- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
03-Context命令
本章節下載: 03-Context命令 (468.73 KB)
目 錄
1.1.3 capability security-policy-rule maximum
1.1.4 capability session maximum
1.1.6 capability sslvpn-user maximum
1.1.10 context-capability inbound broadcast single
1.1.11 context-capability inbound broadcast total
1.1.12 context-capability inbound drop-logging enable
1.1.13 context-capability inbound multicast single
1.1.14 context-capability inbound multicast total
1.1.15 context-capability inbound unicast total
1.1.18 display context capability
1.1.19 display context capability inbound broadcast
1.1.20 display context capability inbound multicast
1.1.21 display capability inbound unicast
1.1.22 display context configuration
1.1.23 display context interface
1.1.24 display context online-users sslvpn
1.1.26 display context resource
1.1.27 display context statistics
1.1.32 reset context capability inbound broadcast
1.1.33 reset context capability inbound multicast
1.2.1 display context interface
本特性的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15 |
不支持 |
|
F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM |
不支持 |
|
F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
支持 |
|
F1000-SASE係列 |
F1000-SASE100 、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150 |
不支持 |
|
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
本章節描述的是登錄到物理設備(即缺省Context)後,在缺省Context上可以執行的Context配置命令。
allocate interface命令用來為Context分配接口。
undo allocate interface命令用來取消為Context分配的接口。
【命令】
allocate interface { interface-type interface-number }&<1-24> [ share ]
undo allocate interface { interface-type interface-number }&<1-24>
allocate interface interface-type interface-number1 to interface-type interface-number2 [ share ]
undo allocate interface interface-type interface-number1 to interface-type interface-number2
【缺省情況】
設備上的所有接口都屬於缺省Context,不屬於任何非缺省Context。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
{ interface-type interface-number }&<1-24>:表示給Context分配非連續的接口。interface-type interface-number表示接口類型和編號,&<1-24>表示前麵的參數最多可以輸入24次。
interface-type interface-number1 to interface-type interface-number2:表示給Context分配一組連續的接口。其中,interface-type表示接口類型,interface-number1表示起始接口的編號,interface-number2表示結束接口的編號。起始接口和結束接口的類型必須相同,並且處於同一接口板上,否則將配置失敗。
share:表示接口是否共享。不指定該參數表示獨占。
【使用指導】
· 獨占方式分配(不帶share參數)。使用該方式分配的接口僅歸該Context所有、使用。用戶登錄該Context後,能查看到該接口,並執行接口支持的所有命令。
· 共享方式分配(帶share參數)。使用該方式分配的接口歸多個Context所有、使用。在缺省Context內仍然存在該接口,可執行接口支持的所有命令;在分配給的非缺省Context內,會新建同名接口,用戶登錄這些Context後,能查看到該接口,但隻能執行description以及網絡/安全相關的命令。
· 當設備運行在IRF模式時,禁止將IRF物理端口分配給自定義Context。
· 當三層子接口作為冗餘口的成員端口時,禁止把其主接口共享給自定義Context。
· 邏輯接口僅支持共享方式分配,物理接口支持獨占和共享兩種方式分配。
【舉例】
# 將接口GigabitEthernet1/0/1和GigabitEthernet1/0/3以共享的方式分配給context sub1。
<Sysname> system-view
[Sysname] context sub1
[Sysname-context-2-sub1] allocate interface gigabitethernet 1/0/1 gigabitethernet 1/0/3 share
allocate vlan命令用來為Context分配VLAN。
undo allocate vlan命令用來取消為Context分配的VLAN。
【命令】
allocate vlan vlan-id&<1-24>
undo allocate vlan vlan-id&<1-24>
allocate vlan vlan-id1 to vlan-id2
undo allocate vlan vlan-id1 to vlan-id2
【缺省情況】
沒有為Context分配VLAN。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
vlan-id&<1-24>:表示給Context分配非連續的VLAN。vlan-id表示VLAN的編號,&<1-24>表示前麵的參數最多可以輸入24次。
vlan-id1 to vlan-id2:表示給Context分配一組連續的VLAN。其中,vlan-id1表示起始VLAN的編號,vlan-id2表示結束VLAN的編號。
【使用指導】
創建Context時,通過vlan-unshared參數可選擇是否和其它Context共享VLAN:
· 如果選擇和其它Context共享VLAN,可以通過本命令將設備上存在的除VLAN 1以外的靜態VLAN分配給非缺省Context。共享VLAN由多個Context共同所有。VLAN被分配後,用戶須在缺省Context內對該VLAN配置,非缺省Context內不能配置該VLAN,隻能查看該VLAN的相關信息。
· 如果選擇不和其它Context共享VLAN,請登錄該Context,並使用vlan命令創建VLAN 2~VLAN 4094。VLAN 1為缺省VLAN,用戶不能手工創建和刪除。Context各自使用和管理VLAN,互不幹擾。
【舉例】
# 將VLAN100分配給context sub1。
<Sysname> system-view
[Sysname] context sub1
[Sysname-context-2-sub1] allocate vlan 100
【相關命令】
· display context vlan
capability security-policy-rule maximum命令用來設置Context的安全策略規則總數限製。
undo capability security-policy-rule maximum命令用來恢複缺省情況。
【命令】
capability security-policy-rule maximum max-number
undo capability security-policy-rule maximum
【缺省情況】
未對Context的安全策略規則總數進行限製。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
max-number:表示Context內可配置的安全策略規則最大數目,取值範圍為1~4294967295。
【使用指導】
一個Context內可以配置多個安全策略規則。如果不加限製,會出現大量規則占用過多的內存的情況,影響Context的其它功能正常運行。所以,請根據需要為Context設置安全策略規則總數限製。當規則總數達到限製值時,後續不能新增規則。
如果設置的最大值比當前存在的規則總數小,配置仍會成功,多出的規則不會刪除,依然生效,但不能新增規則。
【舉例】
# 配置Context的安全策略規則數最多為1000條。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability security-policy-rule maximum 1000
【相關命令】
· display security-policy ip(安全命令參考/安全策略)
capability session maximum命令用來設置Context的單播會話並發數限製。
