国家 / 地区

05-三层技术-IP业务命令参考

18-DVPN命令

本章节下载  (201.75 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600/Command/Command_Manual/H3C_SR6600_SR6600-X_CR(V5)-R3303(V1.23)/05/201702/973847_30005_0.htm

18-DVPN命令


1 DVPN

1.1  VAM Server配置命令

1.1.1  authentication-algorithm

【命令】

authentication-algorithm { none | { md5 | sha-1 } * }

undo authentication-algorithm

【视图】

VPN域视图

【缺省级别】

2:系统级

【参数】

none:表示不对协议报文验证。

md5:表示采用MD5验证算法。

sha-1:表示采用SHA-1验证算法。

【描述】

authentication-algorithm命令用来设置协议报文的验证算法及其优先级。undo authentication-algorithm命令用来恢复缺省情况。

缺省情况下,认证算法为SHA-1。

需要注意的是:

·     验证算法在配置中的出现顺序决定其使用优先级。

·     VAM Server根据配置的验证算法以及优先级与Client发送的算法列表进行协商,协商后的算法作为两端的协议报文消息验证算法。

相关配置可参考命令vam server vpnauthentication-method

【举例】

# 设置在VPN域1中使用MD5验证算法。

<Sysname> system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] authentication-algorithm md5

1.1.2  authentication-method

【命令】

authentication-method { none | { chap | pap } [ domain name-string ] }

undo authentication-method

【视图】

VPN域视图

【缺省级别】

2:系统级

【参数】

none:表示不对客户端进行认证。

chap:表示使用CHAP认证方式。

pap:表示使用PAP认证方式。

domain name-string:指定认证使用的ISP域。其中,name-string表示ISP域名,为1~24个字符的字符串,不区分大小写。

【描述】

authentication-method命令用来配置VAM Server对客户端的身份认证方式。undo authentication-method命令恢复缺省情况。

缺省情况下,使用CHAP验证方式,ISP域为用户配置的系统默认域。

相关配置可参考命令vam server vpnauthentication-algorithm

【举例】

# 配置VAM Server对客户端采用CHAP方式进行身份认证。

<Sysname> system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] authentication-method chap

1.1.3  display vam server address-map

【命令】

display vam server address-map { all | vpn vpn-name [ private-ip private-ip ] } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

all:显示VAM Server上所有注册的VAM Client地址映射信息。

vpn vpn-name:显示指定VPN域中所有VAM Client地址映射信息。其中,vpn-name 表示VPN域名,为1~15个字符的字符串,不区分大小写。

private-ip private­-ip:显示指定私网IP地址的VAM Client的地址映射信息。其中,private­-ip 表示VAM Client的私网IP地址。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display vam server address-map命令用来显示注册到服务器上的客户端地址映射信息。

【举例】

# 显示VPN域1中的地址映射信息。

<Sysname> display vam server address-map vpn 1

VPN name:    1

Total address-map number:    2

Private-ip     Public-ip        Type        Holding time

10.0.0.1       222.222.222.1    Hub         0H 3M 34S

10.0.0.3       222.222.222.3    Spoke       0H 4M 21S

# 显示所有VPN域中的VAM Client的地址映射信息。

<Sysname> display vam server address-map all

VPN:    1            Total address-map number:    2

Private-ip     Public-ip        Type        Holding time

10.0.0.1       222.222.222.1    Hub         0H 3M 34S

10.0.0.3       222.222.222.3    Spoke       0H 4M 21S

 

VPN:    2            Total address-map number:    1

Private-ip     Public-ip        Type        Holding time

20.0.0.1       222.222.32.1     Hub         0H 3M 34S

# 显示VPN域1中私网地址为10.0.0.1的VAM Client的地址映射信息。

<Sysname> display vam server address-map vpn 1 private-ip 10.0.0.1

VPN:    1

Private-ip     Public-ip        Type        Holding time

10.0.0.1       222.222.222.1    Hub         0H 3M 34S

表1-1 display vam server address-map命令显示信息描述表

字段

描述

VPN

VPN名称

Total address-map number

公/私网地址映射总数

Private-ip

VAM Client向VAM Server注册的私网地址

Public-ip

VAM Client向VAM Server注册的公网地址

Type

VAM Client类型,有Hub和Spoke两种类型

Holding time

VAM Client的存活时间,为x小时 y分钟 z秒(xH yM zS)

 

