• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

03-虚拟化技术命令参考

目录

02-Context命令

本章节下载 02-Context命令  (505.66 KB)

02-Context命令

  录

1 Context

1.1 缺省Context上支持的Context配置命令

1.1.1 allocate interface

1.1.2 allocate vlan

1.1.3 allocate vxlan

1.1.4 blade-controller-team

1.1.5 capability security-policy-rule maximum

1.1.6 capability session maximum

1.1.7 capability session rate

1.1.8 capability throughput

1.1.9 context

1.1.10 context start

1.1.11 context-capability inbound broadcast single

1.1.12 context-capability inbound broadcast total

1.1.13 context-capability inbound drop-logging enable

1.1.14 context-capability inbound multicast single

1.1.15 context-capability inbound multicast total

1.1.16 context-capability inbound unicast total

1.1.17 context-capability throughput alarm enable

1.1.18 context-capability throughput drop-logging enable

1.1.19 description

1.1.20 display blade-controller-team

1.1.21 display capability inbound unicast

1.1.22 display context

1.1.23 display context capability

1.1.24 display context capability inbound broadcast

1.1.25 display context capability inbound multicast

1.1.26 display context configuration

1.1.27 display context interface

1.1.28 display context reboot

1.1.29 display context resource

1.1.30 display context statistics

1.1.31 display context vlan

1.1.32 limit-resource cpu

1.1.33 limit-resource disk

1.1.34 limit-resource memory

1.1.35 location blade-controller

1.1.36 location blade-controller-team

1.1.37 reset blade-controller-team

1.1.38 reset context capability inbound broadcast

1.1.39 reset context capability inbound multicast

1.1.40 reset context reboot

1.1.41 snmp-agent trap enable sib

1.1.42 switchto context

1.1.43 tar context log

1.2 非缺省Context上支持的Context配置命令

1.2.1 display context interface

1.2.2 display context reboot

1.2.3 reset context reboot

 


1 Context

1.1  缺省Context上支持的Context配置命令

本章节描述的是登录到物理设备(即缺省Context)后,在缺省Context上可以执行的Context配置命令。

1.1.1  allocate interface

allocate interface命令用来为Context分配接口。

undo allocate interface命令用来取消为Context分配的接口。

【命令】

allocate interface { interface-type interface-number }&<1-24> [ share ]

undo allocate interface { interface-type interface-number }&<1-24>

allocate interface interface-type interface-number1 to interface-type interface-number2 [ share ]

undo allocate interface interface-type interface-number1 to interface-type interface-number2

【缺省情况】

设备上的所有接口都属于缺省Context,不属于任何非缺省Context。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

{ interface-type interface-number }&<1-24>:表示给Context分配非连续的接口。interface-type interface-number表示接口类型和编号,&<1-24>表示前面的参数最多可以输入24次。

interface-type interface-number1 to interface-type interface-number2:表示给Context分配一组连续的接口。其中,interface-type表示接口类型,interface-number1表示起始接口的编号,interface-number2表示结束接口的编号。起始接口和结束接口的类型必须相同,并且处于同一接口板上,否则将配置失败。

share:表示接口是否共享。不指定该参数表示独占。

【使用指导】

·     独占方式分配(不带share参数)。使用该方式分配的接口仅归该Context所有、使用。用户登录该Context后,能查看到该接口,并执行接口支持的所有命令。

·     共享方式分配(带share参数)。使用该方式分配的接口归多个Context所有、使用。在缺省Context内仍然存在该接口,可执行接口支持的所有命令;在分配给的非缺省Context内,会新建同名接口,用户登录这些Context后,能查看到该接口,但只能执行description以及网络/安全相关的命令。

注意

·     当设备运行在IRF模式时,禁止将IRF物理端口分配给自定义Context。

·     当三层子接口作为冗余口的成员端口时,禁止把其主接口共享给自定义Context。

·     逻辑接口仅支持共享方式分配,物理接口支持独占和共享两种方式分配。

 

【举例】

# 将接口Ten-GigabitEthernet1/0/5和Ten-GigabitEthernet1/0/7以共享的方式分配给context sub1。

<Sysname> system-view

[Sysname] context sub1

[Sysname-context-2-sub1] allocate interface ten-gigabitethernet 1/0/5 ten-gigabitethernet 1/0/7 share

1.1.2  allocate vlan

allocate vlan命令用来为Context分配VLAN。

undo allocate vlan命令用来取消为Context分配的VLAN。

【命令】

allocate vlan vlan-id&<1-24>

undo allocate vlan vlan-id&<1-24>

allocate vlan vlan-id1 to vlan-id2

undo allocate vlan vlan-id1 to vlan-id2

【缺省情况】

没有为Context分配VLAN。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

vlan-id&<1-24>表示给Context分配非连续的VLAN。vlan-id表示VLAN的编号,&<1-24>表示前面的参数最多可以输入24次。

vlan-id1 to vlan-id2表示给Context分配一组连续的VLAN。其中,vlan-id1表示起始VLAN的编号,vlan-id2表示结束VLAN的编号。

【使用指导】

创建Context时,通过vlan-unshared参数可选择是否和其它Context共享VLAN:

·     如果选择和其它Context共享VLAN,可以通过本命令将设备上存在的除VLAN 1以外的静态VLAN分配给非缺省Context。共享VLAN由多个Context共同所有。VLAN被分配后,用户须在缺省Context内对该VLAN配置,非缺省Context内不能配置该VLAN,只能查看该VLAN的相关信息。

·     如果选择不和其它Context共享VLAN,请登录该Context,并使用vlan命令创建VLAN 2~VLAN 4094。VLAN 1为缺省VLAN,用户不能手工创建和删除。Context各自使用和管理VLAN,互不干扰。

【举例】

# 将VLAN100分配给context sub1。

<Sysname> system-view

[Sysname] context sub1

[Sysname-context-2-sub1] allocate vlan 100

【相关命令】

·     display context vlan

1.1.3  allocate vxlan

allocate vxlan命令用来为Context分配VXLAN。

undo allocate vxlan命令用来取消为Context分配的VXLAN。

【命令】

allocate vxlan vxlan-id&<1-24>

undo allocate vxlan vxlan-id&<1-24>

allocate vxlan vxlan-id1 to vxlan-id2

undo allocate vxlan vxlan-id1 to vxlan-id2

【缺省情况】

没有为Context分配VXLAN。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

vxlan-id&<1-24>:表示给Context分配非连续的VXLAN。vxlan-id表示VXLAN的编号,取值范围为0~16777215,&<1-24>表示前面的参数最多可以输入24次。

vxlan-id1 to vxlan-id2:表示给Context分配一组连续的VXLAN。其中,vxlan-id1表示起始VXLAN的编号,vxlan-id2表示结束VXLAN的编号,vxlan-id1vxlan-id2的取值范围为0~16777215。

【使用指导】

为Context分配的VXLAN仅归该Context所有,其他Context不能对其进行使用、配置。

【举例】

# 将VXLAN 100分配给Context sub1。

<Sysname> system-view

[Sysname] context sub1

[Sysname-context-2-sub1] allocate vxlan 100

The VXLAN will be allocated to context sub1. Continue? [Y/N]:y

1.1.4  blade-controller-team

blade-controller-team命令用来创建安全引擎组,并进入安全引擎组视图。如果指定的安全引擎组已经存在,则直接进入安全引擎组视图。

undo blade-controller-team命令用来删除指定的安全引擎组。

【命令】

blade-controller-team blade-controller-team-name [ id blade-controller-team-id ]

undo blade-controller-team { blade-controller-team-name | id blade-controller-team-id }

【缺省情况】

存在安全引擎组,名称为Default,编号为1。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

blade-controller-team-name:安全引擎组的名称,为1~31个字符的字符串,区分大小写。

id blade-controller-team-id:安全引擎组的编号,取值范围为2~256。不指定该参数时,系统会自动分配一个当前空闲的最小编号。

【使用指导】

缺省安全引擎组不能创建、删除,且不能进入缺省安全引擎组的视图。

当删除安全引擎组时,如果该组中有进驻的安全引擎,请先用undo location blade-controller命令取消进驻后,再删除该组。

【举例】

# 创建名为abc的安全引擎组,并进入安全引擎组视图。

<sysname> system-view

[sysname] blade-controller-team abc

[sysname-blade-controller-team-3-abc]

