- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
18-对象策略命令
本章节下载: 18-对象策略命令 (173.44 KB)
目 录
1.1.3 display object-policy accelerate
1.1.4 display object-policy ip
1.1.5 display object-policy ipv6
1.1.6 display object-policy statistics zone-pair security
1.1.7 display object-policy zone-pair security
1.1.10 object-policy apply ipv6
1.1.13 reset object-policy statistics
MSR 2630/3610/3620/3620-DP/3640/3660/3600-28/3600-51/MSR2600-10-X1路由器使用集中式命令行,MSR 5620/5660/5680路由器使用分布式命令行。
设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
|
型号 |
特性 |
描述 |
|
MSR810/810-W/810-W-DB/810-LM/810-W-LM /810-LM-HK/MSR810-W-LM-HK |
对象策略 |
不支持 |
|
MSR 2630 |
支持 |
|
|
MSR3600-28/3600-51 |
支持 |
|
|
MSR 3610/3620/3620-DP/3640/3660 |
支持 |
|
|
MSR 5620/5660/5680 |
支持 |
|
|
MSR2600-10-X1 |
支持 |
accelerate命令用来开启对象策略加速功能。
undo accelerate命令用来关闭对象策略加速功能。
对象策略使能加速,资源不足会导致对象策略加速失败,但是匹配依然生效。规则有变化或者重新加速,在资源足够的前提下加速会生效。
对象策略加速成功后,再去修改或添加新的规则,可能由于资源不足,会导致新的规则加速失败,规则匹配不生效,但是不影响之前加速成功的规则。
# 关闭对象策略加速功能。
[Sysname] object-policy ip a
[Sysname-object-policy-ip-a] undo accelerate
· display object-policy accelerate
description命令用来配置对象策略的描述信息。
undo description命令用来删除对象策略的描述信息。
text:表示对象策略的描述信息,为1~127个字符的字符串,区分大小写。
使用description命令时,如果当前对象策略没有描述信息,则为其添加描述信息,否则修改其描述信息。
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] description zone-pair security office to library
display object-policy accelerate命令用来显示对象策略的加速状态。
分布式设备-独立运行模式/集中式IRF设备:
分布式设备-IRF模式:
summary:显示对象策略加速的概要信息。
verbose:显示对象策略加速的详细信息。
ip:显示IPv4对象策略的加速状态。
ipv6:显示IPv6对象策略的加速状态。
object-policy-name:指定对象策略的名称,为1~63个字符的字符串,不区分大小写。
slot slot-number:显示指定单板的对象策略加速信息,该单板必须为加速芯片所在单板,slot-number表示单板所在的槽位号。(分布式设备-独立运行模式)
slot slot-number:显示指定成员设备的对象策略加速信息,该设备必须为加速芯片所在成员设备,slot-number表示设备在IRF中的成员编号。(集中式IRF设备)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的对象策略加速信息,该单板必须为加速芯片所在单板,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(分布式设备-IRF模式)
# 显示加速状态的概要信息。
<Sysname> display object-policy accelerate summary ip
# 显示加速状态的详细信息。
<Sysname> display object-policy accelerate verbose ip a
表1-1 display object-policy accelerate verbose命令显示信息描述表
display object-policy ip命令用来显示指定名称的IPv4对象策略的配置信息。
display object-policy ip [ object-policy-name ]
object-policy-name表示对象策略的名称,为1~63个字符的字符串,不区分大小写。若未指定本参数,将显示所有IPv4对象策略配置信息。
本命令将按照实际匹配顺序即规则配置的先后顺序来排列对象策略内的IPv4规则。
# 显示所有的IPv4对象策略配置信息。
<Sysname> display object-policy ip
Object-policy ip pass
This is an IPv4 object policy for zone-pair security source office destination library
Object-policy accelerated
rule 5 pass source-ip sourceip
rule 5 comment This rule is used for source-ip sourceip
表1-2 display object-policy ip命令显示信息描述表
|
This is an IPv4 object policy for zone-pair security source office destination library |
|
|
规则5的具体内容,sourceip为源IP地址对象组的名称 |
|
|
规则5的描述信息 |
display object-policy ipv6命令用来显示指定名称的IPv6对象策略的配置信息。
