- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
26-微分段命令
本章节下载: 26-微分段命令 (222.46 KB)
目 录
1.1.2 display microsegment aggregation
1.1.3 extcommunity-type microsegment-id
1.1.6 microsegment aggregation
display microsegment命令用来显示微分段的配置和状态信息。
【命令】
display microsegment [ microsegment-id | name microsegment-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
microsegment-id:微分段的ID,取值范围为1~65535。
name microsegment-name:微分段的名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
执行本命令时,如果未指定任何参数,则显示设备上所有微分段的概要和状态信息。
【举例】
# 显示ID为1的微分段的配置信息。
<Sysname> display microsegment 1
Microsegment ID : 1
Microsegment name : micseg1
IPv4 member:
192.168.56.0/24
IPv6 member:
10:10::/64
# 显示微分段的概要和状态信息。
<Sysname> display microsegment
Microsegment status : Enabled
Subnet matching method: Longest
Mode : Dual-stack-mode
Total microsegments : 2
Microsegment list :
Microsegment ID Members Microsegment name
12345 3 abc
32789 5 xyz
表1-1 display microsegment命令显示信息描述表
|
字段 |
描述 |
|
Microsegment ID |
微分段ID |
|
Microsegment name |
微分段名称 |
|
IPv4 member |
微分段的IPv4成员 |
|
IPv6 member |
微分段的IPv6成员 |
|
Microsegment status |
微分段功能的状态,取值包括: · Enabled:开启 · Disabled:关闭 |
|
Subnet matching method |
匹配方式为最长匹配时才显示此字段,取值为Longest |
|
Mode |
标识协议类型为IPv4/IPv6双栈的报文所属的微分段 |
|
Total microsegments |
已配置的微分段数量 |
|
Microsegment list |
微分段列表 |
|
Members |
微分段中的成员数量 |
display microsegment aggregation命令用来显示聚合微分段的配置信息。
【命令】
display microsegment aggregation [ aggregation-id | name aggregation-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
aggregation-id:聚合微分段的ID,取值范围为1~65535。
name aggregation-name:聚合微分段的名称,为1~32个字符的字符串,不区分大小写。
【使用指导】
本命令在不指定任何参数时,表示显示所有聚合微分段的配置信息;指定ID或名称时,表示显示指定聚合微分段的配置信息。
【举例】
# 显示ID为16的聚合微分段的配置信息。
<Sysname> display microsegment aggregation 16
Aggregation ID Range Aggregation name
16 16-19 agg16
# 显示所有聚合微分段的配置信息。
<Sysname> display microsegment aggregation
Aggregation ID Range Aggregation name
16 16-19 agg16
32 32-35
表1-2 display microsegment aggregation命令显示信息描述表
|
字段 |
描述 |
|
Aggregation ID |
聚合微分段ID |
|
Range |
聚合微分段中包含的微分段ID的范围 |
|
Aggregation name |
聚合微分段的名称 |
【相关命令】
· microsegment aggregation
extcommunity-type microsegment-id命令用来配置微分段ID扩展团体属性的类型值。
undo extcommunity-type microsegment-id命令用来恢复缺省情况。
【命令】
extcommunity-type microsegment-id microsegment-type-value
undo extcommunity-type microsegment-id
【缺省情况】
微分段ID扩展团体属性的类型值为十六进制数83ff。
【视图】
BGP实例视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
microsegment-type-value:表示微分段ID扩展团体属性的类型值,取值范围为十六进制数0~ffff。
【使用指导】
设备通过BGP路由中的微分段ID扩展团体属性将本端的微分段信息发布给对端设备。如果微分段ID扩展团体属性与其他扩展团体属性的类型值冲突,可通过本配置修改微分段ID的扩展团体属性类型值,以避免冲突。
【举例】
