02-Context命令
本章节下载: 02-Context命令 (406.12 KB)
目 录
1.1.5 capability object-policy-rule maximum
1.1.6 capability security-policy-rule maximum
1.1.7 capability session maximum
1.1.12 context-capability inbound broadcast single
1.1.13 context-capability inbound broadcast total
1.1.14 context-capability inbound drop-logging enable
1.1.15 context-capability inbound multicast single
1.1.16 context-capability inbound multicast total
1.1.17 context-capability inbound unicast single
1.1.18 context-capability inbound unicast total
1.1.20 display blade-controller-team
1.1.22 display context capability
1.1.23 display context capability inbound broadcast
1.1.24 display context capability inbound multicast
1.1.25 display context capability inbound unicast
1.1.26 display context configuration
1.1.27 display context interface
1.1.28 display context online-users sslvpn
1.1.29 display context resource
1.1.30 display context statistics
1.1.35 location blade-controller
1.1.36 location blade-controller-team
1.1.37 reset blade-controller-team
1.1.38 reset context capability inbound broadcast
1.1.39 reset context capability inbound multicast
1.1.40 reset context capability inbound unicast
对于本文列出的命令,缺省Context均支持,非缺省Context只支持display context interface、context-capability inbound broadcast single、context-capability inbound broadcast single、context-capability inbound unicast single命令。
allocate interface命令用来为Context分配接口。
undo allocate interface命令用来取消为Context分配的接口。
【命令】
allocate interface { interface-type interface-number }&<1-24> [ share ]
undo allocate interface { interface-type interface-number }&<1-24>
allocate interface interface-type interface-number1 to interface-type interface-number2 [ share ]
undo allocate interface interface-type interface-number1 to interface-type interface-number2
【缺省情况】
设备上的所有接口都属于缺省Context,不属于任何非缺省Context。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
{ interface-type interface-number }&<1-24>:表示给Context分配非连续的接口。interface-type interface-number表示接口类型和编号,&<1-24>表示前面的参数最多可以输入24次。
interface-type interface-number1 to interface-type interface-number2:表示给Context分配一组连续的接口。其中,interface-type表示接口类型,interface-number1表示起始接口的编号,interface-number2表示结束接口的编号。起始接口和结束接口的类型必须相同,并且处于同一接口板上,否则将配置失败。
share:表示接口是否共享。不指定该参数表示独占。
【使用指导】
· 独占方式分配(不带share参数)。使用该方式分配的接口仅归该Context所有、使用。用户登录该Context后,能查看到该接口,并执行接口支持的所有命令。
· 共享方式分配(带share参数)。使用该方式分配的接口归多个Context所有、使用。在缺省Context内仍然存在该接口,可执行接口支持的所有命令;在分配给的非缺省Context内,会新建同名接口,用户登录这些Context后,能查看到该接口,但只能执行shutdown、description、以及网络/安全相关的命令。
· 当设备运行在IRF模式时,禁止将IRF物理端口分配给自定义Context。
· 当三层子接口作为冗余口的成员端口时,禁止把其主接口共享给自定义Context。
· 逻辑接口仅支持共享方式分配,物理接口支持独占和共享两种方式分配。
【举例】
# 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/3以共享的方式分配给context sub1。
<Sysname> system-view
[Sysname] context sub1
[Sysname-context-2-sub1] allocate interface gigabitethernet 1/0/1 gigabitethernet 1/0/3 share
allocate vlan命令用来为Context分配VLAN。
undo allocate vlan命令用来取消为Context分配的VLAN。
【命令】
allocate vlan vlan-id&<1-24>
undo allocate vlan vlan-id&<1-24>
allocate vlan vlan-id1 to vlan-id2
undo allocate vlan vlan-id1 to vlan-id2
【缺省情况】
没有为Context分配VLAN。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
vlan-id&<1-24>:表示给Context分配非连续的VLAN。vlan-id表示VLAN的编号,&<1-24>表示前面的参数最多可以输入24次。
vlan-id1 to vlan-id2:表示给Context分配一组连续的VLAN。其中,vlan-id1表示起始VLAN的编号,vlan-id2表示结束VLAN的编号。
【使用指导】
创建Context时,通过vlan-unshared参数可选择是否和其它Context共享VLAN:
· 如果选择和其它Context共享VLAN,可以通过本命令将设备上存在的除VLAN 1以外的静态VLAN分配给非缺省Context。共享VLAN由多个Context共同所有。VLAN被分配后,用户须在缺省Context内对该VLAN配置,非缺省Context内不能配置该VLAN,只能查看该VLAN的相关信息。
· 如果选择不和其它Context共享VLAN,请登录该Context,并使用vlan命令创建VLAN 2~VLAN 4094。VLAN 1为缺省VLAN,用户不能手工创建和删除。Context各自使用和管理VLAN,互不干扰。
【举例】
# 将VLAN100分配给context sub1。
<Sysname> system-view
[Sysname] context sub1
[Sysname-context-2-sub1] allocate vlan 100
【相关命令】
· display context vlan
allocate vxlan命令用来为Context分配VXLAN。
undo allocate vxlan命令用来取消为Context分配的VXLAN。
【命令】
allocate vxlan vxlan-id&<1-24>
undo allocate vxlan vxlan-id&<1-24>
allocate vxlan vxlan-id1 to vxlan-id2
undo allocate vxlan vxlan-id1 to vxlan-id2
【缺省情况】
没有为Context分配VXLAN。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
vxlan-id&<1-24>:表示给Context分配非连续的VXLAN。vxlan-id表示VXLAN的编号,取值范围为0~16777215,&<1-24>表示前面的参数最多可以输入24次。
vxlan-id1 to vxlan-id2:表示给Context分配一组连续的VXLAN。其中,vxlan-id1表示起始VXLAN的编号,vxlan-id2表示结束VXLAN的编号,vxlan-id1和vxlan-id2的取值范围为0~16777215。
【使用指导】
为Context分配的VXLAN仅归该Context所有,其他Context不能对其进行使用、配置。
【举例】
# 将VXLAN 100分配给Context sub1。
<Sysname> system-view
[Sysname] context sub1
[Sysname-context-2-sub1] allocate vxlan 100
The VXLAN will be allocated to context sub1. Continue? [Y/N]:y
blade-controller-team命令用来创建安全引擎组,并进入安全引擎组视图。如果指定的安全引擎组已经存在,则直接进入安全引擎组视图。
undo blade-controller-team命令用来删除指定的安全引擎组。
【命令】
blade-controller-team blade-controller-team-name [ id blade-controller-team-id ]
undo blade-controller-team { blade-controller-team-name | id blade-controller-team-id }
【缺省情况】
存在安全引擎组,名称为Default,编号为1。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
blade-controller-team-name:安全引擎组的名称,为1~31个字符的字符串,区分大小写。
id blade-controller-team-id:安全引擎组的编号,取值范围为2~256。不指定该参数时,系统会自动分配一个当前空闲的最小编号。
【使用指导】
缺省安全引擎组不能创建、删除,且不能进入缺省安全引擎组的视图。
当删除安全引擎组时,如果该组中有进驻的安全引擎,请先用undo location blade-controller命令取消进驻后,再删除该组。
【举例】
# 创建名为abc的安全引擎组,并进入安全引擎组视图。
<sysname> system-view
[sysname] blade-controller-team abc
[sysname-blade-controller-team-3-abc]
capability object-policy-rule maximum命令用来设置Context的对象策略规则总数限制。
undo capability object-policy-rule maximum命令用来恢复缺省情况。
【命令】
capability object-policy-rule maximum max-number
undo capability object-policy-rule maximum
【缺省情况】
未对Context的对象策略规则总数进行限制。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