undo capability session maximum命令用來恢複缺省情況。
【命令】
capability session maximum max-number
undo capability session maximum
【缺省情況】
未對Context允許的單播會話並發數進行限製。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
max-number:允許同時存在的最大單播會話數目,取值範圍為1~4294967295。
【使用指導】
如果一個Context建立了太多會話會導致其他Context的會話由於內存不夠而無法建立,為了防止這種情況,需要限製Context建立會話的數量,當會話總數達到限製值時,後續不能新建會話。
如果設置的最大值比當前存在的會話總數小,配置仍會成功,但不允許新建會話,且已經創建的會話不會被刪除,依然生效。直到已建立的會話通過老化機製使得會話總數低於配置的最大值後,係統才允許新建會話。
Context會話並發數限製對本機流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP類型的七層負載均衡等業務。
【舉例】
# 配置Context cnt2上的單播會話並發數為1000000。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability session maximum 1000000
【相關命令】
· context
· display session statistics(安全命令參考/會話管理)
capability session rate命令用來設置Context的會話新建速率限製。
undo capability session rate命令用來恢複缺省情況。
【命令】
capability session rate max-value
undo capablility session rate
【缺省情況】
未對Context允許的會話新建速率進行限製。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
max-value:允許的會話新建速率最大值,單位為每秒會話個數。
【使用指導】
如果一個Context的會話新建速率過快會導致其他Context由於CPU處理能力不夠而無法建立會話,為了防止這種情況,需要限製Context的會話新建速率,當會話新建速率達到限製值時,後續不能新建會話。
Context會話新建速率限製對本機流量不生效,例如:FTP、Telnet、SSH、HTTP和HTTP類型的七層負載均衡等業務。
【舉例】
# 配置Context cnt2上的會話新建速率最大值為每秒20000個會話數。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability session rate 20000
【相關命令】
· context
· display session statistics(安全命令參考/會話管理)
capability sslvpn-user maximum命令用來設置Context的SSL VPN登錄用戶數限製。
undo capability sslvpn-user maximum命令用來恢複缺省情況。
【命令】
capability sslvpn-user maximum max-number
undo capability sslvpn-user maximum
【缺省情況】
未對Context的SSL VPN登錄用戶總數進行限製,由設備上SSL VPN Licence使用情況決定。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
max-number:最大SSL VPN登錄用戶數,取值範圍為1~1048575。
【使用指導】
配置本命令對Context的最大SSL VPN登錄用戶數進行限製後,當該Context的SSL VPN登錄用戶數達到最大數目時,該Context將不允許新的用戶登錄。
如果設置的數值小於當前Context的SSL VPN登錄用戶總數,則配置可以成功,但不再允許新的用戶登錄,且已經登錄的用戶不會被刪除,依然生效。直到已登錄的用戶通過老化機製下線或用戶主動下線,使得用戶總數低於配置的最大值後,係統才允許新的用戶登錄。
【舉例】
# 配置Context cnt2上的最大SSL VPN登錄用戶數為1000000。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability sslvpn-user maximum 1000000
【相關命令】
· context
capability throughput命令用來設置Context出方向的吞吐量限製。
undo capability throughput命令用來恢複缺省情況。
【命令】
capability throughput { kbps | pps } threshold
undo capability throughput
【缺省情況】
各Context出方向不做吞吐量限製,按實際能力轉發。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
kbps:表示出方向吞吐量按每秒千比特計算。
pps:表示出方向吐量按每秒報文數計算。
threshold:表示出方向吞吐量限製值,取值範圍為1000~100000000。
【舉例】
# 配置名稱為cnt2的Context的出方向吞吐量為100000kbps。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] capability throughput kbps 100000
# 配置名稱為cnt3的Context的出方向吞吐量為10000pps。
<Sysname> system-view
[Sysname] context cnt3
[Sysname-context-3-cnt3] capability throughput pps 10000
context命令用來創建Context,並進入Context視圖。如果指定的Context已經存在,則直接進入Context視圖。
undo context命令用來刪除指定Context。
【命令】
context context-name [ id context-id ] [ vlan-unshared ]
undo context context-name
【缺省情況】
存在缺省Context,名稱為Admin,編號為1。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
context-name:Context的名稱,為1~15個字符的字符串,區分大小寫。
context-id:Context的編號。不指定該參數時,係統會自動給Context分配一個當前空閑的最小編號。
vlan-unshared:不和其它Context共享VLAN。不指定該參數時,表示和其它Context共享VLAN。
【使用指導】
創建Context時,通過vlan-unshared參數可選擇是否和其它Context共享VLAN:
· 如果選擇和其它Context共享VLAN,需要在缺省Context內創建並配置VLAN,再分配給非缺省Context。共享VLAN由多個Context共同所有。
· 如果選擇不和其它Context共享VLAN,請登錄該Context,並使用vlan命令創建VLAN 1~VLAN 4094。Context各自使用和管理VLAN,互不幹擾。
【舉例】
# 創建一個名稱為test的Context。
<Sysname> system-view
[Sysname] context test
[Sysname-context-2-test]
# 創建一個名稱為test,ID為2的Context。
<Sysname> system-view
[Sysname] context test id 2
[Sysname-context-2-test]
context start命令用來啟動Context。
undo context start命令用來停止該Context。
【命令】
context start [ force ]
undo context start [ force ]
【缺省情況】
未啟動Context。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
force:強製啟動/停止Context。不指定該參數時,表示按正常程序啟動Context。
【使用指導】
停止Context會導致該Context的業務中斷,以及登錄該Context的用戶自動退出,請謹慎使用。為避免Context的當前配置丟失,停止Context前請保存Context的配置。
Context創建後需要執行context start命令,才能完成新Context的初始化,相當於上電啟動。啟動後,用戶可以登錄到該Context執行配置。
【舉例】
# 啟動Context cnt2。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] context start
context-capability inbound broadcast single命令用來配置單個Context入方向廣播報文的速率限製。
undo context-capability inbound broadcast single命令用來恢複缺省情況。
【命令】
context-capability inbound broadcast single pps threshold
undo context-capability inbound broadcast single
【缺省情況】
單個Context入方向廣播報文限速速率為廣播報文總速率閾值除以使用共享接口Context的總數。
【視圖】
係統視圖
Context視圖
【缺省用戶角色】
network-admin
【參數】
pps threshold:入方向廣播報文的速率閾值,取值範圍為1000~100000,單位為pps。
【使用指導】
此功能僅對設備上使用共享接口且處於Active狀態的Context生效。
在係統視圖下執行此命令用來配置缺省Context入方向廣播報文限速速率的閾值;在Context視圖下執行此命令式用來配置非缺省Context入方向廣播報文限速速率的閾值。