1.1.5  capability security-policy-rule maximum

capability security-policy-rule maximum命令用来设置Context的安全策略规则总数限制。

undo capability security-policy-rule maximum命令用来恢复缺省情况。

【命令】

capability security-policy-rule maximum max-number

undo capability security-policy-rule maximum

【缺省情况】

未对Context的安全策略规则总数进行限制。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

max-number:表示Context内可配置的安全策略规则最大数目,取值范围为1~4294967295。

【使用指导】

一个Context内可以配置多个安全策略规则。如果不加限制,会出现大量规则占用过多的内存的情况,影响Context的其它功能正常运行。所以,请根据需要为Context设置安全策略规则总数限制。当规则总数达到限制值时,后续不能新增规则。

如果设置的最大值比当前存在的规则总数小,配置仍会成功,多出的规则不会删除,依然生效,但不能新增规则。

一个Context的最大安全策略规则数,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的安全策略规则数。

【举例】

# 配置Context的安全策略规则数最多为1000条。

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] capability security-policy-rule maximum 1000

【相关命令】

·     display security-policy ip(安全命令参考/安全策略)

1.1.6  capability session maximum

capability session maximum命令用来设置Context的单播会话并发数限制。

undo capability session maximum命令用来恢复缺省情况。

【命令】

capability session maximum max-number

undo capability session maximum

【缺省情况】

未对Context允许的单播会话并发数进行限制。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

max-number:允许同时存在的最大单播会话数目,取值范围为1~4294967295。

【使用指导】

如果一个Context建立了太多会话会导致其他Context的会话由于内存不够而无法建立,为了防止这种情况,需要限制Context建立会话的数量,当会话总数达到限制值时,后续不能新建会话。

如果设置的最大值比当前存在的会话总数小,配置仍会成功,但不允许新建会话,且已经创建的会话不会被删除,依然生效。直到已建立的会话通过老化机制使得会话总数低于配置的最大值后,系统才允许新建会话。

一个Context的最大会话数,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的最大会话数,多个报文分散在不同引擎处理时,实际建立的会话数会大于限制的值。

Context会话并发数限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。

【举例】

# 配置Context cnt2上的单播会话并发数为1000000。

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] capability session maximum 1000000

【相关命令】

·     context

·     display session statistics(安全命令参考/会话管理)

1.1.7  capability session rate

capability session rate命令用来设置Context的会话新建速率限制。

undo capability session rate命令用来恢复缺省情况。

【命令】

capability session rate max-value

undo capablility session rate

【缺省情况】

未对Context允许的会话新建速率进行限制。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

max-value:允许的会话新建速率最大值,单位为每秒会话个数。

【使用指导】

如果一个Context的会话新建速率过快会导致其他Context由于CPU处理能力不够而无法建立会话,为了防止这种情况,需要限制Context的会话新建速率,当会话新建速率达到限制值时,后续不能新建会话。

一个Context的会话新建速率,是在进驻的每个安全引擎内独立计算的,即Context进驻的每个安全引擎都有相同的会话新建速率,多个报文分散在不同引擎处理时,实际的会话新建速率会大于限制的值。

Context会话新建速率限制对本机流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP类型的七层负载均衡等业务。

【举例】

# 配置Context cnt2上的会话新建速率最大值为每秒20000个会话数。

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] capability session rate 20000

【相关命令】

·     context

·     display session statistics(安全命令参考/会话管理)

1.1.8  capability throughput

capability throughput命令用来设置Context出方向的吞吐量限制。

undo capability throughput命令用来恢复缺省情况。

【命令】

capability throughput { kbps | pps } threshold

undo capability throughput

【缺省情况】

各Context出方向不做吞吐量限制,按实际能力转发。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

kbps:表示出方向吞吐量按每秒千比特计算。

pps:表示出方向吐量按每秒报文数计算。

threshold:表示出方向吞吐量限制值,取值范围为1000~1000000000。

【使用指导】

配置本命令后,该Context已进驻的每个安全引擎上都将获得相同的吞吐量限制。

【举例】

# 配置名称为cnt2的Context的出方向吞吐量为100000kbps。

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] capability throughput kbps 100000

# 配置名称为cnt3的Context的出方向吞吐量为10000pps。

<Sysname> system-view

[Sysname] context cnt3

[Sysname-context-3-cnt3] capability throughput pps 10000

1.1.9  context

context命令用来创建Context,并进入Context视图。如果指定的Context已经存在,则直接进入Context视图。

undo context命令用来删除指定Context。

【命令】

context context-name [ id context-id ] [ vlan-unshared ]

undo context context-name

【缺省情况】

存在缺省Context,名称为Admin,编号为1。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

context-name:Context的名称,为1~15个字符的字符串,区分大小写。

context-id:Context的编号。不指定该参数时,系统会自动给Context分配一个当前空闲的最小编号。

vlan-unshared:不和其它Context共享VLAN。不指定该参数时,表示和其它Context共享VLAN。

【使用指导】

创建Context时,通过vlan-unshared参数可选择是否和其它Context共享VLAN:

·     如果选择和其它Context共享VLAN,需要在缺省Context内创建并配置VLAN,再分配给非缺省Context。共享VLAN由多个Context共同所有。

·     如果选择不和其它Context共享VLAN,请登录该Context,并使用vlan命令创建VLAN 1~VLAN 4094。Context各自使用和管理VLAN,互不干扰。

【举例】

# 创建一个名称为test的Context。

<Sysname> system-view

[Sysname] context test

[Sysname-context-2-test]

# 创建一个名称为test,ID为2的Context。

<Sysname> system-view

[Sysname] context test id 2

[Sysname-context-2-test]

1.1.10  context start

context start命令用来启动Context。

undo context start命令用来停止该Context。

【命令】

context start [ force ]

undo context start [ force ]

【缺省情况】

未启动Context。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

force:强制启动/停止Context。不指定该参数时,表示按正常程序启动Context。

【使用指导】

注意

停止Context会导致该Context的业务中断,以及登录该Context的用户自动退出,请谨慎使用。为避免Context的当前配置丢失,停止Context前请保存Context的配置。

 

Context创建后需要执行context start命令,才能完成新Context的初始化,相当于上电启动。启动后,用户可以登录到该Context执行配置。

【举例】

# 启动Context cnt2。

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] context start

1.1.11  context-capability inbound broadcast single

context-capability inbound broadcast single命令用来配置单个Context入方向广播报文的速率限制。

undo context-capability inbound broadcast single命令用来恢复缺省情况。

【命令】

context-capability inbound broadcast single pps threshold

undo context-capability inbound broadcast single

【缺省情况】

单个Context入方向广播报文限速速率为广播报文总速率阈值除以使用共享接口Context的总数。

【视图】

系统视图

Context视图

【缺省用户角色】

network-admin

【参数】

pps threshold:入方向广播报文的速率阈值,取值范围为1000~100000,单位为pps。

【使用指导】

此功能仅对设备上使用共享接口且处于Active状态的Context生效。

在系统视图下执行此命令用来配置缺省Context入方向广播报文限速速率的阈值;在Context视图下执行此命令式用来配置非缺省Context入方向广播报文限速速率的阈值。

当广播报文总速率和单个Context入方向广播报文速率均达到各自的阈值后,发往此Context的广播报文会被设备丢弃,否则不会被丢弃。广播报文总速率限制由context-capability inbound broadcast total命令设置。

一个Context入方向广播报文的速率,在进驻的每个安全引擎内独立计算,即Context进驻的每个安全引擎都有相同的限速阈值,每个安全引擎对Context单独限制。当多个报文分散在不同安全引擎处理时,一个Context实际接收广播报文的速率可能大于设置的限速阈值。

【举例】

# 配置缺省Context入方向广播报文的速率最大值为10000pps。

<Sysname> system-view

[Sysname] context-capability inbound broadcast single pps 10000

【相关命令】

·     context-capability inbound broadcast total

1.1.12  context-capability inbound broadcast total

context-capability inbound broadcast total命令用来配置所有Context入方向广播报文的总速率限制。

undo context-capability inbound broadcast total命令用来恢复缺省情况。

【命令】

context-capability inbound broadcast total pps threshold

undo context-capability inbound broadcast total

【缺省情况】

所有Context入方向广播报文总速率限制为20000pps。

【视图】      

系统视图

【缺省用户角色】

network-admin

【参数】

pps threshold:入方向广播报文的总速率阈值,取值范围为0,1000~100000,单位为pps。取值为0时表示不限速。

【使用指导】

此功能仅对使用共享接口且处于Active状态的Context生效。

所有Context入方向广播报文总速率是指所有使用共享接口的Context接收广播报文的速率之和,简称“广播报文总速率”。

当广播报文总速率和单个Context入方向广播报文速率均达到各自的阈值后,发往此Context的广播报文会被设备丢弃,否则不会被丢弃。单个Context入方向广播报文速率由context-capability inbound broadcast single命令设置。