1.1.4  display vam server statistic

【命令】

display vam server statistic { all | vpn vpn-name } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

all:显示VAM Server上注册的所有客户端的统计信息。

vpn vpn-name:显示指定VPN域中VAM Server的统计信息。其中,vpn-name 表示VPN域名,为1~15个字符的字符串,不区分大小写。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display vam server statistic命令用来显示VAM Server的统计信息。

【举例】

# 显示VAM Server的统计信息。

<Sysname> display vam server statistic all

VPN number:                   2

Total spoke number:           121

Total hub number:             3

 

VPN name:    1

  Service:    enable

  Holding time: 0h 1m 47s

  Registered spoke number:    98

  Registered hub number:      2

  Address resolution times:      11

  Succeeded resolution times:    10

  Failed resolution times:    1

 

VPN name:    9

  Service:    enable

  Holding time: 0h 33m 53s

  Registered spoke number:    23

  Registered hub number:        1

  Address resolution times:     150

  Succeeded resolution times:    148

  Failed resolution times:    2

# 显示VAM Server上VPN域1的统计信息。

<Sysname> display vam server statistic vpn 1

VPN name:    1

  Service:    enable

  Holding time: 0h 0m 5s

  Registered spoke number:    98

  Registered hub number:    2

  Address resolution times:           11

  Succeeded resolution times:         10

  Failed resolution times:             1

表1-2 display vam server statistic命令显示信息描述表

字段

描述

VPN number

VAM Server上VPN域的数目

Total spoke number

VAM Server上Spoke类型客户端数目

Total hub number

VAM Server上Hub类型客户端数目

VPN name

VPN名称

Service

VPN域中VAM服务使能情况(enable表示VAM服务使能、disable表示VAM服务禁止)

Holding time

VPN域存活时间

Registered spoke number

VPN域中注册的Spoke数目

Registered hub number

VPN域中注册的Hub数目

Address resolution times

VPN域中地址解析总次数

Succeeded resolution times

VPN域中地址解析成功的次数

Failed resolution times

VPN域中地址解析失败的次数

 

1.1.5  encryption-algorithm

【命令】

encryption-algorithm { { 3des | aes-128 | aes-256 | des } * | none }

undo encryption-algorithm

【视图】

VPN域视图

【缺省级别】

2:系统级

【参数】

3des:表示采用3DES加密算法。

aes-128:表示采用AES加密算法,密钥长度128位。

aes-256:表示采用AES加密算法,密钥长度256位。

des:表示采用DES加密算法。

none:表示不对协议报文作加密。

【描述】

encryption-algorithm命令用来配置协议报文的加密算法及其优先级。undo encryption-algorithm命令恢复缺省情况。

缺省情况下,使用AES-128、AES-256、3DES和DES四种加密算法,算法的优先级由高到低依次是AES-256、AES-128、3DES、DES。

需要注意的是:

·     加密算法在该配置中的出现顺序决定其使用优先级。

·     VAM Server根据配置的加密算法以及优先级与VAM Client发送的算法列表进行协商,协商后的算法作为两端的协议报文加密算法。

相关配置可参考命令vam server vpn

【举例】

# 配置在VPN域1中使用AES-128和3DES加密算法,AES-128的优先级高于3DES。

<Sysname> system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] encryption-algorithm aes-128 3des

1.1.6  hub private-ip

【命令】

hub private-ip private-ip-address [ public-ip public-ip-address ]

undo hub private-ip private-ip-address

【视图】

VPN域视图

【缺省级别】

2:系统级

【参数】

private-ip-address:Hub的私网IP地址。

public-ip-address:Hub的公网IP地址。

【描述】

hub private-ip命令用来指定Hub的IP地址。undo hub private-ip命令用来删除指定Hub的IP地址。

缺省情况下,没有配置Hub的IP地址。

需要注意的是:

·     可以只指定Hub的私网地址,当该Hub加入VPN域时,VAM Server就会得到该Hub注册的公私网地址映射信息。

·     目前在VAM Server上最多可以配置两个Hub地址。

相关配置可参考命令vam server vpn

【举例】

# 指定VPN1中指定Hub的公私网IP地址分别为123.0.0.1和10.1.1.1。

<Sysname> system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] hub private-ip 10.1.1.1 public-ip 123.0.0.1