當廣播報文總速率和單個Context入方向廣播報文速率均達到各自的閾值後,發往此Context的廣播報文會被設備丟棄,否則不會被丟棄。廣播報文總速率限製由context-capability inbound broadcast total命令設置。
【舉例】
# 配置缺省Context入方向廣播報文的速率最大值為10000pps。
<Sysname> system-view
[Sysname] context-capability inbound broadcast single pps 10000
# 配置Context ctx1入方向廣播報文的速率最大值為10000pps。
<Sysname> system-view
[Sysname] context ctx1
[Sysname-context-1-ctx1] context-capability inbound broadcast single pps 10000
【相關命令】
· context-capability inbound broadcast total
context-capability inbound broadcast total命令用來配置所有Context入方向廣播報文的總速率限製。
undo context-capability inbound broadcast total命令用來恢複缺省情況。
【命令】
context-capability inbound broadcast total pps threshold
undo context-capability inbound broadcast total
【缺省情況】
所有Context入方向廣播報文總速率限製為20000pps。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
pps threshold:入方向廣播報文的總速率閾值,取值範圍為0,1000~100000,單位為pps。取值為0時表示不限速。
【使用指導】
此功能僅對使用共享接口且處於Active狀態的Context生效。
所有Context入方向廣播報文總速率是指所有使用共享接口的Context接收廣播報文的速率之和,簡稱“廣播報文總速率”。
當廣播報文總速率和單個Context入方向廣播報文速率均達到各自的閾值後,發往此Context的廣播報文會被設備丟棄,否則不會被丟棄。單個Context入方向廣播報文速率由context-capability inbound broadcast single命令設置。
【舉例】
# 配置所有Context入方向廣播報文的總速率最大值為10000pps。
<Sysname> system-view
[Sysname] context-capability inbound broadcast total pps 10000
【相關命令】
· context-capability inbound broadcast single
context-capability inbound drop-logging enable命令用來開啟Context入方向報文限速丟包日誌功能。
undo context-capability inbound drop-logging enable命令用來關閉Context入方向報文限速丟包日誌功能。
【命令】
context-capability inbound drop-logging enable
undo context-capability inbound drop-logging enable
【缺省情況】
Context入方向報文限速丟包日誌功能處於關閉狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【使用指導】
開啟此功能後,當Context接收到的廣播報文或組播報文因達到係統設置的閾值而被丟棄時,設備將會對丟棄的報文生成日誌信息。此日誌信息將會被輸出到信息中心模塊處理,信息中心模塊的配置將決定日誌信息的發送規則和發送方向。有關信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“信息中心”。
【舉例】
# 開啟Context入方向報文限速丟包日誌功能。
<Sysname> system-view
[Sysname] context-capability inbound drop-logging enable
context-capability inbound multicast single命令用來配置單個Context入方向組播報文的速率限製。
undo context-capability inbound multicast single命令用來恢複缺省情況。
【命令】
context-capability inbound multicast single pps threshold
undo context-capability inbound multicast single
【缺省情況】
單個Context入方向組播報文限速速率為組播報文總速率閾值除以使用共享接口Context的總數。
【視圖】
係統視圖
Context視圖
【缺省用戶角色】
network-admin
【參數】
pps threshold:Context入方向組播報文的速率閾值,取值範圍為1000~100000,單位為pps。
【使用指導】
此功能僅對設備上使用共享接口且處於Active狀態的Context生效。
在係統視圖下執行此命令用來配置缺省Context入方向組播報文限速速率的閾值;在Context視圖下執行此命令式用來配置非缺省Context入方向組播報文限速速率的閾值。
當組播報文總速率和單個Context入方向組播報文速率均達到各自的閾值後,發往此Context的組播報文會被設備丟棄,否則不會被丟棄。組播報文總速率限製由context-capability inbound multicast total命令設置。
【舉例】
# 配置缺省Context入方向組播報文的限速速率是10000pps。
<Sysname> system-view
[Sysname] context-capability inbound multicast single pps 10000
# 配置Context ctx1入方向組播報文的限速速率是10000pps。
<Sysname> system-view
[Sysname] context ctx1
[Sysname-context-1-ctx1] context-capability inbound multicast single pps 10000
【相關命令】
· context-capability inbound multicast total
context-capability inbound multicast total命令用來配置所有Context入方向組播報文的總速率限製。
undo context-capability inbound multicast total命令用來恢複缺省情況。
【命令】
context-capability inbound multicast total pps threshold
undo context-capability inbound multicast total
【缺省情況】
所有Context入方向組播報文總速率限製為0pps。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
pps threshold:入方向組播報文的總速率閾值,取值範圍為0,1000~100000,單位為pps。取值為0時表示不限速。
【使用指導】
此功能僅對使用共享接口且處於Active狀態的Context生效。
所有Context入方向組播報文總速率是指所有使用共享接口的Context接收組播報文的速率之和,簡稱“組播報文總速率”。
當組播報文總速率和單個Context入方向組播報文速率均達到各自的閾值後,發往此Context的組播報文會被設備丟棄,否則不會被丟棄。單個Context入方向組播報文速率由context-capability inbound multicast single命令設置。
【舉例】
# 配置所有Context入方向組播報文的總速率最大值為10000pps。
<Sysname> system-view
[Sysname] context-capability inbound multicast total pps 10000
【相關命令】
· context-capability inbound multicast single
context-capability inbound unicast total命令用來配置設備入方向所有報文對CPU核的攻擊防範閾值。
undo context-capability inbound unicast total命令用來恢複缺省情況。
【命令】
context-capability inbound unicast total cpu-usage threshold
undo context-capability inbound unicast total
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S |
不支持 |
|
F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-A、F5000-M |
支持 |
|
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55 |
不支持 |
|
F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V70 |
不支持 |
|
F1000-V60、F1000-V90 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100 、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9110、F1000-AK9210 |
不支持 |
|
F1000-AK1125、F1000-AK1205、F1000-AK1215、F1000-AK1235、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情況】
設備入方向所有報文對CPU核的攻擊防範閾值為95%。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
