- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
27-IP-SGT策略随行命令
本章节下载: 27-IP-SGT策略随行命令 (234.62 KB)
display ipsgt map命令用来显示当前设备上的IP-SGT映射表项信息。
【命令】
display ipsgt map [ critical ] [ ip [ ipv4-address ] | ipv6 [ ipv6-address ] ] [ microsegment microsegment-id ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
critical:显示IP-SGT逃生映射表项信息。
ip [ ipv4-address ]:显示指定IPv4地址与微分段ID的IP-SGT映射表项信息。如果未指定ipv4-address参数,则显示所有IPv4地址的IP-SGT映射表项信息。
ipv6 [ ipv6-address ]:显示指定IPv6地址与微分段ID的IP-SGT映射表项信息。如果未指定ipv6-address参数,则显示所有IPv6地址的IP-SGT映射表项信息。
microsegment microsegment-id:显示指定微分段内的IP与微分段ID的IP-SGT映射表项信息。microsegment-id表示微分段ID,取值范围为1~65535。
vpn-instance vpn-instance-name:指定VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定该参数,则表示指定公网。
【使用指导】
如果不指定任何参数,则显示当前所有IPv4和IPv6地址与微分段ID的IP-SGT映射表项信息。
【举例】
# 显示当前设备上所有的IP-SGT映射表项信息。
<Sysname> display ipsgt map
Total IPv4 IP-SGT entries: 1
Microsegment ID: 1
IPv4 address VPN instance
1.1.1.1 N/A
Total IPv6 IP-SGT entries: 1
Microsegment ID: 2
IPv6 address VPN instance
11::5 N/A
# 显示当前设备上所有的IP-SGT逃生映射表项信息。
<Sysname> display ipsgt map critical
Total IPv4 critical IP-SGT entries: 1
Microsegment ID: 1
IPv4 address VPN instance
1.1.1.1 N/A
Total IPv6 critical IP-SGT entries: 1
Microsegment ID: 2
IPv6 address VPN instance
11::5 N/A
表1-1 display ipsgt map命令显示信息描述表
|
字段 |
描述 |
|
Total IPv4 IP-SGT entries |
IPv4地址的IP-SGT映射表项总数 |
|
Total IPv6 IP-SGT entries |
IPv6地址的IP-SGT映射表项总数 |
|
Total IPv4 critical IP-SGT entries |
IPv4地址的IP-SGT逃生映射表项总数 |
|
Total IPv6 critical IP-SGT entries |
IPv6地址的IP-SGT逃生映射表项总数 |
|
Microsegment ID |
微分段ID |
|
IPv4 address |
IPv4地址 |
|
IPv6 address |
IPv6地址 |
|
VPN instance |
VPN实例名称,如果表项不属于任何VPN,则显示为N/A |
【相关命令】
· ipsgt enable
· ipsgt on-demand
display ipsgt on-demand命令用来显示配置的IP-SGT按需地址网段信息。
【命令】
display ipsgt on-demand [ ip [ ipv4-address { mask-length | mask } ] | ipv6 [ ipv6-address prefix-length ] ] [ vpn-instance vpn-instance-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
ip [ ipv4-address { mask-length | mask }:显示指定IPv4按需地址网段的信息。如果未指定ipv4-address参数,则表示显示当前所有IPv4按需地址网段的信息。其中,ipv4-address表示允许匹配的IPv4地址;mask-length表示子网掩码长度,取值范围为0~31;mask表示子网掩码,点分十进制格式,不允许指定255.255.255.255掩码。
ipv6 [ ipv6-address prefix-length ]:显示指定IPv6按需地址网段的信息。如果未指定ipv6-address参数,则表示显示当前所有IPv6按需地址网段的信息。其中,ipv6-address表示允许匹配的IPv6地址;prefix-length表示IPv6地址前缀长度,取值范围为0~127。
vpn-instance vpn-instance-name:指定VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定该参数,则表示按需网段位于公网。
【使用指导】
如果不指定任何参数,则显示配置的所有IPv4和IPv6按需地址网段的信息。
【举例】
# 显示配置的所有IP-SGT按需地址网段的信息。
<Sysname> display ipsgt on-demand
Total IPv4 on-demand networks: 1
IPv4 address Mask VPN instance
1.1.1.1 255.255.255.0 N/A
Total IPv6 on-demand networks: 1
IPv6 address Prefix length VPN instance
11::5 64 N/A
表1-2 display ipsgt on-demand命令显示信息描述表
|
字段 |
描述 |
|
Total IPv4 on-demand networks |
IPv4按需地址网段总数 |
|
Total IPv6 on-demand networks |
IPv6按需地址网段总数 |
|
IPv4 address |
IPv4按需地址 |
|
IPv6 address |
IPv6按需地址 |
|
Mask |
IPv4按需地址网段的子网掩码 |
|
Prefix length |
IPv6按需地址网段的地址前缀长度 |
|
VPN instance |
