- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-安全域命令
本章節下載: 01-安全域命令 (208.26 KB)
目 錄
1.1.2 display zone-pair security
1.1.7 import service-chain path
1.1.10 security-zone intra-zone default permit
display security-zone命令用來顯示安全域信息,包括缺省安全域和自定義的安全域信息。
【命令】
display security-zone [ name zone-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
name zone-name:安全域的名稱,為1~31個字符的字符串,不區分大小寫。若不指定本參數,則顯示所有安全域的信息。
【使用指導】
安全域的顯示順序是先顯示缺省安全域信息,再按照安全域名稱的字母排序顯示自定義的安全域信息。
【舉例】
# 顯示安全域myZone的信息。
<Sysname> display security-zone name myZone
Name: myZone
Members:
GigabitEthernet1/0/3
GigabitEthernet1/0/4
GigabitEthernet1/1/1 in VLAN 3
GigabitEthernet1/1/5 in VLAN 7
表1-1 display security-zone命令輸出信息描述
|
字段 |
描述 |
|
Name |
安全域名稱 |
|
Members |
安全域成員,包括以下幾種取值: · 三層接口名稱 · 二層以太網接口名稱和所屬的VLAN編號 · None,該安全域中沒有任何成員 |
display zone-pair security命令用來顯示已創建的所有域間實例的信息。
【命令】
display zone-pair security
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【舉例】
# 顯示所有安全域間實例的信息。
<Sysname> display zone-pair security
Source zone Destination zone
DMZ Local
Trust Local
表1-2 display zone-pair security命令輸出信息描述
|
字段 |
描述 |
|
Source zone |
源安全域名稱 |
|
Destination zone |
目的安全域名稱 |
import interface命令用來向安全域中添加三層接口成員,包括三層以太網接口、三層以太網子接口和其它三層邏輯接口。
undo import interface命令用來從安全域中移除三層接口成員。
【命令】
import interface layer3-interface-type layer3-interface-number
undo import interface layer3-interface-type layer3-interface-number
【缺省情況】
安全域中不存在任何三層接口成員。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
layer3-interface-type layer3-interface-number:指定添加到安全域的三層接口的接口類型和接口編號。
【使用指導】
缺省的安全域Local中不允許添加任何接口,其它缺省的安全域中允許添加接口。
可以通過多次執行本命令向同一個安全域添加多個三層接口成員。
一個三層接口隻允許加入一個安全域。若要修改接口所屬安全域時,需要執行以下操作:
(1) 首先在相應安全域中使用undo import interface命令將相應接口從原安全域中刪除。
(2) 再使用import interface命令將其加入其它安全域。
【舉例】
# 向安全域Trust中添加三層以太網接口GigabitEthernet1/0/1。
<Sysname> system-view
[Sysname] security-zone name trust
[Sysname-security-zone-trust] import interface gigabitethernet 1/0/1
import interface vlan命令用來向安全域中添加二層接口和VLAN成員。
undo import interface vlan命令用來從安全域中移除二層接口和VLAN成員。
【命令】
import interface layer2-interface-type layer2-interface-number vlan vlan-list
undo import interface layer2-interface-type layer2-interface-number vlan vlan-list
【缺省情況】
安全域中不存在任何二層接口和VLAN成員。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
layer2-interface-type layer2-interface-number:指定添加到安全域的二層接口的接口類型和接口編號。
vlan vlan-list:指定接口所屬的VLAN列表。VLAN列表表示多個VLAN,表示方式為vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>。其中,vlan-id1、vlan-id2為已創建的VLAN編號。&<1-10>表示前麵的參數最多可以輸入10次。vlan-id2必須大於vlan-id1。VLAN ID的取值範圍為1~4094。
