所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
安全升级兼容命令

安全升级兼容命令

ACL升级兼容命令

assign acl-mode(升级兼容命令)

命令功能

assign acl-mode命令用来配置接口板ACL规格的资源分配模式。

undo assign acl-mode命令用来恢复ACL规格的资源分配模式为缺省值。

缺省情况下,ACL规格的资源分配模式为0。

命令格式

assign acl-mode mode-id slot slot-id

undo assign acl-mode slot slot-id

参数说明

参数

参数说明

取值

mode-id

指定资源分配模式。

整数形式,取值范围在0~4。
  • 0. Dual IPV4 and IPV6:配置IPV4和IPV6的ACL资源分配模式。
  • 1. L2 IPV4:配置L2 IPV4的ACL资源分配模式。
  • 2. L2 IPV6:配置L2 IPV6的ACL资源分配模式。
  • 3. L2:配置L2的ACL资源分配模式。
  • 4. IPV4:配置IPV4的ACL资源分配模式。

slot slot-id

指定单板所在槽位号。

整数形式,根据设备实际配置情况选取。

视图

系统视图

缺省级别

3:管理级

使用指南

当设备缺省的IPv4、IPv6或二层的ACL规格大小不能满足业务需求时,可以通过此命令配置ACL规格的资源分配模式以获得更大的ACL规格数目。

当设备所配置的业务调整时,对不同ACL规格的需求也随之发生变更,此时可以使用此命令变更不同的工作模式,但配置之前应该充分考虑模式变更的利益得失,如:从模式0. Dual IPV4 and IPV6更换到模式4. IPV4时,虽然IPV4的ACL规格数目增大了,但IPV6和二层的ACL规格数目会减小到0。

修改资源工作模式,需要重启接口板后才能生效。

使用实例

# 将10号槽位X1E单板的ACL规格的资源分配模式修改为3。

<HUAWEI> system-view
[HUAWEI] assign acl-mode 3 slot 10 

本机防攻击升级兼容命令

deny(升级兼容命令)

命令功能

deny命令用来将上送CPU的报文的动作设置成丢弃。

undo deny命令用来将上送CPU报文的动作恢复成缺省动作。

缺省情况下,设备对协议报文和用户自定义流进行CAR限速。

命令格式

deny packet-type hotlimit

deny packet-type nac-arp

deny packet-type nac-dhcp

undo deny packet-type hotlimit

undo deny packet-type nac-arp

undo deny packet-type nac-dhcp

参数说明

参数 参数说明 取值
packet-type hotlimit 表示丢弃hop-limit类型报文。 -
packet-type nac-arp 表示丢弃nac-arp类型报文。 -
packet-type nac-dhcp 表示丢弃nac-dhcp类型报文。 -

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

对上送CPU的同一个报文先后采用deny命令和car命令时,最后配置的命令生效。执行undo deny命令后,上送CPU报文动作恢复成缺省值,即进行相应的CIR、CBS动作。

使用实例

# 将防攻击策略test中上送CPU的bpdu报文动作设置为丢弃。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test 
[HUAWEI-cpu-defend-policy-test] deny packet-type bpdu

whitelist(升级兼容命令)

命令功能

whitelist命令用来配置白名单,基于ACL进行配置。

缺省情况下,没有配置白名单。

命令格式

whitelist acl acl-number { acl-number } &<1-4>

参数说明

参数 参数说明 取值
acl-number ACL编号。设备的白名单应用的ACL可以是基本ACL、高级ACL或二层ACL。 整数形式,取值范围是2000~4999。

视图

系统视图、防攻击策略视图

缺省级别

2:配置级

使用指南

设备的一个防攻击策略最多可以配置8条白名单。可以通过定义ACL规则,灵活设置白名单的属性。

白名单用户的报文到达设备后,将被高速率高优先级上送。可以将确定为正常使用设备的合法用户或者是高优先用户业务设置到白名单中。

使用实例

# 配置白名单使用的规则是ACL 2002。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] whitelist acl 2002

queue packet-type vrrp(升级兼容命令)

命令功能

queue packet-type vrrp命令用来配置VRRP协议报文上送CPU的队列号。

undo queue packet-type命令用来将VRRP协议报文上送CPU的队列号恢复为缺省值。

缺省情况下,VRRP协议报文上送CPU的队列号为6。

命令格式

queue packet-type vrrp queue-value

undo queue packet-type vrrp

参数说明

参数

参数说明

取值

queue-value

指定VRRP协议报文上送CPU的队列号。

整数形式,取值范围为5和7。

视图

防攻击策略视图

缺省级别

2:配置级

使用指南

应用场景

在报文上送CPU时,会先由ACL将报文送到CPU队列,在该队列做一次调度,然后再由CPU处理报文。该队列的调度方式和报文进入什么队列决定了报文处理的优先级。如果需要灵活指定报文的CPU调度优先级,可以通过配置协议报文上送CPU的队列号来实现。协议报文所在队列的队列号越大,其上送CPU的优先级越高。

注意事项

如果用户在V200R010之前版本执行本命令配置了VRRP协议报文上送CPU的队列号,升级到V200R010及之后版本,队列号保持不变;如果用户在V200R010之前版本没有配置过VRRP协议报文上送CPU的队列号,升级到V200R010及之后版本后,VRRP协议报文上送CPU的队列号的缺省值由7调整为6。

V200R010及之后版本设备仅支持执行undo queue packet-type vrrp命令将VRRP协议报文上送CPU的队列号恢复为缺省值,不支持重新配置VRRP协议报文上送CPU的队列号。

使用实例

# 恢复VRRP协议报文上送CPU的队列号为缺省值。

<HUAWEI> system-view
[HUAWEI] cpu-defend policy test
[HUAWEI-cpu-defend-policy-test] undo queue packet-type vrrp