1.1.7  keepalive interval

【命令】

keepalive interval time-interval

undo keepalive interval

【视图】

VPN域视图

【缺省级别】

2:系统级

【参数】

time-interval:VAM Client发送Keepalive报文的时间间隔,取值范围为5~65535,单位为秒。

【描述】

keepalive interval命令用来配置VAM Client向VAM Server发送Keepalive报文的时间间隔。undo keepalive interval命令用来恢复缺省情况。

缺省情况下,VAM Client发送Keepalive报文的时间间隔为180秒。

需要注意的是,该值由VAM Server在注册响应报文中下发给VAM Client,同一个VPN域中所有VAM Client的Keepalive报文参数都是相同的。但是,如果Server改变Keepalive报文参数,则修改后的参数只对新注册的Client生效,已经注册的Client不受影响。

相关配置可参考命令vam server vpnkeepalive retry

【举例】

# 设置VAM Client向VAM Server发送Keepalive报文的时间间隔为30秒。

<Sysname> system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] keepalive interval 30

1.1.8  keepalive retry

【命令】

keepalive retry retry-times

undo keepalive retry

【视图】

VPN域视图

【缺省级别】

2:系统级

【参数】

retry-times:VAM Client发送Keepalive报文的重试次数,取值范围为1~6。

【描述】

keepalive retry命令用于配置VAM Client向VAM Server发送Keepalive报文的重试次数,当Keepalive报文的重发次数达到配置的值时仍没有收到响应,则认为连接中断。undo keepalive retry命令用于恢复缺省情况。

缺省情况下,VAM Client发送Keepalive报文的重试次数是3次。

需要注意的是,该值由VAM Server在注册响应报文中下发给VAM Client,同一个VPN域中所有VAM Client的Keepalive报文参数都是相同的。但是,如果Server改变Keepalive报文参数,则修改后的参数会对新注册的Client生效,已经注册的Client不受影响。

相关配置可参考命令vam server vpnkeepalive interval

【举例】

# 配置VAM Client发送Keepalive报文的重试次数为5次。

<Sysname> system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] keepalive retry 5

1.1.9  pre-shared-key (VPN domain view)

【命令】

pre-shared-key { cipher | simple } key-string

undo pre-shared-key

【视图】

VPN域视图

【缺省级别】

2:系统级

【参数】

cipher:以密文方式设置预共享密钥。

simple:以明文方式设置预共享密钥。

key-string:预共享密钥,区分大小写。如果是cipher方式,则key-string为1~73个字符的密文字符串;如果是simple方式,则key-string为1~31个字符的明文字符串。

【描述】

pre-shared-key命令用来配置VAM Server的预共享密钥,为VAM协议报文加密和完整性验证算法提供公共密钥材料。undo pre-shared-key命令用来删除配置的预共享密钥。

缺省情况下,无预共享密钥。

以明文或密文形式设置的预共享密钥,均以密文的方式保存在配置文件中。

相关配置可参考命令vam server vpnpre-shared-key(VAM client view)、authentication-algorithmencryption-algorithm

【举例】

# 以明文方式配置VAM Server的预共享密钥为123。

<Sysname> system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] pre-shared-key simple 123

1.1.10  server enable

【命令】

server enable

undo server enable

【视图】

VPN域视图

【缺省级别】

2:系统级

【参数】

【描述】

server enable命令用来启动指定VPN域的VAM Server功能。undo server enable命令用来关闭指定VPN域的VAM Server功能。

缺省情况下,VAM Server功能处于关闭状态。

相关配置可参考命令vam server vpnvam server enabledisplay vam server statistic

【举例】

# 启动VPN域1的VAM Server功能。

<Sysname> system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1] server enable

1.1.11  vam server enable

【命令】

vam server enable { all | vpn vpn-name }

undo vam server enable { all | vpn vpn-name }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

all:所有已配置的VPN域。

vpn vpn-name:指定的已配置的VPN域。其中,vpn-name表示VPN域名,为1~15个字符的字符串,不区分大小写,所使用的字符限定为A~Z、a~z、0~9和“.”。

【描述】

vam server enable命令用来启动VPN域的VAM Server功能。undo vam server enable命令用来关闭VPN域的VAM Server功能。