【举例】

# 配置所有Context入方向广播报文的总速率最大值为10000pps。

<Sysname> system-view

[Sysname] context-capability inbound broadcast total pps 10000

【相关命令】

·     context-capability inbound broadcast single

1.1.13  context-capability inbound drop-logging enable

context-capability inbound drop-logging enable命令用来开启Context入方向报文限速丢包日志功能。

undo context-capability inbound drop-logging enable命令用来关闭Context入方向报文限速丢包日志功能。

【命令】

context-capability inbound drop-logging enable

undo context-capability inbound drop-logging enable

【缺省情况】

Context入方向报文限速丢包日志功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启此功能后,当Context接收到的广播报文或组播报文因达到系统设置的阈值而被丢弃时,设备将会对丢弃的报文生成日志信息。此日志信息将会被输出到信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启Context入方向报文限速丢包日志功能。

<Sysname> system-view

[Sysname] context-capability inbound drop-logging enable

1.1.14  context-capability inbound multicast single

context-capability inbound multicast single命令用来配置单个Context入方向组播报文的速率限制。

undo context-capability inbound multicast single命令用来恢复缺省情况。

【命令】

context-capability inbound multicast single pps threshold

undo context-capability inbound multicast single

【缺省情况】

单个Context入方向组播报文限速速率为组播报文总速率阈值除以使用共享接口Context的总数。

【视图】

系统视图

Context视图

【缺省用户角色】

network-admin

【参数】

pps threshold:Context入方向组播报文的速率阈值,取值范围为1000~100000,单位为pps。

【使用指导】

此功能仅对设备上使用共享接口且处于Active状态的Context生效。

在系统视图下执行此命令用来配置缺省Context入方向组播报文限速速率的阈值;在Context视图下执行此命令式用来配置非缺省Context入方向组播报文限速速率的阈值。

当组播报文总速率和单个Context入方向组播报文速率均达到各自的阈值后,发往此Context的组播报文会被设备丢弃,否则不会被丢弃。组播报文总速率限制由context-capability inbound multicast total命令设置。

一个Context入方向组播报文的速率,在进驻的每个安全引擎内独立计算,即Context进驻的每个安全引擎都有相同的限速阈值,每个安全引擎对Context单独限制。当多个报文分散在不同安全引擎处理时,一个Context实际接收组播报文的速率可能大于设置的限速阈值。

【举例】

# 配置缺省Context入方向组播报文的限速速率是10000pps。

<Sysname> system-view

[Sysname] context-capability inbound multicast single pps 10000

【相关命令】

·     context-capability inbound multicast total

1.1.15  context-capability inbound multicast total

context-capability inbound multicast total命令用来配置所有Context入方向组播报文的总速率限制。

undo context-capability inbound multicast total命令用来恢复缺省情况。

【命令】

context-capability inbound multicast total pps threshold

undo context-capability inbound multicast total

【缺省情况】

所有Context入方向组播报文总速率限制为30000pps。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

pps threshold:入方向组播报文的总速率阈值,取值范围为0,1000~100000,单位为pps。取值为0时表示不限速。

【使用指导】

此功能仅对使用共享接口且处于Active状态的Context生效。

所有Context入方向组播报文总速率是指所有使用共享接口的Context接收组播报文的速率之和,简称“组播报文总速率”。

当组播报文总速率和单个Context入方向组播报文速率均达到各自的阈值后,发往此Context的组播报文会被设备丢弃,否则不会被丢弃。单个Context入方向组播报文速率由context-capability inbound multicast single命令设置。

【举例】

# 配置所有Context入方向组播报文的总速率最大值为10000pps。

<Sysname> system-view

[Sysname] context-capability inbound multicast total pps 10000

【相关命令】

·     context-capability inbound multicast single

·      

1.1.16  context-capability inbound unicast total

context-capability inbound unicast total命令用来配置设备入方向所有报文对CPU核的攻击防范阈值。

undo context-capability inbound unicast total命令用来恢复缺省情况。

【命令】

context-capability inbound unicast total cpu-usage threshold

undo context-capability inbound unicast total

【缺省情况】

设备入方向所有报文对CPU核的攻击防范阈值为95%。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

cpu-usage threshold:CPU核的攻击防范阈值,取值范围为1~100,单位为百分比。

【使用指导】

此功能对所有Context入方向上的所有报文(包括广播报文、组播报文和单播报文)均生效。

当某CPU核的利用率达到此攻击防范阈值,并且驱动公共队列已满时,系统则认为该CPU核受到了攻击。这时,系统将按照配置的CPU核攻击防范动作(通过attack-defense cpu-core action命令配置)对报文进行相应的处理。

有关attack-defense cpu-core action命令详细介绍,请参见“安全命令参考”中的“攻击检测与防范”。

【举例】

# 配置设备入方向所有报文对CPU核的攻击防范阈值为70%。

<Sysname> system-view

[Sysname] context-capability inbound unicast total cpu-usage 70

【相关命令】

·     attack-defense cpu-core action(安全命令参考/攻击检测与防范)

1.1.17  context-capability throughput alarm enable

context-capability throughput alarm enable alarm-threshold命令用来开启Context出方向吞吐量告警功能并设置告警阈值。

undo context-capability throughput alarm enable命令用来关闭Context出方向吞吐量告警功能。

【命令】

context-capability throughput alarm enable alarm-threshold alarm-threshold

undo context-capability throughput alarm enable

【缺省情况】

Context出方向吞吐量告警功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

network-operator

【参数】

alarm-threshold usage-threshold:吞吐量告警阈值,取值范围为1~99,单位为百分比。

【使用指导】

本功能开启后对设备上所有Context都生效。

本功能的生效依赖于开启Context出方向吞吐量限制功能,可执行capability throughput命令设置Context出方向的吞吐量限制。

开启Context出方向吞吐量告警功能并设置告警阈值后,当Context的出方向吞吐量与出方向吞吐量限制值的比值超过了所设置的告警阈值,设备会生成告警日志;之后,当Context的出方向吞吐量与出方向吞吐量限制值的比值恢复到告警阈值以下,设备会生成恢复日志。生成的日志信息将会被输出到信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启Context出方向吞吐量告警功能并设置告警阈值为80%。

<Sysname> system-view

[Sysname] context-capability throughput alarm enable alarm-threshold 80

【相关命令】

·     capability throughput

1.1.18  context-capability throughput drop-logging enable

context-capability throughput drop-logging enable命令用来开启Context出方向吞吐量限速丢包日志功能。

undo context-capability throughput drop-logging enable命令用来关闭Context出方向吞吐量限速丢包日志功能。

【命令】

context-capability throughput drop-logging enable

undo context-capability throughput drop-logging enable

【缺省情况】

Context出方向吞吐量限速丢包日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

本功能开启后对设备上所有Context都生效。

本功能的生效依赖于配置Context出方向吞吐量限制功能,可执行capability throughput命令设置Context出方向的吞吐量限制。

开启本功能后,当Context的出方向吞吐量达到出方向吞吐量限制值,设备会将超出限制值的报文丢弃,并对丢弃的报文生成日志信息;之后,如果该Context的出方向吞吐量降低到出方向吞吐量限制值以下,设备会生成恢复日志。生成的日志信息将会被输出到信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。有关信息中心的详细介绍,请参见“网络管理和监控配置指导”中的“信息中心”。

【举例】

# 开启Context出方向吞吐量限速丢包日志功能。

<Sysname> system-view

[Sysname] context-capability throughput drop-logging enable

【相关命令】

·     capability throughput

1.1.19  description

description命令用来配置Context的描述信息。

undo description命令用来恢复缺省情况。

【命令】

description text

undo description

【缺省情况】

缺省Context描述信息为DefaultContext。非缺省Context没有配置描述信息。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

text:Context的描述信息,为1~255个字符的字符串,区分大小写。

【使用指导】

当设备上配置的Context较多时,用户可以为Context配置特定的描述信息,以便记忆和管理Context。

【举例】

# 将Context的描述信息配置为test。

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] description test

1.1.20  display blade-controller-team

display blade-controller-team命令用来显示安全引擎组的信息。

【命令】

display blade-controller-team [ blade-controller-team-name | id blade-controller-team-id | all ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

blade-controller-team-name:显示指定安全引擎组的详细信息。blade-controller-team-name表示安全引擎组的名称。为1~31个字符的字符串,区分大小写。

id blade-controller-team-id:显示指定安全引擎组的详细信息。blade-controller-team-id表示安全引擎组的编号,取值范围为1~256。

all:显示所有安全引擎组的详细信息。

【使用指导】

不指定任何参数时,显示所有安全引擎组的简要信息。

【举例】

# 显示安全引擎组的简要信息。

<Sysname> display blade-controller-team

ID          Name

1           Default

2           abc

# 显示名称为abc的安全引擎组的详细信息。(独立运行模式)

<Sysname> display blade-controller-team abc

ID: 2     Name: abc

  Slot    CPU    Status        LBGroupID

* 3       1      Normal        2

 

* : Primary blade controller of the team.