【使用指導】
缺省的安全域Local中不允許添加任何接口或者VLAN,其它缺省的安全域中允許添加接口和VLAN。
可以通過多次執行本命令,向安全域中添加多個二層接口和VLAN成員。
一個二層接口和所屬的VLAN隻允許加入一個安全域。若要修改接口或者VLAN所屬安全域時,需要執行以下操作:
(1) 首先在相應安全域中使用undo import interface vlan命令將相應接口或者VLAN從原安全域中刪除。
(2) 再使用import interface vlan命令將其加入其它安全域。
【舉例】
# 向安全域Untrust中添加二層以太網接口GigabitEthernet1/0/1和對應的VLAN 10。
<Sysname> system-view
[Sysname] security-zone name untrust
[Sysname-security-zone-untrust] import interface gigabitethernet 1/0/1 vlan 10
import ip命令用來向安全域中添加IPv4子網成員。
undo import ip命令用來從安全域中刪除IPv4子網成員。
【命令】
import ip ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
undo import ip ip-address { mask-length | mask } [ vpn-instance vpn-instance-name ]
【缺省情況】
安全域中不存在任何IPv4子網成員。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ip-address:指定子網IPv4地址或主機地址。
mask-length:表示子網的掩碼長度,即掩碼中連續“1”的個數,取值範圍為0~32。
mask:表示IPv4子網相應的子網掩碼,為點分十進製格式。
vpn-instance vpn-instance-name:指定子網所屬的VPN。vpn-instance-name表示設備中存在的VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。不指定該參數時,表示子網位於公網中。
【使用指導】
缺省的安全域Local中不允許添加任何IPv4子網成員,其它缺省的安全域中允許添加IPv4子網成員。
可以通過多次執行本命令,向安全域中添加多個IPv4子網成員。
完全相同的子網不能添加到不同的安全域中,例如1.1.1.1/24與1.1.1.2/24相同,均對應IPv4子網1.1.1.0/24,不能分別添加到不同安全域。
如果兩個子網的網段有包含關係,例如1.1.1.1/24與1.1.2.2/16,後者包含前者,但係統認為是兩個不同子網,可以分別配置到同一安全域或者不同安全域。當配置到不同安全域時,報文最終將匹配掩碼最長的子網所在的安全域。如IP地址為1.1.1.3的報文會匹配到1.1.1.1/24所在的安全域。
需要注意的是,在使用此種方式添加安全域成員時,若使動態路由協議建立成功,則必須將其使用的組播或廣播地址加入安全域。
【舉例】
# 添加地址為192.168.1.0、掩碼長度為24的IPv4子網到安全域a。
<Sysname> system-view
[Sysname] security-zone name a
[Sysname-security-zone-a] import ip 192.168.1.0 24
# 添加地址為192.168.2.1、掩碼為255.255.255.0的IPv4子網到安全域a。
<Sysname> system-view
[Sysname] security-zone name a
[Sysname-security-zone-a] import ip 192.168.2.1 255.255.255.0
# 添加地址為192.168.2.1、掩碼為255.255.255.0、VPN實例名為abc的IPv4子網到安全域a。
<Sysname> system-view
[Sysname] security-zone name a
[Sysname-security-zone-a] import ip 192.168.2.1 255.255.255.0 vpn-instance abc
import ipv6命令用來向安全域中添加IPv6子網成員。
undo import ipv6命令用來從安全域中刪除IPv6子網成員。
【命令】
import ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]
undo import ipv6 ipv6-address prefix-length [ vpn-instance vpn-instance-name ]
【缺省情況】
安全域中不存在任何IPv6子網成員。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
ipv6-address:指定子網IPv6地址。
prefix-length:指定IPv6地址的前綴長度,取值範圍為1~128。
vpn-instance vpn-instance-name:指定子網所屬的VPN。vpn-instance-name表示設備中存在的VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。不指定該參數時,表示子網位於公網中。
【使用指導】
缺省的安全域Local中不允許添加任何IPv6子網成員,其它缺省的安全域中允許添加IPv6子網成員。
可以通過多次執行本命令,向安全域中添加多個IPv6子網成員。