max-number:表示Context内可配置的对象策略规则最大数目,取值范围为1~4294967295。
【使用指导】
一个Context内可以配置多个对象策略,一个对象策略内包含多个规则。如果不加限制,会出现大量规则占用过多的内存的情况,影响Context的其它功能正常运行。所以,请根据需要为Context设置对象策略规则总数限制。当规则总数达到限制值时,后续不能新增规则。
如果设置的最大值比当前存在的规则总数小,配置仍会成功,多出的规则不会删除,但不能新增规则。
一个Context的最大对象策略规则数,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的对象策略规则数。
【举例】
# 配置Context的对象策略规则数最多为1000条。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability object-policy-rule maximum 1000
【相关命令】
· display object-policy ip(安全命令参考/对象策略)
capability security-policy-rule maximum命令用来设置Context的安全策略规则总数限制。
undo capability security-policy-rule maximum命令用来恢复缺省情况。
【命令】
capability security-policy-rule maximum max-number
undo capability security-policy-rule maximum
【缺省情况】
未对Context的安全策略规则总数进行限制。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
max-number:表示Context内可配置的安全策略规则最大数目,取值范围为1~4294967295。
【使用指导】
一个Context内可以配置多个安全策略规则。如果不加限制,会出现大量规则占用过多的内存的情况,影响Context的其它功能正常运行。所以,请根据需要为Context设置安全策略规则总数限制。当规则总数达到限制值时,后续不能新增规则。
如果设置的最大值比当前存在的规则总数小,配置仍会成功,多出的规则不会删除,但不能新增规则。
一个Context的最大安全策略规则数,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的安全策略规则数。
【举例】
# 配置Context的安全策略规则数最多为1000条。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability security-policy-rule maximum 1000
【相关命令】
· display security-policy ip(安全命令参考/安全策略)
capability session maximum命令用来设置Context的单播会话并发数限制。
undo capability session maximum命令用来恢复缺省情况。
【命令】
capability session maximum max-number
undo capability session maximum
【缺省情况】
未对Context允许的单播会话并发数进行限制。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
max-number:允许同时存在的最大单播会话数目,取值范围为1~4294967295。
【使用指导】
如果一个Context建立了太多会话会导致其他Context的会话由于内存不够而无法建立,为了防止这种情况,需要限制Context建立会话的数量,当会话总数达到限制值时,后续不能新建会话。
如果设置的最大值比当前存在的会话总数小,配置仍会成功,但不允许新建会话,且已经创建的会话不会被删除,直到已建立的会话通过老化机制使得会话总数低于配置的最大值后,系统才允许新建会话。
一个Context的最大会话数,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的最大会话数,多个报文分散在不同引擎处理时,实际建立的会话数会大于限制的值。
Context会话并发数限制对本机流量不生效,例如:FTP、Telnet等业务。
【举例】
# 配置Context cnt2上的单播会话并发数为1000000。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability session maximum 1000000
【相关命令】
· context
· display session statistics(安全命令参考/会话管理)
capability session rate命令用来设置Context的会话新建速率限制。
undo capability session rate命令用来恢复缺省情况。
【命令】
capability session rate max-value
undo capablility session rate
【缺省情况】
未对Context允许的会话新建速率进行限制。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
max-value:允许的会话新建速率最大值,单位为每秒会话个数。
【使用指导】
如果一个Context的会话新建速率过快会导致其他Context由于CPU处理能力不够而无法建立会话,为了防止这种情况,需要限制Context的会话新建速率,当会话新建速率达到限制值时,后续不能新建会话。
一个Context的会话新建速率,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的会话新建速率,多个报文分散在不同引擎处理时,实际的会话新建速率会大于限制的值。
Context会话新建速率限制对本机流量不生效,例如:FTP、Telnet等业务。
【举例】
# 配置Context cnt2上的会话新建速率最大值为每秒20000个会话数。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability session rate 20000
【相关命令】
· context
· display session statistics(安全命令参考/会话管理)
capability throughput命令用来设置Context出方向的吞吐量限制。
undo capability throughput命令用来恢复缺省情况。
【命令】
capability throughput { kbps | pps } threshold
undo capability throughput
【缺省情况】
各Context出方向不做吞吐量限制,按实际能力转发。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
kbps:表示出方向吞吐量按每秒千比特计算。
pps:表示出方向吞吐量按每秒报文数计算。
threshold:表示吞吐量限制值,取值范围为1000~100000000。
【使用指导】
配置本命令后,该Context已进驻的每个安全引擎上都将获得相同的吞吐量限制。
【举例】
# 配置名称为cnt2的Context的出方向吞吐量为100000bps。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability throughput kbps 100000
# 配置名称为cnt3的Context的出方向吞吐量为10000pps。
<Sysname> system-view
[Sysname] context cnt3
[Sysname-context-3-cnt3] capability throughput pps 10000
context命令用来创建Context,并进入Context视图。如果指定的Context已经存在,则直接进入Context视图。
undo context命令用来删除指定Context。
【命令】
context context-name [ id context-id ] [ vlan-unshared ]
undo context context-name
【缺省情况】
存在缺省Context,名称为Admin,编号为1。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
context-name:Context的名称,为1~15个字符的字符串,区分大小写。
context-id:Context的编号,取值范围为1~65279。不指定该参数时,系统会自动给Context分配一个当前空闲的最小编号。
vlan-unshared:不和其它Context共享VLAN。不指定该参数时,表示和其它Context共享VLAN。
【使用指导】
创建Context时,通过vlan-unshared参数可选择是否和其它Context共享VLAN:
· 如果选择和其它Context共享VLAN,需要在缺省Context内创建并配置VLAN,再分配给非缺省Context。共享VLAN由多个Context共同所有。
· 如果选择不和其它Context共享VLAN,请登录该Context,并使用vlan命令创建VLAN 1~VLAN 4094。Context各自使用和管理VLAN,互不干扰。
【举例】
# 创建一个名称为test的Context。
<Sysname> system-view
[Sysname] context test
[Sysname-context-2-test]
# 创建一个名称为test,ID为2的Context。
<Sysname> system-view
[Sysname] context test id 2
[Sysname-context-2-test]
context start命令用来启动Context。
undo context start命令用来停止该Context。
【命令】
context start [ force ]
undo context start [ force ]
【缺省情况】
未启动Context。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
force:强制启动/停止Context。不指定该参数时,表示按正常程序启动Context。
【使用指导】
停止Context会导致该Context的业务中断,以及登录该Context的用户自动退出,请谨慎使用。为避免Context的当前配置丢失,停止Context前请保存Context的配置。
Context创建后需要执行context start命令,才能完成新Context的初始化,相当于上电启动。启动后,用户可以登录到该Context执行配置。
【举例】
# 启动Context cnt2。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] context start
context-capability inbound broadcast single命令用来配置单个Context入方向广播报文的速率限制。
undo context-capability inbound broadcast single命令用来恢复缺省情况。
【命令】
context-capability inbound broadcast single pps threshold
undo context-capability inbound broadcast single
【缺省情况】
单个Context入方向广播报文限速速率的缺省值为广播报文总速率阈值除以使用共享接口Context的总数。
【视图】
系统视图
Context视图
【缺省用户角色】
network-admin
【参数】
pps threshold:入方向广播报文的速率阈值,取值范围为1000~100000,单位为pps。
【使用指导】
此功能仅对使用共享接口且处于Active状态的Context生效。
在系统视图下执行此命令是用来配置缺省Context入方向广播报文限速速率的阈值;在Context视图下执行此命令式用来配置非缺省Context入方向广播报文限速速率的阈值。
当广播报文总速率和单个Context入方向广播报文速率均达到各自的阈值后,发往此Context的广播报文会被设备丢弃,否则不会被丢弃。广播报文总速率限制由context-capability inbound broadcast total命令设置。
一个Context入方向广播报文的速率,在进驻的每个安全引擎内独立计算,即Context进驻的每个安全引擎都有相同的限速阈值,每个安全引擎对Context单独限制。当多个报文分散在不同安全引擎处理时,一个Context实际接收广播报文的速率可能大于设置的限速阈值。