# BGP实例视图下,配置微分段ID扩展团体属性的类型值为0x5688。
<Sysname>system-view
[Sysname] bgp 200
[Sysname-bgp-default] extcommunity-type microsegment-id 5688
member命令用来向微分段中添加成员。
undo member命令用来删除微分段中的成员。
【命令】
member { ipv4 ipv4-address { mask | mask-length } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
undo member { ipv4 ipv4-address { mask | mask-length } | ipv6 ipv6-address prefix-length } [ vpn-instance vpn-instance-name ]
【缺省情况】
微分段中不存在成员。
【视图】
微分段视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
ipv4 ipv4-address { mask | mask-length }:将指定范围内的IPv4地址添加到微分段,即将IPv4地址代表的终结点加入到微分段。ipv4-address为IPv4地址;mask为IPv4地址的掩码;mask-length为IPv4地址的掩码长度,取值范围为0~32。
ipv6 ipv6-address prefix-length:将指定范围的IPv6地址添加到微分段,即将IPv6地址代表的终结点加入到微分段。ipv6-address为IPv6地址;prefix-length为IPv6地址的前缀长度,取值范围为0~128。
vpn-instance vpn-instance-name:将指定VPN实例内的IP地址添加到微分段。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若不指定本参数,表示将指定公网内的IP地址添加到微分段。
【使用指导】
同一个成员不可以同时属于多个微分段。
可以通过多次执行本命令将多个IP地址或多个IP地址范围加入微分段中。
【举例】
# 将IPv4地址192.168.56.3加入ID为1的微分段中。
<Sysname> system-view
[Sysname] microsegment 1
[Sysname-microsegment-1] member ip 192.168.56.3 32
【相关命令】
· display microsegment
· microsegment
microsegment命令用来创建微分段,并进入微分段视图。如果指定的微分段已存在,则直接进入微分段视图。
undo microsegment命令用来删除指定的微分段。
【命令】
microsegment microsegment-id [ name microsegment-name ]
undo microsegment microsegment-id
【缺省情况】
不存在微分段。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
microsegment-id:微分段的ID,取值范围为1~65535。
name microsegment-name:微分段的名称,为1~32个字符的字符串,不区分大小写。微分段的名称必须全局唯一。如果不指定本参数,则仅使用ID进行标识。
【使用指导】
不支持修改已有微分段的名称。如需修改,请删除该微分段再重新创建。
当配置了空闲内存告警的门限值,且剩余空闲内存到达了告警门限后,无法创建微分段,也无法进入已创建的微分段。已配置的微分段功能可以正常使用。
【举例】
# 创建ID为1,名称为micseg1的微分段,并进入其视图。
<Sysname> system-view
[Sysname] microsegment 1 name micseg1
[Sysname-microsegment-1]
microsegment aggregation命令用来创建聚合微分段。
undo microsegment aggregation命令用来删除指定的聚合微分段。
【命令】
microsegment aggregation aggregation-id mask-length mask-length [ name aggregation-name ]
undo microsegment aggregation aggregation-id
【缺省情况】
不存在聚合微分段。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
aggregation-id:聚合微分段的ID,取值范围为1~65535,且必须是偶数。
mask-length mask-length:聚合微分段的掩码长度,mask-length的取值范围为1~aggregation-id转换为二进制时末尾连续0的位数。
name aggregation-name:聚合微分段的名称,为1~32个字符的字符串,不区分大小写。如果不指定本参数,则创建的聚合微分段无名称。
【使用指导】
普通微分段是对网络终结点(例如IP地址)进行的分组,而聚合微分段是在此基础上对普通微分段进行的二次分组,以实现更加精细化的分组管理。一个聚合微分段是通过掩码对ID连续的多个普通微分段进行聚合后生成的新的微分段,它的ID是被聚合的普通微分段ID中的最小值。聚合微分段使用的GBP优先级高于普通微分段使用的GBP。例如,普通微分段12与14、13与14之间允许互访,现对普通微分段12与13进行聚合,生成的聚合微分段12,并使用新的GBP禁止聚合微分段12与14之间互访,则实际上普通微分段12与14、13与14之间无法互访。
使用聚合微分段时,请遵循如下规则:
· 使用本命令可以对ID连续的多个普通微分段进行聚合,并生成一个聚合微分段,其中aggregation-id即是聚合微分段的ID,也是被聚合普通微分段各ID中的最小值。例如,对微分段6和7进行聚合,则聚合微分段的ID为6。
