18-SMA命令
本章节下载: 18-SMA命令 (115.54 KB)
目 录
1.1.1 display sma-anti-spoof ipv6 address-prefix
1.1.2 display sma-anti-spoof ipv6 packet-tag
1.1.3 sma-anti-spoof ipv6 enable
1.1.4 sma-anti-spoof ipv6 port-type
1.1.5 sma-anti-spoof ipv6 server
板卡 |
型号 |
说明 |
主控板 |
CRSE-X3 |
必配 |
线卡 |
CFIP-300/CFIP-310 |
必配 |
以太网接口卡 |
请参见《H3C SR6600-F路由器 接口模块手册》中的所有以太网接口卡 |
选配 |
display sma-anti-spoof ipv6 address-prefix命令用来显示所有AS的IPv6地址前缀信息。
display sma-anti-spoof ipv6 address-prefix
同一信任联盟内的ACS(AS Control Server,AS控制服务器)之间交互各AS的IPv6地址前缀。ACS将该信息发送给AER,使得AER获悉每个IPv6地址应该属于哪个AS。
AER将源自本AS的报文发送给其他联盟成员时,检查报文的源IPv6地址是否属于本AS。若是,则转发该报文;否则,丢弃该报文。这样,就可以保证源自本AS的报文未被篡改源IPv6地址。
# 显示所有AS的地址前缀信息。
<Sysname> display sma-anti-spoof ipv6 address-prefix
Alliance number: 1 AS number: 10
IPv6 prefix Effecting time
AA:AA::/64 May 1 14:12:49 2009
AA:AA::AA:AB/128 May 1 14:12:49 2009
Alliance number: 1 AS number: 11
IPv6 prefix Effecting time
BB:BB::/64 May 1 14:02:49 2009(i)
表1-1 display sma-anti-spoof ipv6 address-prefix命令显示信息描述表
IPv6前缀生效的起始时间,表示格式如:May 1 14:12:49 2009或May 1 14:02:49 2009(i),其中(i)表示立即生效 |
display sma-anti-spoof ipv6 packet-tag命令用来显示SMA的标签信息。
display sma-anti-spoof ipv6 packet-tag
AER发送源自本AS、目的为信任联盟内其他AS的报文时,将为报文添加对应的标签。目的AS的AER接收到报文后,检查报文中的标签是否正确。若正确,则转发该报文;否则将丢弃报文。AER通过检查标签避免源IPv6地址被篡改的报文进入本AS。
# 显示SMA的标签信息。
<Sysname> display sma-anti-spoof ipv6 packet-tag
Alliance number: 1
Source AS number: 10 Destination AS number: 11
State machine ID: 100 Tag: 0xABCD
Effecting time: May 1 14:12:49 2009(i) Transition interval: 10s
Source AS number: 11 Destination AS number: 10
State machine ID: 101 Tag: 0xCDEF
Effecting time: May 1 14:02:49 2009 Transition interval: 12s
表1-2 display sma-anti-spoof ipv6 packet-tag命令显示信息描述表
标签,0~128位的二进制数,以十六进制数的形式显示,如:0xABCD |
|
标签生效的起始时间,表示格式如:May 1 14:12:49 2009或May 1 14:02:49 2009(i),其中(i)表示立即生效 |
|
sma-anti-spoof ipv6 enable命令用来开启SMA功能。
undo sma-anti-spoof ipv6 enable命令用来关闭SMA功能。
undo sma-anti-spoof ipv6 enable
SMA功能处于关闭状态。
只有使能SMA功能后,SMA的相关配置才会生效。
# 开启SMA功能。
[Sysname] sma-anti-spoof ipv6 enable
sma-anti-spoof ipv6 port-type命令用来配置SMA的接口类型。
undo sma-anti-spoof ipv6 port-type命令用来恢复缺省情况。
sma-anti-spoof ipv6 port-type { ingress | egress }
undo sma-anti-spoof ipv6 port-type
未配置SMA接口类型,不对报文进行SMA处理。
ingress:设置SMA的接口类型为Ingress类型。
egress:设置SMA的接口类型为Egress类型。
在SMA组网环境中,为了正确地对报文进行分类,并完成标签的添加、检查以及报文转发,需要手动指定AER上的接口类型。
· Ingress接口:连接到本AS内部未使能SMA特性的路由器的接口。
· Egress接口:连接到其它AS内部AER的接口。
需要注意的是,仅当配置了sma-anti-spoof ipv6 enable命令后,该配置才会有效。
# 配置接口GigabitEthernet2/0/1的SMA接口类型为Ingress类型。
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] sma-anti-spoof ipv6 port-type ingress
sma-anti-spoof ipv6 server命令用来指定ACS的IPv6地址,并指定与ACS建立SSL连接时使用的SSL客户端策略。
undo sma-anti-spoof ipv6 server命令用来恢复缺省情况。
sma-anti-spoof ipv6 server ipv6-address ssl-client-policy policy-name
undo sma-anti-spoof ipv6 server
未指定ACS服务器的IPv6地址,未指定与ACS建立SSL连接时使用的SSL客户端策略。
ipv6-address:ACS服务器的IPv6地址。
ssl-client-policy policy-name:SSL客户端策略名称,为1~31个字符的字符串,不区分大小写。
配置此命令前需要先通过sma-anti-spoof ipv6 enable命令开启SMA功能。如果指定的SSL客户端策略不存在,则AER与ACS无法建立连接。
# 开启SMA功能。
[Sysname] sma-anti-spoof ipv6 enable
# 指定ACS的IPv6地址为1::1,并指定与ACS建立SSL连接时使用的SSL客户端策略为ssl。
[Sysname] sma-anti-spoof ipv6 server 1::1 ssl-client-policy ssl
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!