RIP使用跳数来衡量到达目的地址的距离，跳数称为度量值。在RIP中，路由器到与它直接相连网络的跳数为0，通过一个路由器可达的网络的跳数为1，其余依此类推。为限制收敛时间，RIP规定度量值取0～15之间的整数，大于或等于16的跳数被定义为无穷大，即目的网络或主机不可达。由于这个限制，使得RIP不适合应用于大型网络。

为提高性能，防止产生路由环路，RIP支持水平分割（Split Horizon）和毒性逆转（Poison Reverse）功能。

2. RIP的路由数据库

每个运行RIP的路由器管理一个路由数据库，该路由数据库包含了到所有可达目的地的路由项，这些路由项包含下列信息：

· 目的地址：主机或网络的地址。

· 下一跳地址：为到达目的地，需要经过的相邻路由器的接口IP地址。

· 出接口：本路由器转发报文的出接口。

· 度量值：本路由器到达目的地的开销。

· 路由时间：从路由项最后一次被更新到现在所经过的时间，路由项每次被更新时，路由时间重置为0。

· 路由标记（Route Tag）：用于标识外部路由，在路由策略中可根据路由标记对路由信息进行灵活的控制。关于路由策略的详细信息，请参见“三层技术-IP路由配置指导”中的“路由策略”。

3. RIP定时器

RIP受四个定时器的控制，分别是Update、Timeout、Suppress和Garbage-Collect。

· Update定时器，定义了发送路由更新的时间间隔。

· Timeout定时器，定义了路由老化时间。如果在老化时间内没有收到关于某条路由的更新报文，则该条路由在路由表中的度量值将会被设置为16。

· Suppress定时器，定义了RIP路由处于抑制状态的时长。当一条路由的度量值变为16时，该路由将进入抑制状态。在被抑制状态，只有来自同一邻居且度量值小于16的路由更新才会被路由器接收，取代不可达路由。

· Garbage-Collect定时器，定义了一条路由从度量值变为16开始，直到它从路由表里被删除所经过的时间。在Garbage-Collect时间内，RIP以16作为度量值向外发送这条路由的更新，如果Garbage-Collect超时，该路由仍没有得到更新，则该路由将从路由表中被彻底删除。

4. 防止路由环路

RIP是一种基于D-V算法的路由协议，由于它向邻居通告的是自己的路由表，存在发生路由环路的可能性。

RIP通过以下机制来避免路由环路的产生：

· 计数到无穷（Counting to infinity）：将度量值等于16的路由定义为不可达（infinity）。在路由环路发生时，某条路由的度量值将会增加到16，该路由被认为不可达。

· 水平分割（Split Horizon）：RIP从某个接口学到的路由，不会从该接口再发回给邻居路由器。这样不但减少了带宽消耗，还可以防止路由环路。

· 毒性逆转（Poison Reverse）：RIP从某个接口学到路由后，将该路由的度量值设置为16（不可达），并从原接口发回邻居路由器。利用这种方式，可以清除对方路由表中的无用信息。

· 触发更新（Triggered Updates）：RIP通过触发更新来避免在多个路由器之间形成路由环路的可能，而且可以加速网络的收敛速度。一旦某条路由的度量值发生了变化，就立刻向邻居路由器发布更新报文，而不是等到更新周期的到来。

1.1.2 RIP的启动和运行过程

RIP启动和运行的整个过程可描述如下：

· 路由器启动RIP后，便会向相邻的路由器发送请求报文（Request message），相邻的RIP路由器收到请求报文后，响应该请求，回送包含本地路由表信息的响应报文（Response message）。

· 路由器收到响应报文后，更新本地路由表，同时向相邻路由器发送触发更新报文，通告路由更新信息。相邻路由器收到触发更新报文后，又向其各自的相邻路由器发送触发更新报文。在一连串的触发更新广播后，各路由器都能得到并保持最新的路由信息。

· 路由器周期性向相邻路由器发送本地路由表，运行RIP协议的相邻路由器在收到报文后，对本地路由进行维护，选择一条最佳路由，再向其各自相邻网络发送更新信息，使更新的路由最终能达到全局有效。同时，RIP采用老化机制对超时的路由进行老化处理，以保证路由的实时性和有效性。

1.1.3 RIP的版本

RIP有两个版本：RIP-1和RIP-2。

RIP-1是有类别路由协议（Classful Routing Protocol），它只支持以广播方式发布协议报文。RIP-1的协议报文无法携带掩码信息，它只能识别A、B、C类这样的自然网段的路由，因此RIP-1不支持不连续子网（Discontiguous Subnet）。

RIP-2是一种无类别路由协议（Classless Routing Protocol），与RIP-1相比，它有以下优势：

· 支持路由标记，在路由策略中可根据路由标记对路由进行灵活的控制。

· 报文中携带掩码信息，支持路由聚合和CIDR（Classless Inter-Domain Routing，无类域间路由）。

· 支持指定下一跳，在广播网上可以选择到最优下一跳地址。

· 支持组播路由发送更新报文，只有RIP-2路由器才能收到更新报文，减少资源消耗。

· 支持对协议报文进行验证，并提供简单验证和MD5验证两种方式，增强安全性。

RIP-2有两种报文传送方式：广播方式和组播方式，缺省将采用组播方式发送报文，使用的组播地址为224.0.0.9。当接口运行RIP-2广播方式时，也可接收RIP-1的报文。

1.1.4 RIP的报文格式

RIP报文由头部（Header）和多个路由表项（Route Entries）部分组成。在一个RIP报文中，最多可以有25个路由表项（如果是RIP-2的验证报文，由于第一个路由表项作为验证项，所以最多可以有24个路由表项）。

1. RIP-1的报文格式

RIP-1的报文格式如图1所示。

图1 RIP-1的报文格式

各字段的解释如下：

· Command：标识报文的类型。值为1时表示Request报文，向邻居请求全部或部分路由信息；值为2表示Response报文，发送全部或部分路由信息，1个Response报文中最多包含25个路由表项。

· Version：RIP的版本号。对于RIP-1来说其值为0x01。

· Must be zero：必须为0字段。

· AFI（Address Family Identifier）：地址族标识，其值为2时表示IP协议。

· IP address：该路由的目的IP地址，可以是自然网段地址、子网地址或主机地址。

· Metric：路由的度量值。

2. RIP-2的报文格式

RIP-2的报文格式与RIP-1类似，如图2所示。

图2 RIP-2的报文格式

其中，与RIP-1不同的字段有：

· Version：RIP的版本号。对于RIP-2来说其值为0x02。

· Route Tag：路由标记。

· IP address：该路由的目的IP地址，可以是自然网段地址、子网地址或主机地址。

· Subnet Mask：目的地址的掩码。

· Next Hop：如果为0.0.0.0，则表示发布此条路由信息的路由器地址就是最优下一跳地址，否则表示提供了一个比发布此条路由信息的路由器地址更优的下一跳地址。

3. RIP-2的验证报文格式

RIP-2为了支持报文验证，使用第一个路由表项（Route Entry）作为验证项，并将AFI字段的值设为0xFFFF标识报文携带认证信息，如图3所示。

图3 RIP-2的验证报文格式

各字段的解释如下：

· Authentication Type：验证类型。值为2时表示简单验证，值为3时表示MD5验证。

· Authentication：验证字。当使用简单验证时包含了密码信息；当使用MD5验证时包含了Key ID、MD5验证数据长度和序列号的信息。

· RFC 1723中只定义了简单验证方式，关于MD5验证的详细信息，请参见RFC 2453“RIP Version 2”。

· 当RIP的版本为RIP-1时，虽然在接口视图下仍然可以配置验证方式，但由于RIP-1不支持认证，因此该配置不会生效。

1.1.6 协议规范

与RIP相关的协议规范有：

· RFC 1058：Routing Information Protocol

· RFC 1723：RIP Version 2 - Carrying Additional Information

· RFC 1721：RIP Version 2 Protocol Analysis

· RFC 1722：RIP Version 2 Protocol Applicability Statement

· RFC 1724：RIP Version 2 MIB Extension

· RFC 2082：RIP-2 MD5 Authentication

· RFC 2453：RIP Version 2

1.2 RIP配置任务简介

表1 RIP配置任务简介

配置任务		说明	详细配置
配置RIP的基本功能		必选	1.3
配置RIP路由特性	配置接口附加度量值	可选	1.4.1
	配置RIP-2路由聚合	可选	1.4.2
	禁止RIP接收主机路由	可选	1.4.3
	配置RIP发布缺省路由	可选	1.4.4
	配置RIP对接收/发布的路由进行过滤	可选	1.4.5
	配置RIP协议优先级	可选	1.4.6
	配置RIP引入外部路由	可选	1.4.7
调整和优化RIP网络	配置RIP定时器	可选	1.5.1
	配置水平分割和毒性逆转	可选	1.5.2
	配置最大等价路由条数	可选	1.5.3
	配置RIP-1报文的零域检查	可选	1.5.4
	配置源地址检查	可选	1.5.5
	配置RIP-2报文的认证方式	可选	1.5.6
	配置RIP邻居	可选	1.5.7
	配置RIP和MIB绑定	可选	1.5.8
	配置RIP报文的发送速率	可选	1.5.9

1.3 配置RIP的基本功能

1.3.1 配置准备

在配置RIP的基本功能之前，需完成以下任务：

· 配置链路层协议

· 配置接口的网络层地址，使相邻节点的网络层可达

1.3.2 配置RIP的基本功能

1. 启动RIP，配置指定网段范围内的接口运行RIP

表2 启动RIP，配置指定的接口运行RIP

操作	命令	说明
进入系统视图	system-view	-
创建RIP进程并进入RIP视图	rip [ process-id ]	必选缺省情况下，RIP进程处于关闭状态
在指定网段接口上使能RIP	network network-address	必选缺省情况下，接口上的RIP功能处于关闭状态

· 如果在启动RIP前在接口视图下配置了RIP相关命令，这些配置只有在RIP启动后才会生效。

· RIP只在指定网段的接口上运行；对于不在指定网段上的接口，RIP既不在它上面接收和发送路由，也不将它的接口路由转发出去。因此，RIP启动后必须指定其工作网段。

· network 0.0.0.0命令用来在所有接口上使能RIP。

· RIP不支持将同一物理接口下的不同网段使能到不同的RIP进程中。

2. 配置接口的工作状态

用户可对接口的工作状态进行配置：

· 配置接口工作在抑制状态，即接口只接收路由更新报文而不发送路由更新报文

· 配置接口接收RIP报文

· 配置接口发送RIP报文

表3 配置接口的工作状态

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
配置接口工作在抑制状态	silent-interface { interface-type interface-number \| all }	可选缺省情况下，所有使能RIP的接口发送路由更新报文
退回系统视图	quit	-
进入接口视图	interface interface-type interface-number	-
允许接口接收RIP报文	rip input	可选缺省情况下，所有使能RIP的接口接收RIP报文
允许接口发送RIP报文	rip output	可选缺省情况下，所有使能RIP的接口发送RIP报文

3. 配置RIP版本

用户可以在RIP视图下配置RIP版本，也可在接口上配置RIP版本：

· 当全局和接口都没有进行RIP版本配置时，接口发送RIP-1广播报文，可以接收RIP-1广播/单播报文、RIP-2广播/组播/单播报文。

· 如果接口没有进行RIP版本配置，接口运行的RIP版本将以全局配置的版本为准，如果希望接口配置的RIP版本与全局配置的不一样，则进入接口视图配置接口运行的RIP版本。

· 当接口运行的RIP版本为RIP-1时，发送RIP-1广播报文，可以接收RIP-1广播/单播报文。

· 当接口运行的RIP版本为RIP-2且工作在组播方式时，发送RIP-2组播报文，可以接收RIP-2广播/组播/单播报文。

· 当接口运行的RIP版本为RIP-2且工作在广播方式时，发送RIP-2广播报文，可以接收RIP-1广播/单播报文、RIP-2广播/组播/单播报文。

表4 配置RIP版本号

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
配置全局RIP版本	version { 1 \| 2 }	可选缺省情况下，如果接口配置了RIP版本，以接口配置的为准，如果接口也没有配置，接口只能发送RIP-1广播报文，可以接收RIP-1广播/单播报文、RIP-2广播/组播/单播报文
退回系统视图	quit	-
进入接口视图	interface interface-type interface-number	-
配置接口运行的RIP版本	rip version { 1 \| 2 [ broadcast \| multicast ] }	可选缺省情况下，如果没有配置接口运行的RIP版本，接口运行的RIP版本以全局配置的为准；如果也没有进行全局RIP版本的配置，接口只能发送RIP-1广播报文，可以接收RIP-1广播/单播报文、RIP-2广播/组播/单播报文

1.4 配置RIP的路由信息控制

在实际应用中，有时候需要对RIP路由信息进行更为精确的控制以满足复杂网络环境的需要。

在配置之前，需完成以下任务：

· 配置接口的网络层地址，使相邻节点网络层可达

· 配置RIP基本功能

1.4.1 配置接口附加度量值

附加度量值是在RIP路由原来度量值的基础上所增加的度量值（跳数），包括发送附加度量值和接收附加度量值。发送附加度量值不会改变路由表中的路由度量值，仅当接口发送RIP路由信息时才会添加到发送路由上；接收附加度量值会影响接收到的路由度量值，接口接收到一条合法的RIP路由时，在将其加入路由表前会把度量值附加到该路由上，当附加度量值与原路由度量值之和大于16，该条路由的度量值取16。

表5 配置接口附加度量值

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置接口接收RIP路由时的附加度量值	rip metricin value	可选缺省情况下，接口接收RIP路由时的附加度量值为0
配置接口发送RIP路由时的附加度量值	rip metricout value	可选缺省情况下，接口发送RIP路由时的附加路由度量值为1

1.4.2 配置RIP-2路由聚合

路由聚合是指路由器把同一自然网段内的连续子网的路由聚合成一条路由向外发送，如路由表里有10.1.1.0/24、10.1.2.0/24、10.1.3.0/24三条路由，可以通过配置把它们聚合成一条路由10.1.0.0/16向外发送，这样邻居路由器只接收到一条路由10.1.0.0/16，从而减少了路由表的规模，以及网络上的传输流量。

在大型网络中，通过配置路由聚合，可以提高网络的可扩展性以及路由器的处理速度。

RIP-2将多条路由聚合成一条路由时，聚合路由的Metric值将取所有路由Metric的最小值。

在RIP-2中，有两种路由聚合方式：自动路由聚合和手工配置聚合路由。

1. 自动路由聚合

自动路由聚合是指RIP-2将同一自然网段内的不同子网的路由聚合成一条自然掩码的路由向外发送，例如，假设路由表里有10.1.1.0/24、10.1.2.0/24、10.1.3.0/24三条路由，使能RIP-2自动路由聚合功能后，这三条路由聚合成一条自然掩码的路由10.0.0.0/8向外发送。

表6 配置自动路由聚合

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
使能RIP-2自动路由聚合功能	summary	可选缺省情况下，RIP-2自动路由聚合功能处于使能状态如果路由表里的路由子网不连续，则需要取消自动路由聚合功能，使得RIP-2能够向外发布子网路由和主机路由

2. 手工配置聚合路由

用户可在指定接口配置RIP-2发布一条聚合路由。

聚合路由的目的地址和掩码进行与运算到一个网络地址，RIP-2将对落入该网段内的路由进行聚合，接口只发布聚合后的路由。

例如，假设路由表里有10.1.1.0/24、10.1.2.0/24、10.1.3.0/24三条子网连续的路由，在接口Vlan-interface11配置发布一条聚合路由10.1.0.0/16后，这三条路由聚合成一条路由10.1.0.0/16向外发送。

缺省情况下，RIP-2的路由将按照自然掩码自动聚合，如果用户在指定接口配置发布一条聚合路由，则必须先关闭自动聚合功能。

表7 手工配置聚合路由

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
关闭RIP-2自动路由聚合功能	undo summary	必选缺省情况下，RIP-2自动路由聚合功能处于使能状态
退至系统视图	quit	-
进入接口视图	interface interface-type interface-number	-
配置发布一条聚合路由	rip summary-address ip-address { mask \| mask-length }	必选

1.4.3 禁止RIP接收主机路由

在某些特殊情况下，路由器会收到大量来自同一网段的主机路由。这些路由对于路由寻址没有多少作用，却占用了大量的资源，此时可配置RIP禁止接收主机路由，以节省网络资源。

表8 禁止RIP接收主机路由

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
禁止RIP接收主机路由	undo host-route	必选缺省情况下，允许RIP接收主机路由

禁止接收主机路由仅对RIPv2有效，对RIPv1无效。

1.4.4 配置RIP发布缺省路由

用户可以配置RIP以指定度量值向邻居发布一条缺省路由。

· 用户可以在RIP视图下配置RIP进程的所有接口向邻居发布缺省路由，也可以在接口下配置指定RIP接口向邻居发布缺省路由。

· 如果接口没有进行发布缺省路由的相关配置，则以RIP进程下的配置为准，否则将以接口配置为准。

· 如果RIP进程配置了发布缺省路由，但希望该进程下的某个接口不发送缺省路由（只发布普通路由），可以通过在接口下配置rip default-route no-originate命令实现。

表9 配置RIP发布缺省路由

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
配置RIP发布缺省路由	default-route { only \| originate } [ cost cost ]	可选缺省情况下，RIP不向邻居发送缺省路由
退回系统视图	quit	-
进入接口视图	interface interface-type interface-number	-
配置RIP接口发布缺省路由	rip default-route { { only \| originate } [ cost cost ] \| no-originate }	可选缺省情况下，RIP接口是否发布缺省路由以RIP进程配置为准

配置发布缺省路由的RIP路由器不接收来自RIP邻居的缺省路由。

1.4.5 配置RIP对接收/发布的路由进行过滤

路由器提供路由信息过滤功能，通过指定访问控制列表和地址前缀列表，可以配置入口或出口过滤策略，对接收和发布的路由进行过滤。在接收路由时，还可以指定只接收来自某个邻居的RIP报文。