 

Load balancing group information for the blade controller team:

  LBGroupID   Name              BLAGG

  2           Blade3fw2         Blade-Aggregation258

# 显示名称为abc的安全引擎组的详细信息。(IRF模式)

<Sysname> display blade-controller-team abc

ID: 2     Name: abc

  Chassis    Slot    CPU    Status    LBGroupID

* 1          3       1      Normal    2

 

* : Primary blade controller of the team.

 

Load balancing group information for the blade controller team:

  LBGroupID   Name                BLAGG

  2           Blade3fw2           Blade-Aggregation258

# 显示所有安全引擎组的详细信息。(独立运行模式)

<Sysname> display blade-controller-team all

ID: 1     Name: Default

  Slot    CPU    Status    LBGroupID

* 4       1      Normal    1

 

* : Primary blade controller of the team.

 

Load balancing group information for the blade controller team:

  LBGroupID   Name                BLAGG

  1           Blade3fw1           Blade-Aggregation257

 

 

ID: 2     Name: abc

  Slot    CPU    Status    LBGroupID

* 3       1      Normal    2

 

* : Primary blade controller of the team.

 

Load balancing group information for the blade controller team:

  LBGroupID   Name                BLAGG

  2           Blade3fw2           Blade-Aggregation258

# 显示所有安全引擎组的详细信息。(IRF模式)

<Sysname> display blade-controller-team all

ID: 1     Name: Default

  Chassis    Slot    CPU    Status    LBGroupID

* 1          4       1      Normal    1

 

* : Primary blade controller of the team.

 

Load balancing group information for the blade controller team:

  LBGroupID   Name                BLAGG

  1           Blade3fw1           Blade-Aggregation257

 

 

ID: 2     Name: abc

  Chassis    Slot    CPU    Status    LBGroupID

* 1          3       1      Normal    2

 

* : Primary blade controller of the team.

 

Load balancing group information for the blade controller team:

  LBGroupID   Name                BLAGG

  2           Blade3fw2           Blade-Aggregation258

表1-1 display blade-controller-team命令显示信息描述表

字段

描述

ID

安全引擎组的编号

Name

安全引擎组的名称

Status

安全引擎的状态:

·     Absent:表示该位置没有插入安全引擎

·     Fault:表示该节点的单板不能正常启动

·     Normal:表示该位置的安全引擎运行正常

LBGroupID

安全引擎组中关联的负载分担组编号,编号由系统自动分配

* : Primary blade controller of the team.

*表示安全引擎组的主安全引擎

Load balancing group information for the blade controller team

安全引擎组中负载分担组的信息

LBGroupID

安全引擎组中关联的负载分担组编号,编号由系统自动分配

Name

安全引擎组中负载分担组的名称。Name为系统预定义的名称,命名规则为安全引擎类型+安全引擎组编号,有关安全引擎类型的详细介绍,请参见“二层技术-以太网交换”中的“以太网链路聚合”link-aggregation blade命令

BLAGG

安全引擎组中负载分担组对应的引擎聚合接口名称,名称命名规则为Blade-Aggregation+编号,编号等于LBGroupID+256

 

1.1.21  display capability inbound unicast

display capability inbound unicast命令用来显示CPU核受到攻击的相关统计信息。

【命令】

(独立运行模式)

display capability inbound unicast slot slot-number cpu cpu-number

(IRF模式)

display capability inbound unicast chassis chassis-number slot slot-number cpu cpu-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【使用指导】

当CPU核受到攻击时,可通过此命令查看设备上每个CPU核受到攻击的情况及其CPU核处理报文的情况,以方便定位攻击原因。

【举例】

# 显示指定Slot上的CPU核受到攻击的相关统计信息。(独立运行模式)

<Sysname> display capability inbound unicast slot 1 cpu 1

CPU usage threshold: 95%

Current attack-defense cpu-core action:

CPU ID          Up rate         Packet rate    CPU usage      Effective percentage

CPU0            0/s             0/s            1%             95%

CPU1            0/s             0/s            2%             95%

CPU2            0/s             0/s            97%            95%

CPU3            0/s             0/s            3%             95%

CPU4            0/s             0/s            1%             95%

CPU5            0/s             0/s            2%             95%

CPU6            50000/s         40000/s        99%            70%

CPU7            0/s             0/s            1%             95%

CPU8            0/s             0/s            1%             95%

CPU9            0/s             0/s            5%             95%

CPU10           0/s             0/s            2%             95%

CPU11           0/s             0/s            1%             95%

CPU12           0/s             0/s            6%             95%

CPU13           0/s             0/s            1%             95%

CPU14           0/s             0/s            3%             95%

CPU15           0/s             0/s            1%             95%

表1-2 display capability inbound unicast命令显示信息描述表

字段

描述

CPU usage threshold

表示所有Context入方向上所有报文的CPU核限速阈值,CPU核的使用率达到此阈值后,后续报文将会被按照配置的CPU核防攻击动作进行处理

Current attack-defense cpu-core action

当前CPU核防攻击的动作,其取值包括如下:

·     Drop:动作为驱动丢弃报文

·     Per-packet-balance:动作为驱动负载均衡处理报文

·     Isolate:动作为驱动可将报文放入硬件隔离队列

CPU ID

CPU的ID号

Pass rate

丢包或隔离动作下放行报文的速率,单位为个/s

Drop rate

丢包或隔离动作下丢弃报文的速率,单位为个/s

Up rate

逐包负载分担动作下报文上送该CPU核的速率,单位为个/s

Balance rate

逐包负载分担动作下报文分担给其他CPU核的速率,单位为个/s

CPU usage

当前CPU的使用率,此值达到CPU限速阈值后将会丢弃报文

Effective percentage

CPU核最大处理能力的百分比

当CPU核的实际使用率达到设置的阈值后,此CPU核将按照CPU核最高主频的百分比的能力进行转发报文,超出此处理能力的报文将被按照CPU核防攻击动作进行处理,以达到将CPU核使用率降低至阈值以下的目的

 

1.1.22  display context

display context命令用来显示已经创建的Context的信息,包括编号和状态等。

【命令】

display context [ name context-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name context-name:Context的名称,为1~15个字符的字符串,区分大小写。

【使用指导】

在缺省Context中,可使用name context-name参数查看指定Context的信息。不指定name context-name参数时,则显示设备上创建的所有Context的信息。

【举例】

# 显示已经创建的Context的信息。

<Sysname> display context

ID     Name          Status           Description

1      cnt1          active           context1

2      cnt2          inactive         context2

3      cnt3          inactive         context3

表1-3 display context命令显示信息描述表

字段

描述

ID

Context的编号

Name

Context的名称

Status

Context的状态:

·     active:表示Context正常运行

·     inactive:表示Context处于未启动状态

·     starting:表示Context正在启动

·     updating:表示正在将Context加入安全引擎组

·     stopping:表示Context正在停止

Description

Context描述信息

 

1.1.23  display context capability

display context capability命令用来显示Context内可分配业务资源的使用情况。

【命令】

(独立运行模式)

display context [ name context-name ] capability [ security-policy | { session | throughout } [ slot slot-number cpu cpu-number ] ]