cpu-usage threshold:表述CPU核的攻擊防範閾值,取值範圍為1~100,單位為百分比。
【使用指導】
此功能對所有Context入方向上的所有報文(包括廣播報文、組播報文和單播報文)均生效。
當某CPU核的利用率達到此攻擊防範閾值,並且驅動公共隊列已滿時,係統則認為該CPU核受到了攻擊。這時,係統將按照配置的CPU核攻擊防範動作(通過attack-defense cpu-core action命令配置)對報文進行相應的處理。
有關attack-defense cpu-core action命令詳細介紹,請參見“安全命令參考”中的“攻擊檢測與防範”。
【舉例】
# 配置設備入方向所有報文對CPU核的攻擊防範閾值為70%。
<Sysname> system-view
[Sysname] context-capability inbound unicast total cpu-usage 70
【相關命令】
· attack-defense cpu-core action(安全命令參考/攻擊檢測與防範)
description命令用來配置Context的描述信息。
undo description命令用來恢複缺省情況。
【命令】
description text
undo description
【缺省情況】
缺省Context描述信息為DefaultContext。非缺省Context沒有配置描述信息。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
text:Context的描述信息,為1~255個字符的字符串,區分大小寫。
【使用指導】
當設備上配置的Context較多時,用戶可以為Context配置特定的描述信息,以便記憶和管理Context。
【舉例】
# 將Context的描述信息配置為test。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] description test
display context命令用來顯示已經創建的Context的信息,包括編號和狀態等。
【命令】
display context [ name context-name ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name context-name:Context的名稱,為1~15個字符的字符串,區分大小寫。
【使用指導】
在缺省Context中,可使用name context-name參數查看指定Context的信息。不指定name context-name參數時,則顯示設備上創建的所有Context的信息。
【舉例】
# 顯示已經創建的Context的信息。
<Sysname> display context
ID Name Status Description
1 cnt1 active context1
2 cnt2 inactive context2
3 cnt3 inactive context3
表1-1 display context命令顯示信息描述表
|
字段 |
描述 |
|
ID |
Context的編號 |
|
Name |
Context的名稱 |
|
Status |
Context的狀態: · active:表示Context正常運行 · inactive:表示Context處於未啟動狀態 · starting:表示Context正在啟動 · stopping:表示Context正在停止 |
|
Description |
Context描述信息 |
display context capability命令用來顯示Context內可分配業務資源的使用情況。
【命令】
display context [ name context-name ] capability [ security-policy | session [ slot slot-number ] | sslvpn-user ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name context-name:顯示指定Context內可分配業務資源的使用情況,context-name是Context的名稱,為1~15個字符的字符串,區分大小寫。若不指定該參數,則表示顯示所有Context內可分配業務資源的使用情況。
security-policy:顯示可分配安全策略規則資源的使用情況。
session:顯示可分配會話資源的使用情況。
sslvpn-user:顯示可分配SSL VPN用戶資源的使用情況。
slot slot-number:顯示指定成員設備上的Context內可分配會話資源的使用情況,slot-number表示設備在IRF中的成員編號。若不指定該參數,則表示顯示所有成員設備上的Context內可分配會話資源的使用情況。
【使用指導】
此命令僅支持在缺省Context中使用。
【舉例】
# 顯示所有Context內可分配業務資源的使用情況。
<Sysname> display context capability
Session usage and establishment rate:
Slot 1 CPU 0:
ID Name Maximum Used Free Total(/s) Rate(/s) Usage(%)
1 Admin NA 500 NA NA 1000 NA
2 conetxt1 10000 300 9700 1000 100 10
3 context2 2000 1000 1000 2000 1000 50
Security policy rule usage:
ID Name Maximum Used Free
1 Admin NA 500 NA
2 conetxt1 10000 300 9700
3 context2 2000 1000 1000
Online SSL VPN users:
ID Name Maximum Used Free
1 Admin NA 0 NA
2 conetxt1 10000 3000 7000
3 context2 2000 0 2000
表1-2 display context capability命令顯示信息描述表
|
字段 |
描述 |
|
Session usage |
表示可分配會話連接數的使用情況 |
|
Session establishment rate |
表示可分配會話新建速率的使用情況 |
|
Security policy rule usage |
表示可分配安全策略規則資源的使用情況 |
|
Online SSL VPN users |
表示可分配SSL VPN用戶上線資源的使用情況 |
|
ID |
表示Context的ID |
|
Name |
表示Context的名稱 |
|
Maximum |
表示當前Context內可分配資源的最大值 |
|
Used |
表示當前Context內可分配資源已被使用的數量 |
|
Free |
表示當前Context內可分配資源未被使用的數量 |
|
Total |
表示當前Context內會話新建速率的最大值,單位為每秒連接數 |
|
Rate |
表示當前Context內會話的當前新建速率,單位為每秒連接數 |
|
Usage |
表示當前Context內會話新建速率所占的百分比 |
【相關命令】
· capability security-policy-rule maximum
· capability session maximum
· capability session rate
· capability sslvpn-user maximum
display context capability inbound broadcast命令用來顯示Context入方向廣播報文的速率限製的統計信息。
【命令】
display context name context-name capability inbound broadcast slot slot-number
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name context-name:顯示指定Context上入方向廣播報文的速率限製的統計信息。context-name表示Context的名稱,為1~15個字符的字符串,區分大小寫。
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。
【舉例】
# 顯示Context abc在指定Slot上的入方向廣播報文的速率限製的統計信息。
<Sysname> display context name abc capability inbound broadcast slot 1
Context name: abc
Context ID: 2
Drop Rate: 1000 pps
Inbound throughput limit: 8000 pps
Total inbound throughput limit: 10000 pps
表1-3 display context capability inbound broadcast命令顯示信息描述表
|
字段 |
描述 |
|
Context name |
表示Context的名稱 |
|
Context ID |
表示Context的ID |
|
Drop Rate |
表示此Context丟棄廣播報文的速率,單位為pps |
|
Inbound throughput limit |
表示此Context入方向廣播報文的總速率閾值,單位為pps |
|
Total inbound throughput limit |
表示所有Context入方向廣播報文的速率閾值,單位為pps |
display context capability inbound multicast命令用來顯示Context入方向組播報文的速率限製的統計信息。
【命令】
display context name context-name capability inbound multicast slot slot-number
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name context-name:顯示指定Context上入方向組播報文的速率限製的統計信息。context-name表示Context的名稱,為1~15個字符的字符串,區分大小寫。
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。
