型。
【视图】
安全资源池视图
【缺省用户角色】
network-admin
context-admin
【参数】
acg:安全资源池中安全网元的类型为访问控制网关。
dlp:安全资源池中安全网元的类型为数据防泄漏。
fw:安全资源池中安全网元的类型为防火墙。
ips:安全资源池中安全网元的类型为入侵防御系统。
ngfw:安全资源池中安全网元的类型为下一代防火墙。
waf:安全资源池中安全网元的类型为Web应用防火墙。
【使用指导】
本命令用于配置安全资源池中安全网元的类型,以确保资源分配和管理的准确性。
配置本命令后,请确保添加的安全网元设备的类型与安全资源池的类型一致。
多次执行本命令,最后一次执行的命令生效。
【举例】
# 配置安全资源池sp1中安全网元的类型为防火墙。
<Sysname> system-view
[Sysname] sslo security-pool sp1 mode layer2
[Sysname-sslo-security-pool-l2-sp1] type fw
【相关命令】
· sslo security-pool
weight命令用来配置安全网元的权值。
undo weight命令用来恢复缺省情况。
【命令】
weight weight-value
undo weight
【视图】
安全网元视图
【缺省情况】
安全网元的权值为100。
【缺省用户角色】
network-admin
context-admin
【参数】
weight-value:安全网元的权值,取值范围为1~255。
【使用指导】
通过本命令配置的权值主要被加权轮转和加权最小连接调度算法使用,该数值越大,对应的安全网元越被优先调用。
【举例】
# 配置二层模式安全网元sn1的权值为150。
<Sysname> system-view
[Sysname] sslo security-node sn1 mode layer2
[Sysname-sslo-security-node-l2-sn1] weight 150
【相关命令】
· predictor (SSLO security pool view)
weight命令用来配置资源池下引用安全网元的权值。
undo weight命令用来恢复缺省情况。
【命令】
weight weight-value
undo weight
【视图】
安全网元视图
【缺省情况】
安全网元的权值为100。
【缺省用户角色】
network-admin
context-admin
【参数】
weight-value:安全网元的权值,取值范围为1~255。
【使用指导】
通过本命令配置的权值主要被加权轮转和加权最小连接调度算法使用,该数值越大,对应的资源池下引用的安全网元越被优先调用。
【举例】
# 配置二层模式资源池引用安全网元n1配置权值为150。
<Sysname> system-view
[Sysname] sslo security-pool p1 mode layer2
[Sysname-sslo-security-pool-l2-p1]security-node n1
[Sysname-sslo-security-pool-p1-#member#-n1]weight 150
【相关命令】
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