(IRF模式)

display context [ name context-name ] capability [ security-policy | { session | throughout } [ chassis chassis-number slot slot-number cpu cpu-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name context-name:显示指定Context内可分配业务资源的使用情况,context-name是Context的名称,为1~15个字符的字符串,区分大小写。若不指定该参数,则表示显示所有Context内可分配业务资源的使用情况。

security-policy:显示可分配安全策略规则资源的使用情况。

session:显示可分配会话资源的使用情况。

throughout:显示可分配出方向吞吐量资源的使用情况。

slot slot-number:显示指定单板上的Context内可分配会话资源的使用情况,slot-number表示单板所在的槽位号。若不指定该参数,则表示显示所有单板上的Context内可分配会话资源的使用情况。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上的Context内可分配会话资源的使用情况,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则表示显示所有成员设备的所有单板上的Context内可分配会话资源的使用情况。(IRF模式)

cpu cpu-number:显示指定CPU上的Context内可分配会话资源的使用情况,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【使用指导】

此命令仅支持在缺省Context中使用。

【举例】

# 显示所有Context内可分配业务资源的使用情况。

<Sysname> display context capability

Session usage and establishment rate:

 Slot 1 CPU 0:

  ID    Name     Maximum    Used    Free    Total(/s)  Rate(/s)   Usage(%)

  1    Admin     NA         500     NA      NA         1000       NA

  2    conetxt1  10000      300     9700    1000       100        10

  3    context2  2000       1000    1000    2000       1000       50

Security policy rule usage:

  ID    Name            Maximum        Used                 Free

  1     Admin           NA             500                  NA

  2     conetxt1        10000          300                  9700

  3     context2        2000           1000                 1000

Throughout usage:

 Slot 1 CPU 0:

  ID    Name      Maximum    Used    Free   Usage(%)

  1     Admin     NA         500     NA     NA

  2     conetxt1  10000      1000    9000   10

  3     context2  200000     10000   10000  50

表1-4 display context capability命令显示信息描述表

字段

描述

Session usage

表示可分配会话连接数的使用情况

Session establishment rate

表示可分配会话新建速率的使用情况

Security policy rule usage

表示可分配安全策略规则资源的使用情况

ID

表示Context的ID

Name

表示Context的名称

Maximum

表示当前Context内可分配资源的最大值

Used

表示当前Context内可分配资源已被使用的数量

Free

表示当前Context内可分配资源未被使用的数量

Total

表示当前Context内会话新建速率的最大值,单位为每秒连接数

Rate

表示当前Context内会话的当前新建速率,单位为每秒连接数

Usage

表示当前Context内会话新建速率或实时出方向吞吐量所占的百分比

Throughout usage

表示可分配出方向吞吐量资源的使用情况

 

【相关命令】

·     capability security-policy-rule maximum

·     capability session maximum

·     capability session rate

·     capability throughput

1.1.24  display context capability inbound broadcast

display context capability inbound broadcast命令用来显示Context入方向广播报文的速率限制的统计信息。

【命令】

(独立运行模式)

display context name context-name capability inbound broadcast slot slot-number cpu cpu-number

(IRF模式)

display context name context-name capability inbound broadcast chassis chassis-number slot slot-number cpu cpu-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name context-name:显示指定Context上入方向广播报文的速率限制的统计信息。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。

slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【举例】

# 显示Context abc在指定Slot上的入方向广播报文的速率限制的统计信息。(独立运行模式)

<Sysname> display context name abc capability inbound broadcast slot 1 cpu 1

Context name: abc

Context ID: 2

 Drop Rate: 1000 pps

 Inbound throughput limit: 8000 pps

 Total inbound throughput limit: 10000 pps

表1-5 display context capability inbound broadcast命令显示信息描述表

字段

描述

Context name

表示Context的名称

Context ID

表示Context的ID

Drop Rate

表示此Context丢弃广播报文的速率,单位为pps

Inbound throughput limit

表示此Context入方向广播报文的总速率阈值,单位为pps

Total inbound throughput limit

表示所有Context入方向广播报文的速率阈值,单位为pps

 

1.1.25  display context capability inbound multicast

display context capability inbound multicast命令用来显示Context入方向组播报文的速率限制的统计信息。

【命令】

(独立运行模式)

display context name context-name capability inbound multicast slot slot-number cpu cpu-number

(IRF模式)

display context name context-name capability inbound multicast chassis chassis-number slot slot-number cpu cpu-number

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name context-name:显示指定Context上入方向组播报文的速率限制的统计信息。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。

slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【举例】

# 显示Context abc在指定Slot上的入方向组播报文的速率限制的统计信息。(独立运行模式)

<Sysname> display context name abc capability inbound multicast slot 1 cpu 1

Context name: abc

Context ID: 2

 Drop Rate: 1000 pps

 Inbound throughput limit: 8000 pps

 Total inbound throughput limit: 10000 pps

表1-6 display context capability inbound multicast命令显示信息描述表

字段

描述

Context name

表示Context的名称

Context ID

表示Context的ID

Drop Rate

表示此Context丢弃组播报文的速率,单位为pps

Inbound throughput limit

表示此Context入方向组播报文的总速率阈值,单位为pps

Total inbound throughput limit

表示所有Context入方向组播报文的速率阈值,单位为pps

 

1.1.26  display context configuration

display context configuration命令用来显示各Context的配置信息。

【命令】

display context [ name context-name ] configuration [ file filename ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name context-name:显示指定Context的配置信息,context-name是Context的名称,为1~15个字符的字符串,区分大小写。若不指定该参数,则表示显示所有Context的配置信息。

file filename:表示将显示的配置信息保存到指定文件。filename表示文件的名称,为1~255个字符的字符串(含后缀),不区分大小写,文件名不能为“.”或“..”,不能包含“"”、“/”、“:”、“\”、“?”、“\\”、“<”、“>”、“|”、“*”,首字符不能为“-”,且后缀必须为“.tar.gz”,后缀不区分大小写。不指定该参数时,用户可根据提示信息选择将配置信息保存到指定文件或直接将配置信息导出到终端显示。

【使用指导】

此命令仅支持在缺省Context中使用。

执行该命令,相当于在所有Context中一次性执行display current-configuration命令。

在缺省Context中,无法对处于未启动状态的自定义Context进行配置信息收集。

【举例】

# 显示所有Context的配置信息。

<Sysname> display context configuration

Save or display context configuration(Y=save, N=display)? [Y/N]:n

===========inner configuration of context Admin===========

 

============================================================

display current-configuration

#

 version 7.1.064, Feature 9321

#

sysname Sysname

#

context Admin id 1

#

context cnt1 id 2

#

return

<Sysname>

 

===========inner configuration of context cnt1===========

 

============================================================

display current-configuration

#

 version 7.1.064, Feature 9321

#

sysname Sysname

#

context Admin id 1

#

context cnt1 id 2

---- More ----

# 在交互信息时选择将配置信息保存到指定文件,并输入文件名为test.tar.gz。

<Sysname> display context configuration

Save or display context configuration (Y=save, N=display)? [Y/N]:y

Please input the file name(*.tar.gz)[flash:/diag.tar.gz]: test.tar.gz

Saving context configuration to flash:/test.tar.gz. Please wait....

# 在命令行中直接通过参数指定将配置信息保存到文件test.tar.gz。

<Sysname> display context configuration file test.tar.gz

Saving context configuration to flash:/test.tar.gz. Please wait...

