- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-对象管理配置指导
本章节下载: 03-对象管理配置指导 (259.78 KB)
为了方便配置和管理,系统中引入了一些对象的概念,通过这些对象,可以简化配置,提高易用性,本章将介绍以下对象:
· 应用对象
· 地址对象
· 服务对象
· 时间表对象
· 关键字对象
在控制策略的配置过程中会引用到上面提到的对象。控制策略的配置过程,请参见“Ipv4控制策略配置指导”。
应用对象是由应用特征库预定义的,用户不能新建或删除应用对象,但可以对其优先级进行修改。用户可以根据自身需要,修改每个应用对象的优先级。应用的优先级将会在智能流控等功能中参与调度的计算。
应用标签是通过应用的使用场景来进行自由的应用分类,而不仅是由应用自身分类进行固化,从而使用更灵活合理的方式进行应用分类和控制,提供更大的自由度。
应用只有在应用策略中引用,才能对相关的用户进行应用的控制和审计。应用对象随着应用特征库的更新而更新,用户不能手动创建新的应用对象,也不能删除已有的应用对象。
按照表1-1步骤配置应用标签。
表1-1 配置应用标签
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
— |
|
新建应用标签 |
application-tag name |
必选 |
|
添加应用对象 |
member application name |
必选 |
|
添加描述信息 |
description desc |
可选 |
在完成上述配置后,在用户视图下执行display命令可以显示应用对象配置后的运行情况,通过查看显示信息验证配置的效果。
表1-2 应用对象显示与维护
|
操作 |
命令 |
|
显示应用对象信息 |
display application |
|
显示所有应用标签的配置 |
display application-tag |
|
显示特定应用标签的配置 |
display application-tag name |
|
显示应用对象类信息 |
display application-category |
|
显示应用控制策略 |
display running-config policy |
为了方便用户的配置和管理,设备中引入了地址对象的概念。地址对象分为地址节点和地址组,地址组是地址节点的集合。在其它功能的配置中,可以引用地址对象来定义配置生效的条件。
地址对象中可以指定一个确定的IP地址,也可以用网络掩码的形式指定一个IP范围,还可以通过起止IP地址的形式确定一个IP范围。一个地址对象中可以添加多种类型的多个地址。配置地址对象的步骤如表1-3所示。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置地址对象 |
address addr-name |
必选 |
|
添加单个地址 |
ip address addr |
可选 |
|
添加单个IPv6地址 |
Ipv6 address addr |
可选 |
|
排除单个地址 |
exclude ip address addr |
可选 |
|
添加子网地址 |
ip subnet addrnetmask-length |
可选 |
|
排除子网地址 |
exclude ip subnet addrnetmask-length |
可选 |
|
添加地址范围 |
ip range addr-min addr-max |
可选 |
|
排除地址范围 |
exclude ip range addr-min addr-max |
可选 |
地址对象组是地址对象的集合,通过表1-4所示步骤来配置地址对象组。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置地址对象组 |
address-group group-name |
必选 |
|
添加地址对象 |
member addr-name |
必选 |
为了方便用户配置和管理,设备中引入了服务对象的概念,服务是用来描述端口号的集合。服务对象分为服务和服务组,在其它功能的配置中,可以引用服务对象来定义配置生效的条件。
服务对象中可以添加三种类型的内容:
· TCP/UDP端口号
· ICMP协议code/type
· IP协议类型
按表1-5所示步骤来配置服务对象。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置服务对象 |
service service-name |
必选 |
|
添加TCP/UDP服务 |
{ tcp | udp } dst-port dst-port-min dst-port-max src-port src-port-min src-port-max |
可选 |
|
添加ICMP服务 |
icmp type icmp-type code code-min code-max |
可选 |
|
添加其它协议 |
protocol protocol-id |
可选 |
服务对象组是服务对象的集合,按表1-6所示步骤来配置服务对象组。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置服务对象组 |
service-group group-name |
必选 |
|
添加服务对象 |
member service-name |
必选 |