VPN实例名称,如果表项不属于任何VPN,则显示为N/A |
【相关命令】
· ipsgt on-demand
display ipsgt state命令用来显示当前IP-SGT策略随行的运行状态。
【命令】
display ipsgt state
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示当前IP-SGT策略随行的运行状态。
<Sysname> display ipsgt state
Global IP-SGT parameters:
IP-SGT: Enabled
Connection status with:
EIA server: Connected
IPv4 routing management: Connected
IPv6 routing management: Connected
IP-SGT URL:
https://1.1.1.1/ipsgtmgr/vim active
https://2.1.1.1/ipsgtmgr/vim inactive
表1-3 display ipsgt state命令显示信息描述表
|
字段 |
描述 |
|
Global IP-SGT parameters |
全局IP-SGT配置信息 |
|
IP-SGT |
IP-SGT策略随行功能开启状态 · Enabled:已开启 · Disabled:未开启 |
|
Connection status with |
连接状态 |
|
EIA server |
与EIA服务器的云平台连接状态: · Connected:已连接 · Disconnected:未连接 |
|
IPv4 routing management |
与IPv4路由管理模块的连接状态: · Connected:已连接 · Disconnected:未连接 |
|
IPv6 routing management |
与IPv6路由管理模块的连接状态: · Connected:已连接 · Disconnected:未连接 |
|
IP-SGT URL |
EIA服务器下发的建立IP-SGT通道的URL,以及该通道的连接状态: · active:已连接 · inactive:未连接 若显示两条URL,则表示主备IP-SGT通道。主备通道不会同时建立,主通道故障切换到备通道,主通道恢复正常切换回主通道 |
【相关命令】
· ipsgt enable
display ipsgt statistics命令用来显示当前IP-SGT策略随行的报文统计信息。
【命令】
display ipsgt statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【举例】
# 显示当前IP-SGT策略随行的报文统计信息。
<Sysname> display ipsgt statistics
Messages received :
Add mapping: 1
Delete mapping: 1
Batch backup start: 0
Batch backup end: 0
Invalid: 0
Messages sent :
Add mapping: 1
Delete mapping: 1
Update mapping: 0
Add critical 0
Delete critical: 0
Update critical: 0
Add On-demand network: 1
Delete on-demand Network: 1
Batch backup start: 1
Batch backup mapping: 1
Batch backup critical: 0
Batch backup end: 1
表1-4 display ipsgt statistics命令显示信息描述表
|
字段 |
描述 |
|
Messages received |
设备接收到EIA服务器发送的报文数,报文类型包括: · Add mapping:添加IP-SGT表项 · Delete mapping:删除IP-SGT表项 · Batch backup start:IP-SGT表项批量备份开始 · Batch backup end:IP-SGT表项批量备份结束 · Invalid:无效信息 |
|
Messages sent |
设备发送给路由管理模块的报文数,报文类型包括: · Add mapping:添加IP-SGT表项 · Delete mapping:删除IP-SGT表项 · Update mapping:更新IP-SGT表项 · Add critical:添加IP-SGT逃生用户表项 · Delete critical:删除IP-SGT逃生用户表项 · Update critical:更新IP-SGT逃生用户表项 · Add On-demand network:添加按需匹配网段 · Delete on-demand network:删除按需匹配网段 · Batch backup start:IP-SGT表项批量备份开始 · Batch backup mapping:批量备份IP-SGT表项 · Batch backup critical:批量备份IP-SGT逃生用户表项 · Batch backup end:IP-SGT表项批量备份结束 |
【相关命令】
· reset ipsgt statistics
ipsgt enable命令用来开启IP-SGT策略随行功能。
undo ipsgt enable命令用来关闭IP-SGT策略随行功能。
【命令】
ipsgt enable
undo ipsgt enable
【缺省情况】
IP-SGT策略随行功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
缺省情况下,只有认证设备能接收和执行服务器下发的微分段安全组策略来限制用户访问的网络资源,认证设备之外的设备无法接收和执行微分段安全组策略来控制用户的网络访问权限。
开启本功能后,设备将作为策略随行执行点接收EIA服务器推送的IP地址与微分段ID的映射表项。转发流量报文时,执行点设备会识别报文的源或目的IP地址,根据IP-SGT映射关系执行对应的微分段组策略,控制不同安全组间的网络访问权限。微分段及组策略的详细介绍请参见“安全配置指导”中的“微分段”。
【举例】
# 开启IP-SGT策略随行功能。
<Sysname> system-view
[Sysname] ipsgt enable
【相关命令】
· display ipsgt
ipsgt max-critical-map命令用来配置设备可存储的IP-SGT逃生映射表项的最大数目。
undo ipsgt max-critical-map命令用来恢复缺省值。
【命令】
ipsgt max-critical-map max-number
undo ipsgt max-critical-map
【缺省情况】