缺省情况下,VAM Server功能处于关闭状态。

相关配置可参考命令vam server vpnserver enabledisplay vam server statistic

【举例】

# 使能所有VPN域的VAM功能。

<Sysname> system-view

[Sysname] vam server enable all

1.1.12  vam server ip-address

【命令】

vam server ip-address ip-address [ port port-number ]

undo vam server ip-address

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

ip-address:VAM Server监听的IP地址。

port-number:VAM Server监听的UDP端口号,取值范围为1025~65535,缺省值为18000。

【描述】

vam server ip-address命令用来配置VAM Server监听的IP地址和UDP端口号。undo vam server ip-address命令用来删除配置的监听IP地址和UDP端口号。

缺省情况下,没有配置监听IP地址和UDP端口号。

需要注意的是:

·     如果在VAM Server上没有配置监听的IP地址和端口号,则VAM Server默认监听所有目的地址为本机接口的IP地址、端口号为18000的报文;否则,只监听指定IP地址和端口号的报文。

·     重复执行本命令,新的配置将覆盖原有的配置。

相关配置可参考命令vam server vpn

【举例】

# 配置VAM Server的监听IP地址为10.1.1.1、UDP端口号为2000。

<Sysname> system-view

[Sysname] vam server ip-address 10.1.1.1 port 2000

1.1.13  vam server vpn

【命令】

vam server vpn vpn-name

undo vam server vpn vpn-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

vpn-name:VPN域名,为1~15个字符的字符串,不区分大小写。所使用的字符限定为A~Z、a~z、0~9和“.”。

【描述】

vam server vpn命令用来创建VPN域,并进入VPN域视图。如果VPN域已经存在,则直接进入该VPN域视图。undo vam server vpn命令用来删除指定VPN域。

缺省情况下,无VPN域存在。

【举例】

# 创建VPN域1,并进入其视图。

<Sysname> system-view

[Sysname] vam server vpn 1

[Sysname-vam-server-vpn-1]

1.2  VAM Client 配置命令

1.2.1  client enable

【命令】

client enable

undo client enable

【视图】

VAM Client视图

【缺省级别】

2:系统级

【参数】

【描述】

client enable 命令用来启动VAM Client功能。undo client enable命令用来恢复缺省情况。

缺省情况下,VAM Client功能处于关闭状态。

相关配置可参考命令vam client namevam client enable

【举例】

# 启动客户端spoke的VAM Client功能。

<Sysname> system-view

[Sysname] vam client name spoke

[Sysname-vam-client-name-spoke] client enable

1.2.2  display vam client

【命令】

display vam client { address-map | fsm } [ client-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

address-map:VAM Client的公私网地址映射信息。

fsm:VAM Client的状态信息。

client-name:VAM Client的名称,为1~31个字符的字符串,不区分大小写。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display vam client命令用来显示VAM Client的注册信息。

Spoke上显示的是VAM Server下发的其它Spoke与Hub的地址映射信息,Hub上显示的是VAM Server下发的其它Hub的地址映射信息。

需要注意的是:

·     如果指定参数client-name,则显示指定VAM Client的注册信息。

·     如果不指定参数client-name,则显示所有VAM Client的注册信息。

·     一些没有配置的命令参数,或者未能动态获取的信息将不会出现在显示信息中。

【举例】

# 显示名为abc的VAM Client的状态信息。

<Sysname> display vam client fsm abc

 Client name: hub

 VPN name:  1

 Interface: Tunnel0

 Resend interval(seconds): 5

 Client type: Hub

 Username: user1

 

 Primary server:   28.1.1.23

   Current state:  ONLINE

   Holding time:   9h 20m 30s

   Encryption-algorithm:     AES-128

   Authentication-algorithm: SHA1

 

 Secondary server: 28.1.1.33

   Current state:  OFFLINE

   Holding time:   1h 24m 1s

   Encryption-algorithm:     AES-128

   Authentication-algorithm: SHA1

表1-3 display vam client fsm 命令显示信息描述表

字段

描述

Client name

VAM Client的名称

VPN name

该VAM Client所在的VPN域名

Interface

该VAM Client所在的DVPN隧道接口

Resend interval(seconds)

VAM Client协议报文重发的时间间隔

Client type

VAM Client类型,包括Hub和Spoke两种类型

Username

VAM Client的用户名

Primary server

主VAM Server的公网IP地址

Current state

VAM Client当前认证状态

Holding time

VAM Client维持当前状态的时间

Encryption-algorithm

协商使用的加密算法

Authentication-algorithm

协商使用的认证算法

Secondary server

备份VAM Server的公网IP地址

 

# 显示VAM Client的地址映射缓存信息。

<Sysname> display vam client address-map abc

Client name:    abc   

VPN name:    1

Total address-map number:    2

Private-ip     Public-ip        Type   Remaining-time(s)