· 使用本命令对普通微分段进行聚合时,聚合的个数由mask-length(通配符掩码的低位比特数)决定。例如,mask-length为3,表示聚合2³=8个普通微分段。
基于上述约束规则,假设希望对普通微分段6和7进行聚合,则本命令中的aggregation-id需取值为6,mask-length需取值为1(十进制6转换为二进制是110,末尾连续0的位数为1)。
已存在的聚合微分段不支持修改其名称。
【举例】
# 创建ID为16,掩码长度为3,名称为agg16的聚合微分段。
<Sysname> system-view
[Sysname] microsegment aggregation 16 mask-length 3 name agg16
microsegment enable命令用来开启微分段功能。
undo microsegment enable命令用来关闭微分段功能。
【命令】
microsegment enable
undo microsegment enable
【缺省情况】
微分段功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启微分段功能后,微分段中的成员IP和微分段ID会被下发至FIB表中;关闭微分段功能时,下发至FIB表中的相应数据会被删除。当报文进入设备时,设备可以根据其源、目的IP地址查找FIB表,获取对应的微分段ID,进而根据ACL及GBP的相关配置,允许或禁止报文通过。
EVPN网络自动同步微分段信息时,同步数据会直接在接收设备上生效,不受接收设备上本命令的控制。
VLAN接口出方向使用扩展的ACL资源来实现报文过滤与微分段功能互斥,后配置者不生效。
【举例】
# 开启微分段功能。
<Sysname> system-view
[Sysname] microsegment enable
【相关命令】
· display microsegment
· member
· microsegment
microsegment subnet-match命令用来配置微分段的网段地址成员采用的匹配方式。
undo microsegment subnet-match命令用来恢复缺省情况。
【命令】
microsegment subnet-match longest
undo microsegment subnet-match
【缺省情况】
网段地址采用精确匹配方式来匹配归属微分段。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
longest:表示微分段的网段地址成员采用的匹配方式为最长匹配。
【使用指导】
报文在不同微分段间转发时,设备会根据GBP中的ACL规则来匹配报文的源地址和目的地址所属的微分段。匹配方式有以下两种:
· 精确匹配:报文源和目的地址的掩码长度与微分段成员的地址掩码长度一致。例如报文源地址为10.10.10.1/24则只能匹配到微分段的成员10.10.10.0/24,而无法匹配到微分段的成员10.10.10.0/23。
· 最长匹配:报文源和目的地址的掩码长度可以大于等于微分段成员的地址掩码长度。例如报文源地址为10.10.10.1/24可以匹配到微分段成员10.10.10.0/16。
如果报文的源地址或目的地址是一个网段地址,即IPv4掩码长度为1~31位、IPv6前缀长度为1~127位的地址,则缺省情况下,设备使用精确匹配的原则来匹配其归属的微分段,因此使用member命令向微分段中添加某一网段路由时,必须精确指定网段地址及其掩码长度,否则报文的源和目的可能无法匹配到归属的微分段。当存在大量网段地址加入同一微分段时,必须逐个将网段地址加入到微分段中,配置较复杂。通过采用最长匹配方式匹配报文源和目的所归属的微分段,可以简化配置。例如不同报文源端地址分别属于10.10.10.0/24、10.10.20.0/24、10.10.30.0/24网段,要求这三个网段地址都匹配到微分段1,只需配置member ipv4 10.10.10.0/16即可。
不同掩码长度地址匹配微分段的方式不同:
· 对于主机地址(IPv4掩码长度为32位、IPv6为128位),按照最长匹配原则进行匹配;
· 对于缺省路由(0.0.0.0/0或0::0/0,即掩码长度为0位),按照精确匹配的原则进行匹配;
· 对于除缺省路由外的其他网段地址,执行本命令后按最长匹配原则进行匹配,否则按精确匹配进行匹配。
【举例】
# 配置微分段的网段地址成员采用最长匹配方式。
<Sysname> system-view
[Sysname] microsegment subnet-match longest
【相关命令】
· display microsegment
· member
snmp-agent trap enable microsegment命令用来开启微分段模块的告警功能。
undo snmp-agent trap enable microsegment命令用来取消微分段模块的告警功能。
【命令】
snmp-agent trap enable microsegment
undo snmp-agent trap enable microsegment
【缺省情况】
微分段模块的告警功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
mdc-admin
【使用指导】
开启微分段模块的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。
有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
【举例】
# 开启微分段告警功能。
<Sysname> system-view
[Sysname] snmp-agent trap enable microsegment
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