【举例】
# 配置缺省Context入方向广播报文的速率最大值为10000pps。
<Sysname> system-view
[Sysname] context-capability inbound broadcast single pps 10000
# 配置Context ctx1入方向广播报文的速率最大值为10000pps。
<Sysname> system-view
[Sysname] context ctx1
[Sysname-context-1-ctx1] context-capability inbound broadcast single pps 10000
【相关命令】
· context-capability inbound broadcast total
context-capability inbound broadcast total命令用来配置所有Context入方向广播报文的总速率限制。
undo context-capability inbound broadcast total命令用来恢复缺省情况。
【命令】
context-capability inbound broadcast total pps threshold
undo context-capability inbound broadcast total
【缺省情况】
所有Context入方向广播报文总速率限制为20000pps。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
pps threshold:入方向广播报文的总速率阈值,取值范围为0,1000~100000,单位为pps。取值为0时表示不限速。
【使用指导】
此功能仅对使用共享接口且处于Active状态的Context生效。
所有Context入方向广播报文总速率是指所有使用共享接口的Context接收广播报文的速率之和,简称“广播报文总速率”。
当广播报文总速率和单个Context入方向广播报文速率均达到各自的阈值后,发往此Context的广播报文会被设备丢弃,否则不会被丢弃。单个Context入方向广播报文速率由context-capability inbound broadcast single命令设置。
【举例】
# 配置所有Context入方向广播报文的总速率最大值为10000pps。
<Sysname> system-view
[Sysname] context-capability inbound broadcast total pps 10000
【相关命令】
· context-capability inbound broadcast single
context-capability inbound drop-logging enable命令用来开启Context入方向报文限速丢包日志功能。
undo context-capability inbound drop-logging enable命令用来关闭Context入方向报文限速丢包日志功能。
【命令】
context-capability inbound drop-logging enable
undo context-capability inbound drop-logging enable
【缺省情况】
Context入方向报文限速丢包日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启此功能后,当Context接收到的广播报文或组播报文因达到系统设置的阈值而被丢弃时,设备将会对丢弃的报文生成日志信息。此日志信息将会被输出到信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启Context入方向报文限速丢包日志功能。
<Sysname> system-view
[Sysname] context-capability inbound drop-logging enable
context-capability inbound multicast single命令用来配置单个Context入方向组播报文的速率限制。
undo context-capability inbound multicast single命令用来恢复缺省情况。
【命令】
context-capability inbound multicast single pps threshold
undo context-capability inbound multicast single
【缺省情况】
单个Context入方向组播报文限速速率的缺省值为组播报文总速率阈值除以使用共享接口Context的总数。
【视图】
系统视图
Context视图
【缺省用户角色】
network-admin
【参数】
pps threshold:Context入方向组播报文的速率阈值,取值范围为1000~100000,单位为pps。
【使用指导】
此功能仅对使用共享接口且处于Active状态的Context生效。
在系统视图下执行此命令是用来配置缺省Context入方向组播报文限速速率的阈值;在Context视图下执行此命令式用来配置非缺省Context入方向组播报文限速速率的阈值。
当组播报文总速率和单个Context入方向组播报文速率均达到各自的阈值后,发往此Context的组播报文会被设备丢弃,否则不会被丢弃。组播报文总速率限制由context-capability inbound multicast total命令设置。
一个Context入方向组播报文的速率,在进驻的每个安全引擎内独立计算,即Context进驻的每个安全引擎都有相同的限速阈值,每个安全引擎对Context单独限制。当多个报文分散在不同安全引擎处理时,一个Context实际接收组播报文的速率可能大于设置的限速阈值。
【举例】
# 配置缺省Context入方向组播报文的限速速率是10000pps。
<Sysname> system-view
[Sysname] context-capability inbound multicast single pps 10000
# 配置Context ctx1入方向组播报文的限速速率是10000pps。
<Sysname> system-view
[Sysname] context ctx1
[Sysname-context-1-ctx1] context-capability inbound multicast single pps 10000
【相关命令】
· context-capability inbound multicast total
context-capability inbound multicast total命令用来配置所有Context入方向组播报文的总速率限制。
undo context-capability inbound multicast total命令用来恢复缺省情况。
【命令】
context-capability inbound multicast total pps threshold
undo context-capability inbound multicast total
【缺省情况】
所有Context入方向组播报文总速率限制为30000pps。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
pps threshold:入方向组播报文的总速率阈值,取值范围为0,1000~100000,单位为pps。取值为0时表示不限速。
【使用指导】
此功能仅对使用共享接口且处于Active状态的Context生效。
所有Context入方向组播报文总速率是指所有使用共享接口的Context接收组播报文的速率之和,简称“组播报文总速率”。
当组播报文总速率和单个Context入方向组播报文速率均达到各自的阈值后,发往此Context的组播报文会被设备丢弃,否则不会被丢弃。单个Context入方向组播报文速率由context-capability inbound multicast single命令设置。
【举例】
# 配置所有Context入方向组播报文的总速率最大值为10000pps。
<Sysname> system-view
[Sysname] context-capability inbound multicast total pps 10000
【相关命令】
· context-capability inbound multicast single
context-capability inbound unicast single命令用来配置单个Context入方向单播报文的CPU消耗率限制。
undo context-capability inbound unicast single命令用来恢复缺省情况。
【命令】
context-capability inbound unicast single cpu-usage threshold
undo context-capability inbound unicast single
【缺省情况】
单个Context入方向单播报文的CPU消耗率为单播报文的总CPU消耗率除以此Context所进驻引擎组中所有Context的总数。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
cpu-usage threshold:入方向单播报文的CPU消耗率阈值,取值范围为1~100,单位为百分比。
【使用指导】
此功能对使用共享接口和独占接口且处于Active状态的Context均生效。
在系统视图下执行此命令是用来配置缺省Context入方向单播报文的CPU消耗率阈值;在Context视图下执行此命令式用来配置非缺省Context入方向单播报文的CPU消耗率阈值。
当单播报文的总CPU消耗率和单个Context入方向单播报文的CPU消耗率均达到各自的阈值后,发往此Context的单播报文会被设备丢弃,否则不会被丢弃。单播报文的总CPU消耗率由context-capability inbound unicast total命令设置。
一个Context入方向单播报文的CPU消耗率,在进驻的每个安全引擎内独立计算,即Context进驻的每个安全引擎都有相同的限制阈值,每个安全引擎对Context单独限制。当多个报文分散在不同安全引擎处理时,一个Context实际接收单播报文的CPU消耗率可能大于设置的限制阈值。
当设备上只有缺省Context时,其入方向单播报文的CPU消耗率阈值的缺省值与设备型号有关,请以设备的实际情况为准。
【举例】
# 配置缺省Context入方向单播报文的CPU消耗率为70%。
<Sysname> system-view
[Sysname] context-capability inbound unicast single cpu-usage 70
【相关命令】
· context-capability inbound unicast total
context-capability inbound unicast total命令用来配置所有Context入方向单播报文的总CPU消耗率限制。
undo context-capability inbound unicast total命令用来恢复缺省情况。
【命令】
context-capability inbound unicast total cpu-usage threshold
undo context-capability inbound unicast total
【缺省情况】
所有Context入方向单播报文的总CPU消耗率的缺省值为100%。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
cpu-usage threshold:入方向单播报文的总CPU消耗率阈值,取值范围为1~100,单位为百分比。
【使用指导】
此功能对使用共享接口和独占接口且处于Active状态的Context均生效。
所有Context入方向单播报文的总CPU消耗率是指一个安全引擎组中所有使用共享接口和独占接口的Context处理单播报文所消耗CPU百分比之和,简称“单播报文的总CPU消耗率”。
当单播报文的总CPU消耗率和单个Context入方向单播报文的CPU消耗率达到各自的阈值后,发往此Context的单播报文会被设备丢弃,否则不会被丢弃。单个Context入方向单播报文的CPU消耗率由context-capability inbound unicast single命令设置。
【举例】
# 配置所有Context入方向单播报文的总CPU消耗率为70%。
<Sysname> system-view
[Sysname] context-capability inbound unicast total cpu-usage 70
【相关命令】