【舉例】
# 顯示Context abc在指定Slot上的入方向組播報文的速率限製的統計信息。
<Sysname> display context name abc capability inbound multicast slot 1
Context name: abc
Context ID: 2
Drop Rate: 1000 pps
Inbound throughput limit: 8000 pps
Total inbound throughput limit: 10000 pps
表1-4 display context capability inbound multicast命令顯示信息描述表
|
字段 |
描述 |
|
Context name |
表示Context的名稱 |
|
Context ID |
表示Context的ID |
|
Drop Rate |
表示此Context丟棄組播報文的速率,單位為pps |
|
Inbound throughput limit |
表示此Context入方向組播報文的總速率閾值,單位為pps |
|
Total inbound throughput limit |
表示所有Context入方向組播報文的速率閾值,單位為pps |
display capability inbound unicast命令用來顯示CPU核受到攻擊的相關統計信息。
【命令】
display capability inbound unicast slot slot-number
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S |
不支持 |
|
F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-A、F5000-M |
支持 |
|
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55 |
不支持 |
|
F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
支持 |
|
|
F1000-L係列 |
F1003-C、F1003-L、F1003-M、F1003-S、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
不支持 |
|
F1090 |
支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V70 |
不支持 |
|
F1000-V60、F1000-V90 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100 、F1000-SASE200 |
不支持 |
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9110、F1000-AK9210 |
不支持 |
|
F1000-AK1125、F1000-AK1205、F1000-AK1215、F1000-AK1235、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。
【使用指導】
當CPU核受到攻擊時,可通過此命令查看設備上每個CPU核受到攻擊的情況及其CPU核處理報文的情況,以方便定位攻擊原因。
【舉例】
# 顯示指定Slot上的CPU核受到攻擊的相關統計信息。
<Sysname> display capability inbound unicast slot 1
CPU usage threshold: 95%
Current attack-defense cpu-core action: Per-packet-balance
CPU ID Up rate Packet rate CPU usage Effective percentage
CPU0 0/s 0/s 1% 95%
CPU1 0/s 0/s 2% 95%
CPU2 0/s 0/s 97% 95%
CPU3 0/s 0/s 3% 95%
CPU4 0/s 0/s 1% 95%
CPU5 0/s 0/s 2% 95%
CPU6 50000/s 40000/s 99% 70%
CPU7 0/s 0/s 1% 95%
CPU8 0/s 0/s 1% 95%
CPU9 0/s 0/s 5% 95%
CPU10 0/s 0/s 2% 95%
CPU11 0/s 0/s 1% 95%
CPU12 0/s 0/s 6% 95%
CPU13 0/s 0/s 1% 95%
CPU14 0/s 0/s 3% 95%
CPU15 0/s 0/s 1% 95%
表1-5 display capability inbound unicast命令顯示信息描述表
|
字段 |
描述 |
|
CPU usage threshold |
表示所有Context入方向上所有報文的CPU核限速閾值,CPU核的使用率達到此閾值後,後續報文將會被按照配置的CPU核防攻擊動作進行處理 |
|
Current attack-defense cpu-core action |
當前CPU核防攻擊的動作,其取值包括如下: · Drop:動作為驅動丟棄報文 · Per-packet-balance:動作為驅動負載均衡處理報文 · Isolate:動作為驅動可將報文放入硬件隔離隊列 |
|
CPU ID |
CPU核的ID號 |
|
Pass rate |
丟包或隔離動作下放行報文的速率,單位為個/s |
|
Drop rate |
丟包或隔離動作下丟棄報文的速率,單位為個/s |
|
Up rate |
逐包負載分擔動作下報文上送該CPU核的速率,單位為個/s |
|
Balance rate |
逐包負載分擔動作下報文分擔給其他CPU核的速率,單位為個/s |
|
CPU usage |
當前CPU的使用率,此值達到CPU限速閾值後,係統將按照配置的CPU核攻擊防範動作(通過attack-defense cpu-core action命令配置)對報文進行相應的處理 對於部分產品,為了提高設備處理報文的整體性能,設備會有一部分CPU核負責調度流量,確保可以將不同數據流量的報文均衡地分發到每一個可以處理報文的CPU核。當發生CPU攻擊的報文均來自同一條數據流量時,會導致負責調度和負責處理報文的CPU核的利用率同時變高,甚至超過CPU核攻擊防範閾值。這種情況下負責調度的CPU核雖然其利用率超過了攻擊防範閾值,但是它的丟包統計數據很少或為零,這是因為負責調度的CPU核隻負責報文的調度,並沒有對這些報文進行真正的業務處理。 |
|
Effective percentage |
CPU最大處理能力的百分比 當CPU的實際使用率達到設置的閾值後,CPU將按照CPU最高主頻的百分比的能力進行轉發報文,超出此處理能力的報文將被按照配置的CPU核防攻擊動作進行處理,以達到將CPU使用率降低至閾值以下的目的 |
display context configuration命令用來顯示各Context的配置信息。
【命令】
display context [ name context-name ] configuration [ file filename ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name context-name:顯示指定Context的配置信息,context-name是Context的名稱,為1~15個字符的字符串,區分大小寫。若不指定該參數,則表示顯示所有Context的配置信息。
file filename:表示將顯示的配置信息保存到指定文件。filename表示文件的名稱,為1~255個字符的字符串(含後綴),不區分大小寫,文件名不能為“.”或“..”,不能包含“"”、“/”、“:”、“\”、“?”、“\\”、“<”、“>”、“|”、“*”,首字符不能為“-”,且後綴必須為“.tar.gz”,後綴不區分大小寫。不指定該參數時,用戶可根據提示信息選擇將配置信息保存到指定文件或直接將配置信息導出到終端顯示。
【使用指導】
此命令僅支持在缺省Context中使用。
執行該命令,相當於在所有Context中一次性執行display current-configuration命令。
在缺省Context中,無法對處於未啟動狀態的自定義Context進行配置信息收集。
【舉例】
# 顯示所有Context的配置信息。
<Sysname> display context configuration
Save or display context configuration(Y=save, N=display)? [Y/N]:n
===========inner configuration of context Admin===========
============================================================
display current-configuration
#
version 7.1.064, Feature 9321
#
sysname Sysname
#
context Admin id 1
#
context cnt1 id 2
#
return
<Sysname>
===========inner configuration of context cnt1===========
============================================================
display current-configuration
#
version 7.1.064, Feature 9321
#
sysname Sysname
#
context Admin id 1
#
context cnt1 id 2
---- More ----
# 在交互信息時選擇將配置信息保存到指定文件,並輸入文件名為test.tar.gz。
<Sysname> display context configuration
Save or display context configuration (Y=save, N=display)? [Y/N]:y
Please input the file name(*.tar.gz)[flash:/diag.tar.gz]: test.tar.gz
Saving context configuration to flash:/test.tar.gz. Please wait....