10.0.0.1       222.222.222.1    Hub    --

10.0.0.3       222.222.222.3    Spoke  32

表1-4 display vam client address-map命令显示信息描述表

字段

描述

Client name

VAM Client的名称

VPN name

该VAM Client所在的VPN域名

Total address-map number

所属VPN域中VAM Client的公私网地址映射数目

Private-ip

私网IP地址

Public-ip

私网IP地址对应的公网IP地址

Type

VAM Client类型

Remaining-time(s)

该地址映射表项的剩余存活时间

 

1.2.3  pre-shared-key (VAM client view)

【命令】

pre-shared-key { cipher | simple } key-string

undo pre-shared-key

【视图】

VAM Client视图

【缺省级别】

2:系统级

【参数】

cipher:以密文方式设置预共享密钥。

simple:以明文方式设置预共享密钥。

key-string:预共享密钥,区分大小写。如果是cipher方式,则key-string为1~73个字符的密文字符串;如果是simple方式,则key-string为1~31个字符的明文字符串。

【描述】

pre-shared-key命令用来配置VAM Client的预共享密钥,它是VAM Client与VAM Server建立协议报文安全通道的公共密钥材料。undo pre-shared-key命令用来删除VAM Client的预共享密钥,即对协议报文不进行加密和认证。

缺省情况下,无预共享密钥。

需要注意的是:

·     同一个VPN域中所有设备上的预共享密钥必须相同,VAM Server和VAM Client以它为生成密钥的材料派生出密钥,并对协议报文进行保护。

·     以明文或密文形式设置的预共享密钥,均以密文的方式保存在配置文件中。

相关配置可参考命令vam client namepre-shared-key (VPN domain view)。

【举例】

# 以明文方式配置VAM Client的预共享密钥为123。

<Sysname> system-view

[Sysname] vam client name abc

[Sysname-vam-client-name-abc] pre-shared-key simple 123

1.2.4  resend interval

【命令】

resend interval time-interval

undo resend interval

【视图】

VAM Client视图

【缺省级别】

2:系统级

【参数】

time-interval:客户端协议报文重发的时间间隔,取值范围为3~30,单位为秒。

【描述】

resend interval命令用来设置VAM Client重发VAM协议报文的时间间隔。undo resend interval命令用来恢复缺省情况。

缺省情况下,VAM协议报文重发间隔时间为5秒。

VAM Client向VAM Server发送协议报文时,在配置的时间间隔内,若没有收到回应报文,客户端将重新发送请求报文。协议报文包括连接请求报文、初始化完成报文、注册请求报文和认证请求报文。

相关配置可参考命令vam client namedisplay vam client

【举例】

# 设置VAM Client重发VAM协议报文的时间间隔为20秒。

<Sysname> system-view

[Sysname] vam client name abc

[Sysname-vam-client-name-abc] resend interval 20

1.2.5  server primary

【命令】

server primary ip-address ip-address [ port port-number ]

undo server primary

【视图】

VAM Client视图

【缺省级别】

2:系统级

【参数】

ip-address:主VAM Server的公网IP地址。

port-number:主VAM Server的端口号,取值范围为1025~65535,缺省值为18000。

【描述】

server primary命令用来配置主VAM Server的公网IP地址和UDP端口号。undo server primary命令用来恢复缺省情况。

缺省情况下,没有配置主VAM Server的公网IP地址和UDP端口号。

需要注意的是,重复执行本命令,新的配置将覆盖原有配置。

相关配置可参考命令vam client nameserver secondarydisplay vam client

【举例】

# 指定主VAM Server的公网IP地址为1.1.1.1、端口号为2000。

<Sysname> system-view

[Sysname] vam client name abc

[Sysname-vam-client-name-abc] server primary ip-address 1.1.1.1 port 2000

1.2.6  server secondary

【命令】

server secondary ip-address ip-address [ port port-number ]

undo server secondary

【视图】

VAM Client视图

【缺省级别】

2:系统级

【参数】

ip-address:备份VAM Server的公网IP地址。

port-number:备份VAM Server的端口号,取值范围为1025~65535,缺省值为18000。

【描述】

server secondary命令用来配置备份VAM Server的公网IP地址和UDP端口号。undo server secondary命令用来恢复缺省情况。