表10 配置RIP对接收/发布的路由进行过滤

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
对接收的路由信息进行过滤	filter-policy acl-number import [ interface-type interface-number ]	必选缺省情况下，RIP不对接收的路由信息进行过滤
对发布的路由信息进行过滤	filter-policy acl-number export [ protocol [ process-id ] \| interface-type interface-number ]	必选缺省情况下，RIP不对发布的路由信息进行过滤

· filter-policy import命令对从邻居收到的RIP路由进行过滤，没有通过过滤的路由将不被加入路由表，也不向邻居发布该路由。

· filter-policy export命令对本机所有路由的发布进行过滤，包括使用import-route引入的路由和从邻居学到的RIP路由。

1.4.6 配置RIP协议优先级

在路由器中可能会运行多个IGP路由协议，如果想让RIP路由具有比从其它路由协议学来的路由更高的优先级，需要配置小的优先级值。优先级的高低将最后决定IP路由表中的路由是通过哪种路由算法获取的最佳路由。

表11 配置RIP协议优先级

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
配置RIP路由的优先级	preference value	可选缺省情况下，RIP路由的优先级为100

1.4.7 配置RIP引入外部路由

如果在路由器上不仅运行RIP，还运行着其它路由协议，可以配置RIP引入其它协议生成的路由，如静态路由或者直连路由。

表12 配置RIP引入外部路由

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
配置引入路由的缺省度量值	default cost value	可选缺省情况下，引入路由的缺省度量值为0
引入外部路由	import-route protocol [ process-id \| all-processes ] [ cost cost \| tag tag ] *	必选缺省情况下，RIP不引入其它路由

只能引入路由表中状态为active的路由，是否为active状态可以通过display ip routing-table protocol命令来查看。

1.5 调整和优化RIP网络

在某些特殊的网络环境中，需要对RIP网络的性能进行调整和优化，在调整和优化RIP网络之前，需完成以下任务：

· 配置接口的网络层地址，使相邻节点网络层可达

· 配置RIP基本功能

1.5.1 配置RIP定时器

通过调整RIP定时器可以改变RIP网络的收敛速度。

表13 配置RIP定时器

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
配置RIP定时器的值	timers { garbage-collect garbage-collect-value \| suppress suppress-value \| timeout timeout-value \| update update-value } *	可选缺省情况下： · Update定时器的值为30秒 · Timeout定时器的值为180秒 · Suppress定时器的值为120秒 · Garbage-collect定时器的值为120秒

在配置RIP定时器时需要注意，定时器值的调整应考虑网络的性能，并在所有运行RIP的路由器上进行统一配置，以免增加不必要的网络流量或引起网络路由震荡。

1.5.2 配置水平分割和毒性逆转

如果同时配置了水平分割和毒性逆转，则只有毒性逆转功能生效。

通过配置水平分割或毒性逆转功能可以防止路由环路。

1. 配置水平分割

配置水平分割可以使得从一个接口学到的路由不能通过此接口向外发布，用于避免相邻路由器间的路由环路。

表14 配置水平分割

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
使能水平分割功能	rip split-horizon	可选缺省情况下，水平分割功能处于使能状态

2. 配置毒性逆转

配置毒性逆转后，从一个接口学到的路由还可以从这个接口向外发布，但这些路由的度量值会设置为16（即不可达），可以用于避免相邻路由器间的路由环路。

表15 配置毒性逆转

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
使能毒性逆转功能	rip poison-reverse	必选缺省情况下，毒性逆转功能处于关闭状态

1.5.3 配置最大等价路由条数

通过配置最大等价路由跳数，可以使用多条等价路由对RIP网络进行负载分担。

表16 配置最大等价路由条数

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
配置RIP最大等价路由条数	maximum load-balancing number	可选缺省值为4

1.5.4 配置RIP-1报文的零域检查

RIP-1报文中的有些字段必须为零，称之为零域。用户可配置RIP-1在接收报文时对零域进行检查，零域值不为零的RIP-1报文将不被处理。如果用户能确保所有报文都是可信任的，则可以不进行该项检查，以节省CPU处理时间。

由于RIP-2的报文没有零域，此项配置对RIP-2无效。

表17 配置RIP-1报文的零域检查

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
使能RIP-1报文的零域检查功能	checkzero	可选缺省情况下，RIP-1报文的零域检查功能处于使能状态

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
使能对接收到的RIP路由更新报文进行源IP地址检查功能	validate-source-address	可选缺省情况下，对接收到的RIP路由更新报文进行源IP地址检查功能处于使能状态

1.5.6 配置RIP-2报文的认证方式

在安全性要求较高的网络环境中，可以通过配置报文的认证方式来对RIP-2报文进行有效性检查和验证。

RIP-2支持两种认证方式：简单认证和MD5认证。

表19 配置RIP-2报文的认证方式

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置RIP-2报文的认证方式	rip authentication-mode { md5 { rfc2082 [ cipher ] key-string key-id \| rfc2453 [ cipher ] key-string } \| simple [ cipher ] password }	必选

当RIP的版本为RIP-1时，虽然在接口视图下仍然可以配置验证方式，但由于RIP-1不支持认证，因此该配置不会生效。

1.5.7 配置 RIP邻居

通常情况下，RIP使用广播或组播地址发送报文，如果在不支持广播或组播报文的链路上运行RIP，则必须手工指定RIP的邻居。

表20 配置RIP邻居

操作	命令	说明
进入系统视图	system-view	-
进入RIP视图	rip [ process-id ]	-
配置RIP邻居	peer ip-address	必选
取消对接收到的RIP路由更新报文进行源IP地址检查操作	undo validate-source-address	必选缺省情况下，对接收到的RIP路由更新报文进行源IP地址检查

· 当RIP邻居与当前设备直连时不推荐使用peer ip-address命令，因为这样可能会造成对端同时收到同一路由信息的组播（或广播）和单播两种形式的报文。

· 当指定的邻居和本地路由器非直接连接，则必须取消对更新报文的源地址进行检查。

1.5.8 配置RIP和MIB绑定

通过将MIB操作绑定在指定的RIP进程上，可以让指定的RIP进程接收SNMP请求。

表21 配置RIP和MIB绑定

操作	命令	说明
进入系统视图	system-view	-
配置RIP和MIB绑定	rip mib-binding process-id	可选缺省情况下，MIB操作绑定在RIP进程1上

操作

命令

说明

进入系统视图

system-view

配置RIP和MIB绑定

rip mib-binding process-id

可选

缺省情况下，MIB操作绑定在RIP进程1上

1.5.9 配置RIP报文的发送速率

RIP周期性地将路由信息放在RIP报文中向邻居发送。

如果路由表里的路由条目数量很多，同时发送大量RIP协议报文有可能会对当前设备和网络带宽带来冲击；因此，路由器将RIP协议报文分为多个批次进行发送，并且对RIP接口每次允许发送的RIP协议报文最大个数做出限制。

用户可根据需要配置接口发送RIP报文的时间间隔以及接口一次发送RIP报文的最大个数。

表22 配置RIP报文的发送速率

操作	命令	说明
进入系统视图	system-view	-
启动RIP并进入RIP视图	rip [ process-id ]	-
配置RIP报文的发送速率	output-delay time count count	可选缺省情况下，接口发送RIP报文的时间间隔为20毫秒，一次最多发送3个RIP报文

1.6 RIP显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后RIP的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以重启RIP进程或清除指定RIP进程的统计信息。

表23 RIP显示和维护

操作	命令
显示RIP的当前运行状态及配置信息	display rip [ process-id ] [ \| { begin \| exclude \| include } regular-expression ]
显示RIP发布数据库的所有激活路由	display rip process-id database [ \| { begin \| exclude \| include } regular-expression ]
显示RIP的接口信息	display rip process-id interface [ interface-type interface-number ] [ \| { begin \| exclude \| include } regular-expression ]
显示指定RIP进程的路由信息	display rip process-id route [ ip-address { mask \| mask-length } \| peer ip-address \| statistics ] [ \| { begin \| exclude \| include } regular-expression ]
重启RIP进程	reset rip process-id process
清除指定RIP进程的统计信息	reset rip process-id statistics

1.7 RIP典型配置举例

1.7.1 配置RIP的版本

1. 组网需求

如图4所示，要求在Switch A和Switch B的所有接口上使能RIP，并使用RIP-2进行网络互连。

2. 组网图

图4 配置RIP的版本

3. 配置步骤

(1) 配置各接口的IP地址（略）

(2) 配置RIP基本功能

# 配置Switch A。

[SwitchA] rip

[SwitchA-rip-1] network 192.168.1.0

[SwitchA-rip-1] network 172.16.0.0

[SwitchA-rip-1] network 172.17.0.0

[SwitchA-rip-1] quit

# 配置Switch B。

[SwitchB] rip

[SwitchB-rip-1] network 192.168.1.0

[SwitchB-rip-1] network 10.0.0.0

[SwitchB-rip-1] quit

# 查看Switch A的RIP路由表。

[SwitchA] display rip 1 route

Route Flags: R - RIP, T - TRIP

P - Permanent, A - Aging, S - Suppressed, G - Garbage-collect

----------------------------------------------------------------------------

Peer 192.168.1.2 on Vlan-interface100

Destination/Mask Nexthop Cost Tag Flags Sec

10.0.0.0/8 192.168.1.2 1 0 RA 11

从路由表中可以看出，RIP-1发布的路由信息使用的是自然掩码。

(3) 配置RIP的版本

# 在Switch A上配置RIP-2。

[SwitchA] rip

[SwitchA-rip-1] version 2

[SwitchA-rip-1] undo summary

[SwitchA-rip-1] quit

# 在Switch B上配置RIP-2。

[SwitchB] rip

[SwitchB-rip-1] version 2

[SwitchB-rip-1] undo summary

# 查看Switch A的RIP路由表。

[SwitchA] display rip 1 route

Route Flags: R - RIP, T - TRIP

P - Permanent, A - Aging, S - Suppressed, G - Garbage-collect

----------------------------------------------------------------------------

Peer 192.168.1.2 on Vlan-interface100

Destination/Mask Nexthop Cost Tag Flags Sec

10.0.0.0/8 192.168.1.2 1 0 RA 50

10.2.1.0/24 192.168.1.2 1 0 RA 16

10.1.1.0/24 192.168.1.2 1 0 RA 16

从路由表中可以看出，RIP-2发布的路由中带有更为精确的子网掩码信息。

由于RIP路由信息的老化时间较长，所以在配置RIP-2版本后的一段时间里，路由表中可能还会存在RIP-1的路由信息。

1.7.2 配置RIP引入外部路由

1. 组网需求

· Switch B上运行两个RIP进程：RIP 100和RIP 200。Switch B通过RIP 100和Switch A交换路由信息，通过RIP 200和Switch C交换路由信息。

· 在Switch B上配置RIP进程200引入外部路由，引入直连路由和RIP进程100的路由，使得Switch C能够学习到达10.2.1.0/24和11.1.1.0/24的路由，但Switch A不能学习到达12.3.1.0/24和16.4.1.0/24的路由。

· 在Switch B配置过滤策略，对引入的RIP 100的一条路由（10.2.1.1/24）进行过滤，使其不发布给Switch C。

2. 组网图

图5 配置RIP引入外部路由组网图

3. 配置步骤

(1) 配置各接口的IP地址（略）

(2) 配置RIP基本功能

# 在Switch A上启动RIP进程100，并配置RIP版本号为2。

<SwitchA> system-view

[SwitchA] rip 100

[SwitchA-rip-100] network 10.0.0.0

[SwitchA-rip-100] network 11.0.0.0

[SwitchA-rip-100] version 2

[SwitchA-rip-100] undo summary

[SwitchA-rip-100] quit

# 在Switch B上启动两个RIP进程，进程号分别为100和200，并配置RIP版本号为2。

<SwitchB> system-view

[SwitchB] rip 100

[SwitchB-rip-100] network 11.0.0.0

[SwitchB-rip-100] version 2

[SwitchB-rip-100] undo summary

[SwitchB-rip-100] quit

[SwitchB] rip 200

[SwitchB-rip-200] network 12.0.0.0

[SwitchB-rip-200] version 2

[SwitchB-rip-200] undo summary

[SwitchB-rip-200] quit

# 在Switch C上启动RIP进程200，并配置RIP版本号为2。

<SwitchC> system-view

[SwitchC] rip 200

[SwitchC-rip-200] network 12.0.0.0

[SwitchC-rip-200] network 16.0.0.0

[SwitchC-rip-200] version 2

[SwitchC-rip-200] undo summary

[SwitchC-rip-200] quit

# 查看Switch C的路由表信息。

[SwitchC] display ip routing-table

Routing Tables: Public

Destinations : 6 Routes : 6

Destination/Mask Proto Pre Cost NextHop Interface

12.3.1.0/24 Direct 0 0 12.3.1.2 Vlan200

12.3.1.2/32 Direct 0 0 127.0.0.1 InLoop0

16.4.1.0/24 Direct 0 0 16.4.1.1 Vlan400

16.4.1.1/32 Direct 0 0 127.0.0.1 InLoop0

127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0

127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0

(3) 配置RIP引入外部路由

# 在Switch B配置RIP进程200引入外部路由，引入直连路由和RIP进程100的路由。

[SwitchB] rip 200

[SwitchB-rip-200] import-route rip 100

[SwitchB-rip-200] import-route direct

[SwitchB-rip-200] quit

# 查看路由引入后Switch C的路由表信息。

[SwitchC] display ip routing-table

Routing Tables: Public

Destinations : 8 Routes : 8

Destination/Mask Proto Pre Cost NextHop Interface

10.2.1.0/24 RIP 100 1 12.3.1.1 Vlan200

11.1.1.0/24 RIP 100 1 12.3.1.1 Vlan200

12.3.1.0/24 Direct 0 0 12.3.1.2 Vlan200

12.3.1.2/32 Direct 0 0 127.0.0.1 InLoop0

16.4.1.0/24 Direct 0 0 16.4.1.1 Vlan400

16.4.1.1/32 Direct 0 0 127.0.0.1 InLoop0

127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0

127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0

(4) 配置RIP对引入的路由进行过滤

# 在Switch B上配置ACL，并对引入的RIP进程100的路由进行过滤，使其不发布给Switch C。

[SwitchB] acl number 2000

[SwitchB-acl-basic-2000] rule deny source 10.2.1.1 0.0.0.255

[SwitchB-acl-basic-2000] rule permit

[SwitchB-acl-basic-2000] quit

[SwitchB] rip 200

[SwitchB-rip-200] filter-policy 2000 export rip 100

# 查看过滤后Switch C的路由表。

[SwitchC] display ip routing-table

Routing Tables: Public

Destinations : 7 Routes : 7

Destination/Mask Proto Pre Cost NextHop Interface

11.1.1.0/24 RIP 100 1 12.3.1.1 Vlan200

12.3.1.0/24 Direct 0 0 12.3.1.2 Vlan200

12.3.1.2/32 Direct 0 0 127.0.0.1 InLoop0

16.4.1.0/24 Direct 0 0 16.4.1.1 Vlan400

16.4.1.1/32 Direct 0 0 127.0.0.1 InLoop0

127.0.0.0/8 Direct 0 0 127.0.0.1 InLoop0

127.0.0.1/32 Direct 0 0 127.0.0.1 InLoop0

1.7.3 配置RIP接口附加度量值

1. 组网需求

· 在Switch A、Switch B、Switch C、Switch D和Switch E的所有接口上使能RIP，并使用RIP-2进行网络互连。

· Switch A有两条链路可以到达Switch D，其中，通过Switch B到达Switch D的链路比通过Switch C到达Switch D的链路更加稳定。通过在Switch A的Vlan-interface200上配置接口接收RIP路由的附加度量值，使得Switch A优选从Switch B学到的1.1.5.0/24网段的路由。

2. 组网图

图6 配置RIP接口附加度量值

3. 配置步骤

(1) 配置各接口的地址（略）

(2) 配置RIP基本功能

# 配置Switch A。

<SwitchA> system-view

[SwitchA] rip 1

[SwitchA-rip-1] network 1.0.0.0

[SwitchA-rip-1] version 2

[SwitchA-rip-1] undo summary

[SwitchA-rip-1] quit

# 配置Switch B。

<SwitchB> system-view

[SwitchB] rip 1

[SwitchB-rip-1] network 1.0.0.0

[SwitchB-rip-1] version 2

[SwitchB-rip-1] undo summary

# 配置Switch C。

<SwitchC> system-view

[SwitchB] rip 1

[SwitchC-rip-1] network 1.0.0.0

[SwitchC-rip-1] version 2

[SwitchC-rip-1] undo summary

# 配置Switch D。

<SwitchD> system-view

[SwitchD] rip 1

[SwitchD-rip-1] network 1.0.0.0

[SwitchD-rip-1] version 2

[SwitchD-rip-1] undo summary

# 配置Switch E。

<SwitchE> system-view

[SwitchE] rip 1

[SwitchE-rip-1] network 1.0.0.0

[SwitchE-rip-1] version 2

[SwitchE-rip-1] undo summary

# 查看Switch A的IP路由表。

[SwitchA] display rip 1 database

1.0.0.0/8, cost 0, ClassfulSumm

1.1.1.0/24, cost 0, nexthop 1.1.1.1, Rip-interface

1.1.2.0/24, cost 0, nexthop 1.1.2.1, Rip-interface

1.1.3.0/24, cost 1, nexthop 1.1.1.2

1.1.4.0/24, cost 1, nexthop 1.1.2.2

1.1.5.0/24, cost 2, nexthop 1.1.1.2

1.1.5.0/24, cost 2, nexthop 1.1.2.2

可以看到，到达网段1.1.5.0/24有两条RIP路由，下一跳分别是Switch B（IP地址为1.1.1.2）和Switch C（IP地址为1.1.2.2），cost值都是2；到达网段1.1.4.0/24的下一跳是Switch B，cost为1。