未配置设备可存储的IP-SGT逃生映射表项的最大数目。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
max-number:设备可存储的IP-SGT逃生映射表项的最大数目,取值范围为1~200000。
【使用指导】
在认证点和执行点设备分离场景中,当认证点设备无法与EIA服务器通信时,若开启了用户认证逃生功能(Critical微分段等),用户仍可以访问部分资源。但由于EIA服务器无法授权微分段,因此即使执行点设备与EIA服务器间的IP-SGT订阅通道正常,EIA服务器也不会向执行点设备下发逃生用户的IP-SGT映射表项。
当逃生用户流量命中按需地址网段时,由于执行点设备驱动未存储该用户的IP-SGT映射表项,因此无法通过匹配表项来快速完成硬件转发,反而需要将流量上送CPU通过软件完成转发。当逃生用户流量过大时,容易对CPU造成冲击。
在执行点设备通过静态配置(微分段视图下执行member命令)将用户加入指定微分段后,IP-SGT模块将自动生成用户的IP-SGT映射表项,并上报给路由管理模块,由路由管理模块下发FIB转发表,驱动根据FIB转发表将IP-SGT映射表项通过硬件资源存储起来,后续相同流量过来就可以直接在设备上匹配微分段规则通过硬件完成转发,从而避免大量流量上送CPU。member命令的详细介绍,请参见“安全命令参考”中的“微分段”。
但当执行点设备存储的逃生用户表项数过大时,容易消耗大量硬件资源,影响用户其它正常业务处理,此时可以通过配置本命令限制可存储的IP-SGT逃生用户映射表项数的最大值。
当认证模块的逃生功能和IP-SGT逃生功能同时开启时:
· 在认证点和执行点设备分离场景中,IP-SGT逃生功能优先生效。
· 在认证点和执行点设备合一场景中,认证模块的Critical微分段逃生功能优先生效;当认证模块配置的逃生功能为Critical VLAN或Critical VSI时,IP-SGT逃生功能优先生效。
【举例】
# 配置设备可存储的IP-SGT逃生映射表项的最大数目为4000。
<Sysname> system-view
[Sysname] ipsgt max-critical-map 4000
ipsgt on-demand命令用来配置IP-SGT按需地址网段。
undo ipsgt on-demand命令用来删除IP-SGT按需地址网段。
【命令】
ipsgt on-demand { ip ipv4-address { mask-length | mask } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
undo ipsgt on-demand [ ip [ ipv4-address { mask-length | mask } ] | ipv6 [ ipv6-address prefix-length ] ] [ vpn-instance vpn-instance-name ]
【缺省情况】
未配置IP-SGT按需地址网段。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ip ipv4-address { mask-length | mask }:指定IP-SGT策略随行中的IPv4按需地址网段。其中,ipv4-address表示配置的IPv4按需地址;mask-length表示子网掩码长度,取值范围为0~31;mask表示子网掩码,点分十进制格式,不允许指定255.255.255.255掩码。
ipv6 ipv6-address prefix-length:指定IP-SGT策略随行中的IPv6按需地址网段。其中,ipv6-address表示配置的IPv6按需地址;prefix-length表示IPv6地址前缀长度,取值范围为0~127。
vpn-instance vpn-instance-name:指定VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定该参数,则表示指定公网。
【使用指导】
缺省情况下,EIA服务器下发的所有IP-SGT映射表项会在设备上通过硬件表项资源存储起来,当接收到来自对应IP地址的报文时可以直接匹配微分段规则,转发效率高。但如果设备处于报文交互较少的链路,将所有IP地址对应的映射表项都存储起来会浪费大量硬件资源。
开启IP-SGT策略随行功能后,用户可以在执行点设备上通过本命令指定按需地址网段,设备硬件不会立即存储该网段的IP-SGT映射表项,只有当用户的IP地址属于该网段时,设备才会存储其对应的IP-SGT映射表项,后续相同流量过来就可以直接匹配微分段规则,从而节省了硬件资源。
如果undo命令中不指定任何参数,则表示删除所有IPv4和IPv6按需地址网段。
【举例】
# 配置一条IP地址为20.20.20.1,子网掩码为24的按需地址网段。
<Sysname> system-view
[Sysname] ipsgt on-demand ip 20.20.20.1 24
【相关命令】
· display ipsgt on-demand
· ipsgt enable
reset ipsgt statistics命令用来清除当前IP-SGT策略随行的报文统计信息。
【命令】
reset ipsgt statistics
【视图】
用户视图
【缺省用户角色】
network-admin
mdc-admin
【举例】
# 清除当前IP-SGT策略随行的报文统计信息。
<Sysname> reset ipsgt statistics
【相关命令】
· display ipsgt statistics
snmp-agent trap enable ipsgt命令用来开启IP-SGT策略随行告警功能。
undo snmp-agent trap enable ipsgt命令用来恢复缺省情况。
【命令】
snmp-agent trap enable ipsgt
undo snmp-agent trap enable ipsgt
【缺省情况】
IP-SGT策略随行告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启IP-SGT模块的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件(例如执行点设备与EIA服务器之间建立连接或者连接断开)。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。
有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
【举例】
# 开启IP-SGT策略随行告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable ipsgt
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