· context-capability inbound unicast single
description命令用来配置Context的描述信息。
undo description命令用来恢复缺省情况。
【命令】
description text
undo description
【缺省情况】
缺省Context描述信息为DefaultContext。非缺省Context没有配置描述信息。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
text:Context的描述信息,为1~255个字符的字符串,区分大小写。
【使用指导】
当设备上配置的Context较多时,用户可以为Context配置特定的描述信息,以便记忆和管理Context。
【举例】
# 将Context的描述信息配置为test。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] description test
display blade-controller-team命令用来显示安全引擎组的信息。
【命令】
display blade-controller-team [ blade-controller-team-name | id blade-controller-team-id | all ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
blade-controller-team-name:显示指定安全引擎组的详细信息。blade-controller-team-name表示安全引擎组的名称。为1~31个字符的字符串,区分大小写。
id blade-controller-team-id:显示指定安全引擎组的详细信息。blade-controller-team-id表示安全引擎组的编号,取值范围为1~256。
all:显示所有安全引擎组的详细信息。
【使用指导】
不指定任何参数时,显示所有安全引擎组的简要信息。
【举例】
# 显示安全引擎组的简要信息。
<Sysname> display blade-controller-team
ID Name
1 Default
2 abc
# 显示名称为abc的安全引擎组的详细信息。(独立运行模式)
<Sysname> display blade-controller-team abc
ID: 2 Name: abc
Slot CPU Status LBGroupID
* 3 1 Normal 2
* : Primary blade controller of the team.
Load balancing group information for the blade controller team:
LBGroupID Name BLAGG
2 Blade3fw2 Blade-Aggregation258
# 显示名称为abc的安全引擎组的详细信息。(IRF模式)
<Sysname> display blade-controller-team abc
ID: 2 Name: abc
Chassis Slot CPU Status LBGroupID
* 1 3 1 Normal 2
* : Primary blade controller of the team.
Load balancing group information for the blade controller team:
LBGroupID Name BLAGG
2 Blade3fw2 Blade-Aggregation258
# 显示所有安全引擎组的详细信息。(独立运行模式)
<Sysname> display blade-controller-team all
ID: 1 Name: Default
Slot CPU Status LBGroupID
* 4 1 Normal 1
* : Primary blade controller of the team.
Load balancing group information for the blade controller team:
LBGroupID Name BLAGG
1 Blade3fw1 Blade-Aggregation257
ID: 2 Name: abc
Slot CPU Status LBGroupID
* 3 1 Normal 2
* : Primary blade controller of the team.
Load balancing group information for the blade controller team:
LBGroupID Name BLAGG
2 Blade3fw2 Blade-Aggregation258
# 显示所有安全引擎组的详细信息。(IRF模式)
<Sysname> display blade-controller-team all
ID: 1 Name: Default
Chassis Slot CPU Status LBGroupID
* 1 4 1 Normal 1
* : Primary blade controller of the team.
Load balancing group information for the blade controller team:
LBGroupID Name BLAGG
1 Blade3fw1 Blade-Aggregation257
ID: 2 Name: abc
Chassis Slot CPU Status LBGroupID
* 1 3 1 Normal 2
* : Primary blade controller of the team.
Load balancing group information for the blade controller team:
LBGroupID Name BLAGG
2 Blade3fw2 Blade-Aggregation258
表1-1 display blade-controller-team命令显示信息描述表
字段 |
描述 |
ID |
安全引擎组的编号 |
Name |
安全引擎组的名称 |
Status |
安全引擎的状态: · Absent:表示该位置没有插入安全引擎 · Fault:表示该节点的单板不能正常启动 · Normal:表示该位置的安全引擎运行正常 |
LBGroupID |
安全引擎组中关联的负载分担组编号,编号由系统自动分配 |
* : Primary blade controller of the team. |
*表示安全引擎组的主安全引擎 |
Load balancing group information for the blade controller team |
安全引擎组中负载分担组的信息 |
LBGroupID |
安全引擎组中关联的负载分担组编号,编号由系统自动分配 |
Name |
安全引擎组中负载分担组的名称。Name为系统预定义的名称,命名规则为安全引擎类型+安全引擎组编号,有关安全引擎类型的详细介绍,请参见“二层技术-以太网交换”中的“以太网链路聚合”link-aggregation blade命令 |
BLAGG |
安全引擎组中负载分担组对应的引擎聚合接口名称,名称命名规则为Blade-Aggregation+编号,编号等于LBGroupID+256 |
display context命令用来显示已经创建的Context的信息,包括编号和状态等。
【命令】
display context [ name context-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name context-name:Context的名称,为1~15个字符的字符串,区分大小写。
【使用指导】
在缺省Context中,可使用name context-name参数查看指定Context的信息。不指定name context-name参数时,则显示设备上创建的所有Context的信息。
【举例】
# 显示已经创建的Context的信息。
<Sysname> display context
ID Name Status Description
1 cnt1 active context1
2 cnt2 inactive context2
3 cnt3 inactive context3
表1-2 display context命令显示信息描述表
字段 |
描述 |
ID |
Context的编号 |
Name |
Context的名称 |
Status |
Context的状态: · active:表示Context正常运行 · inactive:表示Context处于未启动状态 · starting:表示Context正在启动 · updating:表示正在将Context加入安全引擎组 · stopping:表示Context正在停止 |
Description |
Context描述信息 |
display context capability命令用来显示Context内可分配业务资源的使用情况。
【命令】
(独立运行模式)
display context [ name context-name ] capability [ security-policy | session [ slot slot-number cpu cpu-number ] ]
(IRF模式)
display context [ name context-name ] capability [ security-policy | session [ chassis chassis-number slot slot-number cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name context-name:显示指定Context内可分配业务资源的使用情况,context-name是Context的名称,为1~15个字符的字符串,区分大小写。若不指定该参数,则表示显示所有Context内可分配业务资源的使用情况。
security-policy:显示可分配安全策略规则资源的使用情况。
session:显示可分配会话资源的使用情况。
slot slot-number:显示指定单板上的Context内可分配会话资源的使用情况,slot-number表示单板所在的槽位号。若不指定该参数,则表示显示所有单板上的Context内可分配会话资源的使用情况。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的Context内可分配会话资源的使用情况,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示显示所有成员设备的所有单板上的Context内可分配会话资源的使用情况。(IRF模式)
cpu cpu-number:显示指定CPU上的Context内可分配会话资源的使用情况,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【使用指导】
此命令仅支持在缺省Context中使用。
【举例】
# 显示所有Context内可分配业务资源的使用情况。
<Sysname> display context capability
Session usage and establishment rate:
Slot 1 CPU 0:
ID Name Maximum Used Free Total(/s) Rate(/s) Usage(%)
1 Admin NA 500 NA NA 1000 NA
2 conetxt1 10000 300 9700 1000 100 10
3 context2 2000 1000 1000 2000 1000 50
Security policy rule usage:
ID Name Maximum Used Free
1 Admin NA 500 NA
2 conetxt1 10000 300 9700
3 context2 2000 1000 1000
表1-3 display context capability命令显示信息描述表
字段 |
描述 |
Session usage |
表示可分配会话连接数的使用情况 |
Session establishment rate |
表示可分配会话新建速率的使用情况 |
Security policy rule usage |
表示可分配安全策略规则资源的使用情况 |
ID |
表示Context的ID |
Name |
表示Context的名称 |
Maximum |
表示当前Context内可分配资源的最大值 |
Used |
表示当前Context内可分配资源已被使用的数量 |
Free |
表示当前Context内可分配资源未被使用的数量 |
Total |
表示当前Context内会话新建速率的最大值,单位为每秒连接数 |