display object-policy ipv6 [ object-policy-name ]
object-policy-name表示对象策略的名称,为1~63个字符的字符串,不区分大小写。若未指定本参数,将显示所有IPv6对象策略配置信息。
本命令将按照实际匹配顺序即规则配置的先后顺序来排列对象策略内的IPv6规则。
# 显示所有的IPv6对象策略配置信息。
<Sysname> display object-policy ipv6
Object-policy ipv6 pass
This is an IPv6 object policy for zone-pair security source office destination library
Object-policy accelerated
rule 5 pass source-ip sourceipv6
rule 5 comment This rule is used for source-ip sourceipv6
表1-3 display object-policy ipv6命令显示信息描述表
|
This is an IPv6 object policy for zone-pair security source office destination library |
|
|
规则5的具体内容,sourceipv6为源IPv6地址对象组的名称 |
|
|
规则5的描述信息 |
display object-policy statistics zone-pair security命令用来显示指定安全域间实例的统计信息。
source-zone-name:表示安全域间实例源安全域的名称,为1~31个字符的字符串,不区分大小写。destination-zone-name:表示安全域间实例目的安全域的名称,为1~31个字符的字符串,不区分大小写。
ip:表示显示IP对象策略的统计信息。
Ipv6:表示显示IPv6对象策略的统计信息。
如果不指定指定ip或者ipv6,则显示指定安全域间实例应用的所有对象策略的统计信息。
# 显示所有的安全域间实例应用对象策略的统计信息。
<Sysname> display object-policy statistics zone-pair security source office destination library
Object-policy apply ip OfficeToLibrary
rule 0 pass source-ip sourceip1 (5 times matched)
rule 1 drop source-ip sourceip2 (6 times matched)
Object-policy apply ipv6 OfficeToLibraryIPv6
rule 0 pass source-ip sourceip3
rule 1 drop source-ip sourceip4 (6 times matched)
表1-4 display object-policy statistics zone-pair security命令显示信息描述表
|
安全域间实例应用IPv4对象策略名称 |
|
|
安全域间实例应用IPv4对象策略规则,sourceip1为源IP地址对象组的名称 |
|
|
安全域间实例应用IPv6对象策略名称 |
|
|
安全域间实例应用IPv6对象策略规则,sourceip3为源IPv6地址对象组的名称 |
|
|
该规则匹配的次数为5(当匹配次数为0时不显示本字段) |
· reset object-policy statistics
display object-policy zone-pair security命令用来显示指定安全域间实例应用对象策略的配置信息。
source-zone-name:表示安全域间实例源安全域的名称,为1~31个字符的字符串,不区分大小写。destination-zone-name:表示安全域间实例目的安全域的名称,为1~31个字符的字符串,不区分大小写。
若未指定安全域间实例,将显示所有安全域间实例应用对象策略的配置信息。
# 显示所有的安全域间实例应用对象策略的配置信息。
<Sysname> display object-policy zone-pair security
Zone-pair source office destination library
object-policy apply ip permit
object-policy apply ipv6 drop
表1-5 display object-policy zone-pair security命令显示信息描述表
|
安全域间实例应用IPv4对象策略配置信息 |
|
|
安全域间实例应用IPv6对象策略配置信息 |
move rule命令用来移动对象策略规则。
move rule rule-id before insert-rule-id
rule-id:指定待移动的对象策略规则编号,取值范围为0~65534。
insert-rule-id:表示移动到指定编号的规则之前,取值范围为0~65535,其中指定编号为65535时表示移动到所有规则之后。
如果insert-rule-id与rule-id相同或其指定的规则不存在,则不执行任何移动操作。
# 在IPv4对象策略permit上,将对象策略规则5移动到规则2之前。
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] move rule 5 before 2
· rule(ipv4 object-policy view)
· rule(ipv6 object-policy view)
object-policy apply ip命令用来在安全域间实例内应用IPv4对象策略。
undo object-policy apply ip命令用来在安全域间实例内取消应用IPv4对象策略。
object-policy apply ip object-policy-name
undo object-policy apply ip object-policy-name
安全域间实例内不应用任何IPv4对象策略。
object-policy-name:指定对象策略的名称。为1~63个字符的字符串,不区分大小写。
· 使用object-policy apply ip时,对应的IPv4对象策略必须已经创建,否则将配置失败。