流量抑制升级兼容命令

storm-control action(升级兼容命令)

命令功能

storm-control action命令用来配置风暴控制的动作为关闭接口。

undo storm-control action命令用来取消所配置的风暴控制的动作。

缺省情况下,未配置风暴控制动作。

命令格式

storm-control action shutdown

undo storm-control action

参数说明

参数

参数说明

取值

shutdown

指定风暴控制的动作为关闭接口。

-

视图

40GE接口视图、GE接口视图、XGE接口视图、端口组视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令。用户可以通过输入完整命令行格式执行该命令。

该命令功能等同于命令storm-control action error-down

使用实例

# 在接口GE1/0/1上配置风暴控制动作为关闭接口。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] storm-control action shutdown

Keychain升级兼容命令

receive-time(升级兼容命令)

命令功能

receive-time命令用来配置Keychain接收报文生效的时间段。

undo receive-time命令用来删除Keychain的接收报文时间段。

缺省情况下,没有配置Keychain的接收时间段。

命令格式

receive-time utc start-time start-date { duration { duration-value | infinite } | { to end-time end-date } }

参数说明

参数 参数说明 取值
utc 指定时间格式为UTC(Coordinated Universal Time)。 -
start-time 指定接收的开始时间。 HH:MM方式。取值范围是00:00~23:59。
start-date 指定接收的开始日期。 YYYY-MM-DD形式。取值范围是1970年1月1日~2050年12月31日。
duration duration-value 指定接收报文的持续时间。 单位为分钟,取值范围是1~26280000。
infinite 指定Keychain接收报文从配置的开始时间起永久活跃。 -
to 连接两个时间范围。 -
end-time 指定接收的结束时间。 HH:MM方式。取值范围是00:00~23:59。结束时间必须大于开始时间。
end-date 指定接收的结束日期。 YYYY-MM-DD形式。取值范围是1970年1月1日~2050年12月31日。

视图

key-id视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于命令receive-time start-time start-date { duration { duration-value | infinite } | { to end-time end-date } }。

send-time(升级兼容命令)

命令功能

send-time命令用来配置Keychain发送报文生效的时间段。

缺省情况下,没有配置发送时间。

命令格式

send-time utc start-time start-date { duration { duration-value | infinite } | { to end-time end-date } }

参数说明

参数 参数说明 取值
utc 指定时间格式为UTC(Coordinated Universal Time)。 -
start-time 指定发送的开始时间。 HH:MM方式。取值范围是00:00~23:59。
start-date 指定发送的开始日期。 YYYY-MM-DD形式。取值范围是1970年1月1日~2050年12月31日。
duration duration-value 指定发送报文的持续时间。 单位为分钟,取值范围是1~26280000。
infinite 指定Keychain发送报文从配置的开始时间起永久活跃。 -
to 连接两个时间范围。 -
end-time 指定发送的结束时间。 HH:MM方式。取值范围是00:00~23:59。结束时间必须大于开始时间。
end-date 指定发送的结束日期。 YYYY-MM-DD形式。取值范围是1970年1月1日~2050年12月31日。

视图

key-id视图

缺省级别

2:配置级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令功能等同于命令send-time start-time start-date { duration { duration-value | infinite } | { to end-time end-date } }。

PKI升级兼容命令

fingerprint(升级兼容命令)

命令功能

fingerprint命令用来配置对CA证书进行认证时使用的CA证书数字指纹。

undo fingerprint命令用来删除对CA证书进行认证时使用的CA证书数字指纹。

缺省情况下,系统未配置对CA证书进行认证时使用的CA证书数字指纹。

命令格式

fingerprint sha2 fingerprint

undo fingerprint

参数说明

参数 参数说明 取值
sha2 指定数字指纹的验证算法为SHA2。 -
fingerprint

指定数字指纹值。

此处配置的数字指纹值需要通过离线的方式从CA上获取。例如,当Windows Server 2008作为CA时,可以通过登录网页http://host:port/certsrv/mscep_admin/获得CA证书数字指纹信息,其中host为服务器的IP地址,port为CA服务器的端口号。

数字指纹为16进制形式输入的字符串,不区分大小写。

视图

PKI域视图

缺省级别

3:管理级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

password(升级兼容命令)

命令功能

password命令用来配置SCEP证书申请时使用的挑战密码,也是证书撤销密码。

undo password命令用来删除SCEP证书申请时使用的挑战密码。

缺省情况下,系统未配置SCEP证书申请时使用的挑战密码。

命令格式

password simple password

undo password

参数说明

参数 参数说明 取值
simple password 指定SCEP证书申请时使用的挑战密码,以明文形式显示用户密码。

-

视图

PKI域视图

缺省级别

3:管理级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

usage(升级兼容命令)

命令功能

usage命令用来配置证书公钥用途属性。

缺省情况下,系统未配置证书公钥用途属性。

命令格式

usage { ike | ssl-client | ssl-server } *

参数说明

参数

参数说明

取值

ike

指定证书密钥用途提示信息为ike,即申请的证书中的密钥用于建立IPSec隧道。

-

ssl-client

指定证书密钥用途提示信息为ssl-client,即申请的证书中的密钥是用于SSL客户端建立SSL会话。

-

ssl-server

指定证书密钥用途提示信息为ssl-server,即申请的证书中的密钥用于SSL服务器建立SSL会话。

-

视图

PKI域视图

缺省级别

3:管理级

使用指南

该命令是升级兼容命令,仅用于配置恢复,不能手动配置。

该命令的功能等同于key-usage { ike | ssl-client | ssl-server } *

翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10047

下载量:198

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页