(3) 配置RIP接口附加度量值

# 在Switch A上配置接口Vlan-interface200的接口附加度量值为3。

[SwitchA] interface vlan-interface 200

[SwitchA-Vlan-interface200] rip metricin 3

[SwitchA-Vlan-interface200] display rip 1 database

1.0.0.0/8, cost 0, ClassfulSumm

1.1.1.0/24, cost 0, nexthop 1.1.1.1, Rip-interface

1.1.2.0/24, cost 0, nexthop 1.1.2.1, Rip-interface

1.1.3.0/24, cost 1, nexthop 1.1.1.2

1.1.4.0/24, cost 2, nexthop 1.1.1.2

1.1.5.0/24, cost 2, nexthop 1.1.1.2

可以看到，到达网段1.1.5.0/24的RIP路由仅有一条，下一跳是Switch B（IP地址为1.1.1.2），cost值为2。

1.8 常见配置错误举例

1.8.1 收不到邻居的RIP更新报文

1. 故障现象

在链路正常的情况下收不到邻居的RIP更新报文。

2. 故障分析

RIP启动后，必须使用network命令使能相应的接口。如果对接口的工作状态单独进行了配置，应确认没有抑制相关接口或禁止其收发RIP报文。

如果在对端路由器上配置的是组播方式发送RIP报文，在本地路由器上也应该配置为组播方式。

3. 故障排除

(1) 执行display current-configuration命令，检查RIP的配置。

(2) 执行display rip命令，检查是否抑制了相关RIP接口。

1.8.2 RIP网络发生路由振荡

1. 故障现象

在链路正常的情况下，运行RIP的网络发生路由振荡，查看路由表时发现部分路由时有时无。

2. 故障分析

在RIP网络中，应确保全网定时器的配置一致，且各定时器之间的关系合理，如Timeout定时器的值应大于Update定时器的值。

3. 故障排除

(1) 使用display rip命令查看RIP定时器的配置。

(2) 使用timers将全网的定时器配置一致。

1.9 RIP配置命令

1.9.1 checkzero

【命令】

checkzero

undo checkzero

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

无

【描述】

checkzero命令用来使能RIP-1报文的零域检查功能。undo checkzero命令用来关闭零域检查功能。

缺省情况下，RIP-1报文的零域检查功能处于使能状态。

使能零域检查功能后，零域中包含非零位的RIP-1报文将被拒绝处理。如果用户能确保所有报文都是可信任的，则可以不进行该项检查，以节省CPU处理时间。

【举例】

# 关闭进程号为100的RIP进程对RIP-1报文的零域检查功能。

<Sysname> system-view

[Sysname] rip 100

[Sysname-rip-100] undo checkzero

1.9.2 default cost (RIP view)

【命令】

default cost value

undo default cost

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

value：引入路由的缺省度量值，取值范围为0～16。

【描述】

default cost命令用来配置引入路由的缺省度量值。undo default cost命令用来恢复缺省情况。

缺省情况下，引入路由的缺省度量值为0。

当使用import-route命令从其它协议引入路由时，如果不指定具体的度量值，则引入路由的度量值为default cost所指定的值。

相关配置可参考命令import-route。

【举例】

# 配置从其它路由协议引入路由的缺省度量值为3。

<Sysname> system-view

[Sysanme] rip 100

[Sysname-rip-100] default cost 3

1.9.3 default-route

【命令】

default-route { only | originate } [ cost cost ]

undo default-route

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

only：配置只发送缺省路由，不发送普通路由。

originate：配置既发送普通路由，又发送缺省路由。

cost：缺省路由的度量值，取值范围为1～15，缺省值为1。

【描述】

default-route命令用来配置RIP进程下的所有接口以指定度量值向RIP邻居发布一条缺省路由。undo default-route命令用来取消配置RIP进程下的所有接口向RIP邻居发布缺省路由。

缺省情况下，不向RIP邻居发送缺省路由。

配置发布缺省路由的RIP路由器不接收来自RIP邻居的缺省路由。

相关配置可参考命令rip default-route。

【举例】

# 配置RIP进程100的所有接口向RIP邻居发布一条度量值为2的缺省路由，而且只发送缺省路由，不发送普通路由。

<Sysname> system-view

[Sysname] rip 100

[Sysname-rip-100] default-route only cost 2

1.9.4 display rip

【命令】

display rip [ process-id ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

process-id：RIP进程号，取值范围为1～65535。如果未指定本参数，则显示所有已配置的RIP进程的信息。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display rip命令用来显示指定RIP进程的当前运行状态及配置信息。

【举例】

# 显示所有已配置的RIP进程的当前运行状态及配置信息。

<Sysname> display rip

RIP process : 1

RIP version : 1

Preference : 100

Checkzero : Enabled

Default-cost : 0

Summary : Enabled

Hostroutes : Enabled

Maximum number of balanced paths : 8

Update time : 30 sec(s) Timeout time : 180 sec(s)

Suppress time : 120 sec(s) Garbage-collect time : 120 sec(s)

update output delay : 20(ms) output count : 3

TRIP retransmit time : 5 sec(s)

TRIP response packets retransmit count : 36

Silent interfaces : None

Default routes : Only Default route cost : 3

Verify-source : Enabled

Networks :

192.168.1.0

Configured peers : None

Triggered updates sent : 0

Number of routes changes : 0

Number of replies to queries : 0

表24 display rip命令显示信息描述表

字段	描述
RIP process	RIP进程号
RIP version	RIP版本
Preference	RIP路由优先级
Checkzero	是否使能对RIP-1报文的零域进行检查的功能，Enable表示已使能，Disabled表示关闭
Default-cost	引入路由的缺省度量值
Summary	路由聚合功能是否使能，Enable表示已使能，Disabled表示关闭
Hostroutes	是否允许接收主机路由，Enable表示允许，Disabled表示不允许
Maximum number of balanced paths	等价路由的最大数目
Update time	Update定时器的值，单位为秒
Timeout time	Timeout定时器的值，单位为秒
Suppress time	Suppress定时器的值，单位为秒
update output delay	接口发送RIP报文的时间间隔
output count	接口一次发送RIP报文的最大个数
Garbage-collect time	Garbage-Collect定时器的值，单位为秒
TRIP retransmit time	TRIP重传Update Request、Update Response报文的时间间隔
TRIP response packets retransmit count	TRIP中Update Request、Update Response报文的最大重传次数
Silent interfaces	抑制接口数（这些接口不发送周期更新报文）
Default routes	是否向RIP邻居发布一条缺省路由 · 取值为Only表示只发布缺省路由 · 取值为Originate表示同时发布缺省路由和普通路由 · 取值为Disabled表示不发布缺省路由
Default route cost	RIP进程下配置发布缺省路由的cost值
Verify-source	是否使能对接收到的RIP路由更新报文进行源IP地址检查的功能，Enable表示已使能，Disabled表示关闭
Networks	使能RIP的网段地址
Configured peers	配置的邻居
Triggered updates sent	发送的触发更新报文数
Number of routes changes	RIP进程改变路由数据库的统计数据
Number of replies to queries	RIP请求的响应报文数

1.9.5 display rip database

【命令】

display rip process-id database [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

process-id：RIP进程号，取值范围为1～65535。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display rip database命令用来显示指定RIP进程发布数据库的所有激活路由。这些路由以常规RIP更新报文的形式发送。

【举例】

# 显示进程号为100的RIP进程发布数据库中的激活路由。

<Sysname> display rip 100 database

10.0.0.0/8, cost 1, ClassfulSumm

10.0.0.0/24, cost 1, nexthop 10.0.0.1, Rip-interface

11.0.0.0/8, cost 1, ClassfulSumm

11.0.0.0/24, cost 1, nexthop 10.0.0.1, Imported

表25 display rip database命令显示信息描述表

字段	描述
X.X.X.X/X	目的地址以及掩码
cost	度量值
ClassfulSumm	表示该条路由是RIP的聚合路由
nexthop	下一跳地址
Rip-interface	从使能RIP协议的接口学来的路由
Imported	表示该条路由是从其它路由协议引入的

1.9.6 display rip interface

【命令】

display rip process-id interface [ interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

process-id：RIP进程号，取值范围为1～65535。

interface-type interface-number：接口类型和编号。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display rip interface命令用来显示指定RIP进程的接口信息。

如果没有指定interface-type interface-number，则显示指定RIP进程的所有接口信息，否则只显示指定接口的接口信息。

【举例】

# 显示进程号为1的RIP进程的接口信息。

<Sysname> display rip 1 interface

Interface-name: Vlan-interface11

Address/Mask:1.1.1.1/24 Version:RIPv1

MetricIn:5 MetricIn route policy:123

MetricOut:5 MetricOut route policy:234

Split-horizon/Poison-reverse:on/off Input/Output:on/on

Default route:off

Current packets number/Maximum packets number:234/2000

表26 display rip interface命令显示信息描述表

字段	描述
Interface-name	运行RIP协议的接口的名称
Address/Mask	运行RIP协议的接口的IP地址/掩码
Version	接口上运行的RIP协议的版本
MetricIn	接收路由的附加度量值
MetricIn route policy	接收路由的附加度量值应用的路由策略，取值为Not designated表示没有对接收路由的附加度量值使用路由策略，如果对接收路由的附加度量值使用了路由策略，取值为使用的路由策略名称
MetricOut	发送路由的附加度量值
MetricOut route policy	发送路由的附加度量值应用的路由策略，取值为Not designated表示没有对发送路由的附加度量值使用路由策略，如果对发送路由的附加度量值使用了路由策略，取值为使用的路由策略名称
Split-horizon	是否使能了水平分割（on表示使能，off表示关闭）
Poison-reverse	是否使能了毒性逆转（on表示使能，off表示关闭）
Input/Output	是否允许接口接收（Input）/发送（Output）RIP报文（on表示允许，off表示不允许）
Default route	是否允许向RIP邻居发送缺省路由（on表示允许，off表示不允许）
Current packets number/Maximum packets number	显示当前逻辑接口待发送的报文数量和最多可以发送的报文数量

1.9.7 display rip route

【命令】

display rip process-id route [ ip-address { mask | mask-length } | peer ip-address | statistics ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

process-id：RIP进程号，取值范围为1～65535。

ip-address { mask | mask-length }：显示目的地址及掩码分别是ip-address { mask | mask-length }的路由信息。

peer ip-address：显示从指定邻居学到的所有路由信息。

statistics：显示路由的统计信息。路由的统计信息包括路由总数目，各个邻居的路由数目。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display rip route命令用来显示指定RIP进程的路由信息，以及与每条路由相关的定时器的值。

【举例】

# 显示进程号为1的RIP进程所有的路由信息。

<Sysname> display rip 1 route

Route Flags: R - RIP, T - TRIP

P - Permanent, A - Aging, S - Suppressed, G - Garbage-collect

----------------------------------------------------------------------------

Peer 111.1.1.2 on Vlan-interface11

Destination/Mask Nexthop Cost Tag Flags Sec

122.0.0.0/8 111.1.1.2 1 0 RA 22

表27 display rip route命令显示信息描述表

字段	描述
Route Flags	路由标志： R——RIP生成的路由 T——TRIP（触发RIP）生成的路由 P——该路由永不过期 A——该路由处于老化时期 S——该路由处于抑制时期 G——该路由处于Garbage-collect时期
Peer 21.0.0.23 on Vlan-interface11	在RIP接口上从指定邻居学到的路由信息
Destination/Mask	目的IP地址/掩码
NextHop	路由的下一跳地址
Cost	度量值
Tag	路由标记
Flags	路由信息所处状态
Sec	路由信息所处状态对应的定时器时间

# 显示进程号为1的RIP进程的路由统计信息。

<Sysname> display rip 1 route statistics

Peer Aging Permanent Garbage

111.1.1.2 1 0 0

Total 1 0 0

表28 display rip route statistics命令显示信息描述表

字段	描述
Peer	RIP邻居IP地址
Aging	从指定邻居学习到的路由信息中处于老化状态的路由的条数
Permanent	从指定邻居学习到的路由信息中处于永久保存状态的路由的条数
Garbage	从指定邻居学习到的路由信息中处于Garbage-collection状态的路由的条数
Total	从所有RIP邻居学习到的路由条数的总和

1.9.8 filter-policy export (RIP view)

【命令】

filter-policy acl-number export [ protocol [ process-id ] | interface-type interface-number ]

undo filter-policy export [ protocol [ process-id ] | interface-type interface-number ]

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

acl-number：用于过滤发布的路由信息的访问控制列表号，取值范围为2000～3999。

protocol：被过滤路由信息的路由协议，目前可选择direct、rip和static。

process-id：被过滤路由信息的路由协议的进程号，取值范围为1～65535。仅当路由协议为rip时需要指定进程号。

interface-type interface-number：接口类型和编号。

【描述】

filter-policy export命令用来配置RIP对发布的路由信息进行过滤。undo filter-policy export命令用来取消对发布路由信息的过滤。

缺省情况下，RIP不对发布的路由信息进行过滤。

需要注意的是：

· 如果指定protocol参数，则只对从指定路由协议引入的路由信息进行过滤；否则将对所有要发布的路由信息进行过滤。

· 如果指定interface-type interface-number参数，则只对从指定接口发布的路由信息进行过滤；否则将对所有RIP接口发布的路由信息进行过滤。

· 当配置的是高级ACL（3000～3999）时，ACL中的规则需要使用命令rule [ rule-id ] { deny | permit } ip source sour-addr sour-wildcard来过滤指定目的地址的路由；使用命令rule [ rule-id ] { deny | permit } ip source sour-addr sour-wildcard destination dest-addr dest-wildcard来过滤指定目的地址和掩码的路由，其中source用来过滤路由目的地址，destination用来过滤路由掩码，配置的掩码应该是连续的（当配置的掩码不连续时该过滤掩码的条件不生效）。

相关配置可参考命令import-route以及“ACL和QoS命令参考/ACL”中的命令acl。

【举例】

# 配置按照访问列表ACL 2000来过滤发布的路由信息。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule deny source 192.168.10.0 0.0.0.255

[Sysname-acl-basic-2000] quit

[Sysname] rip 1

[Sysname-rip-1] filter-policy 2000 export

# 使用编号为3000的ACL对发布的路由进行过滤，只允许113.0.0.0/16通过。

<Sysname> system-view

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule 10 permit ip source 113.0.0.0 0 destination 255.255.0.0 0

[Sysname-acl-adv-3000] rule 100 deny ip

[Sysname-acl-adv-3000] quit

[Sysname] rip 1

[Sysname-rip 1] filter-policy 3000 export

1.9.9 filter-policy import (RIP view)

【命令】

filter-policy acl-number import [ interface-type interface-number ]

undo filter-policy import [ interface-type interface-number ]

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

acl-number：用于过滤接收的路由信息的访问控制列表号，取值范围为2000～3999。

interface-type interface-number：接口类型和编号。

【描述】

filter-policy import命令用来配置RIP对接收的路由信息进行过滤。undo filter-policy import命令用来恢复缺省情况。

缺省情况下，RIP不对接收的路由信息进行过滤。

需要注意的是，当配置的是高级ACL（3000～3999）时，ACL中的规则需要使用命令rule [ rule-id ] { deny | permit } ip source sour-addr sour-wildcard来过滤指定目的地址的路由；使用命令rule [ rule-id ] { deny | permit } ip source sour-addr sour-wildcard destination dest-addr dest-wildcard来过滤指定目的地址和掩码的路由，其中source用来过滤路由目的地址，destination用来过滤路由掩码，配置的掩码应该是连续的（当配置的掩码不连续时该过滤掩码的条件不生效）。

相关配置可参考“ACL和QoS命令参考/ACL”中的命令acl。

【举例】

# 配置按照访问列表ACL 2000来过滤接收的路由信息。

<Sysname> system-view

[Sysname] acl number 2000

[Sysname-acl-basic-2000] rule deny source 192.168.10.0 0.0.0.255

[Sysname-acl-basic-2000] quit

[Sysname] rip 1

[Sysname-rip-1] filter-policy 2000 import

# 使用编号为3000的ACL对接收的路由进行过滤，只允许113.0.0.0/16通过。

<Sysname> system-view

[Sysname] acl number 3000

[Sysname-acl-adv-3000] rule 10 permit ip source 113.0.0.0 0 destination 255.255.0.0 0

[Sysname-acl-adv-3000] rule 100 deny ip

[Sysname-acl-adv-3000] quit

[Sysname] rip 1

[Sysname-rip-1] filter-policy 3000 import

1.9.10 host-route

【命令】

host-route

undo host-route

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

无

【描述】

host-route命令用来允许RIP接收主机路由。undo host-route命令用来禁止RIP接收主机路由。

缺省情况下，允许RIP接收主机路由。

在某些特殊情况下，路由器会收到大量来自同一网段的主机路由。这些路由对于路由寻址没有多少作用，却占用了大量的资源；此时可以使用undo host-route命令禁止接收主机路由，以节省网络资源。

该命令仅对RIPv2有效，对RIPv1无效。

【举例】

# 禁止RIP接收主机路由。

<Sysname> system-view

[Sysname] rip 1

[Sysname-rip-1] undo host-route

1.9.11 import-route (RIP view)

【命令】

import-route protocol [ process-id | all-processes ] [ cost cost | tag tag ] *

undo import-route protocol [ process-id | all-processes ]

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

protocol：指定引入的路由协议，可以是direct、rip或static。

process-id：路由协议进程号，取值范围为1～65535，缺省值为1。只有当protocol是rip时该参数可选。

all-processes：引入指定路由协议所有进程的路由，只有当protocol是rip时可以指定该参数。

cost：所要引入路由的度量值，取值范围为0～16。如果没有指定度量值，则使用default cost命令设置的缺省度量值。

tag：所要引入路由的标记值，取值范围为0～65535，缺省值为0。

【描述】

import-route命令用来从其它路由协议引入路由。undo import-route命令用来取消引入外部路由信息。

缺省情况下，RIP不引入其它路由。

相关配置可参考命令default cost。

· 只能引入路由表中状态为active的路由，是否为active状态可以通过display ip routing-table protocol命令来查看。

· undo import-route protocol all-processes命令只能取消import-route protocol all-processes命令的配置，不能取消import-route protocol process-id命令的配置。

【举例】

# 引入静态路由，并将其度量值设置为4。

<Sysname> system-view

[Sysname] rip 1

[Sysname-rip-1] import-route static cost 4

# 配置引入路由的缺省度量值为3。

[Sysname-rip-1] default cost 3

1.9.12 maximum load-balancing (RIP view)