· 每个安全域间实例只能应用一个IPv4对象策略。如果使用object-policy apply ip时对应安全域间实例已经应用其他IPv4策略,则会配置失败。若要应用新的IPv4对象策略,需要先将已经应用的IPv4对象策略删掉。
# 创建IPv4对象策略,并将该对象策略应用于一个安全域间实例中。
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit]quit
[Sysname] zone-pair security source office destination library
[Sysname-zone-pair-security-office-library] object-policy apply ip permit
· display object-policy zone-pair security
object-policy apply ipv6命令用来在安全域间实例内应用IPv6对象策略。
undo object-policy apply ipv6命令用来在安全域间实例内取消应用IPv6对象策略。
object-policy apply ipv6 object-policy-name
undo object-policy apply ipv6 object-policy-name
安全域间实例内不应用任何IPv6对象策略。
object-policy-name:指定对象策略的名称。为1~63个字符的字符串,不区分大小写。
· 使用object-policy apply ipv6时,对应的IPv6对象策略必须已经创建,否则将配置失败。
· 每个安全域间实例只能应用一个IPv6对象策略。如果使用object-policy apply ipv6时对应安全域间实例已经应用其他IPv6策略,则会配置失败。若要应用新的IPv6对象策略,需要先将已经应用的IPv6对象策略删掉。
# 创建IPv6对象策略,并将该对象策略应用于一个安全域间实例中。
[Sysname] object-policy ipv6 permit
[Sysname-object-policy-ipv6-permit]quit
[Sysname] zone-pair security source office destination library
[Sysname-zone-pair-security-office-library] object-policy apply ipv6 permit
· display object-policy zone-pair security
object-policy ip命令用来创建一个IPv4对象策略,并进入相应的对象策略视图。
undo object-policy ip命令用来删除指定IPv4对象策略。
object-policy ip object-policy-name
undo object-policy ip object-policy-name
不存在任何IPv4对象策略。
object-policy-name:指定对象策略的名称。为1~63个字符的字符串,不区分大小写。
· 使用object-policy ip时,如果指定名称的IPv4对象策略不存在,则创建该对象策略,并进入其视图,否则直接进入其视图。
· IPv4对象策略的名称只能在创建时设置。对象策略一旦创建,便不允许再修改其原有名称。
· 使用undo object-policy ip时,必须保证无安全域间实例应用指定IPv4对象策略,否则,将删除失败。
#创建一个IPv4对象策略并进入其视图。
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] rule pass
object-policy ipv6命令用来创建一个IPv6对象策略,并进入相应的对象策略视图。
undo object-policy ipv6命令用来删除指定IPv6对象策略。
object-policy ipv6 object-policy-name
undo object-policy ipv6 object-policy-name
不存在任何IPv6对象策略。
object-policy-name:指定对象策略的名称。为1~63个字符的字符串,不区分大小写。
· 使用object-policy ipv6时,如果指定名称的IPv6对象策略不存在,则创建该对象策略,并进入其视图,否则直接进入其视图。
· IPv6对象策略的名称只能在创建时设置。对象策略一旦创建,便不允许再修改其原有名称。
· 使用undo object-policy ipv6时,必须保证无安全域间实例应用指定IPv6对象策略,否则,将删除失败。
# 创建一个IPv6对象策略并进入其视图。
[Sysname] object-policy ipv6 permit
[Sysname-object-policy-ipv6-permit] rule pass
reset object-policy statistics命令用来清除对象策略在安全域间实例中的统计信息。
source-zone-name:表示安全域间实例源安全域的名称,为1~31个字符的字符串,不区分大小写。destination-zone-name:表示安全域间实例目的安全域的名称,为1~31个字符的字符串,不区分大小写。
ip:表示清除IP对象策略的统计信息。
Ipv6:表示清除IPv6对象策略的统计信息。
若未指定安全域间实例,则清除所有安全域间实例指定类型对象策略的统计信息。若未指定ip或ipv6,则清除所有类型对象策略的统计信息。
# 清除指定安全域间实例的IPv4对象策略的统计信息。
<Sysname> reset object-policy statistics zone-pair security source office destination library ip
· display object-policy statistics zone-pair security
rule comment命令用来为指定规则配置描述信息。
undo rule comment命令用来删除指定规则的描述信息。
rule-id:指定规则的编号,该规则必须存在。取值范围为0~65534。
text:表示规则的描述信息,为1~127个字符的字符串,区分大小写。
· 使用rule comment命令时,指定的规则必须已经创建,如果没有创建,则会配置失败。
· 使用rule comment命令时,如果指定的规则没有描述信息,则为其添加描述信息,否则修改其描述信息。
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] rule 0 pass source-ip ip1
