问
华为替换华三设备命令不是很清楚
3天前提问
- 0关注
- 0收藏,112浏览
问题描述:
|
翻译为华三命令 另外华三怎么在全局调用ACL network-scan |
| network-scan timeout per-asset 300 |
| network-scan timeout entire-scan 23 |
| conflict-resolve override |
| # |
| user-manage single-sign-on ad |
| user-manage single-sign-on tsm |
| user-manage single-sign-on radius |
| user-manage auto-sync online-user |
| user-manage server-sync tsm |
组网及组网描述:
|
network-scan |
| network-scan timeout per-asset 300 |
| network-scan timeout entire-scan 23 |
| conflict-resolve override |
| # |
| user-manage single-sign-on ad |
| user-manage single-sign-on tsm |
| user-manage single-sign-on radius |
| user-manage auto-sync online-user |
| user-manage server-sync tsm |
zhiliao_Gixe
五段
对应H3C等价配置命令(系统视图下执行):
资产扫描相关
host-scan enable
host-scan timeout per-device 300
host-scan timeout total 23
resource-conflict policy override
用户管理SSO相关
user-manage sso ad enable
user-manage sso tsm enable
user-manage sso radius enable
user-manage auto-sync online-user
user-manage server-sync tsm
H3C全局调用ACL方法:
在系统视图下直接执行全局包过滤绑定命令即可,无需逐接口配置:
packet-filter acl { acl-number | name acl-name } [ ipv4 | ipv6 ] global
该配置会让设备所有接口的入方向流量统一匹配该ACL的过滤规则,实现全局统一访问控制。
资产扫描相关
host-scan enable
host-scan timeout per-device 300
host-scan timeout total 23
resource-conflict policy override
用户管理SSO相关
user-manage sso ad enable
user-manage sso tsm enable
user-manage sso radius enable
user-manage auto-sync online-user
user-manage server-sync tsm
H3C全局调用ACL方法:
在系统视图下直接执行全局包过滤绑定命令即可,无需逐接口配置:
packet-filter acl { acl-number | name acl-name } [ ipv4 | ipv6 ] global
该配置会让设备所有接口的入方向流量统一匹配该ACL的过滤规则,实现全局统一访问控制。
暂无评论
华为→H3C V7 命令精准翻译 + 全局调用 ACL 用法
一、逐条命令转换
1. 全网扫描 / 资产扫描相关(华为安全准入扫描)
华为
network-scan
network-scan timeout per-asset 300
network-scan timeout entire-scan 23
conflict-resolve override
H3C V7 对等命令
cli
# 开启内网资产探测扫描
asset-detection enable
# 单资产探测超时 300秒
asset-detection timeout single-host 300
# 全局整段扫描超时 23秒
asset-detection timeout whole-segment 23
# 地址冲突强制覆盖
ip-conflict resolve force-override
2. 单点登录 + 用户管理(AD/TSM/RADIUS 准入联动)
华为
user-manage single-sign-on ad
user-manage single-sign-on tsm
user-manage single-sign-on radius
user-manage auto-sync online-user
user-manage server-sync tsm
H3C V7 对应准入 / 用户联动命令
cli
# 开启AD域单点登录
user-sso ad enable
# 开启TSM安全策略联动单点登录
user-sso tsm enable
# 开启RADIUS单点登录
user-sso radius enable
# 自动同步在线用户表项
user-online auto-sync enable
# 与TSM服务器数据同步
user-sync server tsm enable
二、重点:H3C 全局模式调用 ACL 三种常用场景
1. 全局下发 ACL 过滤所有入站流量(全局包过滤)
cli
system-view
# 先创建ACL
acl number 3000
rule permit ip source 192.168.1.0 0.0.0.255
rule deny ip
# 全局调用ACL 过滤所有接口入方向
packet-filter global inbound acl 3000
# 全局调用ACL 过滤所有接口出方向
packet-filter global outbound acl 3000
2. 全局 ACL 用于策略路由 / 全局流量管控
cli
# 全局引用ACL做流量分类
policy-based-route gprs permit node 10
if-match acl 3000
3. 全局 ACL 用于 SSL VPN / 策略模板全局调用
cli
sslvpn context ctx1
filter-policy acl 3000
4. 全局 ACL 用于 SNMP、FTP、SSH 管理访问控制
cli
# 全局限制只有ACL网段能登录设备
ssh server acl 3000
telnet server acl 3000
ftp server acl 3000
snmp-agent community read public acl 3000
5. 路由策略全局调用 ACL
cli
route-policy permit-all permit node 10
if-match acl 3000
三、最简总结
- 华为
network-scan= H3C asset-detection 资产探测 - 华为
user-manage sso= H3C user-sso 系列单点登录 - H3C全局挂 ACL核心命令:
packet-filter global inbound/outbound acl 编号直接全局统一过滤全网流量,不用逐个接口下应用。
暂无评论
命令功能等效翻译
1. 网络资产扫描 (network-scan)
你原来的命令功能是配置资产扫描的超时时间,并设置解决IP冲突时,新发现的资产信息会覆盖旧的。
在H3C Comware平台中,对应的功能视图是 asset-scan。你的配置可以等效为:
# 进入资产扫描视图
需要注意的是,H3C的
asset-scan视图下没有直接名为conflict-resolve override的命令,需要根据实际软件版本查阅相关手册。
2. 单点登录 (user-manage single-sign-on)
你原来的命令是启用不同类型(AD、TSM、RADIUS)的单点登录功能。
在H3C中,单点登录的配置分布在多个视图下,主要包括:
进入SSO视图:
sso enable配置AD/TSM/RADIUS服务器:在相应的服务器视图下完成。
等效配置如下:
# 进入系统视图
H3C中配置“用户自动同步在线用户”(
user-manage auto-sync online-user)和“服务器同步TSM”(user-manage server-sync tsm),通常是在用户识别管理(user-identity)或AAA配置中,通过相关参数实现。
H3C中“全局调用ACL”的方法
你可能习惯使用 ACL all 类似的命令来全局应用ACL。但在H3C中,没有真正意义上的“全局应用”概念,而是必须将ACL应用到具体的接口、VLAN、安全域或QoS策略中,并指定方向。这是实现精确流量控制的标准做法。
通常有这几种应用方式:
基于接口应用(包过滤):
packet-filter 3000 inbound # 在接口入方向应用ACL 3000interface GigabitEthernet1/0/1基于安全域应用(防火墙/安全设备):
packet-filter 3000 inbound # 在安全域的入方向应用ACL 3000security-zone name Trust基于QoS策略调用(高级用法):
先定义流分类和流行为,再通过QoS策略在全局或接口生效:traffic classifier CLASSIFIER_1 if-match acl 3000 # 定义流行为(例如拒绝) traffic behavior BEHAVIOR_1 filter deny # 定义QoS策略,将分类与行为绑定 qos policy POLICY_1 classifier CLASSIFIER_1 behavior BEHAVIOR_1 # 应用QoS策略到接口 interface GigabitEthernet1/0/1 qos apply policy POLICY_1 inbound# 定义流分类,匹配ACL
如果你之前用惯了
ACL all,最接近的等效操作是将ACL应用到所有需要的接口或安全域上,或者创建一个匹配所有流量的QoS策略。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论