【命令】

maximum load-balancing number

undo maximum load-balancing

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

number：等价路由的最大条数。取值范围为1~4。

【描述】

maximum load-balancing命令用来配置RIP最大等价路由条数。undo maximum load-balancing命令用来恢复缺省情况。

缺省情况下，RIP最大等价路由条数为4。

【举例】

# 配置RIP最大等价路由条数为2。

<Sysname> system-view

[Sysname] rip

[Sysname-rip-1] maximum load-balancing 2

1.9.13 network

【命令】

network network-address

undo network network-address

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

network-address：指定网段的地址，其取值可以为各个接口的IP网络地址。

【描述】

network命令用来在指定网段接口上使能RIP。undo network命令用来对指定网段接口禁用RIP。

缺省情况下，接口上的RIP功能处于关闭状态。

需要注意的是：

· RIP只在指定网段的接口上运行，对于不在指定网段上的接口，RIP既不在它上面接收和发送路由，也不将它的接口路由转发出去。因此，RIP启动后必须指定其工作网段。

· 在单进程情况下，可以使用network 0.0.0.0命令在所有接口上使能RIP；在多进程情况下，无法使用network 0.0.0.0命令。

· RIP不支持将同一物理接口下的不同网段使能到不同的RIP进程中。

【举例】

# 在网络地址为129.102.0.0的接口上使能RIP 100。

<Sysname> system-view

[Sysname] rip 100

[Sysname-rip-100] network 129.102.0.0

1.9.14 output-delay

【命令】

output-delay time count count

undo output-delay

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

time：接口发送RIP报文的时间间隔，取值范围为10～100，单位为毫秒。

count：接口一次发送RIP报文的最大个数，取值范围为1～20。

【描述】

output-delay用来配置RIP报文的发送速率。undo output-delay命令用来恢复缺省情况。

缺省情况下，接口发送RIP报文的时间间隔为20毫秒，一次最多发送3个RIP报文。

【举例】

# 配置RIP进程1的所有接口发送RIP报文的时间间隔为30毫秒，一次最多发送10个RIP报文。

<Sysname> system-view

[Sysname] rip 1

[Sysname-rip-1] output-delay 30 count 10

1.9.15 peer

【命令】

peer ip-address

undo peer ip-address

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

ip-address：配置的RIP邻居IP地址，用点分十进制格式表示。

【描述】

peer命令用来配置NBMA（Non-Broadcast Multi-Access，非广播多路访问）网络中RIP邻居的IP地址，并使更新报文以单播形式发送到对端，而不采用正常的组播或广播的形式。undo peer命令用来取消指定邻居IP地址。

缺省情况下，RIP不向任何定点地址发送更新报文。

需要注意的是，当RIP邻居与当前设备直连时不推荐使用该命令，因为这样可能会造成对端同时收到同一路由信息的组播（或广播）和单播两种形式的报文。

【举例】

# 配置RIP的定点发送地址202.38.165.1。

<Sysname> system-view

[Sysname] rip 1

[Sysname-rip-1] peer 202.38.165.1

1.9.16 preference

【命令】

preference value

undo preference

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

value：RIP路由优先级的值，取值范围为1～255，取值越小，优先级越高。

【描述】

preference命令用来配置RIP路由的优先级。undo preference命令用来恢复缺省情况。

缺省情况下，RIP路由的优先级为100。

【举例】

# 配置RIP路由的优先级为120。

<Sysname> system-view

[Sysname] rip 1

[Sysname-rip-1] preference 120

1.9.17 reset rip process

【命令】

reset rip process-id process

【视图】

用户视图

【缺省级别】

2：系统级

【参数】

process-id：RIP进程号，取值范围为1～65535。

【描述】

reset rip process命令用来重启指定RIP进程。

执行该命令后，系统提示用户确认是否重启RIP协议。

【举例】

# 重启进程号为100的RIP进程。

<Sysname> reset rip 100 process

Warning : Reset RIP process? [Y/N]:Y

1.9.18 reset rip statistics

【命令】

reset rip process-id statistics

【视图】

用户视图

【缺省级别】

1：监控级

【参数】

process-id：RIP进程号，取值范围为1～65535。

【描述】

reset rip statistics命令用来清除指定RIP进程的统计信息。该命令便于在调试时重新记录统计数据。

【举例】

# 清除进程号为100的RIP进程的统计信息。

<Sysname> reset rip 100 statistics

1.9.19 rip

【命令】

rip [ process-id ]

undo rip [ process-id ]

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

process-id：RIP进程号，取值范围为1～65535，缺省值为1。

【描述】

rip命令用来创建RIP进程并进入RIP视图。undo rip命令用来关闭RIP进程。

缺省情况下，RIP进程处于关闭状态。

需要注意的是：

· 必须先创建RIP进程，才能配置RIP的各种全局性参数，而配置与接口相关的参数时，可以不受这个限制。

· 停止运行RIP进程后，原来配置的接口参数也同时失效。

【举例】

# 创建RIP进程并进入其视图。

<Sysname> system-view

[Sysname] rip

[Sysname-rip-1]

1.9.20 rip authentication-mode

【命令】

rip authentication-mode { md5 { rfc2082 [ cipher ] key-string key-id | rfc2453 [ cipher ] key-string } | simple [ cipher ] password }

undo rip authentication-mode

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

md5：MD5验证方式。

rfc2082：指定MD5验证报文使用RFC 2082规定的报文格式。

cipher：密文验证字或密码类型，配置cipher后必须输入密文形式的验证字或密码。如果未指定本参数，则表示输入明文形式的验证字或密码。

key-string：MD5验证字，区分大小写。如果以明文形式键入，为1～16个字符的字符串；如果以密文形式键入，则为33～53个字符的字符串。

key-id：MD5验证标识符，取值范围为1～255。

rfc2453：指定MD5验证报文使用RFC 2453规定的报文格式（IETF标准）。

simple：简单验证方式。

password：简单验证方式下的密码，区分大小写。如果以明文形式键入，则为1～16个字符的字符串；如果以密文形式键入，则为33～53个字符的字符串。

【描述】

rip authentication-mode命令用来配置RIP-2的验证方式及验证参数。undo rip authentication-mode命令用来取消所有验证。

需要注意的是：

· 每次验证只支持一个验证字或密码，新输入的验证字或密码将覆盖旧验证字或密码。

· 以明文或密文方式设置的验证字或密码，均以密文的方式保存在配置文件中。

相关配置可参考命令rip version。

当RIP的版本为RIP-1时，虽然在接口视图下仍然可以配置验证方式，但由于RIP-1不支持认证，因此该配置不会生效。

【举例】

# 在接口Vlan-interface10上配置RFC 2453格式的MD5明文验证，验证字为rose。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] rip version 2

[Sysname-Vlan-interface10] rip authentication-mode md5 rfc2453 rose

1.9.21 rip default-route

【命令】

rip default-route { { only | originate } [ cost cost ] | no-originate }

undo rip default-route

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

only：配置只发送缺省路由，不发送普通路由。

originate：配置既发送普通路由，又发送缺省路由。

cost：缺省路由的度量值，取值范围为1～15，缺省值为1。

no-originate：配置只发送普通路由，不发布缺省路由。

【描述】

rip default-route命令用来配置RIP接口以指定度量值向RIP邻居发布一条缺省路由。undo rip default-route命令用来取消配置RIP接口向RIP邻居发布缺省路由。

缺省情况下，RIP接口是否发布缺省路由以RIP进程配置为准。

配置发布缺省路由的RIP路由器不接收来自RIP邻居的缺省路由。

相关配置可参考命令default-route。

【举例】

# 指定接口Vlan-interface10以指定度量值2向RIP邻居发布一条缺省路由，而且只发送缺省路由，不发送普通路由。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] rip default-route only cost 2

1.9.22 rip input

【命令】

rip input

undo rip input

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

无

【描述】

rip input命令用来允许接口接收RIP报文。undo rip input命令用来禁止接口接收RIP报文。

缺省情况下，允许接口接收RIP报文。

【举例】

# 指定接口Vlan-interface10不接收RIP报文。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] undo rip input

1.9.23 rip metricin

【命令】

rip metricin value

undo rip metricin

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

value：接收附加度量值，取值范围为0～16。

【描述】

rip metricin命令用来配置接口接收RIP路由时的附加度量值。undo rip metricin命令用来恢复缺省情况。

缺省情况下，接口接收RIP路由时的附加度量值为0。

当接口收到一条合法的RIP路由，在将其加入路由表前，附加度量值会被加到该路由上。因此，增加接口的接收附加度量值，该接口收到的RIP路由的度量值也会相应增加，当附加度量值与原路由度量值之和大于16，该条路由的度量值取16。

【举例】

# 对接口Vlan-interface10接收的RIP路由附加度量值进行设置。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] rip metricin 2

1.9.24 rip metricout

【命令】

rip metricout value

undo rip metricout

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

value：发送附加度量值，取值范围为1～16。

【描述】

rip metricout命令用来配置接口发送RIP路由时的附加度量值。undo rip metricout命令用来恢复缺省情况。

缺省情况下，接口发送RIP路由时的附加度量值为1。

当发布一条RIP路由时，附加度量值会在发布该路由之前附加在这条路由上。因此，增加一个接口的发送附加度量值，该接口发送的RIP路由的度量值也会相应增加。

【举例】

# 对接口Vlan-interface10发送RIP路由的附加度量值进行设置。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] rip metricout 2

1.9.25 rip mib-binding

【命令】

rip mib-binding process-id

undo rip mib-binding

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

process-id：RIP进程号，取值范围为1～65535。

【描述】

rip mib-binding命令用来将MIB操作绑定在指定的RIP进程上，指定RIP进程来接收SNMP请求。undo rip mib-binding命令用来恢复缺省情况。

缺省情况下，MIB操作绑定在RIP进程1上，即通过RIP进程1来接收SNMP请求。

【举例】

# 指定RIP进程100接收SNMP请求。

<Sysname> system-view

[Sysname] rip mib-binding 100

# 恢复RIP缺省的MIB绑定。

[Sysname] undo rip mib-binding

1.9.26 rip output

【命令】

rip output

undo rip output

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

无

【描述】

rip output命令用来允许接口发送RIP报文。undo rip output命令用来禁止接口发送RIP报文。

缺省情况下，允许接口发送RIP报文。

【举例】

# 禁止接口Vlan-interface10发送RIP报文。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] undo rip output

1.9.27 rip poison-reverse

【命令】

rip poison-reverse

undo rip poison-reverse

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

无

【描述】

rip poison-reverse命令用来使能毒性逆转功能。undo rip poison-reverse命令用来关闭毒性逆转功能。

缺省情况下，毒性逆转功能处于关闭状态。

【举例】

# 在接口Vlan-interface10上配置对RIP更新报文进行毒性逆转。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] rip poison-reverse

1.9.28 rip split-horizon

【命令】

rip split-horizon

undo rip split-horizon

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

无

【描述】

rip split-horizon命令用来使能水平分割功能。undo rip split-horizon命令用来关闭水平分割功能。

缺省情况下，水平分割功能处于使能状态。

需要注意的是：通常情况下，为了防止路由环路的出现，水平分割是必要的，因此，建议不要关闭水平分割。当因为特殊需要，如为保证协议的正确执行，需要关闭水平分割时，请一定要确认是否必要。

如果同时使能了水平分割和毒性逆转，则只有毒性逆转功能生效。

【举例】

# 在接口Vlan-interface10上配置水平分割。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] rip split-horizon

1.9.29 rip summary-address

【命令】

rip summary-address ip-address { mask | mask-length }

undo rip summary-address ip-address { mask | mask-length }

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

ip-address：聚合路由的目的IP地址。

mask：聚合路由的网络掩码，点分十进制格式。

mask-length：聚合路由的网络掩码长度，取值范围为0-32。

【描述】

rip summary-address命令用来配置发布一条聚合路由。undo rip summary-address命令用来取消该配置。

需要注意的是，该功能仅在自动路由聚合功能被关闭时才能生效。

相关配置请参考命令summary。

【举例】

# 配置RIP在接口Vlan-interface10发布一个聚合本地IP地址。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] rip summary-address 10.0.0.0 255.255.255.0

1.9.30 rip version

【命令】

rip version { 1 | 2 [ broadcast | multicast ] }

undo rip version

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

1：接口运行RIP协议的版本为RIP-1。

2：接口运行RIP协议的版本为RIP-2。

broadcast：RIP-2报文的发送方式为广播方式。

multicast：RIP-2报文的发送方式为组播方式。

【描述】

rip version命令用来配置接口运行的RIP版本。undo rip version命令用来取消配置接口运行的RIP版本。

缺省情况下，如果没有配置接口运行的RIP版本，接口运行的RIP版本以全局配置的为准；如果也没有进行全局RIP版本的配置，接口只能发送RIP-1广播报文，可以接收RIP-1广播/单播报文、RIP-2广播/组播/单播报文。

如果用户指定接口运行的RIP版本为RIP-2而又未指定RIP-2报文的发送方式时，RIP-2报文将以组播方式发送。

当接口运行的RIP版本为RIP-1时：

· 发送RIP-1广播报文

· 接收RIP-1广播/单播报文

当接口运行在RIP-2广播方式时：

· 发送RIP-2广播报文

· 接收RIP-1广播/单播报文、RIP-2广播/组播/单播报文

当接口运行在RIP-2组播方式时：

· 发送RIP-2组播报文

· 接收RIP-2广播/组播/单播报文

【举例】

# 将接口Vlan-interface10配置成RIP-2的广播模式。

<Sysname> system-view

[Sysname] interface vlan-interface 10

[Sysname-Vlan-interface10] rip version 2 broadcast

1.9.31 silent-interface (RIP view)

【命令】

silent-interface { interface-type interface-number | all }

undo silent-interface { interface-type interface-number | all }

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

interface-type interface-number：接口类型和编号。

all：抑制所有接口。

【描述】

silent-interface命令用来配置接口工作在抑制状态，即接口只接收路由更新报文而不发送路由更新报文。undo silent-interface命令用来恢复缺省情况。

缺省情况下，允许所有接口发送路由更新报文。

【举例】

# 将所有接口设置为抑制状态，随后激活指定接口Vlan-interface10。

<Sysname> system-view

[Sysname] rip 100

[Sysname-rip-100] silent-interface all

[Sysname-rip-100] undo silent-interface vlan-interface 10

[Sysname-rip-100] network 131.108.0.0

1.9.32 summary

【命令】

summary

undo summary

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

无

【描述】

summary命令用来使能RIP-2自动路由聚合功能，聚合后的路由以使用自然掩码的路由形式发布，减小了路由表的规模。undo summary命令用来关闭自动路由聚合功能，以便将所有子网路由广播出去。

缺省情况下，RIP-2自动路由聚合功能处于使能状态。

使能RIP-2自动路由聚合功能可以减小路由表规模，提高大型网络的可扩展性和效率。

相关配置可参考命令rip version。

【举例】

# 关闭RIP-2自动路由聚合功能。

<Sysname> system-view

[Sysname] rip

[Sysname-rip-1] undo summary

1.9.33 timers

【命令】

timers { garbage-collect garbage-collect-value | suppress suppress-value | timeout timeout-value | update update-value } *

undo timers { garbage-collect | suppress | timeout | update } *

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

garbage-collect-value：Garbage-collect定时器的值，取值范围为1～3600，单位为秒。

suppress-value：Suppress定时器的值，取值范围为0～3600，单位为秒。

timeout-value：Timeout定时器的值，取值范围为1～3600，单位为秒。该值最少应为更新时间的3倍。

update-value：Update定时器的值，取值范围为1～3600，单位为秒。

【描述】

timers命令用来配置RIP各个定时器的值，可通过调节RIP定时器来调整路由协议的性能，以满足网络需要。undo timers命令用来恢复缺省情况。

缺省情况下，Garbage-collect定时器的值为120秒，Suppress定时器的值为120秒，Timeout定时器的值为180秒，Update定时器的值为30秒。

RIP受四个定时器的控制，分别是Update、Timeout、Suppress和Garbage-Collect，其中：

· Update定时器，定义了发送更新报文的时间间隔。

· Timeout定时器，定义了路由老化时间。如果在老化时间内没有收到关于某条路由的更新报文，则该条路由在路由表中的度量值将会被设置为16。

· Suppress定时器，定义了RIP路由处于抑制状态的时间段长度。当一条路由的度量值变为16时，该路由将进入被抑制状态。在被抑制状态，只有来自同一邻居，且度量值小于16的路由更新才会被路由器接收，取代不可达路由。

需要注意的是：

· 通常情况下，无需改变各定时器的缺省值，该命令须谨慎使用。

· 各个定时器的值在网络中所有的路由器上必须保持一致。

【举例】

# 分别设置RIP各定时器的值：其中，Update定时器的值为5秒、Timeout定时器的值为15秒、Suppress定时器的值为15秒、Garbage-Collect定时器的值为30秒。

<Sysname> system-view

[Sysname] rip 100

[Sysname-rip-100] timers update 5 timeout 15 suppress 15 garbage-collect 30

1.9.34 validate-source-address

【命令】

validate-source-address

undo validate-source-address

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

无

【描述】

validate-source-address命令用来使能对接收到的RIP路由更新报文进行源IP地址检查的功能。undo validate-source-address命令用来关闭该项功能。

缺省情况下，对接收到的RIP路由更新报文进行源IP地址检查的功能处于使能状态。

在正常环境下，建议不要关闭该特性。

【举例】

# 关闭对接收到的RIP路由更新报文进行源IP地址检查的功能。

<Sysname> system-view

[Sysname-rip] rip 100

[Sysname-rip-100] undo validate-source-address

1.9.35 version

【命令】

version { 1 | 2 }

undo version

【视图】

RIP视图

【缺省级别】

2：系统级

【参数】

1：指定为RIP-1版本。

2：指定为RIP-2版本，RIP-2报文的发送方式为组播方式。

【描述】

version命令用来配置全局RIP版本。undo version命令用来取消配置RIP全局版本。

缺省情况下，如果接口配置了RIP版本，以接口配置的为准，如果接口也没有配置，接口只能发送RIP-1广播报文，可以接收RIP-1广播/单播报文、RIP-2广播/组播/单播报文。

需要注意的是：

· 如果接口上配置了RIP版本，以接口配置的为准。

· 如果接口没有配置RIP版本，将全局RIP版本配置为1时，接口运行的RIP版本为RIP-1，发送RIP-1广播报文，可以接收RIP-1广播/单播报文。

· 如果接口没有配置RIP版本，将全局RIP版本配置为2时，接口运行的RIP版本为RIP-2且工作在组播方式，发送RIP-2组播报文，可以接收RIP-2广播/组播/单播。

【举例】

# 指定全局RIP版本为RIP-2。

<Sysname> system-view

[Sysname] rip 100

[Sysname-rip-100] version 2

R1518P07版本

本版本特性变更情况如下：

· 新增特性—支持MAC地址认证用户在计费报文中携带用户IP地址功能

1 新增特性—支持MAC地址认证用户在计费报文中携带用户IP地址功能

为支持动态申请IP地址的MAC地址认证用户在计费报文中携带IP地址功能，需要同时配置设备MAC地址认证功能和DHCP Snooping功能。

开启该功能后，在MAC地址认证用户通过DHCP服务器动态获得IP地址的组网中，用户认证通过后，向DHCP服务器发送DHCP请求报文，设备收到DHCP服务器回应的应答报文后生成DHCP Snooping表项。

MAC地址认证功能模块通过DHCP Snooping表项获取到用户的IP地址，从而实现发送实时计费报文给RADUIS服务器中携带用户IP地址的功能。

R1518P03版本

本版本无新增、变更或删除的特性。

R1518P02版本

本版本特性变更情况如下：

· 新增特性—NTP支持IPv6功能

1 新增特性—NTP支持IPv6功能

1.1 NTP支持IPv6功能配置

设备支持在IPv6网络中配置NTP功能。

1.2 NTP支持IPv6功能配置命令

1.2.1 display ntp-service ipv6 sessions

【命令】

display ntp-service ipv6 sessions [ verbose ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

verbose：显示IPv6 NTP服务维护的所有会话的详细信息。如果不指定该参数，则只显示所有会话的简要信息。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ntp-service ipv6 sessions命令用来显示IPv6 NTP服务维护的所有会话信息。

【举例】

# 显示IPv6 NTP服务维护的所有会话的简要信息。

<Sysname> display ntp-service ipv6 sessions

Notes: 1 source(master), 2 source(peer), 3 selected, 4 candidate, 5 configured.