# 在命令行中直接通過參數指定將配置信息保存到文件test.tar.gz。
<Sysname> display context configuration file test.tar.gz
Saving context configuration to flash:/test.tar.gz. Please wait...
display context interface命令用來顯示為Context分配的接口列表。
【命令】
display context [ name context-name ] interface
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name context-name:Context的名稱,為1~15個字符的字符串,區分大小寫。
【使用指導】
本命令不能顯示非缺省Context內創建的接口列表。
在缺省Context中,可使用name context-name參數查看為指定非缺省Context分配的接口列表;不指定name context-name參數時,則顯示設備上所有為非缺省Context分配的接口列表。
【舉例】
# 顯示所有為非缺省Context分配的接口列表。
<Sysname> display context interface
Context stub1's interfaces:
GigabitEthernet1/0/2
Context stub2's interfaces:
GigabitEthernet1/0/3
【相關命令】
· allocate interface
display context online-users sslvpn命令用來顯示所有Context內SSL VPN在線用戶數。
【命令】
display context online-users sslvpn
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
此功能統計的SSL VPN在線用戶數指的是當前在線的SSL VPN會話數。
【舉例】
# 顯示所有Context內SSL VPN在線用戶數。
<Sysname> display context online-users sslvpn
Total number of SSL VPN online users: 50
表1-6 display context online-users sslvpn命令顯示信息描述表
|
字段 |
描述 |
|
Total number of SSL VPN online users |
所有Context內SSL VPN在線用戶總數 |
display context name reboot命令用來顯示非缺省Context的重啟信息。
【命令】
display context name context-name reboot show-number [ offset ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
context-name:顯示指定非缺省Context的重啟信息。context-name表示非缺省Context的名稱,為1~15個字符的字符串,區分大小寫。
show-number:指定顯示非缺省Context重啟信息的條目數,取值範圍為1~20。
offset:指定顯示的起始條目距最近條目的偏移量,取值範圍為0~19,缺省值為0。零表示從非缺省Context最近一次重啟的條目開始顯示。
【使用指導】
缺省Context的重啟信息,請在display version命令的Last reboot reason字段查看。有關此字段的詳細介紹,請參見“基礎配置命令參考”中的“設備管理”。
【舉例】
# 顯示名稱為test的非缺省Context最近一次重啟的信息。
<Sysname> display context name test reboot 1
----------------- Reboot record 1 -----------------
Recorded at : 2019-05-01 11:16:00
Reason : 0x0
Process : comsh (PID: 120) from Context 3 on slot 1 cpu 0
表1-7 display context name reboot命令顯示信息描述表
|
字段 |
描述 |
|
Recorded at |
非缺省Context重啟的時間 |
|
Reason |
重啟的原因 |
|
xxx (PID: 120) from Context x on slot x cpu x |
觸發重啟的進程信息,各字段解釋如下: · xxx:表示觸發重啟的進程的名稱 · PID:表示觸發重啟的進程的編號 · from Context x on slot x cpu x:表示觸發重啟的進程的運行位置 |
【相關命令】
· display version(基礎配置命令參考/設備管理)
· reset context name reboot
display context resource命令用來顯示Context對CPU/磁盤/內存資源的使用情況。
【命令】
display context [ name context-name ] resource [ cpu | disk | memory ] [ slot slot-number cpu cpu-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name context-name:顯示指定Context對CPU/磁盤/內存資源的使用情況。context-name表示Context的名稱,為1~15個字符的字符串,區分大小寫。不指定該參數時,顯示所有Context對CPU/磁盤/內存資源的使用情況。
cpu:顯示Context對CPU的使用情況。
disk:顯示Context對磁盤的使用情況。
memory:顯示Context對內存的使用情況。
slot slot-number:顯示Context對指定成員設備上的CPU/磁盤/內存資源的使用情況,slot-number表示設備在IRF中的成員編號。不指定該參數時,顯示Context對所有成員設備的CPU/磁盤/內存資源的使用情況。
cpu cpu-number:指定CPU。cpu-number表示單板上CPU的編號。
【使用指導】
若不指定cpu、disk和memory參數,則顯示Context對CPU、磁盤和內存的使用情況。
【舉例】
# 顯示Context對所有成員設備上CPU資源的使用情況。
<Sysname> display context resource cpu
CPU usage:
Slot 1 CPU 0:
ID Name Weight Usage(%)
1 cnt1 10 24
2 cnt2 10 0
Slot 2 CPU 0:
ID Name Weight Usage(%)
1 cnt3 10 0
2 cnt4 10 0
表1-8 display context resource命令顯示信息描述表
|
字段 |
描述 |
|
Memory |
表示下麵顯示的是內存的使用情況 |
|
CPU |
表示下麵顯示的是CPU的使用情況 |
|
Disk |
表示下麵顯示的是磁盤的使用情況 |
|
Used 238.1MB, Free 249.3MB, Total 487.4MB |
內存的使用情況,Used表示內存已使用空間的大小(單位為MB),Free表示當前空閑內存的大小(單位為MB),Total表示整個內存大小(單位為MB)。如果Context沒有啟動,則Used會顯示為0 |
|
Cfa0: Used 0MB, Free 61MB, Total 61MB |
Cfa0表示磁盤的名稱,Used表示整個磁盤已使用空間的大小(單位為MB),Free表示整個磁盤當前空閑空間的大小(單位為MB),Total表示整個磁盤空間大小(單位為MB)。如果Context沒有啟動,則Used會顯示為0 |
|
ID |
Context的編號 |
|
name |
Context的名稱 |
|
Weight |
Context使用CPU的權重值 |
|
Usage(%) |
Context對CPU的實際占用率,用百分比表示 |
|
Quota(MB) |
Context使用磁盤/內存的限製值,單位為MB |
|
Used(MB) |
Context當前已使用的磁盤/內存空間的大小,單位為MB |
|
Free(MB) |
Context還可以使用的磁盤/內存空間的大小,單位為MB |
【相關命令】
· limit-resource cpu
· limit-resource disk
· limit-resource memory
display context statistics命令用來顯示Context內資源的統計信息。
【命令】
display context [ name context-name ] statistics [ file filename ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name context-name:顯示指定Context內資源的統計信息,context-name是Context的名稱,為1~15個字符的字符串,區分大小寫。若不指定該參數,則表示顯示所有Context內資源的統計信息。
file filename:表示將收集到的資源統計信息保存到指定文件。filename表示文件的名稱,為1~255個字符的字符串(含後綴),不區分大小寫,文件名不能為“.”或“..”,不能包含“"”、“/”、“:”、“\”、“?”、“\\”、“<”、“>”、“|”、“*”,首字符不能為“-”,且後綴必須為“.tar.gz”,後綴不區分大小寫。不指定該參數時,用戶可根據提示信息選擇將資源的統計信息保存到指定文件或直接將資源的統計信息導出到終端顯示。
【使用指導】
此命令僅支持在缺省Context中使用。
執行該命令,相當於一次性執行如下命令:
· display context capability
· display counters inbound interface
· display counters outbound interface
· display counters rate inbound interface
· display counters rate outbound interface
· display interface
· display ip statistics
· display ipv6 statistics
· display session statistics
· display nat statistics
有關此命令顯示信息的詳細介紹,請參考各個命令顯示信息的介紹。
【舉例】
# 顯示所有Context內資源的統計信息。
<Sysname> display context statistics
Save or display context statistics (Y=save, N=display)? [Y/N]:n
========================================================
=============== display session statistics =================
Slot 1:
Current sessions: 0
TCP sessions: 0
UDP sessions: 0
ICMP sessions: 0
ICMPv6 sessions: 0
UDP-Lite sessions: 0
SCTP sessions: 0
DCCP sessions: 0
RAWIP sessions: 0
---- More ----
# 將資源統計信息保存到指定文件,並輸入文件名為test.tar.gz。
<Sysname> display context statistics
Save or display context statistics(Y=save, N=display)? [Y/N]:y
Please input the file name(*.tar.gz)[flash:/diag.tar.gz]: test.tar.gz
Saving context statistics to flash:/test.tar.gz. Please wait....