Rate |
表示当前Context内会话的当前新建速率,单位为每秒连接数 |
Usage |
表示当前Context内会话新建速率所占的百分比 |
【相关命令】
· capability security-policy-rule maximum
· capability session maximum
· capability session rate
· capability sslvpn-user maximum
display context capability inbound broadcast命令用来显示Context入方向广播报文的速率限制的统计信息。
【命令】
(独立运行模式)
display context name context-name capability inbound broadcast slot slot-number cpu cpu-number
(IRF模式)
display context name context-name capability inbound broadcast chassis chassis-number slot slot-number cpu cpu-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name context-name:显示指定Context上入方向广播报文的速率限制的统计信息。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。
slot slot-number:显示指定单板上的入方向广播报文的速率限制的统计信息,slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的入方向广播报文的速率限制的统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的入方向广播报文的速率限制的统计信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示Context abc在指定Slot上的入方向广播报文的速率限制的统计信息。(独立运行模式)
<Sysname> display context name abc capability inbound broadcast slot 1 cpu 1
Context name: abc
Context ID: 2
Drop Rate: 1000 pps
Inbound throughput limit: 8000 pps
Total inbound throughput limit: 10000 pps
表1-4 display context capability inbound broadcast命令显示信息描述表
字段 |
描述 |
Context name |
表示Context的名称 |
Context id |
表示Context的ID |
Drop Rate |
表示此Context丢弃广播报文的速率,单位为pps |
Inbound throughput limit |
表示此Context入方向广播报文的总速率阈值,单位为pps |
Total inbound throughput limit |
表示所有Context入方向广播报文的速率阈值,单位为pps |
display context capability inbound multicast命令用来显示Context入方向组播报文的速率限制的统计信息。
【命令】
(独立运行模式)
display context name context-name capability inbound multicast slot slot-number cpu cpu-number
(IRF模式)
display context name context-name capability inbound multicast chassis chassis-number slot slot-number cpu cpu-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name context-name:显示指定Context上入方向组播报文的速率限制的统计信息。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。
slot slot-number:显示指定单板上的入方向组播报文的速率限制的统计信息,slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的入方向组播报文的速率限制的统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的入方向组播报文的速率限制的统计信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示Context abc在指定Slot上的入方向组播报文的速率限制的统计信息。(独立运行模式)
<Sysname> display context name abc capability inbound multicast slot 1 cpu 1
Context name: abc
Context ID: 2
Drop Rate: 1000 pps
Inbound throughput limit: 8000 pps
Total inbound throughput limit: 10000 pps
表1-5 display context capability inbound multicast命令显示信息描述表
字段 |
描述 |
Context name |
表示Context的名称 |
Context id |
表示Context的ID |
Drop Rate |
表示此Context丢弃组播报文的速率,单位为pps |
Inbound throughput limit |
表示此Context入方向组播报文的总速率阈值,单位为pps |
Total inbound throughput limit |
表示所有Context入方向组播报文的速率阈值,单位为pps |
display context capability inbound unicast命令用来显示Context入方向单播报文的速率限制的统计信息。
【命令】
(独立运行模式)
display context name context-name capability inbound unicast slot slot-number cpu cpu-number
(IRF模式)
display context name context-name capability inbound unicast chassis chassis-number slot slot-number cpu cpu-number
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name context-name:显示指定Context上入方向单播报文的速率限制的统计信息。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。
slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示Context abc在指定Slot上的入方向单播报文的速率限制的统计信息。(独立运行模式)
<Sysname> display context name abc capability inbound unicast slot 1 cpu 1
Context Name: abc
Context ID: 2
The Total Threshold is 0
The Context Threshold is 100
The Total Drop Num is 0
CPUID Pper Dper Prate Pcycle Drate Dcycle HDrate TotalDrate
CPU0 0.0% 0.0% 0/s 0 0/s 0 0/s 0/s
CPU1 0.0% 0.0% 0/s 0 0/s 0 0/s 0/s
表1-6 display context capability inbound unicast命令显示信息描述表
字段 |
描述 |
Context name |
表示Context的名称 |
Context ID |
表示Context的ID |
The Total Threshold |
表示所有Context入方向单播报文的总cpu消耗阈值百分比 |
The Context Threshold |
表示此Context入方向单播报文的cpu消耗阈值百分比 |
The Total Drop Num |
单播限速丢包数 |
CPUID |
CPUID |
Pper |
通过报文消耗的cycle数的百分比 |
Dper |
丢弃报文消耗的cycle数的百分比 |
Prate |
通过报文速率 |
Pcycle |
通过报文消耗的cycle数 |
Drate |
丢弃报文速率 |
Dcycle |
丢弃报文消耗的cycle数 |
HDrate |
硬件丢包速率 |
TotalDrate |
总丢包速率 |
display context configuration命令用来显示各Context的配置信息。
【命令】
display context [ name context-name ] configuration [ file filename ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name context-name:显示指定Context的配置信息,context-name是Context的名称,为1~15个字符的字符串,区分大小写。若不指定该参数,则表示显示所有Context的配置信息。
file filename:表示将显示的配置信息保存到指定文件。filename表示文件的名称,为1~255个字符的字符串(含后缀),不区分大小写,文件名不能为“.”或“..”,不能包含“"”、“/”、“:”、“\”、“?”、“\\”、“<”、“>”、“|”、“*”,首字符不能为“-”,且后缀必须为“.tar.gz”,后缀不区分大小写。不指定该参数时,用户可根据提示信息选择将配置信息保存到指定文件或直接将配置信息导出到终端显示。
【使用指导】
此命令仅支持在缺省Context中使用。
执行该命令,相当于在所有Context中一次性执行display current-configuration命令。
在缺省Context中,无法对处于未启动状态的自定义Context进行配置信息收集。
【举例】
# 显示所有Context的配置信息。
<Sysname> display context configuration
Save or display context configuration(Y=save, N=display)? [Y/N]:n
===========inner configuration of context Admin===========
============================================================
display current-configuration
#
version 7.1.064, Feature 9321
#
sysname Sysname
#
context Admin id 1
#
context cnt1 id 2
#
return
<Sysname>
===========inner configuration of context cnt1===========
============================================================
display current-configuration
#
version 7.1.064, Feature 9321
#
sysname Sysname
#
context Admin id 1
#
context cnt1 id 2
---- More ----
# 在交互信息时选择将配置信息保存到指定文件,并输入文件名为test.tar.gz。
<Sysname> display context configuration
Save or display context configuration (Y=save, N=display)? [Y/N]:y
Please input the file name(*.tar.gz)[flash:/diag.tar.gz]: test.tar.gz
Saving context configuration to flash:/test.tar.gz. Please wait....
