- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
02-ACFP命令
本章節下載: 02-ACFP命令 (144.38 KB)
MSR係列路由器各款型對於本節所描述的特性支持情況有所不同,詳細差異信息如下:
|
型號 |
特性 |
描述 |
|
MSR800 |
ACFP |
不支持 |
|
MSR 900 |
支持 |
|
|
MSR900-E |
不支持 |
|
|
MSR 930 |
不支持 |
|
|
MSR 20-1X |
支持 |
|
|
MSR 20 |
不支持 |
|
|
MSR 30 |
支持(僅MSR30-11、MSR30-11E和MSR30-11F不支持) |
|
|
MSR 50 |
支持(僅MSR 50-06不支持) |
|
|
MSR 2600 |
不支持 |
|
|
MSR3600-51F |
不支持 |
【命令】
acfp server enable
undo acfp server enable
【視圖】
係統視圖
【缺省級別】
2:係統級
【參數】
無
【描述】
acfp server enable命令用來使能ACFP server功能。undo acfp server enable命令用來關閉ACFP server功能。
缺省情況下,ACFP server功能處於關閉狀態。
需要注意的是,如果當前設備已使能了ACSEI server功能,那麼當關閉後再使能ACFP server功能時,為保證ACFP聯動規則能被重新下發給ACFP server,必須對ACSEI server功能也執行一次關閉再使能的操作。
相關配置可參考“OAA命令參考/ACSEI”中的命令acsei server enable。
【舉例】
# 使能ACFP server功能。
<Sysname> system-view
[Sysname] acfp server enable
【命令】
display acfp client-info [ client-id ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
client-id:查看指定ACFP client的信息,client-id為ACFP client的標識,取值範圍為1~2147483647。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display acfp client-info命令用來查看ACFP client信息。
需要注意的是,如果不指定client-id,則顯示所有ACFP client的信息。
【舉例】
# 查看所有ACFP client的信息。
<Sysname> display acfp client-info
ACFP client total number: 1
ClientID: 2
Description: Intrusion Prevention System
Hw-Info: 2.0
OS-Info: i-Ware software, Version 1.10
App-Info: Ess 2110P01
Client IP: 10.1.1.1
Client Mode: redirect mirror
表1-1 display acfp client-info命令顯示信息描述表
|
字段 |
描述 |
|
ACFP client total number |
ACFP client的總數 |
|
ClientID |
客戶端的編號,client表的索引 |
|
Description |
ACFP client的描述信息 |
|
Hw-Info |
ACFP client的硬件信息 |
|
OS-Info |
ACFP client的操作係統信息 |
|
App-Info |
ACFP client的應用軟件信息 |
|
Client IP |
ACFP client的IP地址 |
|
Client Mode |
ACFP client支持的工作模式: · ipserver:表示主機模式 · redirect:表示重定向模式 · mirror:表示鏡像模式 · passthrough:表示穿透模式 |
【命令】
display acfp policy-info [ client client-id [ policy-index ] | dest-interface interface-type interface-number | in-interface interface-type interface-number | out-interface interface-type interface-number ] [ active | inactive ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
client client-id:查看指定ACFP client發送的策略信息。client-id為ACFP client的標識,取值範圍為1~2147483647。
policy-index:表示策略編號,取值範圍為1~2147483647。
dest-interface interface-type interface-number:查看以指定接口為連接ACFP client的接口(目的接口)的策略信息。interface-type interface-number為接口類型和接口編號。
in-interface interface-type interface-number:查看以指定接口為入接口的策略信息。interface-type interface-number為接口類型和接口編號。
out-interface interface-type interface-number:查看以指定接口為出接口的策略信息。interface-type interface-number為接口類型和接口編號。
active:隻查看生效的策略。
inactive:隻查看失效的策略。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display acfp policy-info命令用來查看ACFP策略信息。
需要注意的是:
· 查看指定ACFP client發送的策略信息時,如果指定了policy-index參數,則顯示標識為client-id的ACFP client發送的編號為policy-index的策略信息;否則將顯示標識為client-id的ACFP client發送的所有策略的信息。
· 如果不指定生效/失效參數,則顯示所有的生效和失效的策略信息。
· 如果不指定任何參數,則顯示所有策略的信息。
【舉例】
# 查看所有報文入接口為Ethernet1/1的生效的策略信息。
<Sysname> display acfp policy-info in-interface ethernet 1/1 active
ACFP policy total number: 1
ClientID: 3 Policy-Index: 2
Rule-Num: 1 ContextID: 128
Exist-Time: 61500 (s) Life-Time: 2147483647(s)
