- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
32-策略分析
本章節下載: 32-策略分析 (576.39 KB)
控製策略分析對當前存在或即將新建的策略進行分析,查看現有環境中有:衝突、冗餘、隱藏、合並、過期和空策略中的哪一種情況,讓設備更易於使用、便於維護和管理。
策略分析針對策略內的用戶、源接口、目的接口、源地址、應用、服務、目的地址和時間進行對象內逐一分析。策略分析的結果包括六類:
· 衝突策略:不區分匹配的前後順序,若策略A和策略B存在數據流交集(非包含和被包含關係),且AB策略的行為不同,則A和B互為衝突策略;
· 冗餘策略:根據匹配的前後順序(先匹配A策略匹配B策略),如果A策略匹配的所有數據流會被B策略包含在裏麵,刪除A策略不會對其餘策略產生影響,如果AB策略行為相同,那麼A策略會被計算為冗餘策略;
· 隱藏策略:根據匹配的前後順序(先匹配A策略在匹配B策略),如果B策略匹配的所有數據流會被A策略包含在裏麵,如果AB策略行為相同,那麼B策略會被計算為隱藏策略;
· 可合並策略:不區分匹配的前後順序,策略內元組信息隻有一項不同(且可合並)的情況下,則認為是可以合並的策略;
· 空策略:當策略中匹配的任何一個對象為空時,那麼該策略會被計算為空策略;
· 過期策略:發現當前策略中,匹配的時間範圍已經不會再次出現的策略。
策略分析分為全局分析和單獨策略的即時分析兩種方式。
在導航欄中選擇“策略配置>控製策略>策略分析”,進入控製策略分析顯示界麵,如圖1-1所示。
控製策略分析的含義如表1-1所示:
|
標題項 |
說明 |
|
策略分析設置 |
點擊 |
|
立即分析 |
立即進行控製策略分析。 |
|
策略問題數量 |
用柱狀圖進行分類顯示存在問題的策略數量。 |
|
策略寬鬆度分析 |
用柱狀圖進行分類顯示策略中源地址和目的地址的寬鬆度。 |
|
衝突策略 |
顯示當前策略中存在的衝突策略信息。 |
|
冗餘策略 |
顯示當前策略中存在的冗餘策略信息。 |
|
隱藏策略 |
顯示當前策略中存在的隱藏策略信息。 |
|
可合並策略 |
顯示當前策略中存在的可合並策略信息。 |
|
空策略 |
顯示當前策略中存在的空策略信息。 |
|
過期策略 |
顯示當前策略中存在的過期策略信息。 |
|
忽略策略 |
顯示當前策略中存在的忽略策略信息。 |
|
狀態 |
控製策略的狀態: · · |
|
ID |
控製策略的ID。 |
|
行為 |
控製策略行為的狀態包含: · 允許 · 拒絕 |
|
策略組 |
匹配控製策略匹配的時間對象。 |
|
用戶 |
匹配控製策略的用戶對象。 |
|
源接口/域 |
匹配控製策略的源接口/域。 |
|
目的接口/域 |
匹配控製策略的目的接口/域。 |
|
源地址 |
匹配控製策略的源地址。 |
|
目的地址 |
匹配控製策略的目的地址。 |
|
應用 |
匹配控製策略的應用對象。 |
|
服務 |
匹配控製策略的服務對象。 |
|
終端 |
匹配控製策略匹配的終端類型,包括:any、移動終端、PC、多終端。 移動終端:基於Android或IOS係統的智能手機或Pad; PC:基於Windows操作係統的PC或筆記本; 多終端:單個IP下同時存在電腦和移動終端。 |
|
描述 |
控製策略描述。 |
|
匹配次數 |
匹配控製策略的次數。 |
|
應用安全 |
如果顯示圖標 |
|
時間 |
匹配控製策略匹配的時間對象。 |
|
日誌 |
控製策略行為選擇為拒絕時是否記錄日誌。 |
|
老化時間 |
基於控製策略的老化時間,缺省情況下,老化時間為0,表示使用各個協議默認的老化時間。 |
|
操作 |
控製策略支持的操作,包含編輯和忽略策略設置。 |
策略分支支持定時分析,在導航欄中選擇“策略配置>控製策略>策略分析”,進入控製策略分析頁麵,點擊策略分析設置,如圖1-2所示。
策略分析設置界麵的詳細信息如表1-2所示:
|
標題項 |
說明 |
|
開啟分析 |
開啟/關閉策略定時分析。 |
|
CPU高於 |
配置範圍(50-99)內,當CPU高於配置信息後自動策略分析停止。 |
|
內存高於 |
配置範圍(50-99)內,當內存高於配置信息後自動策略分析停止。 |
|
周期 |
可以選擇每天、每周、每月。 |
|
時間 |
可以選擇定時自動分析的時間。 |
策略分析界麵默認顯示上次的分析結果,單擊<立即分析>按鈕,可以對整體的策略進行策略分析,如圖1-3所示。
控製策略分析完成後會顯示開始分析時間和分析結束時間,並顯示耗時時長,如表1-3所示。
|
標題項 |
說明 |
|
上次分析開始時間 |
顯示上次開始分析的時間。 |
|
上次分析結束時間 |
顯示上次分析結束的時間。 |
|
耗時 |
顯示總耗時為多長時間。 |
在導航欄中選擇“策略配置>控製策略”,點擊新建按鈕,進入控製策略配置顯示界麵,如圖1-4所示。
控製策略配置完成後,點擊<策略分析>按鈕,進行即時分析並顯示分析進度條,分析完成後彈出策略分析完成的提示,如圖1-5所示。
如當前策略和已存在策略存在影響,會在頁麵顯示分析結果。點擊分析結果,會顯示當前策略和哪些策略存在影響關係,如圖1-6所示。如果當前策略和已存在策略互不影響,則會顯示策略較合理,如圖1-7所示。
圖1-7 控製策略即時分析結果-策略合理
策略分析結果中異常策略詳細信息如表1-4所示:
|
標題項 |
說明 |
|
衝突策略 |
不區分匹配的前後順序,若策略A和策略B存在數據流交集(非包含和被包含關係),且AB策略的行為不同,則A和B互為衝突策略。 |
|
冗餘策略 |
根據匹配的前後順序(先匹配A策略匹配B策略),如果A策略匹配的所有數據流會被B策略包含在裏麵,刪除A策略不會對其餘策略產生影響,如果AB策略行為相同,那麼A策略會被計算為冗餘策略。 |
|
隱藏策略 |
根據匹配的前後順序(先匹配A策略在匹配B策略),如果B策略匹配的所有數據流會被A策略包含在裏麵,如果AB策略行為相同,那麼B策略會被計算為隱藏策略。 |
|
可合並策略 |
不區分匹配的前後順序,策略內元組信息隻有一項不同(且可合並)的情況下,則認為是可以合並的策略。 |
|
空策略 |
當策略中匹配的任何一個對象為空時,那麼該策略會被計算為空策略。 |
|
過期策略 |
發現當前策略中,匹配的時間範圍已經不會再次出現的策略。 |
|
忽略策略 |
手動忽略不進行分析的策略。 |
某公司當前策略比較多,對當前所有策略進行分析查看有哪些異常策略,可以對控製策略進行梳理如圖1-8所示。
進入策略分析頁麵,點擊立即分析按鈕,當分析完成後可以看到該公司策略存在哪些異常策略方便管理員進行維護和修改,如圖1-9所示
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