1.1.27  display context interface

display context interface命令用来显示Context的接口列表。

【命令】

display context [ name context-name ] interface

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name context-name:Context的名称,为1~15个字符的字符串,区分大小写。

【使用指导】

在缺省Context中,可使用name context-name参数查看指定Context的接口列表;不指定name context-name参数时,则显示设备上创建的所有Context的接口列表。

【举例】

# 显示所有Context的接口列表。

<Sysname> display context interface

Context stub1's interfaces:

  Ten-GigabitEthernet1/0/6

Context stub2's interfaces:

  Ten-GigabitEthernet1/0/7

【相关命令】

·     allocate interface

1.1.28  display context reboot

display context name reboot命令用来显示非缺省Context的重启信息。

【命令】

display context name context-name reboot show-number [ offset ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

context-name:显示指定非缺省Context的重启信息。context-name表示非缺省Context的名称,为1~15个字符的字符串,区分大小写。

show-number:指定显示非缺省Context重启信息的条目数,取值范围为1~20。

offset:指定显示的起始条目距最近条目的偏移量,取值范围为0~19,缺省值为0。零表示从非缺省Context最近一次重启的条目开始显示。

【使用指导】

缺省Context的重启信息,请在display version命令的Last reboot reason字段查看。有关此字段的详细介绍,请参见“基础配置命令参考”中的“设备管理”。

【举例】

# 显示名称为test的非缺省Context最近一次重启的信息。

<Sysname> display context name test reboot 1

----------------- Reboot record 1 -----------------

Recorded at          : 2019-05-01  11:16:00

Reason               : 0x0

Process              : comsh (PID: 120) from Context 3 on slot 1 cpu 0

表1-7 display context name reboot命令显示信息描述表

字段

描述

Recorded at

非缺省Context重启的时间

Reason

重启的原因

xxx (PID: 120) from Context x on slot x cpu x

触发重启的进程信息,各字段解释如下:

·     xxx:表示触发重启的进程的名称

·     PID:表示触发重启的进程的编号

·     from Context x on slot x cpu x:表示触发重启的进程的运行位置

 

【相关命令】

·     display version(基础配置命令参考/设备管理)

·     reset context name reboot

1.1.29  display context resource

display context resource命令用来显示Context对CPU/磁盘/内存资源的使用情况。

【命令】

(独立运行模式)

display context [ name context-name ] resource [ cpu | disk | memory ] [ slot slot-number cpu cpu-number ]

(IRF模式)

display context [ name context-name ] resource [ cpu | disk | memory ] [ chassis chassis-number slot slot-number cpu cpu-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name context-name:显示指定Context对CPU/磁盘/内存资源的使用情况。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。不指定该参数时,显示所有Context对CPU/磁盘/内存资源的使用情况。

cpu:显示Context对CPU的使用情况。

disk:显示Context对磁盘的使用情况。

memory:显示Context对内存的使用情况。

slot slot-number:显示Context对指定单板的CPU/磁盘/内存资源的使用情况,slot-number表示单板所在的槽位号。不指定该参数时,显示Context对所有单板的CPU/磁盘/内存资源的使用情况。(独立运行模式)

chassis chassis-number slot slot-number:显示Context对指定成员设备的指定单板的CPU/磁盘/内存资源的使用情况,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。不指定该参数时,显示Context对IRF中所有单板的CPU/磁盘/内存资源的使用情况。(IRF模式)

cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。

【使用指导】

若不指定cpudiskmemory参数,则显示Context对CPU、磁盘和内存的使用情况。

【举例】

# 显示Context对所有单板上CPU资源的使用情况。(独立运行模式)

<Sysname> display context resource cpu

CPU usage:

Slot 2 CPU 1:

  ID   Name        Weight       Usage(%)

  1    cnt1        10           24

  2    cnt2        10           0

表1-8 display context resource命令显示信息描述表

字段

描述

Memory

表示下面显示的是内存的使用情况

CPU

表示下面显示的是CPU的使用情况

Disk

表示下面显示的是磁盘的使用情况

Used 238.1MB, Free 249.3MB, Total 487.4MB

内存的使用情况,Used表示内存已使用空间的大小(单位为MB),Free表示当前空闲内存的大小(单位为MB),Total表示整个内存大小(单位为MB)。如果Context没有启动,则Used会显示为0

Cfa0: Used 0MB,  Free 61MB, Total 61MB

Cfa0表示磁盘的名称,Used表示整个磁盘已使用空间的大小(单位为MB),Free表示整个磁盘当前空闲空间的大小(单位为MB),Total表示整个磁盘空间大小(单位为MB)。如果Context没有启动,则Used会显示为0

ID

Context的编号

name

Context的名称

Weight

Context使用CPU的权重值

Usage(%)

Context对CPU的实际占用率,用百分比表示

Quota(MB)

Context使用磁盘/内存的限制值,单位为MB

Used(MB)

Context当前已使用的磁盘/内存空间的大小,单位为MB

Free(MB)

Context还可以使用的磁盘/内存空间的大小,单位为MB

 

【相关命令】

·     limit-resource cpu

·     limit-resource disk

·     limit-resource memory

1.1.30  display context statistics

display context statistics命令用来显示Context内资源的统计信息。

【命令】

display context [ name context-name ] statistics [ file filename ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name context-name:显示指定Context内资源的统计信息,context-name是Context的名称,为1~15个字符的字符串,区分大小写。若不指定该参数,则表示显示所有Context内资源的统计信息。

file filename:表示将收集到的资源统计信息保存到指定文件。filename表示文件的名称,为1~255个字符的字符串(含后缀),不区分大小写,文件名不能为“.”或“..”,不能包含“"”、“/”、“:”、“\”、“?”、“\\”、“<”、“>”、“|”、“*”,首字符不能为“-”,且后缀必须为“.tar.gz”,后缀不区分大小写。不指定该参数时,用户可根据提示信息选择将资源的统计信息保存到指定文件或直接将资源的统计信息导出到终端显示。

【使用指导】

此命令仅支持在缺省Context中使用。

执行该命令,相当于一次性执行如下命令:

·     display context capability

·     display counters inbound interface

·     display counters outbound interface

·     display counters rate inbound interface

·     display counters rate outbound interface

·     display interface

·     display ip statistics

·     display ipv6 statistics

·     display session statistics

·     display system internal aspf statistics zone-pair ipv4

·     display system internal aspf statistics zone-pair ipv6

·     display nat statistics

有关此命令显示信息的详细介绍,请参考各个命令显示信息的介绍。

【举例】

# 显示所有Context内资源的统计信息。

<Sysname> display context statistics

Save or display context statistics (Y=save, N=display)? [Y/N]:n

========================================================

    =============== display session statistics =================

Slot 1:

Current sessions: 0

          TCP sessions:                    0

          UDP sessions:                    0

         ICMP sessions:                    0

       ICMPv6 sessions:                    0

     UDP-Lite sessions:                    0

         SCTP sessions:                    0

         DCCP sessions:                    0

        RAWIP sessions:                    0

---- More ----

# 将资源统计信息保存到指定文件,并输入文件名为test.tar.gz。

<Sysname> display context statistics

Save or display context statistics(Y=save, N=display)? [Y/N]:y

Please input the file name(*.tar.gz)[flash:/diag.tar.gz]: test.tar.gz

Saving context statistics to flash:/test.tar.gz. Please wait....

# 将资源统计信息保存到文件test.tar.gz。

<Sysname> display context statistics file test.tar.gz

Saving context statistics to flash:/test.tar.gz. Please wait...

【相关命令】

·     display context capability

·     display counters inbound interface(接口管理命令参考/以太网接口)

·     display counters outbound interface(接口管理命令参考/以太网接口)

·     display counters rate inbound interface(接口管理命令参考/以太网接口)

·     display counters rate outbound interface(接口管理命令参考/以太网接口)

·     display interface(接口管理命令参考/以太网接口)

·     display ip statistics(三层技术-IP业务命令参考/IP性能优化)

·     display ipv6 statistics(三层技术-IP业务命令参考/IPv6基础)

·     display session statistics(安全命令参考/会话管理)

·     display system internal aspf statistics zone-pair ipv4(Probe命令参考)

·     display system internal aspf statistics zone-pair ipv6(Probe命令参考)

·     display nat statistics(三层技术-IP业务命令参考/NAT)

1.1.31  display context vlan

display context vlan命令用来显示Context的VLAN列表。

【命令】

display context [ name context-name ] vlan

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

name context-name:Context的名称,为1~15个字符的字符串,区分大小写。

【使用指导】

在缺省Context中,可使用name context-name参数查看指定Context的VLAN列表;不指定name context-name参数时,则显示设备上创建的所有Context的VLAN列表。

【举例】

# 显示所有Context的VLAN列表。

<Sysname> display context vlan

Context stub1's VLAN(s):

 

Context stub2's VLAN(s):

  2,4094

Context stub3's VLAN(s):

  5,6,800-3000,3400

# 显示Context sub1的VLAN列表。

<Sysname> display context name sub1 vlan

Context stub1's VLAN(s):