Source: [125]3000::32

Reference: 127.127.1.0 Clock stratum: 2

Reachabilities: 1 Poll interval: 64

Last receive time: 6 Offset: -0.0

Roundtrip delay: 0.0 Dispersion: 0.0

Total sessions: 1

表1 display ntp-service ipv6 sessions命令显示信息描述表

字段	描述
[12345]	1：系统选中的时间服务器，即当前与设备进行时间同步的时间服务器 2：该时间服务器的时钟层数小于等于15 3：该时间服务器的时钟通过了时钟选择算法 4：该时间服务器的时钟为候选的时钟 5：该时间服务器是通过配置命令指定的
Source	时间服务器的IPv6地址。若该字段显示为::，表示时间服务器的IPv6地址尚未解析成功
Reference	时间服务器的参考时钟ID 当参考时钟为本地时钟时，本字段的显示情况和Clock stratum字段的取值有关： · 当Clock stratum字段为0或1时，本字段显示为Local · 当Clock stratum字段为其他值时，本字段显示为IPv6地址前32位的MD5摘要值，摘要信息按照点分十进制形式显示当参考时钟为网络中其他设备的时钟时，本字段显示为IPv6地址前32位的MD5摘要值，摘要信息按照点分十进制形式显示。若该字段显示为INIT，表示本地设备还未与时间服务器建立连接
Clock stratum	时间服务器的时钟层数时钟层数决定了时钟的准确度，取值范围为1～16，层数取值越小，时钟的准确度最高，层数为16的时钟处于未同步状态
Reachabilities	时间服务器的可达性计数，0表示时间服务器不可达
Poll interval	轮询间隔，即两个连续NTP报文之间的时间间隔，单位为秒
Last receive time	最近一次接收到NTP报文或更新本地时间到当前时间的时间间隔缺省单位为秒；如果时间间隔大于2048秒，则显示为分钟m；如果时间间隔大于300分钟，则显示为小时h；如果时间间隔大于96小时，则显示为天d；如果时间间隔大于999天，则显示为年y；如果最近一次接收到NTP报文或更新本地时间比当前时间晚，则显示为“-”
Offset	系统时钟相对于参考时钟的时钟偏移，单位为毫秒
Roundtrip delay	本地设备到时间服务器的往返时延，单位为毫秒
Dispersion	系统时钟相对于参考时钟的最大误差，单位为毫秒
Total sessions	总的会话数目

1.2.2 ntp-service ipv6 access

【命令】

ntp-service ipv6 access { peer | query | server | synchronization } acl-number

undo ntp-service ipv6 access { peer | query | server | synchronization }

【视图】

系统视图

【缺省级别】

3：管理级

【参数】

peer：完全访问权限。该权限既允许对端设备向本地设备同步和控制查询，同时本地设备也可以同步到对端设备。所谓控制查询，就是查询IPv6 NTP的一些状态，比如告警信息，验证状态，时钟源信息等。

query：允许控制查询权限。该权限只允许对端设备对本地设备的IPv6 NTP服务进行控制查询，但是不能向本地设备同步。

server：允许服务器访问与查询权限。该权限允许对端设备向本地设备同步和控制查询，但本地设备不会同步到对端设备。

synchronization：只允许服务器访问权限。该权限只允许对端设备向本地设备同步，但不能进行控制查询。

acl-number：IPv6基本访问控制列表号，取值范围为2000～2999。

【描述】

ntp-service ipv6 access命令用来设置对端设备对本地设备IPv6 NTP服务的访问控制权限。undo ntp-service ipv6 access命令用来取消设置的访问控制权限。

缺省情况下，对端设备对本地设备IPv6 NTP服务的访问控制权限为peer。

IPv6 NTP服务的访问控制权限从高到低依次为peer、server、synchronization、query。当设备接收到IPv6 NTP服务请求报文时，会按照此顺序进行匹配，以第一个匹配的权限为准。如果没有匹配任何权限，则丢弃此IPv6 NTP服务请求报文。

需要注意的是：

· ntp-service ipv6 access命令中指定的访问控制列表号必须已经创建并配置完成。

· ntp-service ipv6 access命令提供了一种最小限度的安全措施，更安全的方法是进行身份验证。相关配置可参考命令ntp-service authentication enable。

【举例】

# 配置2001::1网段的对端设备对本地设备具有完全访问权限。

<Sysname> system-view

[Sysname] acl ipv6 number 2001

[Sysname-acl6-basic-2001] rule permit source 2001::1 64

[Sysname-acl6-basic-2001] quit

[Sysname] ntp-service ipv6 access peer 2001

1.2.3 ntp-service ipv6 in-interface disable

【命令】

ntp-service ipv6 in-interface disable

undo ntp-service ipv6 in-interface disable

【视图】

VLAN接口视图

【缺省级别】

3：管理级

【参数】

无

【描述】

ntp-service ipv6 in-interface disable命令用来禁止接口接收IPv6 NTP报文。undo ntp-service ipv6 in-interface disable命令用来恢复缺省情况。

缺省情况下，允许接口接收IPv6 NTP报文。

【举例】

# 禁止VLAN接口1接收IPv6 NTP报文。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] ntp-service ipv6 in-interface disable

1.2.4 ntp-service ipv6 multicast-client

【命令】

ntp-service ipv6 multicast-client ipv6-address

undo ntp-service ipv6 multicast-client ipv6-address

【视图】

VLAN接口视图

【缺省级别】

3：管理级

【参数】

ipv6-address：NTP报文组播IPv6地址。IPv6组播客户端和IPv6组播服务器上配置的组播地址必须相同。

【描述】

ntp-service ipv6 multicast-client命令用来配置设备工作在IPv6 NTP组播客户端模式，并使用当前接口接收IPv6 NTP组播报文。undo ntp-service ipv6 multicast-client命令用来取消IPv6 NTP组播客户端模式的配置。

缺省情况下，设备没有工作在任何NTP模式。

【举例】

# 配置设备工作在IPv6组播客户端模式，在VLAN接口1上接收目的地址为组播地址FF21::1的NTP报文。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] ntp-service ipv6 multicast-client ff21::1

1.2.5 ntp-service ipv6 multicast-server

【命令】

ntp-service ipv6 multicast-server [ ipv6-address ] [ authentication-keyid keyid | ttl ttl-number ] *

undo ntp-service ipv6 multicast-server [ ipv6-address ]

【视图】

VLAN接口视图

【缺省级别】

3：管理级

【参数】

ipv6-address：NTP报文组播IPv6地址。IPv6组播客户端和IPv6组播服务器上配置的组播地址必须相同。

authentication-keyid keyid：指定向组播客户端发送组播报文时使用的密钥编号。keyid取值范围为1～4294967295。如果不需要验证，则该参数不需配置。

ttl ttl-number：定义组播报文的生存期。ttl-number取值范围为1～255，缺省值为16。

【描述】

ntp-service ipv6 multicast-server命令用来配置设备工作在IPv6 NTP组播服务器模式，并使用当前接口发送IPv6 NTP组播报文。undo ntp-service ipv6 multicast-server命令用来取消IPv6 NTP组播服务器模式的配置。

缺省情况下，设备没有工作在任何NTP模式。

【举例】

# 配置设备工作在IPv6组播服务器模式，在VLAN接口1上向IPv6组播地址FF21::1发送NTP报文，用4号密钥加密NTP报文。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] ntp-service ipv6 multicast-server ff21::1 authentication-keyid 4

1.2.6 ntp-service ipv6 source-interface

【命令】

ntp-service ipv6 source-interface interface-type interface-number

undo ntp-service ipv6 source-interface

【视图】

系统视图

【缺省级别】

3：管理级

【参数】

interface-type interface-number：接口类型及接口编号。

【描述】

ntp-service ipv6 source-interface命令用来指定IPv6 NTP报文的源接口。undo ntp-service ipv6 source-interface命令用来恢复缺省情况。

缺省情况下，没有指定IPv6 NTP报文的源接口，即根据路由选择IPv6 NTP报文的源IPv6地址。

如果不想让本地设备上其它接口的IPv6地址成为应答报文的目的地址，可以使用该命令指定IPv6 NTP报文的源接口。

【举例】

# 指定IPv6 NTP报文的源接口为VLAN接口1。

<Sysname> system-view

[Sysname] ntp-service ipv6 source-interface vlan-interface 1

1.2.7 ntp-service ipv6 unicast-peer

【命令】

ntp-service ipv6 unicast-peer { ipv6-address | peer-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number ] *

undo ntp-service ipv6 unicast-peer { ipv6-address | peer-name }

【视图】

系统视图

【缺省级别】

3：管理级

【参数】

ipv6-address：被动对等体的IPv6地址。只能是一个单播地址，不能为组播地址。

peer-name：被动对等体的主机名字，为1～20个字符的字符串。

authentication-keyid keyid：指定向对等体发送报文使用的密钥编号。keyid取值范围为1～4294967295。

priority：在同等条件下，优先选择ipv6-address或peer-name指定的对等体为同步对等体。

source-interface interface-type interface-number：指定IPv6 NTP报文的源接口。本地设备给对端发送IPv6 NTP报文时，报文中的源IPv6地址为该接口的IPv6地址。interface-type interface-number为接口类型和接口编号。

【描述】

ntp-service ipv6 unicast-peer命令用来为设备指定被动对等体。undo ntp-service ipv6 unicast-peer命令用来取消为设备指定的被动对等体。

缺省情况下，没有为设备指定被动对等体。

【举例】

# 配置设备工作在主动对等体模式，被动对等体的IPv6地址为2001::1，NTP版本号为4，IPv6 NTP报文的源IPv6地址为VLAN接口1的IPv6地址。

<Sysname> system-view

[Sysname] ntp-service ipv6 unicast-peer 2001::1 source-interface vlan-interface 1

1.2.8 ntp-service ipv6 unicast-server

【命令】

ntp-service ipv6 unicast-server { ipv6-address | server-name } [ authentication-keyid keyid | priority | source-interface interface-type interface-number ] *

undo ntp-service ipv6 unicast-server { ipv6-address | server-name }

【视图】

系统视图

【缺省级别】

3：管理级

【参数】

ipv6-address：IPv6 NTP服务器的IPv6地址。只能是一个单播地址，不能为组播地址。

server-name：IPv6 NTP服务器的主机名字，为1～20个字符的字符串。

authentication-keyid keyid：指定向IPv6 NTP服务器发送报文使用的密钥编号。keyid取值范围为1～4294967295。

priority：指定在同等条件下，优先选择该服务器。

source-interface interface-type interface-number：指定IPv6 NTP报文的源接口。本地设备给服务器发送IPv6 NTP报文时，报文中的源IPv6地址为该接口的IPv6地址。interface-type interface-number为接口类型和接口编号。

【描述】

ntp-service ipv6 unicast-server命令用来为设备指定IPv6 NTP服务器。undo ntp-service ipv6 unicast-server命令用来取消为设备指定的IPv6 NTP服务器。

缺省情况下，没有为设备指定IPv6 NTP服务器。

【举例】

# 配置设备的IPv6 NTP服务器为2001::1。

<Sysname> system-view

[Sysname] ntp-service unicast-server 2001::1

R1518P01版本

本版本特性变更情况如下：

· 新增特性－配置端口工作在MAC地址认证的多VLAN模式

1 新增特性－配置端口工作在MAC地址认证的多VLAN模式

1.1 配置端口工作在MAC地址认证的多VLAN模式

端口工作在单VLAN模式下时，在用户已上线，且没有被下发授权VLAN情况下，如果此用户在属于不同VLAN的相同端口再次接入，则，设备将让原用户下线，使得该用户能够在新的VLAN内重新开始认证。如果已上线用户被下发了授权VLAN，则此用户在属于不同VLAN的相同端口再次接入时不会被强制下线。

端口工作在多VLAN模式下时，如果相同MAC地址的用户在属于不同VLAN的相同端口再次接入，设备将能够允许用户的流量在新的VLAN内通过，且允许该用户的报文无需重新认证而在多个VLAN中转发。

对于接入IP电话类用户的端口，指定端口工作在MAC地址认证的多VLAN 模式，可避免IP电话终端的报文所携带的VLAN tag发生变化后，因用户流量需要重新认证带来语音报文传输质量受干扰的问题。

表1 配置端口工作在MAC地址认证的多VLAN模式

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置端口工作在MAC地址认证的多VLAN模式	mac-authentication host-mode multi-vlan	缺省情况下，端口工作在MAC地址认证的单VLAN模式

1.2 配置端口工作在MAC地址认证的多VLAN模式命令

1.2.1 mac-authentication host-mode multi-vlan

【命令】

mac-authentication host-mode multi-vlan

undo mac-authentication host-mode multi-vlan

【视图】

以太网接口视图

【缺省级别】

2：系统级

【描述】

mac-authentication host-mode multi-vlan命令用来指定端口工作在MAC地址认证的多VLAN 模式。

undo mac-authentication host-mode multi-vlan命令用来恢复缺省情况。

缺省情况下，端口工作在MAC地址认证的单VLAN模式。

【举例】

# 配置端口GigabitEthernet1/0/1工作在MAC地址认证的多VLAN模式。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] mac-authentication host-mode multi-vlan

R1518版本

本版本无新增、变更或删除的特性。

R1517P02版本

本版本特性变更情况如下：

· 新增特性－关闭可插拔模块告警信息开关

1 新增特性－关闭可插拔模块告警信息开关

1.1 关闭可插拔模块告警信息开关配置

当设备上插入的光模块的生产或定制厂商不是H3C时，设备会不停打印Trap和Log信息提醒用户，要求用户更换成H3C的光模块，以便管理和维护光模块。而H3C早期销售的光模块，可能没有记录厂商信息，但为了保护用户投资，这样的光模块还需要能继续正常使用。此时，可以关闭可插拔模块告警信息开关，停止输出相关告警信息。

表1 关闭可插拔模块告警信息开关

操作	命令	说明
进入系统视图	system-view	-
关闭可插拔模块告警信息开关	transceiver phony-alarm-disable	缺省情况下，可插拔模块告警信息开关处于开启状态

1.2 关闭可插拔模块告警信息开关配置命令

1.2.1 transceiver phony-alarm-disable

【命令】

transceiver phony-alarm-disable

undo transceiver phony-alarm-disable

【视图】

系统视图

【缺省级别】

3：管理级

【参数】

无

【描述】

transceiver phony-alarm-disable命令用来关闭可插拔模块告警信息开关。

undo transceiver phony-alarm-disable命令用来恢复缺省情况。

缺省情况下，可插拔模块告警信息开关处于开启状态。

【举例】

# 关闭可插拔模块告警信息开关。

<Sysname> system-view

[Sysname] transceiver phony-alarm-disable

R1516P01版本

本版本无新增、变更或删除的特性。

R1515版本

本版本特性变更情况如下：

· 变更特性－IPC中节点编号取值范围修改

· 删除特性－配置PD断开检测的方式

1 变更特性－IPC中节点编号取值范围修改

1.1 特性变更说明

IPC模块命令行中节点编号的取值范围从0～4变为0～9。

1.2 IPC中节点取值范围修改的命令

以下命令行中节点编号node-id的取值范围从0～4变为0～9。

· display ipc channel { node node-id | self-node } [ | { begin | exclude | include } regular-expression ]

· display ipc link { node node-id | self-node } [ | { begin | exclude | include } regular-expression ]

· display ipc multicast-group { node node-id | self-node } [ | { begin | exclude | include } regular-expression ]

· display ipc packet { node node-id | self-node } [ | { begin | exclude | include } regular-expression ]

· display ipc performance { node node-id | self-node } [ channel channel-id ] [ | { begin | exclude | include } regular-expression ]

· display ipc queue { node node-id | self-node } [ | { begin | exclude | include } regular-expression ]

· ipc performance enable { node node-id | self-node } [ channel channel-id ]

· reset ipc performance [ node node-id | self-node ] [ channel channel-id ]

2 删除特性－配置PD断开检测的方式

2.1 变更说明

从本版本开始，设备删除配置PD断开检测的方式功能。

2.2 删除命令

2.2.1 poe disconnect

【命令】

poe disconnect { ac | dc }

undo poe disconnect

【视图】

系统视图

R1513P99版本

本版本无新增、变更或删除的特性。

R1513P98版本

本版本特性变更情况如下：

· 新增特性—显示版权信息

· 新增特性—配置设备重定向给用户的Portal服务器的URL中携带的参数信息

· 新增特性－自动配置

1 新增特性—显示版权信息

1.1 显示版权信息配置

表1 显示版权信息

操作	命令	说明
显示系统软件和硬件的详细版权信息	display copyright	该命令可在任意视图下执行

1.2 显示版权信息配置命令

1.2.1 display copyright

【命令】

display copyright [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display copyright命令用来显示系统软件和硬件的详细版权信息。

通过查看版权信息，可以获知系统当前使用软件和硬件版本的版权信息、版权的参照标准、版权证书等相关信息。

【举例】

# 显示详细的软件版权信息。

<Sysname> display copyright

This document provides copyright information regarding any third-party software

that is included, either in whole or in part, in this product.