# 在命令行中直接通过参数指定将配置信息保存到文件test.tar.gz。
<Sysname> display context configuration file test.tar.gz
Saving context configuration to flash:/test.tar.gz. Please wait...
display context interface命令用来显示Context的接口列表。
【命令】
display context [ name context-name ] interface
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name context-name:Context的名称,为1~15个字符的字符串,区分大小写。
【使用指导】
在缺省Context中,可使用name context-name参数查看指定Context的接口列表;不指定name context-name参数时,则显示设备上创建的所有Context的接口列表。
【举例】
# 显示所有Context的接口列表。
<Sysname> display context interface
Context stub1's interfaces:
GigabitEthernet1/0/2
Context stub2's interfaces:
GigabitEthernet1/0/3
【相关命令】
· allocate interface
display context online-users sslvpn命令用来显示所有Context内SSL VPN在线用户数。
【命令】
display context online-users sslvpn
【视图】
任意视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本命令仅支持在缺省Context中使用。
此功能统计的SSL VPN在线用户数指的是当前在线的SSL VPN会话数。
【举例】
# 显示所有Context内SSL VPN在线用户数。
<Sysname> display context online-users sslvpn
Total number of SSL VPN online users: 50
表1-7 display context online-users sslvpn命令显示信息描述表
字段 |
描述 |
Total number of SSL VPN online users |
所有Context内SSL VPN在线用户总数 |
display context resource命令用来显示Context对CPU/磁盘/内存资源的使用情况。
【命令】
(独立运行模式)
display context [ name context-name ] resource [ cpu | disk | memory ] [ slot slot-number cpu cpu-number ]
(IRF模式)
display context [ name context-name ] resource [ cpu | disk | memory ] [ chassis chassis-number slot slot-number cpu cpu-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name context-name:显示指定Context对CPU/磁盘/内存资源的使用情况。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。不指定该参数时,显示所有Context对CPU/磁盘/内存资源的使用情况。
cpu:显示Context对CPU的使用情况。
disk:显示Context对磁盘的使用情况。
memory:显示Context对内存的使用情况。
slot slot-number cpu cpu-number:显示Context对指定单板的CPU/磁盘/内存资源的使用情况,slot-number表示单板所在的槽位号,cpu-number表示CPU的编号。不指定该参数时,显示Context对所有单板的CPU/磁盘/内存资源的使用情况。(独立运行模式)
chassis chassis-number slot slot-number cpu cpu-number:显示Context对指定成员设备的指定单板的CPU/磁盘/内存资源的使用情况,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号,cpu-number表示CPU的编号。不指定该参数时,显示Context对IRF中所有单板的CPU/磁盘/内存资源的使用情况。(IRF模式)
【使用指导】
若不指定cpu、disk和memory参数,则显示Context对CPU、磁盘和内存的使用情况。
【举例】
# 显示Context对所有单板上CPU资源的使用情况。(独立运行模式)
<Sysname> display context resource cpu
CPU usage:
Slot 2 CPU 1:
ID Name Weight Usage(%)
1 cnt1 10 24
2 cnt2 10 0
表1-8 display context resource命令显示信息描述表
字段 |
描述 |
Memory |
表示下面显示的是内存的使用情况 |
CPU |
表示下面显示的是CPU的使用情况 |
Disk |
表示下面显示的是磁盘的使用情况 |
Used 238.1MB, Free 249.3MB, Total 487.4MB |
内存的使用情况,Used表示内存已使用空间的大小(单位为MB),Free表示当前空闲内存的大小(单位为MB),Total表示整个内存大小(单位为MB)。如果Context没有启动,则Used会显示为0 |
Cfa0: Used 0MB, Free 61MB, Total 61MB |
Cfa0表示磁盘的名称,Used表示整个磁盘已使用空间的大小(单位为MB),Free表示整个磁盘当前空闲空间的大小(单位为MB),Total表示整个磁盘空间大小(单位为MB)。如果Context没有启动,则Used会显示为0 |
ID |
Context的编号 |
name |
Context的名称 |
Weight |
Context使用CPU的权重值 |
Usage(%) |
Context对CPU的实际占用率,用百分比表示 |
Quota(MB) |
Context使用磁盘/内存的限制值,单位为MB |
Used(MB) |
Context当前已使用的磁盘/内存空间的大小,单位为MB |
Free(MB) |
Context还可以使用的磁盘/内存空间的大小,单位为MB |
【相关命令】
· limit-resource cpu
· limit-resource disk
· limit-resource memory
display context statistics命令用来显示Context内资源的统计信息。
【命令】
display context [ name context-name ] statistics [ file filename ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name context-name:显示指定Context内资源的统计信息,context-name是Context的名称,为1~15个字符的字符串,区分大小写。若不指定该参数,则表示显示所有Context内资源的统计信息。
file filename:表示将收集到的资源统计信息保存到指定文件。filename表示文件的名称,为1~255个字符的字符串(含后缀),不区分大小写,文件名不能为“.”或“..”,不能包含“"”、“/”、“:”、“\”、“?”、“\\”、“<”、“>”、“|”、“*”,首字符不能为“-”,且后缀必须为“.tar.gz”,后缀不区分大小写。不指定该参数时,用户可根据提示信息选择将资源的统计信息保存到指定文件或直接将资源的统计信息导出到终端显示。
【使用指导】
此命令仅支持在缺省Context中使用。
执行该命令,相当于一次性执行如下命令:
· display context capability
· display counters inbound interface
· display counters outbound interface
· display counters rate inbound interface
· display counters rate outbound interface
· display interface
· display ip statistics
· display ipv6 statistics
· display session statistics
· display system internal aspf statistics zone-pair ipv4
· display system internal aspf statistics zone-pair ipv6
有关此命令显示信息的详细介绍,请参考各个命令显示信息的介绍。
【举例】
# 显示所有Context内资源的统计信息。
<Sysname> display context statistics
Save or display context statistics (Y=save, N=display)? [Y/N]:n
========================================================
=============== display session statistics =================
Slot 1:
Current sessions: 0
TCP sessions: 0
UDP sessions: 0
ICMP sessions: 0
ICMPv6 sessions: 0
UDP-Lite sessions: 0
SCTP sessions: 0
DCCP sessions: 0
RAWIP sessions: 0
---- More ----
# 将资源统计信息保存到指定文件,并输入文件名为test.tar.gz。
<Sysname> display context statistics
Save or display context statistics(Y=save, N=display)? [Y/N]:y
Please input the file name(*.tar.gz)[flash:/diag.tar.gz]: test.tar.gz
Saving context statistics to flash:/test.tar.gz. Please wait....
# 将资源统计信息保存到文件test.tar.gz。
<Sysname> display context statistics file test.tar.gz
Saving context statistics to flash:/test.tar.gz. Please wait...
