批量下发CLI命令
HSM通过创建CLI命令行批量下发任务,可以以CLI命令行的方式批量下发系统配置给多台NGFW设备、NIPS设备、NIDS设备、IFW设备(工业防火墙)、ADC设备,从而提高运维人员的工作效率。对于已创建的CLI命令行批量下发任务,用户可以查看该CLI命令行下发任务中关联的设备的操作日志,也可以删除CLI命令行批量下发任务。
在创建CLI命令行批量下发任务时,用户可以手动输入需要下发的CLI命令行,也可以选择提前创建好的CLI命令行模板。CLI命令行模板可以通过新建和导入两种方式创建。
批量下发CLI命令行给不同的设备,需要先进入对应设备管理器的CLI命令行批量管理模块,再执行相关操作。
- 安全设备:选择“安全设备管理器 > 运维服务 > CLI命令行批量管理”。
- ADC设备:选择“ADC管理器 > 运维服务 > CLI命令行批量管理”。
- 在创建CLI命令行批量下发任务之前,需先设置设备的远程登录信息,保证HSM能够正常通过SSH方式访问到设备。如何设置设备的远程登录信息,请参阅设备远程访问管理。
- 系统仅支持批量下发在全局配置模式下的CLI命令,若下发的CLI命令中包括
reboot、show、unset all以及debug类型的命令,系统会自动过滤且不执行对应CLI命令配置。
本节包含以下内容:
新建CLI命令行模板
新建CLI命令行模板,请按照以下步骤进行操作:
- 点击“CLI命令行模板”,进入对应设备管理器的<CLI命令行模板>页面。
- 点击列表右上方的“新增”按钮,打开<新增CLI命令行模板>页面。
- 点击“确定”按钮,完成配置,新创建的CLI模板显示在列表中。
在该页面进行如下配置。
| 选项 | 说明 |
|---|---|
| 名称 | 指定CLI命令行模板的名称,可输入31个字符。名称不允许重复。 |
| CLI命令行 | 输入安全设备/ADC设备在全局配置模式下可执行的CLI命令行,一行输入一条命令,最多不超过30000行。 |
| 描述 | 添加CLI命令行模板的描述信息,可输入255个字符。 |
在<CLI命令行模板>页面,用户还可以执行如下操作:
- 在页面右上方的“搜索”文本框中输入模板名称,快速查找符合条件的CLI命令行模板。
- 点击“CLI命令行内容”列的“查看”按钮,打开<CLI命令行内容>页面,查看CLI命令。
导入CLI命令行模板
用户需先在本地新建CLI命令行模板文件,再进行导入操作。本地CLI命令行模板文件需为txt格式,且文件大小不超过500KB。对于文件中的CLI命令行内容,一行输入一条命令,最多不能超过30000行。
导入CLI命令行模板,请按照以下步骤进行操作:
- 点击“CLI命令行模板”,进入对应设备管理器的<CLI命令行模板>页面。
- 点击列表右上方的“导入”按钮,打开<导入CLI命令行模板>页面。
- 点击“确定”按钮,完成配置。
在该页面进行如下配置。
| 选项 | 说明 |
|---|---|
| 名称 | 指定CLI命令行模板的名称,可输入31个字符。名称不允许重复。 |
| 选择文件 | 点击 按钮,打开本地文件夹,上传需要导入的CLI命令行文件。支持导入txt格式的文件,且文件大小限制为500KB,导入命令行数最多不超过30000行。 |
| 描述 | 添加CLI命令行模板的描述信息,可输入255个字符。 |
编辑CLI命令行模板
编辑CLI命令行模板,请按照以下步骤进行操作:
- 点击“CLI命令行模板”,进入对应设备管理器的<CLI命令行模板>页面。
- 点击“操作”列中的
按钮,修改CLI命令行模板名称、CLI命令以及描述。 - 点击“确定”按钮,完成配置。
删除CLI命令行模板
删除CLI命令行模板,请按照以下步骤进行操作:
- 点击“CLI命令行模板”,进入对应设备管理器的<CLI命令行模板>页面。
- 点击“操作”列的
按钮,删除相应的CLI命令行模板。或者点击列表上方的
按钮,批量删除选中的CLI命令行模板。
新建CLI命令行批量下发任务
新建CLI命令行批量下发任务,请按照以下步骤进行操作:
- 点击“CLI命令行批量下发”,进入对应设备管理器的<CLI命令行批量下发>页面。
- 点击列表上方的“新增”按钮,打开<新增CLI命令行下发模板>页面。
- 点击“下一步”,进入<CLI命令行>页面。
- 方式一:手动输入或粘贴CLI命令至左侧CLI命令行文本框内。
- 方式二:点击右侧CLI命令行模板的名称,将模板内CLI命令快速填充至文本框内。
用户还可以通过输入关键字,快速查找指定的CLI命令行模板。 - 继续执行:当CLI命令行配置下发异常时,系统会继续向被管理设备下发后续尚未执行的CLI命令行配置,直至完成所有CLI配置下发。同时,系统会自动记录每次CLI命令行下发异常的原因,以及出现异常时对应CLI命令的行数。针对此方式,所有已下发的CLI配置均执行成功,仅出现异常的CLI配置执行失败。