This product contains third-party software components and they will be used

and distributed under their respective licenses. This product contains some

components under the GNU General Public License ("GPL") version 2.0, the GNU

Lesser General Public License("LGPL") version 2.1 or other open source licenses.

H3C agrees to provide the open source code which is under GPL for three (3)

years from the first release date of the software. If you want to obtain a copy

of GPL licensed source code associated with this product, please send a request

to legal@h3c.com or write to Hangzhou H3C technology Co., Ltd. 310 of Liuhe Rd,

Zhijiang Science Park, Hangzhou 310005, P.R. China.The product name and version

number of the software, your name, phone number and address should be included

in the request. H3C reserves the right to charge an amount of cost for

distribution of source code , consistent with the GPL license terms. You can

also obtain a copy of the GPL and LGPL at http://www.gnu.org/licenses/.

……其它显示信息略……

2 新增特性—配置设备重定向给用户的Portal服务器的URL中携带的参数信息

2.1 配置设备重定向给用户的Portal服务器的URL中携带的参数信息

从本版本开始，指定三层Portal认证的Portal服务器时，可以配置设备重定向给用户的Portal服务器的URL中携带的参数信息。

表2 配置设备重定向给用户的Portal服务器的URL中携带的参数信息

操作		命令	说明
进入系统视图		system-view	-
指定三层Portal认证的Portal服务器		portal server server-name ip ip-address [ key [ cipher \| simple ] key-string \| port port-id \| url url-string ] * \| ipv6 ipv6-address [ key [ cipher \| simple ] key-string \| port port-id \| url url-string ] * }	必选缺省情况下，没有指定三层Portal认证的Portal服务器
配置设备重定向给用户的Portal服务器的URL中携带的参数信息	在系统视图下	portal url-parameter parameter-name { nas-ip \| original-url \| user-ip \| user-mac [ des-encrypt ] \| value expression }	可选，二者选其一缺省情况下，未配置设备重定向给用户的Portal服务器的URL中携带的参数信息
	在三层接口视图下	interface interface-type interface-number
	在三层接口视图下	portal url-parameter parameter-name { nas-ip \| original-url \| user-ip \| user-mac [ des-encrypt ] \| value expression }

2.2 配置设备重定向给用户的Portal服务器的URL中携带的参数信息配置命令

2.2.1 portal url-parameter

【命令】

portal url-parameter parameter-name { nas-ip | original-url | user-ip | user-mac [ des-encrypt ] | value expression }

undo portal url-parameter parameter-name

【视图】

系统视图/三层接口视图

【缺省级别】

2：系统级

【参数】

param-name：URL参数名，为1～32个字符的字符串，区分大小写。URL参数名对应的参数内容由param-name后的参数指定。

nas-ip: 设备上配置的nas-ip。

original-url：用户初始访问的Web页面的URL。

user-ip:：用户的IP地址。

user-mac [ des-encrypt ]:用户的mac地址。des-encrypt用来对用户的mac地址进行DES加密。

value expression：自定义字符串，为1～256个字符的字符串，区分大小写。

【描述】

portal url-parameter命令用来配置设备重定向给用户的Portal服务器的URL中携带的参数信息。

undo portal url-parameter命令用来删除配置的Portal服务器URL携带的参数信息。

缺省情况下，未配置设备重定向给用户的portal服务器的URL中携带的参数。

可以通过多次执行本命令配置多条参数信息。

对于同一个参数名param-name后的参数设置，最后配置的生效。

该命令用于配置用户访问Portal服务器时，要求携带的一些参数，比较常用的是要求携带用户的IP地址、MAC地址、用户原始访问的URL信息。用户也可以手工指定，携带一些特定的字符信息。配置完成后，在设备给用户强制重定向URL时会携带这些参数，例如配置Portal服务器的URL为：http://www.test.com/portal，若同时配置如下两个参数信息：portal url-parameter userip user-ip和portal url-parameter userurl value http://www.abc.com/welcome，则设备给源IP为1.1.1.1的用户重定向时回应的URL格式即为：http://www.test.com/portal?userip=1.1.1.1&userurl=http://www.abc.com/welcome。

如果同时配置了portal url-parameter userurl value expression和portal redirect-url url-string，且expression和url-string取值不同时，portal redirect-url url-string配置生效的优先级高于portal url-parameter userurl value expression。两条命令进行单独配置且expression和url-string取相同值时效果相同。

【举例】

# 为设备重定向给用户的Portal服务器wbs的URL中配置两个参数userip和userurl，其值分别为用户IP地址和自定义字符串http://www.abc.com/welcome。

<Sysname> system-view

[Sysname] portal server wbs ip 1.1.1.1 url http://www.test.com/portal

[Sysname] portal url-parameter userip user-ip

[Sysname] portal url-parameter userurl value http://www.abc.com/welcome

【相关命令】

· portal server method

3 新增特性－自动配置

3.1 自动配置简介

自动配置功能是指在设备空配置启动时自动获取并执行配置文件的功能。

自动配置功能简化了网络配置，便于实现对设备的集中管理。目前，企业网面临着这样的问题：设备分布广，维护人员少，网络管理员在每一台设备上进行手工配置的代价巨大。利用自动配置功能，网络管理员只需将配置文件保存在指定的服务器上，设备在空配置启动时可以自动从服务器上获取并执行配置文件，实现自动配置，从而大大降低了网络管理员的工作量。

3.2 自动配置的典型组网环境

图1 自动配置典型组网图

自动配置的典型组网环境如图1所示。设备需要在DHCP服务器、TFTP服务器和DNS服务器的配合下，实现自动配置：

· DHCP服务器：用来为执行自动配置的设备分配IP地址、配置文件名、TFTP服务器IP地址、DNS服务器IP地址等信息。

· TFTP服务器：用来保存自动配置过程中设备需要的文件。设备从TFTP服务器获取所需的文件，如保存主机IP地址和主机名映射关系的主机名文件、设备的配置文件等。

· DNS服务器：用来提供IP地址和主机名的对应关系。执行自动配置的设备可以通过DNS服务器将自己的IP地址解析为主机名，以便从TFTP服务器获取名为“主机名.cfg”的配置文件；如果设备从DHCP应答报文中获取到TFTP服务器的域名，设备还可以通过DNS域名服务器将TFTP服务器的域名解析为TFTP服务器的IP地址。

如果DHCP服务器、TFTP服务器和DNS服务器与执行自动配置的设备不在同一个网段，还需要在网关设备上配置DHCP中继，并配置路由协议，使得各个服务器和设备之间路由可达。

3.3 自动配置的工作过程

自动配置的基本工作过程如下：

(1) 设备在空配置启动时，系统会自动将处于up状态的第一个接口（如果存在处于up状态的二层以太网接口，则为缺省VLAN对应的虚接口，否则为处于up状态的接口编号最小的三层以太网接口）配置为通过DHCP方式获得IP地址及后续获取配置文件所需要的信息（例如：配置文件名、TFTP服务器的域名、TFTP服务器的IP地址、DNS服务器IP地址等信息）。

(2) 如果设备成功地从DHCP服务器获取到IP地址及配置文件名等相关信息，则发起TFTP请求，从指定的TFTP服务器获取配置文件。如果设备没有获取到相关信息，则在空配置文件的情况下正常启动。

· 自动配置功能在空配置启动的设备上不需要进行任何配置，但若要成功获得配置文件，则需在DHCP服务器、DNS服务器和TFTP服务器上配置一些必需的参数。

· 如需使用自动配置功能，建议在设备开启前，只将自动配置时需要使用的接口连入网络。

3.3.1 自动配置流程图

自动配置的流程如图2所示。

图2 自动配置流程图

3.3.2 通过DHCP获取IP地址及相关信息

1. IP地址获取过程

设备在空配置启动时，系统会自动将处于up状态的第一个接口（如果存在处于up状态的二层以太网接口，则为缺省VLAN对应的虚接口，否则为处于up状态的接口编号最小的三层以太网接口）配置为通过DHCP方式获得IP地址，设备通过该接口以广播方式发送DHCP请求报文。DHCP请求报文中的Option 55选项指明设备需要从DHCP服务器获得哪些信息（如获取自动配置文件需要的配置文件名、TFTP服务器域名、TFTP服务器IP地址、DNS服务器IP地址等信息）。

经过DHCP请求成功获取到IP地址后，设备将解析DHCP服务器应答报文中的如下字段：

· Option 67或file字段：用来获取配置文件名。设备首先解析Option 67，如果该选项包括配置文件名信息，则不再解析file字段；否则，继续解析file字段。

· Option 66：用来获取TFTP服务器域名。

· Option 150：用来获取TFTP服务器IP地址。

· Option 6：用来获取DNS服务器IP地址。

如果获取IP地址失败，则设备删除临时配置，在空配置文件的情况下启动。

· 临时配置是指设备空配置启动时在执行自动配置的接口上进行的配置，以及执行的主机名文件中的ip host命令（ip host命令的具体介绍请参见“三层技术-IP业务命令参考”中的“IPv4域名解析”）。删除临时配置就是按照相反顺序执行undo命令，取消临时配置。

· DHCP的详细工作过程请参见“三层技术-IP业务配置指导”中的“DHCP概述”。

2. DHCP服务器上地址池的选择

DHCP服务器从地址池中选择为客户端分配的IP地址和其他网络配置参数。DHCP的地址池分为两类：

· 动态分配的地址池：该类地址池中包括可供分配的IP地址范围，DHCP服务器从中选取IP地址分配给客户端，同时为客户端分配该地址池中其他的网络配置参数。

· 静态绑定的地址池：通过将客户端的IP地址与客户端的MAC地址或客户端ID绑定，保证为特定的客户端分配固定的IP地址和其他网络配置参数。

用户可以根据自动配置功能的需要，在DHCP服务器上选择相应类型的地址池：

· 不同设备的配置文件都相同时，可以在DHCP服务器上配置动态分配的地址池，通过该地址池为设备动态分配IP地址的同时，还为这些设备分配一样的网络配置参数（如配置文件名）。如果采用这种方式，则配置文件中只能包含这些设备共有的配置，每个设备特有的配置还需要采用其他方式完成。例如，通过自动配置获取的配置文件中指定在设备上开启Telnet服务，并创建本地用户，以便管理员通过Telnet方式登录各个设备，完成对每个设备特有的配置（如配置各个接口的IP地址）。

· 每个设备的配置文件都不相同时，需要在DHCP服务器上配置静态绑定的地址池，以保证为特定的客户端分配固定的IP地址和其他网络配置参数。通过这种方式可以为每个设备指定不同的配置命令，实现对设备的完全配置，无需再通过其他方式配置设备。

配置静态绑定的地址池时需要指定静态绑定的客户端ID（设备作为DHCP客户端时，采用客户端ID作为标识），因此需要首先通过下面的方法获取客户端ID：启动执行自动配置的设备，使执行自动配置的接口通过DHCP获取IP地址，IP地址获取成功后，在DHCP服务器上通过display dhcp server ip-in-use命令显示地址绑定信息，从中可以获取设备的客户端ID。

3.3.3 从TFTP服务器上获取配置文件

1. 文件类型

设备通过自动配置功能从TFTP服务器上获取的文件可以是：

· DHCP应答报文中Option 67或file字段指定的配置文件。

· 主机名文件，文件名为“network.cfg”。主机名文件用来保存主机IP地址与主机名称的映射关系。主机IP地址与主机名称的映射关系使用以下格式进行定义：

ip host hostname ip-address

例如，主机名文件可以包括如下内容：

ip host host1 101.101.101.101

ip host host2 101.101.101.102

ip host client1 101.101.101.103

ip host client2 101.101.101.104

· ip host关键字前必须包括一个空格。

· 主机名文件中保存的主机名称是用户为了更好地管理自动配置而设定的，需要与主机的配置文件名保持一致。该主机名称区别于DNS服务器中记录的主机名称，两者可以相同，也可以不相同。

· 设备的主机名对应的配置文件，文件名为“主机名.cfg”。例如，设备的主机名为aaa，则此配置文件名为“aaa.cfg”。

· 默认配置文件，文件名为“device.cfg”。

2. 获取配置文件

图3 配置文件获取过程

如图3所示，设备根据对DHCP应答报文中配置文件名信息的解析结果，确定从TFTP服务器上获取哪个配置文件：

· 如果应答报文中包括配置文件名信息，则向TFTP服务器请求指定的配置文件；

· 如果应答报文中不包括配置文件名信息，则需要先获得设备的主机名，再向TFTP服务器请求与主机名对应的配置文件。设备通过如下方式获得主机名：从TFTP服务器上获取主机名文件，在主机名文件中查找设备的IP地址对应的主机名；如果在主机名文件中没有找到设备的主机名，则通过DNS服务器获得设备IP地址对应的主机名；

· 如果获取指定的配置文件、设备主机名解析或获取主机名对应的配置文件失败，则向TFTP服务器请求默认的配置文件。

3. TFTP请求消息发送方式

设备根据对DHCP应答报文中TFTP服务器域名和TFTP服务器IP地址信息的解析结果，选择TFTP请求消息的发送方式：

· 如果应答报文中包括TFTP服务器IP地址信息，且IP地址值合法，设备将以单播方式向TFTP服务器发送请求消息，并不再解析TFTP服务器的域名信息。否则，继续解析应答报文中的TFTP服务器域名信息；

· 如果应答报文中包括TFTP服务器的域名信息，且域名合法，则通过DNS服务器解析TFTP服务器的IP地址。IP地址解析成功后，以单播方式向TFTP服务器发送请求消息。如果IP地址解析不成功，则以广播方式向TFTP服务器发送请求消息；

· 如果应答报文中不包括TFTP服务器IP地址和域名信息，或TFTP服务器IP地址和域名信息不合法，设备将以广播方式向TFTP服务器发送请求消息。

· 以广播方式发送TFTP请求消息时，设备只会从第一个响应的TFTP服务器获取配置文件，如果该服务器上没有需要的配置文件，配置文件获取失败，设备将删除临时配置，在空配置文件的情况下正常启动。

· 以广播方式向TFTP服务器发送请求消息时，由于广播报文只能在本网段内传播，如果执行自动配置设备与TFTP服务器不在同一个网段，则需要在网关设备上配置UDP Helper功能，将广播报文转换为单播报文，转发给指定的TFTP服务器。有关UDP Helper功能的详细介绍，请参见“三层技术-IP业务配置指导”中的“UDP Helper”。

3.3.4 执行配置文件

成功获得配置文件后，设备将删除临时配置，执行获取到的配置文件。如果获取配置文件失败，设备将删除临时配置，在空配置文件的情况下正常启动。

· 通过自动配置获取到的配置文件执行完成后，该文件将被删除，不会在设备上保存。建议配置文件执行完成后，在设备上通过save命令保存配置，否则，设备重启后还需重新执行自动配置功能。save命令的详细介绍请参见“基础配置命令参考”中的“配置文件管理”。

· 如果配置文件中含有IRF相关配置的内容，设备在执行配置文件时，并不会执行这些内容。

R1513P96版本

本版本无新增、变更或删除的特性。

R1513P95版本

本版本特性变更情况如下：

· 新增特性—关闭设备SSL 3.0版本

1 新增特性—关闭设备SSL 3.0版本

1.1 关闭设备SSL 3.0版本

由于SSL 3.0版本存在安全漏洞，当设备对系统安全性有较高要求时，可以关闭SSL 3.0版本。

· 对于SSL服务器端，关闭设备SSL 3.0版本，则SSL服务器端只能使用TLS 1.0版本。

· 对于SSL客户端，如果配置SSL客户端策略使用的SSL协议版本为SSL 3.0（在SSL客户端策略视图下配置命令version ssl 3.0），即便关闭设备SSL 3.0版本，该SSL客户端仍会使用SSL 3.0版本。

如果对端设备仅支持SSL 3.0版本，为保证网络互通，本端设备不能关闭SSL 3.0版本。为提高安全性，建议对端设备升级至TLS 1.0版本。

表1 关闭设备SSL 3.0版本

操作	命令	说明
进入系统视图	system-view	-
关闭设备SSL 3.0版本	ssl version ssl3.0 disable	缺省情况下，允许使用SSL 3.0版本

1.2 关闭SSL 3.0版本配置命令

1.2.1 ssl version ssl3.0 disable

【命令】

ssl version ssl3.0 disable

undo ssl version ssl3.0 disable

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

ssl version ssl3.0 disable命令用来关闭设备SSL 3.0版本。

undo ssl version ssl3.0 disable命令用来恢复缺省情况。

【举例】

# 关闭设备SSL 3.0版本。

<Sysname> system-view

[Sysname] ssl version ssl3.0 disable

R1513P90版本

本版本特性变更情况如下：

· 新增特性—配置生成树PVST模式TC告警功能

· 变更特性－配置RADIUS安全策略服务器的IP地址

1 新增特性—配置生成树PVST模式TC告警功能

1.1 配置生成树PVST模式TC告警功能

开启生成树PVST模式TC告警功能之后，在PVST模式下，当端口检测或接收到TC报文后，打印日志信息并发送Trap信息到SNMP模块。您可以通过配置SNMP中告警信息的发送参数，来决定告警信息输出的相关属性。有关告警信息的详细介绍，请参见“网络管理和监控配置指导”中的“SNMP”。