【相关命令】
· display context capability
· display counters inbound interface(接口管理命令参考/以太网接口)
· display counters outbound interface(接口管理命令参考/以太网接口)
· display counters rate inbound interface(接口管理命令参考/以太网接口)
· display counters rate outbound interface(接口管理命令参考/以太网接口)
· display interface(接口管理命令参考/以太网接口)
· display ip statistics(三层技术-IP业务命令参考/IP性能优化)
· display ipv6 statistics(三层技术-IP业务命令参考/IPv6基础)
· display session statistics(安全命令参考/会话管理)
· display system internal aspf statistics zone-pair ipv4(Probe命令参考)
· display system internal aspf statistics zone-pair ipv6(Probe命令参考)
display context vlan命令用来显示Context的VLAN列表。
【命令】
display context [ name context-name ] vlan
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
name context-name:Context的名称,为1~15个字符的字符串,区分大小写。
【使用指导】
在缺省Context中,可使用name context-name参数查看指定Context的VLAN列表;不指定name context-name参数时,则显示设备上创建的所有Context的VLAN列表。
【举例】
# 显示所有Context的VLAN列表。
<Sysname> display context vlan
Context stub1's VLAN(s):
Context stub2's VLAN(s):
2,4094
Context stub3's VLAN(s):
5,6,800-3000,3400
# 显示Context sub1的VLAN列表。
<Sysname> display context name sub1 vlan
Context stub1's VLAN(s):
5,6,11-23,3400
【相关命令】
· allocate vlan
limit-resource cpu命令用来配置Context的CPU权重。
undo limit-resource cpu命令用来恢复缺省情况。
【命令】
limit-resource cpu weight weight-value
undo limit-resource cpu
【缺省情况】
各Context的CPU权重均为10。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
weight weight-value:配置指定Context的CPU权重,取值范围为1~10。系统根据Context的权重为Context分配CPU时间。
【使用指导】
进驻到同一安全引擎的Context共享该安全引擎的CPU资源。配置本命令后,Context在己进驻的安全引擎上都将获得相同的CPU权重。
【举例】
# 配置Context的CPU权重为2。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource cpu weight 2
limit-resource disk命令用来配置Context可使用的磁盘空间上限(用百分比表示)。
undo limit-resource disk命令用来恢复缺省情况。
【命令】
(独立运行模式)
limit-resource disk slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource disk slot slot-number cpu cpu-number
(IRF模式)
limit-resource disk chassis chassis-number slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource disk chassis chassis-number slot slot-number cpu cpu-number
【缺省情况】
进驻到同一安全引擎的所有Context共享该安全引擎的所有磁盘空间,每个Context可使用的磁盘空间上限为该安全引擎的空闲磁盘空间值。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
slot slot-number cpu cpu-number:配置Context在指定单板上可使用的磁盘空间上限。slot-number表示单板所在的槽位号,cpu-number表示CPU的编号。(独立运行模式)
chassis chassis-number slot slot-number cpu cpu-number:配置Context在指定成员设备的指定单板上可使用的磁盘空间上限。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号,cpu-number表示CPU的编号。(IRF模式)
ratio limit-ratio:表示Context在设备上最多可使用的磁盘空间大小与该设备整个磁盘空间大小的百分比,取值范围为1~100。
【使用指导】
为了防止单个Context过多的占用磁盘而影响其它Context,特别是为防止异常情况下对磁盘的占用,可以为指定的Context配置磁盘上限,当Context占用磁盘空间达到限制值时,后续不能申请新的磁盘空间。
请在Context启动后配置磁盘上限。执行limit-resource disk命令前,请使用display context resource命令查看Context当前实际已经使用的磁盘空间大小。配置值应大于Context当前实际已经使用的磁盘空间大小,否则,会导致Context申请新的磁盘空间失败,从而无法进行文件夹创建、文件拷贝和保存等操作。
如果设备上有多块磁盘,该命令对所有磁盘生效。
【举例】
# 配置Context cnt2最多可使用3号单板上安全引擎磁盘空间的20%。(独立运行模式)
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource disk slot 3 cpu 1 ratio 20
# 配置Context cnt2最多可使用2号成员设备3号单板上安全引擎磁盘空间的30%。(IRF模式)
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource disk chassis 2 slot 3 cpu 1 ratio 30
limit-resource memory命令用来配置Context可使用的内存空间上限(用百分比表示)。
undo limit-resource memory命令用来恢复到缺省情况。
【命令】
(独立运行模式)
limit-resource memory slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource memory slot slot-number cpu cpu-number
(IRF模式)
limit-resource memory chassis chassis-number slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource memory chassis chassis-number slot slot-number cpu cpu-number
【缺省情况】
进驻到同一安全引擎的所有Context共享该安全引擎的所有内存空间,每个Context可使用的内存空间上限为该安全引擎的空闲内存空间值。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
slot slot-number cpu cpu-number:配置Context在指定单板上可使用的内存空间上限。slot-number表示单板所在的槽位号,cpu-number表示CPU的编号。(独立运行模式)
chassis chassis-number slot slot-number cpu cpu-number:配置Context在指定成员设备的指定单板上可使用的内存空间上限。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号,cpu-number表示CPU的编号。(IRF模式)
ratio limit-ratio:表示Context在设备上最多可使用的内存大小与该设备整个内存大小的百分比,取值范围为1~100。
【使用指导】
为了防止单个Context过多的占用内存而影响其它Context,特别是为防止异常情况下对内存的占用,可以为指定的Context配置内存上限,当Context占用内存达到限制值时,后续不能申请新的内存。
请在Context启动后再配置内存上限,并且配置的上限值不应过小,以免Context内业务申请不到内存而引起功能异常。
【举例】
# 配置Context cnt2最多可使用3号单板安全引擎内存的30%。(独立运行模式)
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource memory slot 3 cpu 1 ratio 30
# 配置Context cnt2最多可使用2号成员设备3号单板安全引擎内存的30%。(IRF模式)
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource memory chassis 2 slot 3 cpu 1 ratio 30
location blade-controller命令用来将安全引擎加入安全引擎组。
undo location blade-controller命令用来恢复缺省情况。
【命令】
(独立运行模式)
location blade-controller slot slot-number cpu cpu-number
undo location blade-controller slot slot-number cpu cpu-number
(IRF模式)
location blade-controller chassis chassis-number slot slot-number cpu cpu-number
undo location blade-controller chassis chassis-number slot slot-number cpu cpu-number
【缺省情况】
安全引擎插入时会自动加入缺省安全引擎组。
【视图】
安全引擎组视图
【缺省用户角色】
network-admin
【参数】
slot slot-number cpu cpu-number: slot-number表示安全引擎所在的槽位号,cpu-number表示安全引擎的CPU的编号。(独立运行模式)
chassis chassis-number slot slot-number cpu cpu-number: chassis-number表示设备在IRF中的成员编号,slot-number表示安全引擎所在的槽位号,cpu-number表示安全引擎的CPU的编号。(IRF模式)
【使用指导】
缺省安全引擎组中必须至少存在一个安全引擎,否则设备不能正常处理业务。
将一个已经在位的安全引擎加入安全引擎组,这样的命令会立即生效。
将一个不在位的安全引擎加入安全引擎组,这样的命令会在安全引擎插入后生效。这样的配置方式称为预配置,能够帮助用户先完成配置,再进行硬件部署。使用该方式配置前,请先规划安全引擎即将插入的位置。因为,如果配置的位置误插入非安全引擎,设备会自动将该命令删除,以后插入安全引擎时,需要重新配置。
当前,每个安全引擎组中可加入的安全引擎个数没有限制,但是一个安全引擎只能属于一个安全引擎组。
缺省安全引擎组中必须至少存在一个安全引擎,否则设备不能正常处理业务。
【举例】
# 将2号槽位上1号CPU的安全引擎加入安全引擎组abc。(独立运行模式)
<sysname> system-view
[sysname] blade-controller-team abc
[Sysname-blade-controller-team-2-abc] location blade-controller slot 2 cpu 1
This operation will also reboot the blade controller. Continue? [Y/N]:y
# 将2号成员设备2号槽位上1号CPU的安全引擎加入安全引擎组abc。(IRF模式)
<sysname> system-view
[sysname] blade-controller-team abc
[Sysname-blade-controller-team-2-abc] location blade-controller chassis 2 slot 2 cpu 1
This operation will also reboot the blade controller. Continue? [Y/N]:y
# 将3号槽位上1号CPU的安全引擎(不在位)加入安全引擎组abc。(独立运行模式)
<sysname> system-view
[sysname] blade-controller-team abc
[Sysname-blade-controller-team-2-abc] location blade-controller slot 3 cpu 1
Operation succeeded, but the blade controller is absent.