为了方便用户配置和管理,设备中引入了计划任务概念,计划任务分为周期计划和单次计划。在其它功能的配置中,可以引用计划任务来定义配置生效的条件。
· 周期计划:配置服务在指定的周期执行。周期计划有日周期计划、周周期计划、月周期计划三种。
· 单次计划:配置服务在指定的时间内生效。
日周期计划是按日重复执行的,指定开始时间和结束时间,日周期计划会按日重复执行,配置日周期计划的步骤如表1-7所示。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置日周期对象 |
schedule-day schedule-name |
必选 |
|
配置日周期计划 |
periodic start start-time end end-time |
必选 |
周周期计划是按周重复执行的,指定需要每周的天,配置周周期计划的步骤如表1-8所示。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置周周期对象 |
schedule-week schedule-name |
必选 |
|
配置周周期计划 |
day {monday|tuesday|wednesday|thursday|friday|saturday|sunday|allday} |
必选 |
月周期计划按月重复执行。除了指定月周期计划的开始时间与结束日期之外,还需要指定月周期计划的生效的日周期计划的时间,配置月周期计划的步骤如表1-9所示。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置月周期对象 |
schedule-month schedule-name |
必选 |
|
配置月周期计划 |
day start day-min end day-maxschedule-day-name |
必选 |
|
显示月周期计划配置 |
display schedule-month |
display命令可以在任意视图执行 |
配置月周期计划,需要引用日周期计划,需要先配置日周期计划。
配置单次周期计划的步骤如表1-10所示。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
配置单次周期对象 |
schedule-once schedule-name |
必选 |
|
配置单次周期计划 |
absolutestart start-time end end-time |
必选 |
|
配置单次周期计划生效的时间对象 |
member schedule-name |
必选 |
在单次计划中必须配置一个有效的时间范围和引用的周期计划,有效时间范围和引用的周期计划是与的关系,都满足才生效;单次计划中只能配置一个有效时间范围。
为了方便用户配置和管理,设备中引入了关键字对象的概念。在应用策略里面会引用到关键字对象。配置关键字对象的步骤如表1-11所示。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
新建关键字对象 |
keyword keyword-name |
必选 |
|
添加关键字成员 |
content keyword |
必选 |
|
修改关键字描述信息 |
description desc |
可选 |
URL(Uniform Resource Locator,统一资源定位符)分类是一种网页分类功能,支持自定义URL分类和预定义URL分类。
自定义URL分类是指,用户可以根据需要,在设备上手动指定域名的匹配规则,对收到的HTTP请求报文进行分类。
预定义URL分类是指,设备收到HTTP请求报文后。设备根据预先定义的分类URL的规则,对收到的HTTP请求报文进行分类。
在控制策略中引用自定义或者预定义的URL分类,实现URL过滤的功能。
按表1-12所示步骤来配置自定义URL。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
— |
|
新建URL对象 |
url-category url-name |
必选 |
|
添加URL内容 |
url url |
必选 |
自定义URL分类若与预定义URL分类冲突,自定义URL的优先级更高。
在完成上述配置后,在任意视图下执行display命令可以显示配置后的对象,通过查看显示信息验证配置的效果。
表1-13 对象的显示与维护
|
操作 |
命令 |
|
显示地址对象 |
display address [ name ] |
|
显示地址对象组 |
display address-group[ name ] |
|
显示服务对象 |
display serivce[ name ] |
|
显示服务对象组 |
display service-group [ name ] |
|
显示日周期计划 |
display schedule-day[ name ] |
|
显示周周期计划 |
display schedule-week [ name ] |
|
显示月周期计划 |
display schedule-month [ name ] |
|
显示周周期计划 |
display schedule-once[ name ] |
|
显示关键字对象 |
display keyword [ name ] |
|
显示配置的URL分类 |
display url-category{ predefined |user-defined } |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