- 停止执行:一旦CLI命令行配置下发出现异常,系统会立即停止本次下发任务,并记录CLI命令行下发异常的原因,以及出现异常时对应CLI命令的行数。针对此方式,任务停止之前所有已下发的CLI配置均执行成功。
- 回滚配置:一旦CLI命令行配置下发出现异常,系统会立即停止本次下发任务,并将本次任务已下发的CLI命令配置回滚到下发之前的状态。针对此方式,所有已下发的CLI配置均执行失败。
- 点击“下一步”,进入<关联设备数>页面。点击“选择设备”按钮,在打开的<选择设备>页面中,指定该任务需要下发的设备。
- 当指定“CLI下发异常后处理方式”为“回滚配置”时,关联设备请选择在线的防火墙设备,避免出现下发配置失败的情况。
- 当离线设备的远程登录方式为“正向代理”时,支持为此类型的离线设备下发CLI命令行配置。
- 批量下发CLI命令给HA设备时,需选择HA主设备进行下发,下发成功后,主设备会将下发的配置同步给备设备。若选择HA备设备进行下发,则会下发失败。
- 指定该任务需要下发的设备后,若出现“检测到已选关联设备中有x台未配置访问用户,可能会导致下发失败,建议您完善配置”的提示,请点击“快速配置访问用户”按钮,打开新的网页至<批量设置远程访问>页面,为未配置访问用户的关联设备配置访问用户和密码,详情参见设备远程访问管理。
- 点击“确定”按钮,系统自动为指定的关联设备下发CLI命令配置。
在<基础信息>页面,配置相关信息。
| 选项 | 说明 |
|---|---|
| 名称 | 指定CLI命令行批量下发任务的名称,可输入31个字符。名称不允许重复。 新建任务时,系统会根据任务创建时间,自动填入一个格式为“cli_task_YYYYMMDDHHmmss”的名称,用户可根据需要自行修改。 |
| 描述 | 添加CLI命令行批量下发任务的描述信息。 |
在<CLI命令行>页面,配置相关信息。
| 选项 | 说明 |
|---|---|
| CLI命令行 |
支持通过以下两种方式,指定待下发给安全设备/ADC设备的CLI命令行内容。最多不超过30000行。
|
| 同时将CLI命令保存为新模板 | 勾选“同时将CLI命令保存为新模板”后,输入模板名称,可在任务下发后同时将该CLI命令保存为新的CLI命令行模板。保存的新模板可在<CLI命令行模板>页面查看。 |
| CLI下发异常后处理方式 | 指定批量下发CLI命令行配置出现异常时的处理方式,包括继续执行、停止执行以及回滚配置。 注意: 回滚配置仅对软件版本为StoneOS 5.5R10F5及以上F版本、5.5R11P4及以上P版本、5.5R11F的所有版本的防火墙设备生效。 |
若未执行步骤5,点击“确定”按钮后,系统会弹出完善设备访问配置提示框,用户需点击“返回完善配置”按钮,并按照步骤5,为未配置访问用户的关联设备配置访问用户和密码。当用户未完善设备访问配置,直接点击“继续下发”按钮时,系统无法成功下发CLI命令配置给未配置访问用户的设备,因此,请在出现完善设备访问配置提示时,及时完善相关配置。
在<CLI命令行批量下发>页面,用户还可以执行如下操作:
- 在页面右上方的“搜索”文本框中输入任务名称,快速查找符合条件的CLI命令行批量下发任务。
- 点击“CLI命令行内容”列的“查看”按钮,打开<CLI命令行内容>页面,查看CLI命令。
删除CLI命令行批量下发任务
删除CLI命令行批量下发任务,请按照以下步骤进行操作:
- 点击“CLI命令行批量下发”,进入对应设备管理器的<CLI命令行批量下发>页面。
- 点击“操作”列的按钮,删除相应的CLI命令行批量下发任务。或者点击列表上方的 按钮,批量删除选中的CLI命令行下发任务。
查看CLI命令行下发操作日志
对于已经创建的CLI命令行批量下发任务,支持查看该CLI命令行下发任务中关联的设备的操作日志,包括任务开始记录、代理方式、管理接口IP、访问用户、操作结果、任务耗时等,便于运维人员查看下发过程中的详细信息,下发配置失败时可以快速定位失败原因。
查看CLI命令行下发操作日志,请按照以下步骤进行操作
- 点击“CLI命令行批量下发”,进入对应设备管理器的<CLI命令行批量下发>页面。
- 点击“关联设备”列的数值,进入关联设备列表页面,查看任务关联的每台设备的CLI命令配置下发结果。
- 点击“操作日志”列后的“查看”按钮,系统可在打开的操作日志页面,查看单台设备CLI命令配置下发的日志信息。
在<操作日志>页面,点击列表右侧的
或
按钮,用户可快速定位至执行失败的CLI命令,查看其执行失败的原因。