表1 配置生成树PVST模式TC告警功能

操作	命令	说明
进入系统视图	system-view	-
开启生成树PVST模式TC告警功能	snmp-agent trap enable stp [ tc ]	缺省情况下，PVST模式的生成树的TC告警功能在所有VLAN中处于关闭状态

1.2 生成树PVST模式TC告警功能配置命令

1.3 snmp trap enable stp

【命令】

snmp-agent trap enable stp [ tc ]

undo snmp-agent trap enable stp [ tc ]

【视图】

系统视图

【缺省级别】

3：管理级

【参数】

tc：在PVST模式下，当端口检测或接收到TC报文后，打印日志信息并发送Trap信息到SNMP模块。该参数只能控制PVST模式下的TC告警功能。

【描述】

snmp-agent trap enable stp命令用来开启生成树PVST模式TC告警功能。undo snmp-agent trap enable stp命令用来关闭生成树PVST模式TC告警功能。

缺省情况下，生成树PVST模式TC告警功能在所有VLAN中处于关闭状态。

目前该命令仅支持配置PVST模式TC告警功能，所以指定或未指定tc参数，均表示开启或关闭生成树PVST模式下的TC告警功能。

【举例】

# 开启生成树PVST模式TC告警功能。

<Sysname> system-view

[Sysname] snmp-agent trap enable stp tc

2 变更特性－配置RADIUS安全策略服务器的IP地址

2.1 特性变更说明

修改前：仅支持配置RADIUS安全策略服务器的IPv4地址。

修改后：支持配置RADIUS安全策略服务器的IPv6地址。

2.2 命令变更说明

2.2.1 修改-security-policy-server

【原命令】

security-policy-server ip-address

undo security-policy-server { ip-address | all }

【修改后的命令】

security-policy-server { ipv4-address | ipv6 ipv6-address }

undo security-policy-server { ip4-address | all | ipv6 ipv6-address }

【视图】

RADIUS方案视图

【修改说明】

修改前：仅支持配置RADIUS安全策略服务器的IPv4地址。

修改后：新增参数ipv6 ipv6-address配置RADIUS安全策略服务器的IPv6地址。

R1513P88版本

本版本特性变更情况如下：

· 新增特性－配置IPv6扩展报文丢弃功能

· 变更特性－SNMP系统信息配置

1 新增特性－配置IPv6扩展报文丢弃功能

1.1 配置IPv6扩展报文丢弃功能

IPv6协议引入了多种扩展报文头，其中一种称为逐跳扩展报文头（Hop-by-Hop Option Header）。

配置IPv6扩展报文丢弃功能后，如果接收到最外层为逐跳扩展报文头的IPv6报文，设备将直接丢弃。

表1 配置IPv6扩展报文丢弃功能

操作	命令	说明
进入系统视图	system-view	-
开启设备对于带有扩展头的IPv6报文的丢弃功能	ipv6 option drop enable	必选缺省情况下，设备对于带有扩展头的IPv6报文的丢弃功能处于关闭状态

操作

命令

说明

进入系统视图

system-view

开启设备对于带有扩展头的IPv6报文的丢弃功能

ipv6 option drop enable

必选

缺省情况下，设备对于带有扩展头的IPv6报文的丢弃功能处于关闭状态

1.2 配置IPv6扩展报文丢弃功能命令

1.2.1 ipv6 option drop enable

【命令】

ipv6 option drop enable

undo ipv6 option drop

【视图】

系统视图

【缺省级别】

2：系统级

【描述】

ipv6 option drop enable命令用来开启设备对于带有扩展头的IPv6报文的丢弃功能。配置本功能后，如果接收到最外层为逐跳扩展报文头的IPv6报文，设备将直接丢弃。

undo ipv6 option drop命令用来关闭设备对于带有扩展头的IPv6报文的丢弃功能。

缺省情况下，设备对于带有扩展头的IPv6报文的丢弃功能处于关闭状态。

【举例】

# 开启设备对于带有扩展头的IPv6报文的丢弃功能。

<Sysname> system-view

[Sysname] ipv6 option drop enable

2 变更特性－SNMP系统信息配置

2.1 特性变更说明

修改SNMP中系统信息描述字符串的最大长度。

2.2 命令变更说明

2.2.1 修改-snmp-agent sys-info

【命令】

snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }

【视图】

系统视图

【修改说明】

修改前：contact sys-contact参数和location sys-location参数字符串的长度为1～200。

修改后：contact sys-contact参数和location sys-location参数字符串的长度为1～255。

R1513P81版本

本版本特性变更情况如下：

· 变更特性－非信任端口不记录客户端IP地址和MAC地址的绑定关系

1 变更特性－非信任端口不记录客户端IP地址和MAC地址的绑定关系

1.1 特性变更说明

在设备使能DHCP Snooping功能后，设备的所有端口均记录IP地址和MAC地址的绑定关系，只有信任端口可以配置不记录客户端IP地址和MAC地址的绑定关系，新增dhcp-snooping no-user-binding命令后，非信任端口也可以不记录客户端IP地址和MAC地址的绑定关系。

1.2 命令变更说明

1.2.1 修改-dhcp-snooping trust

【原命令】

dhcp-snooping trust [ no-user-binding ]

undo dhcp-snooping trust

【修改后的命令】

dhcp-snooping trust

undo dhcp-snooping trust

【视图】

二层以太网端口视图/二层聚合接口视图

【修改说明】

修改前：dhcp-snooping trust命令有no-user-binding参数，通过配置该参数，信任端口可以不记录客户端IP地址和MAC地址的绑定关系。

修改后：dhcp-snooping trust命令删除了no-user-binding参数，通过dhcp-snooping no-user-binding命令配置端口不记录客户端IP地址和MAC地址的绑定关系。

1.2.2 新增-dhcp-snooping no-user-binding

【命令】

dhcp-snooping no-user-binding

undo dhcp-snooping no-user-binding

【视图】

二层以太网端口视图/二层聚合接口视图

【缺省级别】

2：系统级

【参数】

无

【描述】

dhcp-snooping no-user-binding命令用来配置端口为不记录客户端IP地址和MAC地址绑定关系的端口。undo dhcp-snooping no-user-binding命令用来恢复缺省情况。

缺省情况下，在使能DHCP Snooping功能后，设备的所有端口均记录客户端IP地址和MAC地址的绑定关系。

【举例】

# 配置以太网端口GigabitEthernet1/0/1为不记录客户端IP地址和MAC地址绑定关系的端口。

<Sysname> system-view

[Sysname] interface GigabitEthernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dhcp-snooping no-user-binding

R1513P80版本

本版本特性变更情况如下：

· 新增特性—配置NTP轮询间隔

· 变更特性－批处理操作

· 变更特性－SSH支持配置多个公钥

1 新增特性—配置NTP轮询间隔

1.1 配置NTP轮询间隔

设备从本版本开始支持配置轮询间隔，即NTP客户端向NTP服务器或NTP主动对等体向被动对等体发送NTP时钟同步报文时，两个连续NTP报文之间的时间间隔。

表1 配置NTP轮询间隔

操作	命令	说明
进入系统视图	system-view	-
配置NTP轮询间隔	ntp-service poll-interval interval	必选缺省情况下，NTP轮询间隔为64秒

操作

命令

说明

进入系统视图

system-view

配置NTP轮询间隔

ntp-service poll-interval interval

必选

缺省情况下，NTP轮询间隔为64秒

1.2 配置NTP轮询间隔命令

1.2.1 ntp-service poll-interval

【命令】

ntp-service poll-interval interval

undo ntp-service poll-interval

【视图】

系统视图

【缺省级别】

3：管理级

【参数】

interval：表示NTP轮询间隔，单位为秒，取值必须为64、128、256、512或1024。

【描述】

ntp-service poll-interval命令用来配置NTP轮询间隔。undo ntp-service poll-interval命令用来恢复缺省情况。

缺省情况下，NTP轮询间隔为64秒。

【举例】

# 配置NTP轮询间隔为128秒。

<Sysname> system-view

[Sysname] ntp-service poll-interval 128

2 变更特性－批处理操作

2.1 特性变更说明

修改后，批处理文件名的后缀可以是任何格式。

2.2 命令变更说明

2.2.1 修改-execute

【命令】

execute filename

【视图】

系统视图

【修改说明】

修改前：批处理文件名的后缀名只能为.bat。

修改后：批处理文件名的后缀名可以是任何格式。

3 变更特性－SSH支持配置多个公钥

3.1 特性变更说明

SSH采用数字签名的方式认证客户端时，支持为客户端配置多个公钥。认证时，将根据第一个匹配的公钥完成认证过程。

3.2 命令变更说明

3.2.1 修改-ssh user

【原命令】

非FIPS模式下：

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }

ssh user username service-type { all | scp | sftp } authentication-type { password | { any | password-publickey | publickey } assign publickey keyname work-directory directory-name }

undo ssh user username

FIPS模式下：

ssh user username service-type stelnet authentication-type { password | password-publickey assign publickey keyname }

ssh user username service-type { all | scp | sftp } authentication-type { password | password-publickey assign publickey keyname work-directory directory-name }

undo ssh user username

【修改后的命令】

非FIPS模式下：

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname&<1-6> }

undo ssh user username

FIPS模式下：

ssh user username service-type stelnet authentication-type { password | password-publickey assign publickey keyname&<1-6> }

undo ssh user username

【视图】

系统视图

【修改说明】

修改前：仅能通过assign publickey keyname，为SSH用户分配一个公钥。keyname表示已经配置的客户端公钥名。

修改后：可以通过assign publickey keyname&<1-6>：为SSH用户分配多个公钥。keyname表示已经配置的客户端公钥名称。&<1-6>表示前面的参数最多可以输入6次。即：SSH用户最多可以设置6个公钥。认证时，将根据第一个匹配的公钥完成认证过程。

R1513P62版本

本版本特性变更情况如下：

· 新增特性－流量整形

· 变更特性－ISP域名参数取值范围变更

1 新增特性－流量整形

1.1 简介

流量整形只针对设备的出方向。

流量整形是一种主动调整流量输出速率的措施。一个典型应用是基于下游网络节点的流量监管指标来控制本地流量的输出。

流量整形与流量监管的主要区别在于，流量整形对流量监管中需要丢弃的报文进行缓存——通常是将它们放入缓冲区或队列内，如图1-1所示。当令牌桶有足够的令牌时，再均匀的向外发送这些被缓存的报文。流量整形与流量监管的另一区别是，整形可能会增加延迟，而监管几乎不引入额外的延迟。

图1-1 流量整形示意图

例如，在图1-2所示的应用中，设备Device A向Device B发送报文。Device B要对Device A发送来的报文进行流量监管，对超出规格的流量直接丢弃。

图1-2 流量整形的应用

为了减少报文的无谓丢失，可以在Device A的出口对报文进行流量整形处理。将超出流量整形特性的报文缓存在Device A中。当可以继续发送下一批报文时，流量整形再从缓冲队列中取出报文进行发送。这样，发向Device B的报文将都符合Device B的流量规定。

1.2 流量整形配置

本系列交换机的流量整形可以通过以下两种方式配置：

· 基于队列的流量整形：针对某一个队列的数据包设置整形参数。

· 适配所有流的流量整形：为所有的流设置整形参数。

如果一个端口下同时配置了两种方式的流量整形，则设备在处理数据流时，将比较基于数据流所在队列和基于所有流的两条流量整形配置，选择CIR值较小的配置对数据流进行整形。

1.2.1 配置基于队列的流量整形

表1-1 基于队列的流量整形配置

操作		命令	说明
进入系统视图		system-view	-
进入端口视图或端口组视图	进入端口视图	interface interface-type interface-number	二者必选其一进入端口视图后，下面进行的配置只在当前端口生效；进入端口组视图后，下面进行的配置将在端口组中的所有端口生效
进入端口视图或端口组视图	进入端口组视图	port-group manual port-group-name
在端口配置流量整形		qos gts queue queue-number cir committed-information-rate [ cbs committed-burst-size ]	必选

1.2.2 配置适配所有流的流量整形

表1-2 适配所有流的流量整形配置

操作		命令	说明
进入系统视图		system-view	-
进入端口视图或端口组视图	进入端口视图	interface interface-type interface-number	二者必选其一进入端口视图后，下面进行的配置只在当前端口生效；进入端口组视图后，下面进行的配置将在端口组中的所有端口生效
进入端口视图或端口组视图	进入端口组视图	port-group manual port-group-name
在端口配置流量整形		qos gts any cir committed-information-rate [ cbs committed-burst-size ]	必选

1.3 流量整形配置命令

1.3.1 display qos gts interface

【命令】

display qos gts interface [ interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

interface-type interface-number：指定的端口类型和端口编号。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display qos gts interface命令用来显示某个端口或所有端口的GTS配置情况。

如不指定端口，本命令将显示所有端口的GTS配置情况和运行统计信息。

【举例】

# 显示所有端口的流量整形配置信息。

<Sysname> display qos gts interface

Interface: GigabitEthernet1/0/1

Rule(s): If-match any

CIR 25000 (kbps), CBS 1564672 (byte)

Rule(s): If-match queue 1

CIR 1250 (kbps), CBS 81920 (byte)

表1-3 display qos gts命令显示信息描述表

字段	描述
Interface	端口名，由端口类型和端口编号结合在一起组成
Rule(s)	匹配规则。
CIR	承诺信息速率，单位为kbps
CBS	承诺突发尺寸，也就是容纳突发流量的令牌桶深度，单位为byte

1.3.2 qos gts

【命令】

qos gts { any | queue queue-number } cir committed-information-rate [ cbs committed-burst-size ]

undo qos gts { any | queue queue-number }

【视图】

接口视图/端口组视图

【缺省级别】

2：系统级

【参数】

any：对所有的数据包进行流量整形。

queue queue-number：对指定队列的数据包进行流量整形，queue-number为队列编号，取值范围为0～3。

cir committed-information-rate：承诺信息速率，单位为kbps，取值范围为65～1000000，且committed-information-rate必须为5的倍数。

cbs committed-burst-size：承诺突发尺寸，单位为byte。

· 如果不指定cbs参数，committed-burst-size缺省取值为62.5 × committed-information-rate，且必须为4096的整数倍。如果乘积不是4096的整数倍，就取比乘积大的最近的4096的整数倍，且committed-burst-size最大值不能超过16773120。

· 如果指定cbs参数，取值范围为12288～16773120，committed-burst-size必须为4096的整数倍。

【描述】

qos gts命令用来为某个队列、某一类别的流或端口下所有流设置整形参数，并开始整形。undo qos gts命令用来取消流量整形设置。

缺省情况下，接口上没有配置整形参数。

在接口视图下执行该命令，则该配置只在当前接口生效；在端口组视图下执行该命令，则该配置将在端口组中的所有端口生效。

【举例】

# 在端口GigabitEthernet 1/0/1上所有发送的报文进行流量整形，当速率大于640 kbps时，将超出限制的报文进行缓存。

<Sysname> system-view

[Sysname] interface GigabitEthernet 1/0/1

[Sysname-GigabitEthernet1/0/1] qos gts any cir 640

# 在端口GigabitEthernet 1/0/1上对队列2发送报文进行流量整形，当速率大于640 kbps时，将超出限制的报文进行缓存。

<Sysname> system-view

[Sysname] interface GigabitEthernet 1/0/1

[Sysname-GigabitEthernet1/0/1] qos gts queue 2 cir 640

2 变更特性－ISP域名参数取值范围变更

2.1 特性变更说明

ISP域名参数的取值范围进行了修改。

2.2 命令变更说明

以下命令中的ISP域名isp-name参数的取值范围从1～24修改为1～63。

· cut connection { access-type { dot1x | mac-authentication | portal } | all | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id } [ slot slot-number ]

· display connection [ access-type { dot1x | mac-authentication | portal } | domain isp-name | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

· display domain [ isp-name ] [ | { begin | exclude | include } regular-expression ]

· domain isp-name

· domain default enable isp-name

R1513P60版本

本版本特性变更情况如下：

· 新增特性—基于802.1X认证的IP Source Guard动态表项获取功能

· 新增特性—配置802.1X支持的域名分隔符

· 变更特性－支持多备份HWTACACS服务器配置

1 新增特性—基于802.1X认证的IP Source Guard动态表项获取功能

1.1 简介

当网络中存在大量802.1X认证用户时，为了方便的满足此类用户的IP攻击防御需求，减少设备上手工配置工作量，交换机支持基于802.1X认证的IPv4 Source Guard动态表项获取功能。即，端口通过获取802.1X用户的源IP地址和源MAC地址自动生成IPv4 Source Guard绑定表项，来过滤端口收到的IPv4报文。

为了防止802.1X用户通过认证后私自修改自身的IP地址上网的情况，设备可配置802.1X用户IP地址冻结功能。开启该功能的端口，首次获取并保存了802.1X上线用户的IP地址之后，不会随着该用户IP地址的变化而更新IP Source Guard动态绑定表中用户的IP地址，因此当用户修改IP地址后，无法通过过滤检查，不能正常上网。

仅E528和E552以太网交换机支持此特性。

1.2 基于802.1X认证的IP Source Guard动态表项获取功能配置

1.2.1 配置任务简介

表1 基于802.1X认证的IP Source Guard动态表项功能配置任务简介

配置任务	说明	详细配置
开启802.1X功能	必选	详细介绍请参考“安全配置指导”内的“802.1X配置”
配置802.1X用户IP地址冻结功能	可选	1.2.2
配置基于802.1X认证的IP Source Guard动态表项获取功能	必选	1.2.3
配置IPv4 Source Guard端口绑定功能	必选	详细介绍请参考“安全配置指导”内的“IP Source Gurad配置”

1.2.2 配置802.1X用户IP地址冻结功能

表2 配置802.1X用户IP地址冻结功能

操作	命令	说明
进入系统视图	system-view	-
进入二层以太网端口视图	interface interface-type interface-number	-
配置802.1X用户IP地址冻结功能	dot1x user-ip freeze	必选缺省情况下，端口首次获取且保存了802.1X上线用户的IP地址之后，会随着用户IP地址的变化而更新保存的用户IP地址