完全相同的IPv6子網不能添加到不同的安全域中,例如1:1:1::1/32與1:1:1::2/32相同,均對應IPv6子網1:1::0/32,不能分別添加到不同安全域。
如果兩個子網的網段有包含關係,例如1:1:1::0/48與1:1:1::0/32,後者包含前者,但係統會認為是兩個不同子網,可以分別配置到同一安全域或者不同安全域。當配置到不同安全域時,報文最終將匹配前綴最長的子網所在的安全域。如IP地址為1:1:1::2的報文會匹配到1:1:1::0/48所在的安全域。
【舉例】
# 將IPv6子網1001:1002::0/32添加到安全域a。
<Sysname> system-view
[Sysname] security-zone name a
[Sysname-security-zone-a] import ipv6 1001:1002::1 32
# 將VPN abc中的IPv6子網1001:1002::0/32添加到安全域a。
<Sysname> system-view
[Sysname] security-zone name a
[Sysname-security-zone-a] import ipv6 1001:1002::1 32 vpn-instance abc
import service-chain path命令用來向安全域中添加服務鏈成員。
undo import service-chain path命令用來從安全域中刪除服務鏈成員。
import service-chain path path-id [ reversed ]
undo Import service-chain path path-id [ reversed ]
設備各款型對於本節所描述的命令支持情況有所不同,詳細差異信息如下:
|
型號 |
命令 |
描述 |
|
F5010/F5020/F5030/F5030-6GW/F5040/F5060/F5080/F5000-M/F5000-S/F5000-C |
import service-chain path |
不支持 |
|
F1005/F1010/F1020/F1030/F1050/F1060/F1070/F1080/F1070-GM |
不支持 |
|
|
F1000-AK108/AK109/AK110/AK115/AK120/AK125/AK130/AK135/AK140/AK145/AK150/AK155/AK160/AK165/AK170/AK175/AK180/AK185/AK710/AK711 |
不支持 |
|
|
F1000-GM-AK370/F1000-GM-AK380 |
不支持 |
|
|
LSU3FWCEA0/LSUM1FWCEAB0/LSX1FWCEA1 |
不支持 |
|
|
LSXM1FWDF1/LSUM1FWDEC0/IM-NGFWX-IV/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD |
LSXM1FWDF1/IM-NGFWX-IV:支持 LSUM1FWDEC0/LSQM1FWDSC0/LSWM1FWD0/LSPM6FWD:不支持 |
path-id:服務鏈成員的編號,取值範圍為1~8388606。
reversed:表示匹配服務鏈的反向流量。不指定該參數時,表示隻匹配服務鏈的正向流量。
缺省的安全域Local中不允許添加任何服務鏈成員,其它缺省的安全域中允許添加服務鏈成員。
可以通過多次執行本命令向同一個安全域中添加多個不同服務鏈成員,但同一個服務鏈成員僅允許加入一個安全域。
配置服務鏈正向成員後,該服務鏈的正向報文將由安全域下配置的安全控製策略來處理。配置服務鏈反向成員後,該服務鏈的反向報文將由安全域下配置的安全控製策略來處理。關於服務鏈的詳細介紹請參見“服務鏈”中的“服務鏈”。
# 創建安全域zonetest,並將服務鏈成員100添加到該安全域。
[Sysname] security-zone name zonetest
[Sysname-security-zone-zonetest] import service-chain path 100
· service-chain path(服務鏈命令參考/服務鏈)
· display service-chain path(服務鏈命令參考/服務鏈)
import vlan命令用來向安全域中添加VLAN成員。
undo import vlan命令用來從安全域中移除VLAN成員。
【命令】
import vlan vlan-list
undo import vlan vlan-list
【缺省情況】
安全域中不存在任何VLAN成員。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
vlan vlan-list:指定要加入安全區域的VLAN列表。VLAN列表表示多個VLAN,表示方式為vlan-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>。其中,vlan-id1、vlan-id2為已創建的VLAN編號。&<1-10>表示前麵的參數最多可以輸入10次。vlan-id2必須大於vlan-id1。VLAN ID的取值範圍為1~4094。屬於這些VLAN的所有二層以太網接口均屬於該安全域。
【使用指導】
缺省的安全域Local中不允許添加任何VLAN,其它缺省的安全域中允許添加VLAN。
該命令必須與跨VLAN模式的Bridge轉發配合使用,即在將VLAN加入安全域後,還需要創建跨VLAN模式Bridge轉發實例,並在Bridge視圖下通過add vlan命令向VLAN列表中添加已加入安全域的VLAN。
可以通過多次執行本命令,向安全域中添加多個VLAN成員。
一個VLAN隻允許加入一個安全域。若要修改VLAN所屬安全域,需要執行以下操作:
(1) 首先在相應安全域中使用undo import vlan命令將相應VLAN從原安全域中刪除。
(2) 再使用import vlan命令將其加入其它安全域。
【舉例】
# 向安全域Trust中添加VLAN 3、VLAN 5~VLAN 7。
<Sysname> system-view
[Sysname] security-zone name trust
[Sysname-security-zone-trust] import vlan 3 5 to 7
security-zone命令用來創建安全域,並進入安全域視圖。如果指定的安全域已經存在,則直接進入安全域視圖。
undo security-zone命令用來刪除安全域。
【命令】
security-zone name zone-name
undo security-zone name zone-name
【缺省情況】
存在安全域Local、Trust、DMZ、Management和Untrust。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
name zone-name:安全域的名稱,為1~31個字符的字符串,不區分大小寫,不能是字符串“any”,使用字符“\”和“"”時需要使用轉義字符\。
【使用指導】
當首次執行創建安全域或者創建安全控製策略的命令時,係統會自動創建以下缺省安全域:Local、Trust、DMZ、Management和Untrust。
同一個Context內不同安全域的名稱不允許相同,屬於不同Context的安全域的名稱可以相同。
可通過多次執行本命令,創建多個安全域。
刪除一個安全域時,以此安全域為源域或目的域的域間實例也會被刪除,而且在該域間實例上已經應用的安全控製策略會被自動解除應用。缺省安全域不能被刪除。
【舉例】
# 創建安全域zonetest,並進入該安全域視圖。
<Sysname> system-view
[Sysname] security-zone name zonetest
[Sysname-security-zone-zonetest]
【相關命令】
· display security-zone
· import
security-zone intra-zone default permit命令用來配置同一安全域內接口間報文處理的缺省動作為permit。
undo security-zone intra-zone default permit命令用來恢複缺省情況。
【命令】
security-zone intra-zone default permit
undo security-zone intra-zone default permit
【缺省情況】
同一安全域內報文過濾的缺省動作為deny。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【使用指導】
對於同一安全域內接口間的報文,若設備上不存在當前域到當前域的域間實例,設備缺省會將其丟棄,可以通過配置安全域內接口間報文處理的缺省動作為permit來允許其通過。
【舉例】
# 配置同一安全域內接口間報文處理的缺省動作為pemit。
<Sysname> system-view
[Sysname] security-zone intra-zone default permit
zone-pair security命令用來創建安全域間實例,並進入安全域間實例視圖。如果指定的安全域實例已經存在,則直接進入安全域實例視圖。
undo zone-pair security命令用來刪除指定的安全域間實例。
【命令】
zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }
undo zone-pair security source { source-zone-name | any } destination { destination-zone-name | any }
【缺省情況】
不存在安全域間實例。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
source source-zone-name:源安全域的名稱,為1~31個字符的字符串,不區分大小寫。指定的安全域必須已存在。
destination destination-zone-name:目的安全域的名稱,為1~31個字符的字符串,不區分大小寫。指定的安全域必須已存在。
any:表示任意安全域。
【使用指導】
安全域間實例用於指定安全控製策略(如ASPF策略、對象策略等)需要檢測的業務流的源安全域和目的安全域,它們分別描述了經過網絡設備的業務流的首包要進入的安全域和要離開的安全域。在安全域間實例上應用安全控製策略可實現對指定業務流進行安全控製策略檢查。
當報文未匹配對應安全域間實例時,若存在any到any的安全域間實例,則匹配any到any安全域間實例,否則直接丟棄報文。
Management和Local安全域間之間的報文隻能匹配Management與Local之間的安全域間實例,不會匹配any到any的安全域間實例。
刪除安全域間實例後,在域間實例上已經應用的安全控製策略將不生效,對應的引用關係同時被取消。
【舉例】
# 創建源安全域Trust到目的安全域Untrust的安全域間實例。
<Sysname> system-view
[Sysname] zone-pair security source trust destination untrust
[Sysname-zone-pair-security-Trust-Untrust]
【相關命令】
· display zone-pair security
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