# 將資源統計信息保存到文件test.tar.gz。
<Sysname> display context statistics file test.tar.gz
Saving context statistics to flash:/test.tar.gz. Please wait...
【相關命令】
· display context capability
· display counters inbound interface(接口管理命令參考/以太網接口)
· display counters outbound interface(接口管理命令參考/以太網接口)
· display counters rate inbound interface(接口管理命令參考/以太網接口)
· display counters rate outbound interface(接口管理命令參考/以太網接口)
· display interface(接口管理命令參考/以太網接口)
· display ip statistics(三層技術-IP業務命令參考/IP性能優化)
· display ipv6 statistics(三層技術-IP業務命令參考/IPv6基礎)
· display session statistics(安全命令參考/會話管理)
· display nat statistics(NAT命令參考/NAT)
display context vlan命令用來顯示Context的VLAN列表。
【命令】
display context [ name context-name ] vlan
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
name context-name:Context的名稱,為1~15個字符的字符串,區分大小寫。
【使用指導】
在缺省Context中,可使用name context-name參數查看指定Context的VLAN列表;不指定name context-name參數時,則顯示設備上創建的所有Context的VLAN列表。
【舉例】
# 顯示所有Context的VLAN列表。
<Sysname> display context vlan
Context stub1's VLAN(s):
Context stub2's VLAN(s):
2,4094
Context stub3's VLAN(s):
5,6,800-3000,3400
# 顯示Context sub1的VLAN列表。
<Sysname> display context name sub1 vlan
Context stub1's VLAN(s):
5,6,11-23,3400
【相關命令】
· allocate vlan
limit-resource cpu命令用來配置Context的CPU權重。
undo limit-resource cpu命令用來恢複缺省情況。
【命令】
limit-resource cpu weight weight-value
undo limit-resource cpu
【缺省情況】
各Context的CPU權重均為10。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
weight weight-value:配置指定Context的CPU權重,取值範圍為1~10。係統根據Context的權重為Context分配CPU時間。
【舉例】
# 配置Context的CPU權重為2。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource cpu weight 2
limit-resource disk命令用來配置Context可使用的磁盤空間上限(用百分比表示)。
undo limit-resource disk命令用來恢複缺省情況。
【命令】
limit-resource disk slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource disk slot slot-number cpu cpu-number
本命令的支持情況與設備型號有關,請以設備的實際情況為準。
|
係列 |
型號 |
說明 |
|
F50X0係列 |
F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M |
支持 |
|
F5000-CN係列 |
F5000-CN30、F5000-CN60 |
支持 |
|
F5000-AI係列 |
F5000-AI-15 |
不支持 |
|
F5000-AI-20、F5000-AI-40 |
支持 |
|
|
F5000-V係列 |
F5000-V30 |
支持 |
|
F1000-AI係列 |
F1000-AI-10、F1000-AI-15、F1000-AI-25、F1000-AI-35、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
不支持 |
|
F1000-AI-03、F1000-AI-05、F1000-AI-20、F1000-AI-30、F1000-AI-50 |
支持 |
|
|
F1000-L係列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
|
F10X0係列 |
F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
支持 |
|
F1003-C、F1003-M、F1003-S、F1090 |
不支持 |
|
|
F1000-V係列 |
F1000-V50、F1000-V60、F1000-V90 |
不支持 |
|
F1000-V70 |
支持 |
|
|
F1000-SASE係列 |
F1000-SASE100 |
支持 |
|
F1000-SASE200 |
不支持 |
|
|
F1000-AK係列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1212、F1000-AK1222、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9110、F1000-AK9210 |
支持 |
|
F1000-AK1125、F1000-AK1205、F1000-AK1215、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9120、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
|
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
支持 |
|
vFW係列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情況】
Context可以使用物理設備上的所有空閑磁盤空間。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
slot slot-number cpu cpu-number:配置Context在指定成員設備上可使用的磁盤空間上限。slot-number表示設備在IRF中的成員編號,cpu-number表示CPU的編號。
ratio limit-ratio:表示Context在設備上最多可使用的磁盤空間大小與該設備整個磁盤空間大小的百分比,取值範圍為1~100。
【使用指導】
為了防止單個Context過多的占用磁盤而影響其它Context,特別是為防止異常情況下對磁盤的占用,可以為指定的Context配置磁盤上限,當Context占用磁盤空間達到限製值時,後續不能申請新的磁盤空間。
請在Context啟動後配置磁盤上限。執行limit-resource disk命令前,請使用display context resource命令查看Context當前實際已經使用的磁盤空間大小。配置值應大於Context當前實際已經使用的磁盤空間大小,否則,會導致Context申請新的磁盤空間失敗,從而無法進行文件夾創建、文件拷貝和保存等操作。
如果設備上有多塊磁盤,該命令對所有磁盤生效。
【舉例】
# 配置Context cnt2最多可使用1號成員設備上磁盤空間的30%。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource disk slot 1 cpu 0 ratio 30
limit-resource memory命令用來配置Context可使用的內存空間上限(用百分比表示)。
undo limit-resource memory命令用來恢複到缺省情況。
【命令】
limit-resource memory slot slot-number cpu cpu-number ratio limit-ratio
undo limit-resource memory slot slot-number cpu cpu-number
【缺省情況】
所有Context共享物理設備上的所有內存空間,每個Context可使用的內存空間上限為空閑內存空間值。
【視圖】
Context視圖
【缺省用戶角色】
network-admin
【參數】
slot slot-number cpu cpu-number:配置Context在指定成員設備上可使用的內存空間上限。slot-number表示設備在IRF中的成員編號,cpu-number表示CPU的編號。
