国家 / 地区

11-安全命令参考

18-SMA命令

本章节下载  (115.55 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR6600-X/Command/Command_Manual/H3C_SR6600_SR6600-X_CR-R7103P08-6W104/11/201705/993646_30005_0.htm

18-SMA命令


1 SMA

此特性在配置了如下型号板卡及固定以太网接口的路由器上支持:

板卡

型号

说明

主控板

RSE-X3

必配

线卡

FIP-240/FIP-300/FIP-310

必配

以太网接口卡

请参见《H3C SR6600_SR6600-X路由器 接口模块手册》中的所有以太网接口卡

选配

 

1.1  SMA配置命令

1.1.1  display sma-anti-spoof ipv6 address-prefix

display sma-anti-spoof ipv6 address-prefix命令用来显示所有AS的IPv6地址前缀信息。

【命令】

display sma-anti-spoof ipv6 address-prefix

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

同一信任联盟内的ACSAS Control ServerAS控制服务器)之间交互各ASIPv6地址前缀。ACS将该信息发送给AER,使得AER获悉每个IPv6地址应该属于哪个AS

AER将源自本AS的报文发送给其他联盟成员时,检查报文的源IPv6地址是否属于本AS。若是,则转发该报文;否则,丢弃该报文。这样,就可以保证源自本AS的报文未被篡改源IPv6地址。

【举例】

# 显示所有AS的地址前缀信息。

<Sysname> display sma-anti-spoof ipv6 address-prefix

Alliance number: 1                                AS number: 10

IPv6 prefix                                       Effecting time

AA:AA::/64                                        May 1 14:12:49 2009

AA:AA::AA:AB/128                                  May 1 14:12:49 2009

 

Alliance number: 1                                AS number: 11

IPv6 prefix                                       Effecting time

BB:BB::/64                                        May 1 14:02:49 2009(i)

 

表1-1 display sma-anti-spoof ipv6 address-prefix命令显示信息描述表

字段

描述

Alliance number

信任联盟号

AS number

自治系统号

IPv6 prefix

当前自治系统下的IPv6前缀

Effecting time

IPv6前缀生效的起始时间,表示格式如:May 1 14:12:49 2009或May 1 14:02:49 2009(i),其中(i)表示立即生效

 

1.1.2  display sma-anti-spoof ipv6 packet-tag

display sma-anti-spoof ipv6 packet-tag命令用来显示SMA的标签信息。

【命令】

display sma-anti-spoof ipv6 packet-tag

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【使用指导】

AER发送源自本AS、目的为信任联盟内其他AS的报文时,将为报文添加对应的标签。目的ASAER接收到报文后,检查报文中的标签是否正确。若正确,则转发该报文;否则将丢弃报文。AER通过检查标签避免源IPv6地址被篡改的报文进入本AS

【举例】

# 显示SMA的标签信息。

<Sysname> display sma-anti-spoof ipv6 packet-tag

Alliance number: 1

 

Source AS number: 10                         Destination AS number: 11

State machine ID: 100                        Tag: 0xABCD

Effecting time: May 1 14:12:49 2009(i)       Transition interval: 10s

 

Source AS number: 11                         Destination AS number: 10

State machine ID: 101                        Tag: 0xCDEF

Effecting time: May 1 14:02:49 2009          Transition interval: 12s

表1-2 display sma-anti-spoof ipv6 packet-tag命令显示信息描述表

字段

描述

Alliance number

信任联盟号

Source AS number

源自治系统号

Destination  AS number

目的自治系统号

State machine ID

状态机ID

Tag

标签,0~128位的二进制数,以十六进制数的形式显示,如:0xABCD

Effecting time

标签生效的起始时间,表示格式如:May 1 14:12:49 2009或May 1 14:02:49 2009(i),其中(i)表示立即生效

Transition interval

标签有效时间,单位为秒,超时后标签失效

 

1.1.3  sma-anti-spoof ipv6 enable

sma-anti-spoof ipv6 enable命令用来开启SMA功能。

undo sma-anti-spoof ipv6 enable命令用来关闭SMA功能。

【命令】

sma-anti-spoof ipv6 enable

undo sma-anti-spoof ipv6 enable

【缺省情况】

SMA功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

只有使能SMA功能后,SMA的相关配置才会生效。

【举例】

# 开启SMA功能。

<Sysname> system-view

[Sysname] sma-anti-spoof ipv6 enable

【相关命令】

·     sma-anti-spoof ipv6 server

1.1.4  sma-anti-spoof ipv6 port-type

sma-anti-spoof ipv6 port-type命令用来配置SMA的接口类型。

undo sma-anti-spoof ipv6 port-type命令用来恢复缺省情况。

【命令】

sma-anti-spoof ipv6 port-type { ingress | egress }

undo sma-anti-spoof ipv6 port-type

【缺省情况】

未配置SMA接口类型,不对报文进行SMA处理。

【视图】

三层接口视图

【缺省用户角色】

network-admin

network-operator

【参数】

ingress:设置SMA的接口类型为Ingress类型。

egress:设置SMA的接口类型为Egress类型。

【使用指导】

在SMA组网环境中,为了正确地对报文进行分类,并完成标签的添加、检查以及报文转发,需要手动指定AER上的接口类型。

·     Ingress接口:连接到本AS内部未使能SMA特性的路由器的接口。

·     Egress接口:连接到其它AS内部AER的接口。

需要注意的是,仅当配置了sma-anti-spoof ipv6 enable命令后,该配置才会有效。

【举例】

# 配置接口GigabitEthernet2/0/1的SMA接口类型为Ingress类型。

<Sysname> system-view

[Sysname] interface gigabitethernet 2/0/1

[Sysname-GigabitEthernet2/0/1] sma-anti-spoof ipv6 port-type ingress

【相关命令】

·     sma-anti-spoof ipv6 enable

1.1.5  sma-anti-spoof ipv6 server

sma-anti-spoof ipv6 server命令用来指定ACS的IPv6地址,并指定与ACS建立SSL连接时使用的SSL客户端策略。

undo sma-anti-spoof ipv6 server命令用来恢复缺省情况。

【命令】

sma-anti-spoof ipv6 server ipv6-address ssl-client-policy policy-name

undo sma-anti-spoof ipv6 server

【缺省情况】

未指定ACS服务器的IPv6地址,未指定与ACS建立SSL连接时使用的SSL客户端策略。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ipv6-address:ACS服务器的IPv6地址。

ssl-client-policy policy-name:SSL客户端策略名称,为1~31个字符的字符串,不区分大小写。

【使用指导】

配置此命令前需要先通过sma-anti-spoof ipv6 enable命令开启SMA功能。如果指定的SSL客户端策略不存在,则AER与ACS无法建立连接。

【举例】

# 开启SMA功能。

<Sysname> system-view

[Sysname] sma-anti-spoof ipv6 enable

# 指定ACS的IPv6地址为1::1,并指定与ACS建立SSL连接时使用的SSL客户端策略为ssl。

[Sysname] sma-anti-spoof ipv6 server 1::1 ssl-client-policy ssl

【相关命令】

·     sma-anti-spoof ipv6 enable

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们 联系我们
联系我们
回到顶部 回到顶部