# 将2号成员设备3号槽位上1号CPU的安全引擎(不在位)加入安全引擎组abc。(IRF模式)
<sysname> system-view
[sysname] blade-controller-team abc
[Sysname-blade-controller-team-2-abc] location blade-controller chassis 2 slot 3 cpu 1
Operation succeeded, but the blade controller is absent.
location blade-controller-team命令用于使Context进驻对应的安全引擎组。
undo location blade-controller-team命令用于将Context从安全引擎组中移除。
【命令】
location blade-controller-team team-id
undo location blade-controller-team team-id
【缺省情况】
缺省Context进驻了所有安全引擎组,非缺省Context未进驻任何安全引擎组。
【视图】
Context视图
【缺省用户角色】
network-admin
【参数】
team-id:当前已经创建的安全引擎组的编号。
【使用指导】
如果没有进驻安全引擎,即使Context已经启动,Context也没有实际运行的环境,无法运行业务。
Context进驻安全引擎组后,才能使用安全引擎组中安全引擎上的资源,包括CPU、磁盘和内存。
Context和安全引擎组的关系如下:
· 一个Context只能进驻一个安全引擎组。如果该Context已经进驻一个安全引擎组,请先执行undo location blade-controller-team命令退出已进驻的安全引擎组,再配置location blade-controller-team命令,进驻其它安全引擎组。
· 在不同的Context视图下执行该命令可以使多个Context进驻同一个安全引擎组。最多可以有256个Context进驻到同一个安全引擎组,安全引擎组和Context是一对多的关系。
· 安全引擎组中加入新的安全引擎后,安全引擎组上已进驻的Context会自动进驻到新加入的安全引擎上,不需要再次配置。
【举例】
# 将Context cnt2进驻到安全引擎组2。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] location blade-controller-team 2
【相关命令】
· blade-controller-team
reset blade-controller-team命令用来清除指定安全引擎组中不在位的安全引擎的数据信息。
【命令】
(独立运行模式)
reset blade-controller-team team-id member slot slot-number cpu cpu-number
(IRF模式)
reset blade-controller-team team-id member chassis chassis-number slot slot-number cpu cpu-number
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
team-id:安全引擎所属安全引擎组的编号,取值范围为1~256。可使用display blade-controller-team命令查看。
slot slot-number:表示安全引擎所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:chassis-number表示安全引擎所在设备的成员编号,slot-number表示安全引擎所在的槽位号。(分布式IRF设备)
cpu cpu-number:表示安全引擎的CPU编号。
【举例】
# 清除安全引擎组abc中安全引擎(编号为1,所在位置为2号槽位1号CPU)的数据信息。(独立运行模式)
<sysname> reset blade-controller-team 1 member slot 2 cpu 1
# 清除安全引擎组abc中安全引擎(编号为1,所在位置为1号成员设备2号槽位1号CPU)的数据信息。(IRF模式)
<sysname> reset blade-controller-team 1 member chassis 1 slot 2 cpu 1
reset context capability inbound broadcast命令用来清除Context入方向广播报文的速率限制的统计信息。
【命令】
(独立运行模式)
reset context name context-name capability inbound broadcast slot slot-number cpu cpu-number
(IRF模式)
reset context name context-name capability inbound broadcast chassis chassis-number slot slot-number cpu cpu-number
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
name context-name:清除指定Context上入方向广播报文的速率限制的统计信息。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。
slot slot-number:清除Context在指定单板上的入方向广播报文的速率限制的统计信息,slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:清除Context在指定成员设备的指定单板上的入方向广播报文的速率限制的统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的Context内可分配会话资源的使用情况,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 清除Context abc在指定Slot上的广播限速统计信息。(独立运行模式)
<Sysname> reset context name abc capability inbound broadcast slot 1 cpu 1
reset context capability inbound multicast命令用来清除Context入方向组播报文的速率限制的统计信息。
【命令】
(独立运行模式)
reset context name context-name capability inbound multicast slot slot-number cpu cpu-number
(IRF模式)
reset context name context-name capability inbound multicast chassis chassis-number slot slot-number cpu cpu-number
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
name context-name:清除指定Context上入方向组播报文的速率限制的统计信息。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。
slot slot-number:清除Context在指定单板上的入方向组播报文的速率限制的统计信息,slot-number表示单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:清除Context在指定成员设备的指定单板上的入方向组播报文的速率限制的统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:显示指定CPU上的Context内可分配会话资源的使用情况,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 清除Context abc在指定Slot上的组播限速统计信息。(独立运行模式)
<Sysname> reset context name abc capability inbound multicast slot 1 cpu 1
reset context capability inbound unicast命令用来清除Context入方向单播报文的速率限制的统计信息。
【命令】
(独立运行模式)
reset context name context-name capability inbound unicast slot slot-number cpu cpu-number
(IRF模式)
reset context name context-name capability inbound unicast chassis chassis-number slot slot-number cpu cpu-number
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
name context-name:清除指定Context上入方向单播报文的速率限制的统计信息。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。
slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 清除Context abc在指定Slot上的单播限速统计信息。(独立运行模式)
<Sysname> reset context name abc capability inbound unicast slot 1 cpu 1
switchto context命令用来登录到指定的Context。
【命令】
switchto context context-name
【视图】
系统视图
【缺省用户角色】
network-admin
network-operator
【参数】
context-name:已启动的Context的名称。
【使用指导】
只要用户和物理设备之间路由可达,就能使用该命令,通过物理设备和Context的内联接口,登录Context。
【举例】
# 切换到Context test2。
<Sysname> system-view
[Sysname] switchto context test2
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<Context2>
tar context log命令用来收集各Context的日志信息。
【命令】
tar context [ name context-name ] log file filename
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
name context-name:收集指定Context的日志信息,context-name是Context的名称,为1~15个字符的字符串,区分大小写。若不指定该参数,则表示收集所有Context的日志信息。
file filename:表示将收集到的日志信息保存到指定文件。filename表示文件的名称,为1~255个字符的字符串(含后缀),不区分大小写,文件名不能为“.”或“..”,不能包含“"”、“/”、“:”、“\”、“?”、“\\”、“<”、“>”、“|”、“*”,首字符不能为“-”,且后缀必须为“.tar.gz”,后缀不区分大小写。
【使用指导】
此命令仅支持在缺省Context中使用。
执行该命令会收集logfile文件夹和diagfile文件夹下的所有文件。
在缺省Context中,无法对从未启动过的自定义Context进行日志信息收集。
【举例】
# 收集各Context的日志信息,并指定保存文件的名称为test.tar.gz。
<Sysname> tar context log file test.tar.gz
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!