缺省情况下,没有配置备份VAM Server的公网IP地址和UDP端口号。

需要注意的是,重复执行本命令,新的配置将覆盖原有配置。

相关配置可参考命令vam client nameserver primarydisplay vam client

【举例】

# 指定备份VAM Server的公网IP地址为1.1.1.2、端口号为3000。

<Sysname> system-view

[Sysname] vam client name abc

[Sysname-vam-client-name-abc] server secondary ip-address 1.1.1.2 port 3000

1.2.7  user

【命令】

user username password { cipher | simple } string

undo user

【视图】

VAM Client视图

【缺省级别】

2:系统级

【参数】

username:VAM Client用户名,为1~253个字符的字符串,区分大小写,不能包含/:*?<>@|\"等特殊字符。

cipher:以密文方式设置用户密码。

simple:以明文方式设置用户密码。

string:VAM Client的用户密码,区分大小写。如果是cipher方式,则string为1~117个字符的密文字符串;如果是simple方式,则string为1~63个字符的明文字符串。

【描述】

user命令用来配置本地用户名和密码。undo user命令用来取消已经配置的本地用户名和密码。

缺省情况下,没有配置本地用户名和密码。

需要注意的是:

·     在一个VAM Client视图下只允许配置一个本地用户。

·     以明文或密文形式设置的用户密码,均以密文的方式保存在配置文件中。

相关配置可参考命令vam client namedisplay vam client

【举例】

# 配置本地用户名为user、密码为user。

<Sysname> system-view

[Sysname] vam client name abc

[Sysname-vam-client-name-abc] user user password simple user

1.2.8  vam client enable

【命令】

vam client enable { all | name client-name }

undo vam client enable { all | name client-name }

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

all:所有已配置的VAM Client。

name client-name:指定已配置的VAM Client。其中,client-name表示VAM Client名称,为1~31个字符的字符串,不区分大小写,所使用的字符限定为A-Z、a-z、0-9和“.”。

【描述】

vam client enable命令用来启动所有或指定的VAM Client功能。undo vam client enable命令用来关闭所有或指定的VAM Client功能。

缺省情况下,VAM Client功能处于关闭状态。

相关配置可参考命令vam client nameclient enable

【举例】

# 启动客户端spoke的VAM功能。

<Sysname> system-view

[Sysname] vam client enable name spoke

1.2.9  vam client name

【命令】

vam client name client-name

undo vam client name client-name

【视图】

系统视图

【缺省级别】

2:系统级

【参数】

client-name:VAM Client名称,为1~31个字符的字符串,不区分大小写。所使用的字符限定为A-Z、a-z、0-9和“.”。

【描述】

vam client name命令用来创建VAM Client,并进入VAM Client视图。如果VAM Client已经存在,则直接进入该VAM Client视图。undo vam client name命令用来删除指定VAM Client。

缺省情况下,无VAM Client。

需要注意的是,若VAM Client已经被接口应用,则不能被直接删除。

相关配置可参考命令vam clientdisplay vam client

【举例】

# 创建一个名为abc的VAM Client。

<Sysname> system-view

[Sysname] vam client name abc

[Sysname-vam-client-name-abc]

1.2.10  vpn

【命令】

vpn vpn-name

undo vpn

【视图】

VAM Client视图

【缺省级别】

2:系统级

【参数】

vpn-name:VAM Client所属的VPN域名,为1~15个字符的字符串,不区分大小写。所使用的字符限定为A-Z、a-z、0-9和“.”。

【描述】

vpn命令用来配置VAM Client所属的VPN域。undo vpn命令用来删除VAM Client所属的VPN域。

缺省情况下,VAM Client不属于任何VPN域。

相关配置可参考命令vam client namedisplay vam client

【举例】

# 配置名为abc的VAM Client属于VPN域100。

<Sysname> system-view

[Sysname] vam client name abc

[Sysname-vam-client-name-abc] vpn 100

1.3  DVPN隧道配置命令

1.3.1  display dvpn session

【命令】

display dvpn session { all | interface interface-type interface-number [ private-ip ip-address ] }  [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1:监控级