  5,6,11-23,3400

【相关命令】

·     allocate vlan

1.1.32  limit-resource cpu

limit-resource cpu命令用来配置Context的CPU权重。

undo limit-resource cpu命令用来恢复缺省情况。

【命令】

limit-resource cpu weight weight-value

undo limit-resource cpu

【缺省情况】

各Context的CPU权重均为10。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

weight weight-value:配置指定Context的CPU权重,取值范围为1~10。系统根据Context的权重为Context分配CPU时间。

【使用指导】

进驻到同一安全引擎的Context共享该安全引擎的CPU资源。配置本命令后,Context在己进驻的安全引擎上都将获得相同的CPU权重。

【举例】

# 配置Context的CPU权重为2。

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] limit-resource cpu weight 2

1.1.33  limit-resource disk

limit-resource disk命令用来配置Context可使用的磁盘空间上限(用百分比表示)。

undo limit-resource disk命令用来恢复缺省情况。

【命令】

(独立运行模式)

limit-resource disk slot slot-number cpu cpu-number ratio limit-ratio

undo limit-resource disk slot slot-number cpu cpu-number

(IRF模式)

limit-resource disk chassis chassis-number slot slot-number cpu cpu-number ratio limit-ratio

undo limit-resource disk chassis chassis-number slot slot-number cpu cpu-number

【缺省情况】

进驻到同一安全引擎的所有Context共享该安全引擎的所有磁盘空间,每个Context可使用的磁盘空间上限为该安全引擎的空闲磁盘空间值。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

slot slot-number cpu cpu-number:配置Context在指定单板上可使用的磁盘空间上限。slot-number表示单板所在的槽位号,cpu-number表示CPU的编号。(独立运行模式)

chassis chassis-number slot slot-number cpu cpu-number:配置Context在指定成员设备的指定单板上可使用的磁盘空间上限。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号,cpu-number表示CPU的编号。(IRF模式)

ratio limit-ratio:表示Context在设备上最多可使用的磁盘空间大小与该设备整个磁盘空间大小的百分比,取值范围为1~100。

【使用指导】

为了防止单个Context过多的占用磁盘而影响其它Context,特别是为防止异常情况下对磁盘的占用,可以为指定的Context配置磁盘上限,当Context占用磁盘空间达到限制值时,后续不能申请新的磁盘空间。

请在Context启动后配置磁盘上限。执行limit-resource disk命令前,请使用display context resource命令查看Context当前实际已经使用的磁盘空间大小。配置值应大于Context当前实际已经使用的磁盘空间大小,否则,会导致Context申请新的磁盘空间失败,从而无法进行文件夹创建、文件拷贝和保存等操作。

如果设备上有多块磁盘,该命令对所有磁盘生效。

【举例】

# 配置Context cnt2最多可使用3号单板上安全引擎磁盘空间的20%。(独立运行模式)

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] limit-resource disk slot 3 cpu 1 ratio 20

# 配置Context cnt2最多可使用1号成员设备2号单板上安全引擎磁盘空间的30%。(IRF模式)

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] limit-resource disk chassis 1 slot 2 cpu 1 ratio 30

1.1.34  limit-resource memory

limit-resource memory命令用来配置Context可使用的内存空间上限(用百分比表示)。

undo limit-resource memory命令用来恢复到缺省情况。

【命令】

(独立运行模式)

limit-resource memory slot slot-number cpu cpu-number ratio limit-ratio

undo limit-resource memory slot slot-number cpu cpu-number

(IRF模式)

limit-resource memory chassis chassis-number slot slot-number cpu cpu-number ratio limit-ratio

undo limit-resource memory chassis chassis-number slot slot-number cpu cpu-number

【缺省情况】

进驻到同一安全引擎的所有Context共享该安全引擎的所有内存空间,每个Context可使用的内存空间上限为该安全引擎的空闲内存空间值。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

slot slot-number cpu cpu-number:配置Context在指定单板上可使用的内存空间上限。slot-number表示单板所在的槽位号,cpu-number表示CPU的编号。(独立运行模式)

chassis chassis-number slot slot-number cpu cpu-number:配置Context在指定成员设备的指定单板上可使用的内存空间上限。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号,cpu-number表示CPU的编号。(IRF模式)

ratio limit-ratio:表示Context在设备上最多可使用的内存大小与该设备整个内存大小的百分比,取值范围为1~100。

【使用指导】

为了防止单个Context过多的占用内存而影响其它Context,特别是为防止异常情况下对内存的占用,可以为指定的Context配置内存上限,当Context占用内存达到限制值时,后续不能申请新的内存。

请在Context启动后再配置内存上限,并且配置的上限值不应过小,以免Context内业务申请不到内存而引起功能异常。

【举例】

# 配置Context cnt2最多可使用3号单板安全引擎内存的30%。(独立运行模式)

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] limit-resource memory slot 3 cpu 1 ratio 30

# 配置Context cnt2最多可使用1号成员设备2号单板安全引擎内存的30%。(IRF模式)

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] limit-resource memory chassis 1 slot 2 cpu 1 ratio 30

1.1.35  location blade-controller

location blade-controller命令用来将安全引擎加入安全引擎组。

undo location blade-controller命令用来恢复缺省情况。

【命令】

(独立运行模式)

location blade-controller slot slot-number cpu cpu-number

undo location blade-controller slot slot-number cpu cpu-number

(IRF模式)

location blade-controller chassis chassis-number slot slot-number cpu cpu-number

undo location blade-controller chassis chassis-number slot slot-number cpu cpu-number

【缺省情况】

安全引擎插入时会自动加入缺省安全引擎组。

【视图】

安全引擎组视图

【缺省用户角色】

network-admin

【参数】

slot slot-number cpu cpu-number slot-number表示安全引擎所在的槽位号,cpu-number表示安全引擎的CPU的编号。(独立运行模式)

chassis chassis-number slot slot-number cpu cpu-number chassis-number表示设备在IRF中的成员编号,slot-number表示安全引擎所在的槽位号,cpu-number表示安全引擎的CPU的编号。(IRF模式)

【使用指导】

注意

缺省安全引擎组中必须至少存在一个安全引擎,否则设备不能正常处理业务。

 

将一个已经在位的安全引擎加入安全引擎组,这样的命令会立即生效。

将一个不在位的安全引擎加入安全引擎组,这样的命令会在安全引擎插入后生效。这样的配置方式称为预配置,能够帮助用户先完成配置,再进行硬件部署。使用该方式配置前,请先规划安全引擎即将插入的位置。因为,如果配置的位置误插入非安全引擎,设备会自动将该命令删除,以后插入安全引擎时,需要重新配置。

当前,每个安全引擎组中可加入的安全引擎个数没有限制,但是一个安全引擎只能属于一个安全引擎组。

【举例】

# 将2号槽位上1号CPU的安全引擎加入安全引擎组abc。(独立运行模式)

<sysname> system-view

[sysname] blade-controller-team abc

[Sysname-blade-controller-team-2-abc] location blade-controller slot 2 cpu 1

This operation will also reboot the blade controller. Continue? [Y/N]:y

# 将2号成员设备2号槽位上1号CPU的安全引擎加入安全引擎组abc。(IRF模式)

<sysname> system-view

[sysname] blade-controller-team abc

[Sysname-blade-controller-team-2-abc] location blade-controller chassis 2 slot 2 cpu 1

This operation will also reboot the blade controller. Continue? [Y/N]:y

# 将3号槽位上1号CPU的安全引擎(不在位)加入安全引擎组abc。(独立运行模式)

<sysname> system-view

[sysname] blade-controller-team abc

[Sysname-blade-controller-team-2-abc] location blade-controller slot 3 cpu 1

Operation succeeded, but the blade controller is absent.

# 将2号成员设备3号槽位上1号CPU的安全引擎(不在位)加入安全引擎组abc。(IRF模式)

<sysname> system-view

[sysname] blade-controller-team abc

[Sysname-blade-controller-team-2-abc] location blade-controller chassis 2 slot 3 cpu 1

Operation succeeded, but the blade controller is absent.