[Sysname-object-policy-ip-permit] rule 0 comment This rule is used for source-ip ip1
rule命令用来创建一条IPv4对象策略规则。
undo rule命令用来删除一条IPv4对象策略规则或删除规则中的部分内容。
IPv4对象策略内不存在任何规则。
IPv4对象策略视图
rule-id:指定IPv4对象策略规则的编号,取值范围为0~65534。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文。
source-ip object-group-name:指定IPv4源IP地址对象组的名称。object-group-name表示源IP地址对象组的名称,为1~31个字符的字符串,不区分大小写。any表示任意源IP地址对象组。
destination-ip object-group-name:指定IPv4目的IP地址对象组的名称。object-group-name表示IPv4目的IP地址对象组的名称,为1~31个字符的字符串,不区分大小写。any表示任意目的IP地址对象组。
service object-group-name:指定服务对象组的名称。object-group-name表示服务对象组的名称,为1~31个字符的字符串,不区分大小写。any表示任意服务对象组。
vrf vrf-name:表示对指定VRF中的报文有效。vrf-name表示VRF的名称,为1~31个字符的字符串,区分大小写。若未指定本参数,表示该规则仅对公网报文有效。
counting:表示使能当前IPv4对象策略规则匹配统计功能,缺省为关闭。
disable:表示关闭当前IPv4对象策略规则。
logging:表示对符合条件的报文记录日志信息。
time-range time-range-name:指定本规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程,请参见“ACL和QoS配置指导”中的“时间段”。
· 使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
· 创建规则时,若指定的对象组不存在,该规则仍会成功创建,但不会匹配任何报文。
· 使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
· 使用undo rule命令时必须指定一个已存在规则的编号,可以使用display object-policy命令来查看当前对象策略所有已存在的规则。
# 为IPv4对象策略创建规则如下:允许源IP地址对象组sourceip1对应的报文在时间段time1通过。
[Sysname] object-policy ip permit
[Sysname-object-policy-ip-permit] rule pass source-ip sourceip1 logging time-range time1
rule命令用来创建一条IPv6对象策略规则。
undo rule命令用来删除一条IPv6对象策略规则或删除规则中的部分内容。
IPv6对象策略内不存在任何规则。
IPv6对象策略视图
rule-id:指定IPv6对象策略规则的编号,取值范围为0~65534。若未指定本参数,系统将从0开始,自动分配一个大于现有最大编号的最小编号,步长为1。若新编号超出了编号上限(65534),则选择当前未使用的最小编号作为新的编号。
drop:表示丢弃符合条件的报文。
pass:表示允许符合条件的报文。
source-ip object-group-name:指定源IPv6地址对象组的名称。object-group-name表示源IPv6地址对象组的名称,为1~31个字符的字符串,不区分大小写。any表示任意源IPv6地址对象组。
destination-ip object-group-name:指定目的IPv6地址对象组的名称。object-group-name表示目的IPv6地址对象组的名称,为1~31个字符的字符串,不区分大小写。any表示任意目的IPv6地址对象组。
service object-group-name:指定服务对象组的名称。object-group-name表示服务对象组的名称,为1~31个字符的字符串,不区分大小写。any表示任意服务对象组。
vrf vrf-name:表示对指定VRF中的报文有效。vrf-name表示VRF的名称,为1~31个字符的字符串,区分大小写。若未指定本参数,表示该规则仅对公网报文有效。
counting:表示使能当前IPv6对象策略规则匹配统计功能,缺省为关闭。
disable:表示关闭当前IPv6对象策略规则。
logging:表示对符合条件的报文记录日志信息。
time-range time-range-name:指定本规则生效的时间段。time-range-name表示时间段的名称,为1~32个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。若该时间段尚未配置,该规则仍会成功创建但系统将给出提示信息,并在该时间段的配置完成后此规则才会生效。有关时间段的详细介绍和具体配置过程,请参见“ACL和QoS配置指导”中的“时间段”。
· 使用rule命令时,如果指定编号的规则不存在,则创建一条新的规则;如果指定编号的规则已存在,则对旧规则进行修改,即在其原有内容的基础上叠加新的内容。
· 创建规则时,若指定的对象组不存在,该规则仍会成功创建,但不会匹配任何报文。
· 使用undo rule命令时,如果没有指定任何可选参数,则删除整条规则;如果指定了可选参数,则只删除该参数所对应的内容。
· 使用undo rule命令时必须指定一个已存在规则的编号,可以使用display object-policy ipv6命令来查看当前对象策略所有已存在的规则。
# 为IPv6对象策略创建规则如下:允许源IPv6地址对象组sourceip1对应的报文在时间段time1通过。
[Sysname] object-policy ipv6 permit
[Sysname-object-policy-ipv6-permit] rule pass source-ip sourceip1 logging time-range time1
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