【参数】

all:显示所有与该VAM Client相连的DVPN隧道连接。

interface interface-type interface-number:显示指定接口上的DVPN隧道。其中,interface-type interface-number为接口类型和编号,interface-type只支持Tunnel类型。

private-ip ip-address:指定对端VAM Client的私网IP地址。其中,ip-address表示VAM Client的私网IP地址。

|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI配置”。

begin:从包含指定正则表达式的行开始显示。

exclude:只显示不包含指定正则表达式的行。

include:只显示包含指定正则表达式的行。

regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。

【描述】

display dvpn session命令用来显示DVPN隧道连接表信息。

相关配置可参考命令reset dvpn session

【举例】

# 显示Tunnel0中的DVPN隧道信息。

<Sysname> display dvpn session interface tunnel 0

Interface: Tunnel VPN name: 1 Total number: 2

 

  Private IP:     10.0.0.21

  Public IP:      28.1.1.21

  Session type:    Hub-Spoke

  State:  SUCCESS

  Holding time: 0h 15m 33s

  Input:  277 packets,  66 data packets,  211 control packets

           58 multicasts,  0 errors

  Output: 279 packets,  103 data packets,  176 control packets

           93 multicasts,  0 errors

 

  Private IP:     10.0.0.22

  Public IP:      28.1.1.22

  Session type:    Hub-Spoke

  State:  SUCCESS

  Holding time: 0h 44m 9s

  Input:  279 packets,  100 data packets,  179 control packets

           91 multicasts,  0 errors

  Output: 273 packets,  99 data packets,  174 control packets

           91 multicasts,  0 errors

表1-5 display dvpn session命令显示信息描述表

字段

描述

Interface

DVPN隧道接口

VPN name

VPN域的名称

Total number

该隧道接口下建立的DVPN隧道总数

Private IP

DVPN session对端的私网地址

Public IP

DVPN session对端的公网地址

Session type

DVPN session的隧道类型

State

DVPN隧道状态(SUCCESS表示隧道连接成功,ESTABLISH表示正在建立中,DUMB表示建立失败后处于静默状态)

Holding time

当前隧道状态的持续时间

Input

接收的报文统计信息,包括包总个数(packets),数据报文个数(data packets),控制报文个数(control packets),组播报文个数(multicasts),错误报文个数(errors)

Output

发送的报文统计信息,包括包总个数(packets),数据报文个数(data packets),控制报文个数(control packets),组播报文个数(multicasts),错误报文个数(errors)

 

1.3.2  dvpn session dumb-time

【命令】

dvpn session dumb-time time-interval

undo dvpn session dumb-time

【视图】

Tunnel接口视图

【缺省级别】

2:系统级

【参数】

time-interval:DVPN隧道的静默时间,取值范围10~600,单位为秒。

【描述】

dvpn session dumb-time命令用来配置DVPN隧道静默状态的时间。undo dvpn session dumb-time命令用来恢复缺省情况。

缺省情况下,DVPN隧道的静默时间为120秒。

静默状态下,DVPN隧道处于休眠状态,无隧道连接。

相关配置可参考“三层技术-IP业务命令参考/隧道”中的命令interface tunneltunnel-protocol

【举例】

# 配置DVPN隧道的静默时间为100秒。

<Sysname> system-view

[Sysname] interface tunnel 0

[Sysname-Tunnel0] dvpn session dumb-time 100

1.3.3  dvpn session idle-time

【命令】

dvpn session idle-time time-interval

undo dvpn session idle-time

【视图】

Tunnel接口视图

【缺省级别】

2:系统级

【参数】

time-interval:Spoke-Spoke隧道空闲超时时间,取值范围为60~65535,单位为秒。

【描述】

dvpn session idle-time命令用于配置Spoke-Spoke类型DVPN隧道空闲超时时间,即在Spoke-Spoke隧道空闲超时时间内若没有数据传输,隧道就会被自动删除。undo dvpn session idle-time命令用于恢复缺省情况。

缺省情况下,Spoke-Spoke类型DVPN隧道空闲超时时间为600秒。

需要注意的是,VPN域中所有VAM Client的该配置必须相同。

相关配置可参考“三层技术-IP业务命令参考/隧道”中的命令interface tunneltunnel-protocol

【举例】

# 配置Spoke-Spoke类型DVPN隧道空闲超时时间为800秒。

<Sysname> system-view

[Sysname] interface tunnel 0

[Sysname-tunnel0] dvpn session idle-time 800

1.3.4  keepalive

【命令】

keepalive [ seconds [ times ] ]