Start-Time: 00:00:00 End-Time: 24:00:00
Admin-Status: enable Effect-Status: active
DstIfFailAction: delete Priority: 1
In-Interface: Ethernet1/1
Out-Interface:
Dest-Interface: GigabitEthernet2/1
表1-2 display acfp policy-info命令顯示信息描述表
|
字段 |
描述 |
|
ACFP policy total number |
ACFP策略的總數 |
|
ClientID |
客戶端的編號,client表的索引 |
|
Policy-Index |
策略號 |
|
Rule-Num |
策略下的規則數目 |
|
ContextID |
報文上下文ID |
|
Exist-Time |
策略已經存在的時間(單位為秒) |
|
Life-Time |
策略生效期(單位為秒) |
|
Start-Time |
策略開始時間 |
|
End-Time |
策略結束時間 |
|
Admin-Status |
策略管理狀態 |
|
Effect-Status |
策略生效狀態 |
|
DstIfFailAction |
策略目的接口down時,該策略下所有規則處理動作。該字段有兩種取值: · delete:表示在目的接口down後,重定向和鏡像的報文可以繼續轉發(對於轉發優先設備,選擇delete動作) · reserve:表示在目的接口down後,重定向和鏡像的報文直接丟棄(對於安全優先設備,選擇reserve動作) |
|
Priority |
用數字1~8表示的策略優先級(取值越大,優先級越高) |
|
In-Interface |
報文入接口 |
|
Out-Interface |
報文出接口 |
|
Dest-Interface |
連接ACFP client的接口 |
【命令】
display acfp rule-cache [ in-interface interface-type interface-number | out-interface interface-type interface-number ] * [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
in-interface interface-type interface-number:查看指定入接口的規則緩存信息。interface-type interface-number為接口類型和接口編號。
out-interface interface-type interface-number:查看指定出接口的規則緩存信息。interface-type interface-number為接口類型和接口編號。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display acfp rule-cache命令用來查看ACFP規則緩存信息。
需要注意的是,如果不指定in-interface和out-interface,則顯示所有ACFP規則緩存信息。
【舉例】
# 查看所有ACFP規則緩存信息。
<Sysname> display acfp rule-cache
ACFP rule-cache total items: 2
Idx SIP Sport DIP DPort Pro InIf OutIf
----------------------------------------------------------------------
1021 202.153.124.111 62534 202.124.152.234 32456 4 GE2/2 Eth1/1
Precedence ToS DSCP TCPFlag TCPMask Fragment Action
----------------------------------------------------------------------
7 15 Af12 010100 010100 true redirect
Idx SIP Sport DIP DPort Pro InIf OutIf
----------------------------------------------------------------------
895 202.153.124.111 62534 202.124.152.234 32456 1 GE2/2 Eth1/1
Precedence ToS DSCP TCPFlag TCPMask Fragment Action
----------------------------------------------------------------------
3 14 Be 010100 010100 true deny
表1-3 display acfp rule-cache命令顯示信息描述表
|
字段 |
描述 |
|
ACFP rule-cache total items |
ACFP規則緩存信息的條數 |
|
Idx |
Hash索引 |
|
SIP |
源IP地址 |
|
SPort |
源端口號 |
|
DIP |
目的IP地址 |
|
DPort |
目的端口號 |
|
Pro |
用數字0~255表示的報文協議類型,常見類型如下: · 1:表示ICMP協議 · 2:表示IGMP協議 · 6:表示TCP協議 · 17:表示UDP協議 |
|
InIf |
報文入接口 |
|
OutIf |
報文出接口 |
|
Precedence |
用數字0~7表示的報文優先級 |
|
Tos |
用數字0~15表示的服務類型 |
|
DSCP |
差分服務編碼點,對於Be、Ef、Af11、Af12、Af13、Af21、Af22、Af23、Af31、Af32、Af33、Af41、Af42、Af43、Cs1、Cs2、Cs3、Cs4、Cs5、Cs6、Cs7用文字表示,其它則用數字0~63表示 |
|
TCPFlag |
用6個比特位表示的TCP標誌位,從低位到高位依次代表:URG、ACK、PSH、RST、SYN和FIN |
|
TCPMask |
用6個比特位表示的TCP標誌位掩碼,從低位到高位依次代表:URG掩碼、ACK掩碼、PSH掩碼、RST掩碼、SYN掩碼和FIN掩碼。對於每一位來說,取1表示關心該位,取0則表示不關心該位 |
|
Fragment |
是否是分片報文: · true:表示分片報文 · false:表示非分片報文 |
|
Action |
動作類型: · permit:表示允許 · deny:表示禁止 · mirror:表示鏡像 · redirect:表示重定向 |
【命令】
display acfp rule-info { in-interface [ interface-type interface-number ] | out-interface [ interface-type interface-number ] | policy [ client-id policy-index ] } [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