ratio limit-ratio:表示Context在設備上最多可使用的內存大小與該設備整個內存大小的百分比,取值範圍為1~100。
【使用指導】
為了防止單個Context過多的占用內存而影響其它Context,特別是為防止異常情況下對內存的占用,可以為指定的Context配置內存上限,當Context占用內存達到限製值時,後續不能申請新的內存。
請在Context啟動後再配置內存上限,並且配置的上限值不應過小,以免Context內業務申請不到內存而引起功能異常。
【舉例】
# 配置Context cnt2最多可使用1號成員設備內存的30%。
<Sysname> system-view
[Sysname] context cnt2
[Sysname-context-2-cnt2] limit-resource memory slot 1 cpu 0 ratio 30
reset context capability inbound broadcast命令用來清除Context入方向廣播報文的速率限製的統計信息。
【命令】
reset context name context-name capability inbound broadcast slot slot-number
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
name context-name:清除指定Context上入方向廣播報文的速率限製的統計信息。context-name表示Context的名稱,為1~15個字符的字符串,區分大小寫。
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。
【舉例】
# 清除Context abc在指定Slot上的廣播限速統計信息。
<Sysname> reset context name abc capability inbound broadcast slot 1
reset context capability inbound multicast命令用來清除Context入方向組播報文的速率限製的統計信息。
【命令】
reset context name context-name capability inbound multicast slot slot-number
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
name context-name:清除指定Context上入方向組播報文的速率限製的統計信息。context-name表示Context的名稱,為1~15個字符的字符串,區分大小寫。
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。
【舉例】
# 清除Context abc在指定Slot上的組播限速統計信息。
<Sysname> reset context name abc capability inbound multicast slot 1
reset context name reboot命令用來清除非缺省Context的重啟信息。
【命令】
reset context [ name context-name ] reboot
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
name context-name:清除指定非缺省Context的重啟信息。context-name表示非缺省Context的名稱,為1~15個字符的字符串,區分大小寫。若不指定本參數,則表示清除所有非缺省Context的重啟信息。
【舉例】
# 清除名稱為test的非缺省Context的重啟信息。
<Sysname> reset context name test reboot
【相關命令】
· display context name reboot
switchto context命令用來登錄到指定的Context。
【命令】
switchto context context-name
【視圖】
係統視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
context-name:已啟動的Context的名稱。
【使用指導】
隻要用戶和物理設備之間路由可達,就能使用該命令,通過物理設備和Context的內聯接口,登錄Context。
【舉例】
# 切換到Context test2。
<Sysname> system-view
[Sysname] switchto context test2
******************************************************************************
* Copyright (c) 2004-2018 New H3C Technologies Co., Ltd. All rights reserved.*
* Without the owner's prior written consent, *
* no decompiling or reverse-engineering shall be allowed. *
******************************************************************************
<H3C>
tar context log命令用來收集各Context的日誌信息。
【命令】
tar context [ name context-name ] log file filename
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
【參數】
name context-name:收集指定Context的日誌信息,context-name是Context的名稱,為1~15個字符的字符串,區分大小寫。若不指定該參數,則表示收集所有Context的日誌信息。
file filename:表示將收集到的日誌信息保存到指定文件。filename表示文件的名稱,為1~255個字符的字符串(含後綴),不區分大小寫,文件名不能為“.”或“..”,不能包含“"”、“/”、“:”、“\”、“?”、“\\”、“<”、“>”、“|”、“*”,首字符不能為“-”,且後綴必須為“.tar.gz”,後綴不區分大小寫。
【使用指導】
此命令僅支持在缺省Context中使用。
執行該命令會收集logfile文件夾和diagfile文件夾下的所有文件。
在缺省Context中,無法對從未啟動過的自定義Context進行日誌信息收集。
【舉例】
# 收集各Context的日誌信息,並指定保存文件的名稱為test.tar.gz。
<Sysname> tar context log file test.tar.gz
本章節描述的是登錄到非缺省Context後,在非缺省Context上可以執行的Context配置命令。
display context interface命令用來顯示Context的接口列表。
【命令】
display context interface
【視圖】
任意視圖
【缺省用戶角色】
context-admin
context-operator
【舉例】
# 顯示所有Context的接口列表。
<Sysname> display context interface
Context stub1's interfaces:
GigabitEthernet1/0/2
【相關命令】
· allocate interface
display context reboot命令用來顯示本Context的重啟信息。
【命令】
display context reboot show-number [ offset ]
【視圖】
任意視圖
【缺省用戶角色】
context-admin
context-operator
【參數】
show-number:指定顯示本Context重啟信息的條目數,取值範圍為1~20。
offset:指定顯示的起始條目距最近條目的偏移量,取值範圍為0~19,缺省值為0。零表示從本Context最近一次重啟的條目開始顯示。
【舉例】
# 在名稱為test的非缺省Context中顯示本Context最近一次重啟的信息。
<Sysname> display context reboot 1
----------------- Reboot record 1 -----------------
Recorded at : 2019-05-01 11:16:00
Reason : 0x0
Process : comsh (PID: 120) from Context 3 on slot 1 cpu 0
有關display context reboot命令的顯示信息請參見表1-7。
【相關命令】
· reset context reboot
reset context reboot命令用來清除本Context的重啟信息。
【命令】
reset context reboot
【視圖】
用戶視圖
【缺省用戶角色】
context-admin
【舉例】
# 清除本context的重啟信息。
<Sysname> reset context reboot
【相關命令】
· display context reboot
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