1.1.36  location blade-controller-team

location blade-controller-team命令用于使Context进驻对应的安全引擎组。

undo location blade-controller-team命令用于将Context从安全引擎组中移除。

【命令】

location blade-controller-team team-id

undo location blade-controller-team team-id

【缺省情况】

缺省Context进驻了所有安全引擎组,非缺省Context未进驻任何安全引擎组。

【视图】

Context视图

【缺省用户角色】

network-admin

【参数】

team-id:当前已经创建的安全引擎组的编号。

【使用指导】

如果没有进驻安全引擎即使Context已经启动,Context也没有实际运行的环境,无法运行业务。

Context进驻安全引擎组后,才能使用安全引擎组中安全引擎上的资源,包括CPU、磁盘和内存。

Context和安全引擎组的关系如下:

·     一个Context只能进驻一个安全引擎组。如果该Context已经进驻一个安全引擎组,请先执行undo location blade-controller-team命令退出已进驻的安全引擎组,再配置location blade-controller-team命令,进驻其它安全引擎组。

·     在不同的Context视图下执行该命令可以使多个Context进驻同一个安全引擎组,安全引擎组和Context是一对多的关系。

·     安全引擎组中加入新的安全引擎后,安全引擎组上已进驻的Context会自动进驻到新加入的安全引擎上,不需要再次配置。

【举例】

# 将Context cnt2进驻到安全引擎组2。

<Sysname> system-view

[Sysname] context cnt2

[Sysname-context-2-cnt2] location blade-controller-team 2

【相关命令】

·     blade-controller-team

1.1.37  reset blade-controller-team

reset blade-controller-team命令用来清除指定安全引擎组中不在位的安全引擎的数据信息。

【命令】

(独立运行模式)

reset blade-controller-team team-id member slot slot-number cpu cpu-number

(IRF模式)

reset blade-controller-team team-id member chassis chassis-number slot slot-number cpu cpu-number

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

team-id:安全引擎所属安全引擎组的编号,取值范围为1~256。可使用display blade-controller-team命令查看。

slot slot-number:表示安全引擎所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-numberchassis-number表示安全引擎所在设备的成员编号,slot-number表示安全引擎所在的槽位号。(分布式IRF设备)

cpu cpu-number:表示安全引擎的CPU编号。

【举例】

# 清除安全引擎组abc中安全引擎(编号为1,所在位置为2号槽位1号CPU)的数据信息。(独立运行模式)

<sysname> reset blade-controller-team 1 member slot 2 cpu 1

# 清除安全引擎组abc中安全引擎(编号为1,所在位置为1号成员设备2号槽位1号CPU)的数据信息。(IRF模式)

<sysname> reset blade-controller-team 1 member chassis 1 slot 2 cpu 1

1.1.38  reset context capability inbound broadcast

reset context capability inbound broadcast命令用来清除Context入方向广播报文的速率限制的统计信息。

【命令】

(独立运行模式)

reset context name context-name capability inbound broadcast slot slot-number cpu cpu-number

(IRF模式)

reset context name context-name capability inbound broadcast chassis chassis-number slot slot-number cpu cpu-number

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

name context-name:清除指定Context上入方向广播报文的速率限制的统计信息。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。

slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【举例】

# 清除Context abc在指定Slot上的广播限速统计信息。(独立运行模式)

<Sysname> reset context name abc capability inbound broadcast slot 1 cpu 1

1.1.39  reset context capability inbound multicast

reset context capability inbound multicast命令用来清除Context入方向组播报文的速率限制的统计信息。

【命令】

(独立运行模式)

reset context name context-name capability inbound multicast slot slot-number cpu cpu-number

(IRF模式)

reset context name context-name capability inbound multicast chassis chassis-number slot slot-number cpu cpu-number

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

name context-name:清除指定Context上入方向组播报文的速率限制的统计信息。context-name表示Context的名称,为1~15个字符的字符串,区分大小写。

slot slot-number:指定单板。slot-number为单板所在的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。(IRF模式)

cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【举例】

# 清除Context abc在指定Slot上的组播限速统计信息。(独立运行模式)

<Sysname> reset context name abc capability inbound multicast slot 1 cpu 1

1.1.40  reset context reboot

reset context name reboot命令用来清除非缺省Context的重启信息。

【命令】

reset context [ name context-name ] reboot

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

name context-name:清除指定非缺省Context的重启信息。context-name表示非缺省Context的名称,为1~15个字符的字符串,区分大小写。若不指定本参数,则表示清除所有非缺省Context的重启信息。

【举例】

# 清除名称为test的非缺省Context的重启信息。

<Sysname> reset context name test reboot

【相关命令】

·     display context name reboot

1.1.41  snmp-agent trap enable sib

snmp-agent trap enable sib命令用来开启Context出方向吞吐量限速的SNMP告警功能。

undo snmp-agent trap enable sib命令用来关闭Context出方向吞吐量限速的SNMP告警功能。

【命令】

snmp-agent trap enable sib

undo snmp-agent trap enable sib

【缺省情况】

Context出方向吞吐量限速的SNMP告警功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

开启Context出方向吞吐量限速的SNMP告警功能后,设备生成的Context出方向吞吐量限速丢包日志(执行context-capability throughput drop-logging enable命令进行配置)和Context出方向吞吐量告警日志(执行context-capability throughput alarm enable命令进行配置)将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。

有关SNMP的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。

【举例】

# 开启Context出方向吞吐量限速的SNMP告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable sib

【相关命令】

·     context-capability throughput drop-logging enable

·     context-capability throughput alarm enable

1.1.42  switchto context

switchto context命令用来登录到指定的Context。

【命令】

switchto context context-name

【视图】

系统视图

【缺省用户角色】

network-admin

network-operator

【参数】

context-name:已启动的Context的名称。

【使用指导】

只要用户和物理设备之间路由可达,就能使用该命令,通过物理设备和Context的内联接口,登录Context。

【举例】

# 切换到Context test2。

<Sysname> system-view

[Sysname] switchto context test2

******************************************************************************

* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*

* Without the owner's prior written consent,                                 *

* no decompiling or reverse-engineering shall be allowed.                    *

******************************************************************************

 

<H3C>

1.1.43  tar context log

tar context log命令用来收集各Context的日志信息。

【命令】

tar context [ name context-name ] log file filename

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

name context-name:收集指定Context的日志信息,context-name是Context的名称,为1~15个字符的字符串,区分大小写。若不指定该参数,则表示收集所有Context的日志信息。

file filename:表示将收集到的日志信息保存到指定文件。filename表示文件的名称,为1~255个字符的字符串(含后缀),不区分大小写,文件名不能为“.”或“..”,不能包含“"”、“/”、“:”、“\”、“?”、“\\”、“<”、“>”、“|”、“*”,首字符不能为“-”,且后缀必须为“.tar.gz”,后缀不区分大小写。

【使用指导】

此命令仅支持在缺省Context中使用。

执行该命令会收集logfile文件夹和diagfile文件夹下的所有文件。

在缺省Context中,无法对从未启动过的自定义Context进行日志信息收集。

【举例】

# 收集各Context的日志信息,并指定保存文件的名称为test.tar.gz。

<Sysname> tar context log file test.tar.gz

1.2  非缺省Context上支持的Context配置命令

本章节描述的是登录到非缺省Context后,在非缺省Context上可以执行的Context配置命令。

 

1.2.1  display context interface

display context interface命令用来显示Context的接口列表。

【命令】

display context interface

【视图】

任意视图

【缺省用户角色】

context-admin

context-operator

【举例】

# 显示所有Context的接口列表。

<Sysname> display context interface

Context stub1's interfaces:

  Ten-GigabitEthernet1/0/6

【相关命令】

·     allocate interface

1.2.2  display context reboot

display context reboot命令用来显示本Context的重启信息。

【命令】

display context reboot show-number [ offset ]

【视图】

任意视图

【缺省用户角色】

context-admin

context-operator

【参数】

show-number:指定显示本Context重启信息的条目数,取值范围为1~20。

offset:指定显示的起始条目距最近条目的偏移量,取值范围为0~19,缺省值为0。零表示从本Context最近一次重启的条目开始显示。

【举例】

# 在名称为test的非缺省Context中显示本Context最近一次重启的信息。

<Sysname> display context reboot 1

----------------- Reboot record 1 -----------------

Recorded at          : 2019-05-01  11:16:00

Reason               : 0x0

Process              : comsh (PID: 120) from Context 3 on slot 1 cpu 0

有关display context reboot命令的显示信息请参见表1-7

【相关命令】

·     reset context reboot

1.2.3  reset context reboot

reset context reboot命令用来清除本Context的重启信息。

【命令】

reset context reboot

【视图】

用户视图

【缺省用户角色】

context-admin

【举例】

# 清除本context的重启信息。

<Sysname> reset context reboot

【相关命令】

·     display context reboot

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们