in-interface:以入接口順序顯示ACFP規則信息,不包含入接口的規則信息不顯示。
out-interface:以出接口順序顯示ACFP規則信息,不包含出接口的規則信息不顯示。
interface-type interface-number:指定接口類型和接口編號。
policy:以策略順序顯示ACFP規則信息。
client-id:ACFP client的標識,取值範圍為1~2147483647。
policy-index:策略編號,取值範圍為1~2147483647。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display acfp rule-info命令用來查看ACFP規則信息。
需要注意的是:
· 以策略順序顯示ACFP規則信息時,如果不指定client-id和policy-index參數,則顯示全部策略的規則信息。
· 以出/入接口順序顯示ACFP規則信息時,如果不指定interface-type interface-number參數,則顯示全部出/入接口下的規則信息。
【舉例】
# 按入接口順序顯示ACFP規則信息。
<Sysname> display acfp rule-info in-interface ethernet 1/1
In-Interface: Ethernet1/1
ACFP rule total number: 1
ClientID:1 Policy-Index:1 Rule-Index:1
SIP:192.168.1.1 SMask:0.0.0.255
Action:redirect Status:active OperationStatus:succeeded
# 按策略順序顯示ACFP規則信息。
<Sysname> display acfp rule-info policy 1 1
ACFP Rule total number: 1
ClientID:1 Policy-Index:1 Rule-Index:1
SIP:192.168.1.1 SMask:0.0.0.255 SPort:65500 to 65535
DIP:192.168.2.1 DMask:0.0.0.255 DPort:65500 to 65535
Protocol:ip Fragment:false DSCP:AF11
Action:redirect Status:active OperationStatus:succeeded
表1-4 display acfp rule-info命令顯示信息描述表
|
字段 |
描述 |
|
In-Interface |
報文入接口 |
|
ACFP rule total number |
ACFP規則的總數 |
|
ClientID |
客戶端的編號,client表的索引 |
|
Policy-Index |
策略號 |
|
Rule-Index |
規則號 |
|
SIP |
源IP地址 |
|
SMask |
源IP地址的反掩碼 |
|
SPort |
源端口號 |
|
DIP |
目的IP地址 |
|
DMask |
目的IP地址的反掩碼 |
|
DPort |
目的端口號 |
|
Protocol |
報文的協議類型,包括GRE、ICMP、IGMP、IPinIP、OSPF、TCP、UDP、IP等 |
|
Fragment |
是否是分片報文: · true:表示分片報文 · false:表示所有報文,不關心是否是分片報文 |
|
DSCP |
差分服務編碼點,對於Be、Ef、Af11、Af12、Af13、Af21、Af22、Af23、Af31、Af32、Af33、Af41、Af42、Af43、Cs1、Cs2、Cs3、Cs4、Cs5、Cs6、Cs7用文字表示,其它則用數字0~63表示 |
|
Action |
動作類型: · permit:表示允許 · deny:表示禁止 · mirror:表示鏡像 · redirect:表示重定向 · rate:表示限速 |
|
Status |
規則的生效狀態: · active:表示生效 · inactive:表示失效 |
|
OperationStatus |
規則的應用狀態: · succeeded:表示成功 · failed:表示失敗 |
【命令】
display acfp server-info [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display acfp server-info命令用來查看ACFP server信息。
【舉例】
<Sysname> display acfp server-info
Server-Info: ipserver redirect mirror
Max Life-Time: 2147483647(s)
PersistentRules: false
ContextType: VLANID-context
表1-5 display acfp server-info命令顯示信息描述表
|
字段 |
描述 |
|
Server-Info |
ACFP server所支持的client工作模式: · ipserver:表示主機模式 · redirect:表示重定向模式 · mirror:表示鏡像模式 · passthrough:表示穿透模式 |
|
Max Life-Time |
ACFP server所能支持的聯動策略的最大有效期(單位為秒) |
|
PersistentRules |
ACFP server是否能支持永久保存聯動規則: · true:表示支持 · false:表示不支持 |
|
ContextType |
ACFP server當前支持的上下文ID類型: · VLANID-context:表示使用VLAN ID作為上下文ID |
【命令】
reset acfp rule-cache [ in-interface interface-type interface-number | out-interface interface-type interface-number ] *
【視圖】
用戶視圖
【缺省級別】
1:監控級
【參數】
in-interface interface-type interface-number:清除指定入接口的ACFP規則緩存信息,interface-type interface-number為接口類型和接口編號。
out-interface interface-type interface-number:清除指定出接口的ACFP規則緩存信息,interface-type interface-number為接口類型和接口編號。
【描述】
reset acfp rule-cache命令用來清除ACFP規則緩存信息。
需要注意的是,如果不指定in-interface和out-interface參數,則清除所有ACFP規則緩存信息。
【舉例】
# 清除以接口Ethernet1/1為入接口的ACFP規則緩存信息。
<Sysname> reset acfp rule-cache in-interface ethernet 1/1
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