undo keepalive

【视图】

Tunnel接口视图

【缺省级别】

2:系统级

【参数】

seconds:Keepalive报文发送周期,取值范围为1~32767。

times:Keepalive报文的最大发送次数,取值范围为1~255。

【描述】

keepalive命令用来配置DVPN的Keepalive报文发送周期及最大发送次数。undo keepalive命令用来恢复缺省情况。

缺省情况下,Keepalive报文发送周期为180秒、最大发送次数为3次。

如果Keepalive报文发送次数达到最大值时仍没有接收到对端的报文,则认为连接中断。

本命令配置之后,DVPN的Keepalive定时器并不立即启动,直到DVPN会话建立成功之后才启动。

相关配置可参考“三层技术-IP业务命令参考/隧道”中的命令interface tunnel

【举例】

# 配置DVPN的Keepalive的报文发送周期为20s、最大传送次数为5次。

<Sysname> system-view

[Sysname] interface tunnel 0

[Sysname-Tunnel0] keepalive 20 5

1.3.5  reset dvpn session

【命令】

reset dvpn session { all | interface interface-type interface-number [ private-ip ip-address ] }

【视图】

用户视图

【缺省级别】

2:系统级

【参数】

all:所有与该VAM Client相连的DVPN隧道连接。

interface interface-type interface-number:指定接口上的DVPN隧道。其中,interface-type interface-number为接口类型和编号,interface-type只支持Tunnel类型。

private-ip ip-address:指定对端Client的私网IP地址。其中,ip-address为Client的私网IP地址。

【描述】

reset dvpn session命令用来删除DVPN隧道连接信息,即删除与本地Client连接的DVPN隧道。

相关配置可参考命令display dvpn session

【举例】

# 在Spoke上删除Tunnel0中指定的对端私网地址为169.254.0.1的Spoke-Spoke隧道。

<Sysname> reset dvpn session interface tunnel 0 private-ip 169.254.0.1

1.3.6  tunnel vpn-instance

【命令】

tunnel vpn-instance vpn-instance-name

undo tunnel vpn-instance

【视图】

Tunnel接口视图

【缺省级别】

2:系统级

【参数】

vpn-instance-name:MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。

【描述】

tunnel vpn-instance命令用来配置隧道目的地址所属的VPN。undo tunnel vpn-instance命令用来恢复缺省情况。

缺省情况下,隧道目的地址属于公网,设备查找公网路由表转发隧道封装后的报文。

需要注意的是:

·     通过本命令指定隧道目的地址所属的VPN后,设备将查找指定VPN实例的路由表转发隧道封装后的报文。

·     在隧道的源接口上通过ip binding vpn-instance命令可以指定隧道源地址所属的VPN。隧道的源地址和目的地址必须属于相同的VPN。

相关配置可参考“MPLS命令参考/MPLS L3VPN”中的命令ip binding vpn-instance

【举例】

# 在接口Tunnel 0上配置隧道封装后的报文属于vpn10。

<Sysname> system-view

[Sysname] ip vpn-instance vpn10

[Sysname-vpn-instance-vpn10] route-distinguisher 1:1

[Sysname-vpn-instance-vpn10] vpn-target 1:1

[Sysname-vpn-instance-vpn10] quit

[Sysname] int gigabitethernet 3/0/1

[Sysname-GigabitEthernet3/0/1] ip binding vpn-instance vpn10

[Sysname-GigabitEthernet3/0/1] ip address 1.1.1.1 24

[Sysname-GigabitEthernet3/0/1] quit

[Sysname] interface tunnel 0

[Sysname-Tunnel0] tunnel-protocol dvpn udp

[Sysname-Tunnel0] source gigabitethernet 3/0/1

[Sysname-Tunnel0] tunnel vpn-instance vpn10

1.3.7  vam client

【命令】

vam client client-name

undo vam client

【视图】

Tunnel接口视图

【缺省级别】

2:系统级

【参数】

client-name:已存在的VAM Client名称,为1~31个字符的字符串,不区分大小写。

【描述】

vam client命令用来配置DVPN隧道接口引用的VAM Client。undo vam client命令用来取消该DVPN隧道引用的VAM Client。

缺省情况下,DVPN隧道接口没有引用任何VAM Client。

需要注意的是,一个DVPN隧道接口只能引用一个VAM Client。

相关配置可参考“三层技术-IP业务命令参考/隧道”中的命令interface tunneltunnel-protocol

【举例】

# 配置DVPN隧道接口引用VAM Client。

<Sysname> system-view

[Sysname] interface tunnel 0

[Sysname-Tunnel0] vam client abc

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!