1.2.3 配置基于802.1X认证的IP Source Guard动态表项获取功能

表3 配置基于802.1X认证的IP Source Guard动态表项获取功能

操作	命令	说明
进入系统视图	system-view	-
进入二层以太网端口视图	interface interface-type interface-number	-
基于802.1X认证的IPv4 Source Guard动态表项获取	ip check source dot1x	必选缺省情况下，基于802.1X认证的IPv4 Source Guard动态表项获取功能处于关闭状态

如果802.1X客户端不支持上传IP地址功能，则必须与DHCP Snooping、ARP Snooping功能配合使用，通过DHCP Snooping或者ARP Snooping记录IP地址，生成802.1X安全表项。

1.3 基于802.1X认证的IP Source Guard动态表项获取功能配置命令

1.3.1 dot1x user-ip freeze

【命令】

dot1x user-ip freeze

undo dot1x user-ip freeze

【视图】

二层以太网端口视图

【缺省级别】

2：系统级

【描述】

dot1x user-ip freeze命令用来配置802.1X用户IP地址冻结功能，即端口首次获取且保存了802.1X上线用户的IP地址之后，不会随着该用户IP地址的变化而更新保存的用户IP地址。undo dot1x user-ip freeze命令用来恢复缺省情况。

缺省情况下，端口首次获取且保存了802.1X上线用户的IP地址之后，会随着用户IP地址的变化而更新保存的用户IP地址。

【举例】

# 配置端口GigabitEthernet1/0/1上的802.1X用户IP地址冻结功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x user-ip freeze

1.3.2 ip check source dot1x

【命令】

ip check source dot1x

undo ip check source dot1x

【视图】

二层以太网端口视图

【缺省级别】

2：系统级

【描述】

ip check source dot1x命令用来配置基于802.1X认证的IP Source Guard动态表项功能，即端口通过获取802.1X用户的源IP地址和源MAC地址来生成IP Source Guard动态绑定表项。undo ip check source dot1x命令用来取消基于802.1X认证的IP Source Guard动态表项功能。

缺省情况下，基于802.1X认证的IPv4 Source Guard动态表项获取功能处于关闭状态。

需要注意的是：

· 如果端口已经根据802.1X认证生成了IP Source Guard动态绑定表项用于过滤报文，则使用undo ip check source dot1x命令取消了该绑定关系后，已经生成的相应类型的IP Source Guard动态绑定表项会被删除。

· 如果端口上的802.1X功能关闭，或者802.1X用户下线，已经生成的相应类型的IP Source Guard动态绑定表项会被删除。

【举例】

# 指定端口GigabitEthernet1/0/1通过获取802.1X用户表项来生成IP Source Guard动态绑定表项。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ip check source dot1x

2 新增特性—配置802.1X支持的域名分隔符

2.1 802.1X支持的域名分隔符配置

设备对用户的管理是基于ISP域的，每个接入用户都属于一个ISP域。用户所属的ISP域是由用户登录时提供的用户名决定的，若用户名中携带域名，则设备使用该域中的AAA配置对用户进行认证、授权和计费，否则使用系统中的缺省域；若设备指定了802.1X的强制认证域，则无论用户名中是否携带域名，设备均使用指定的强制认证域。因此，设备能够准确解析用户名中的纯用户名和域名对于为用户提供认证服务非常重要。由于不同的802.1X客户端所支持的用户名域名分隔符不同，为了更好地管理和控制不同用户名格式的802.1X用户接入，需要在设备上指定802.1X可支持的域名分隔符。

目前，802.1X支持的域名分隔符包括@、\、/和.，对应的用户名格式分别为username@domain-name， domain-name\username和username/domain-name和username.domain-name，其中username为纯用户名、domain-name为域名。如果用户名中包含有多个域名分隔符字符，则设备仅将第一个出现的域名分隔符识别为实际使用的域名分隔符，其它字符都被认为是域名中的一部分，例如，用户输入的用户名为123/22\@abc，则认为纯用户名为123，域名分隔符为/，域名为22\@abc。

如果用户输入的用户名中不包含任何802.1X可支持的域名分隔符，则设备会认为该用户名并未携带域名，则使用系统中的强制认证域或缺省域对该用户进行认证。

表4 指定802.1X支持的域名分隔符

操作	命令	说明
进入系统视图	system-view	-
指定802.1X支持的域名分隔符	dot1x domain-delimiter string	可选缺省情况下，仅支持域名分隔符@

操作

命令

说明

进入系统视图

system-view

指定802.1X支持的域名分隔符

dot1x domain-delimiter string

可选

缺省情况下，仅支持域名分隔符@

若设备上指定发送给认证服务器的用户名携带域名（user-name-format with-domain），则发送给认证服务器的用户名中携带该用户输入的域名（若原始用户名携带域名），或携带最终使用的认证域的域名（若原始用户名中未携带域名），并采用设备上指定的802.1X支持的域名分隔符。另外，为保证用户信息可在认证服务器上被准确匹配到，设备上指定的802.1X支持的域名分隔符必须与认证服务器支持的域名分隔符保持一致，否则可能会因为服务器匹配用户失败而导致用户认证失败。相关命令的具体介绍请参考“安全命令参考”中的“AAA”。

2.2 802.1X支持的域名分隔符配置命令

2.2.1 dot1x domain-delimiter

【命令】

dot1x domain-delimiter string

undo dot1x domain-delimiter

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

string：指定802.1X认证支持的域名分隔符，为1～16个字符的字符串，可包括字符@、\、/和.或四者的任意组合，且可重复，例如.@、@/、@/\、\@/、//等。

【描述】

dot1x domain-delimiter命令用来配置802.1X支持的域名分隔符。undo dot1x domain-delimiter命令用来恢复缺省情况。

缺省情况下，802.1X仅支持域名分隔符@。

需要注意的是：

· 系统默认支持分隔符@，但如果通过本命令指定的域名分隔符中未包含分隔符@，则802.1X仅会支持命令中指定的分隔符。

· 对于使用域名分隔符\或者/或者.的802.1X在线用户，不能通过cut connection user-name user-name命令切断其连接，也不能通过display connection user-name user-name命令查看到其相关信息。例如，执行命令cut connection user-name aaa\bbb后，不能切断在线用户aaa\bbb的连接。关于命令display connection和cut connection的介绍请参见“安全命令参考”中的“AAA”。

【举例】

# 配置802.1X支持的域名分隔符为@、\和/。

<Sysname> system-view

[Sysname] dot1x domain-delimiter @\/

3 变更特性－支持多备份HWTACACS服务器配置

3.1 特性变更说明

支持在HWTACACS案中同时配置主认证、授权、计费服务器和从认证、授权、计费服务器，则当设备判断主服务器不可达时，将使用从服务器进行认证、授权或计费。

每个HWTACACS方案中可以配置1个主HWTACACS服务器和16个从HWTACACS服务器，并且每个服务器可以单独配置共享密钥。

3.2 命令变更说明

3.2.1 修改-primary accounting

【原命令】

primary accounting ip-address [ port-number ]

undo primary accounting

【修改后的命令】

primary accounting ip-address [ port-number | key [ cipher | simple ] key ] *

undo primary accounting

【视图】

HWTACACS方案视图

【修改说明】

修改后，增加参数key [ cipher | simple ] key用来设置与主HWTACACS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。

非FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为1～373个字符的字符串，区分大小写。

· simple key：以明文方式设置共享密钥。key为1～255个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为8～373个字符的字符串，区分大小写。

· simple key：以明文方式设置共享密钥。key为8～255个字符的字符串，区分大小写，且必须包括四种类型的密钥元素（大写字母、小写字母、数字、特殊字符）。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

3.2.2 修改-primary authentication

【原命令】

primary accounting ip-address [ port-number ]

undo primary accounting

【修改后的命令】

primary authentication ip-address [ port-number | key [ cipher | simple ] key ] *

undo primary authentication

【视图】

HWTACACS方案视图

【修改说明】

修改后，增加参数key [ cipher | simple ] key用来设置与主HWTACACS认证服务器交互的认证报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。

非FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为1～373个字符的字符串，区分大小写。

· simple key：以明文方式设置共享密钥。key为1～255个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为8～373个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

3.2.3 修改-primary authorization

【原命令】

primary authorization ip-address [ port-number ]

undo primary authorization

【修改后的命令】

primary authorization ip-address [ port-number | key [ cipher | simple ] key ] *

undo primary authorization

【视图】

HWTACACS方案视图

【修改说明】

修改后，增加参数key [ cipher | simple ] key用来设置与主HWTACACS授权服务器交互的授权报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。

非FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为1～373个字符的字符串，区分大小写。

· simple key：以明文方式设置共享密钥。key为1～255个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为8～373个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

3.2.4 修改-secondary accounting

【原命令】

secondary accounting ip-address [ port-number ]

undo secondary accounting

【修改后的命令】

secondary accounting ip-address [ port-number | key [ cipher | simple ] key ] *

undo secondary accounting [ ip-address ]

【视图】

HWTACACS方案视图

【修改说明】

修改后，secondary accounting命令增加参数key [ cipher | simple ] key用来设置与从HWTACACS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。

非FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为1～373个字符的字符串，区分大小写。

· simple key：以明文方式设置共享密钥。key为1～255个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为8～373个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

undo secondary accounting命令增加ip-address参数，可删除指定IP地址的从HWTACACS计费服务器。

3.2.5 修改-secondary authentication

【原命令】

secondary authentication ip-address [ port-number ]

undo secondary authentication

【修改后的命令】

secondary authentication ip-address [ port-number | key [ cipher | simple ] key ] *

undo secondary authentication [ ip-address ]

【视图】

HWTACACS方案视图

【修改说明】

修改后，secondary authentication命令增加参数key [ cipher | simple ] key用来设置与从HWTACACS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。

非FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为1～373个字符的字符串，区分大小写。

· simple key：以明文方式设置共享密钥。key为1～255个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为8～373个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

undo secondary authentication命令增加ip-address参数，可删除指定IP地址的从HWTACACS认证服务器。

3.2.6 修改-secondary authorization

【原命令】

secondary authorization ip-address [ port-number ]

undo secondary authorization

【修改后的命令】

secondary authorization ip-address [ port-number | key [ cipher | simple ] key ] *

undo secondary authorization [ ip-address ]

【视图】

HWTACACS方案视图

【修改说明】

修改后，secondary authorization命令增加参数key [ cipher | simple ] key用来设置与从HWTACACS计费服务器交互的计费报文的共享密钥。此共享密钥必须与服务器上配置的共享密钥保持一致。

非FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为1～373个字符的字符串，区分大小写。

· simple key：以明文方式设置共享密钥。key为1～255个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

FIPS模式下：

· cipher key：以密文方式设置共享密钥。key为8～373个字符的字符串，区分大小写。

· 在不指定cipher和simple时，表示以明文方式设置共享密钥。

undo secondary authorization命令增加ip-address参数，可删除指定IP地址的从HWTACACS授权服务器。

R1513P51版本

本版本特性变更情况如下：

无

R1513P50版本

本版本特性变更情况如下：

无

R1513L36版本

本版本特性变更情况如下：

无

R1513P15版本

本版本特性变更情况如下：

· 变更特性－切换FIPS模式增加提示信息

· 变更特性－Smart Link组的编号取值范围变更

1 变更特性－切换FIPS模式增加提示信息

1.1 特性变更说明

执行命令fips mode enable或undo fips mode enable切换设备的FIPS模式，系统会输出相应提示信息。

开启FIPS模式：

[Sysname] fips mode enable

FIPS mode change requires a device reboot. Continue?[Y/N]:y

Change the configuration to meet FIPS mode requirements, save the configuration to the next-startup configuration file, and then reboot to enter FIPS mode.

关闭FIPS模式：

[Sysname] undo fips mode enable

FIPS mode change requires a device reboot. Continue?[Y/N]:y

Change the configuration to meet non-FIPS mode requirements, save the configuration to the next-startup configuration file, and then reboot to enter non-FIPS mode.

1.2 命令变更说明

无

2 变更特性－Smart Link组的编号取值范围变更

2.1 特性变更说明

创建Smart Link组时，Smart Link组的编号取值范围进行了修改。

2.2 命令变更说明

2.2.1 修改-smart-link group

【命令】

smart-link group group-id

undo smart-link group group-id

【视图】

系统视图

【修改说明】

修改前：参数group-id，取值范围为1～4。

修改后：参数group-id，取值范围为1～26。

R1513P07版本

本版本特性变更情况如下：

· 新增特性—开启源IP地址冲突提示功能

· 新增特性—密码恢复功能

· 新增特性—FIPS

· 新增特性－IPsec

· 新增特性－IKE

· 新增特性－验证文件的正确性和完整性配置

· 新增特性－CC认证日志文件写保护功能

· 变更特性－CC认证安全相关特性增加FIPS模式下命令行

· 变更特性－CC认证CLI相关特性增加FIPS模式下命令行

· 变更特性－CC认证登录交换机相关特性增加FIPS模式下命令行

· 变更特性－CC认证软件升级相关特性增加FIPS模式下相关限制

· 变更特性－CC认证配置文件管理相关特性增加FIPS模式下相关限制

· 变更特性－CC认证SNMP相关特性修改FIPS模式下命令行

1 新增特性—开启源IP地址冲突提示功能

1.1 开启源IP地址冲突提示功能

交换机接收到其它设备发送的免费ARP报文后，如果发现报文中的源IP地址和自己的IP地址相同，交换机会根据当前源IP地址冲突提示功能的状态，进行如下处理：

· 如果源IP地址冲突提示功能处于关闭状态，则发送一个免费ARP报文，在收到对应的ARP应答后才提示存在IP地址冲突。

· 如果源IP地址冲突提示功能处于开启状态，则立刻提示存在IP地址冲突。

表1 开启源IP地址冲突提示功能

操作	命令	说明
进入系统视图	system-view	-
开启源IP地址冲突提示功能	arp ip-conflict prompt	可选缺省情况下，源IP地址冲突提示功能处于关闭状态

操作

命令

说明

进入系统视图

system-view

开启源IP地址冲突提示功能

arp ip-conflict prompt

可选

缺省情况下，源IP地址冲突提示功能处于关闭状态

1.2 开启源IP地址冲突提示功能命令

1.2.1 arp ip-conflict prompt

【命令】

arp ip-conflict prompt

undo arp ip-conflict prompt

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

arp ip-conflict prompt命令用来开启源IP地址冲突提示功能。undo arp ip-conflict prompt命令用来恢复缺省情况。

缺省情况下，源IP地址冲突提示功能处于关闭状态。

【举例】

# 开启源IP地址冲突提示功能。

<Sysname> system-view

[Sysname] arp ip-conflict prompt

2 新增特性—密码恢复功能

2.1 特性变更说明

当用户忘记用户级别切换密码（super password命令中配置的密码）或者忘记登录认证密码，会导致无法操作或登录设备。为了保证用户能够对设备进行正常登录、配置，用户可进入BootWare扩展段，设置设备下次启动时采取何种方式（跳过配置文件、删除super password命令中配置的密码或恢复设备的出厂配置）。BootWare菜单中支持配置的选项与密码修复功能的配置有关，具体请参见《H3C S5120SI_E-CMW520-R1513P07 版本说明书》。

在丢失密码的情况下，可通过如下操作进入BootWare扩展段菜单：

· 通过Console口连接设备、并对设备进行断电重启。

· 在设备启动过程中，根据提示按<Ctrl+B>进入BootWare菜单。

表2 配置密码修复功能

操作	命令	说明
进入系统视图	system-view	-
开启密码修复功能	password-recovery enable	可选缺省情况下，密码修复功能处于开启状态
关闭密码修复功能	undo password-recovery enable	可选缺省情况下，密码修复功能处于开启状态

2.2 密码恢复功能命令

2.2.1 password-recovery enable

【命令】

password-recovery enable

undo password-recovery enable

【视图】

系统视图

【缺省级别】

管理级

【描述】

password-recovery enable命令用来开启密码恢复功能。undo password-recovery enable命令用来关闭密码恢复功能。

缺省情况下，密码恢复功能处于开启状态。

【举例】

# 关闭密码恢复功能。

<Sysname> system-view

[Sysname] undo password-recovery enable

3 新增特性—FIPS

3.1 FIPS简介

3.1.1 概述

FIPS（Federal Information Processing Standards，联邦信息处理标准）140-2 是NIST（National Institute of Standard and Technology，美国标准与技术研究所）颁布的针对密码算法安全的一个标准，它规定了一个安全系统中的密码模块应该满足的安全性要求。FIPS 140-2定义了四个安全级别：Level 1、Level 2、Level 3和Level 4，它们安全级别依次递增，可广泛适应于密码模块的各种应用环境。目前，设备支持Level 2。

若无特殊说明，文中的FIPS即表示FIPS 140-2。

3.1.2 FIPS的自检处理

FIPS模式处于使能状态之后，为确保密码模块的功能正常运行，系统会进行一定的自检处理，具体包括启动自检和条件自检。启动自检或条件自检失败后，设备均会自动重启。

如果出现反复自检失败重启的状况，有可能是设备内部的软件或者设备本身硬件损坏，需要更新软件或对设备硬件进行维修，请联系用服工程师解决。

1.启动自检（Power-up Self-tests）

启动自检是在设备启动过程中对FIPS允许使用的密码算法进行的自检。启动自检也称为已知结果的自检，即使用密码算法对已知的密钥和明文进行运算，如果运算结果与已知结果相同，则表示该算法的启动自检通过，否则表示自检失败。

2.条件自检（Conditional Self-tests）

条件自检是在非对称密码模块和随机数生成模块被使用时进行的自检，具体包括以下两种测试：

· 密钥对有效性测试：生成DSA/RSA非对称密钥对时进行的自检，具体为，首先使用公钥加密任意一段明文，然后使用对应的私钥对生成的密文进行解密，如果解密成功，则表示自检通过，否则自检失败。

· 随机数连续性测试：生成随机数的过程中进行的自检，如果前后两次生成的随机数不同，则表示自检通过，否则自检失败。该自检过程在FIPS模式下任何调用随机数的情况下进行。

3.手工触发密码算法自检

设备运行过程当中，当用户或管理员需要确认当前系统中的密码模块是否正常工作时，可以通过执行命令行来手工触发系统进行密码算法自检工作。手工触发的密码算法自检内容与设备启动时自动进行的启动自检（Power-up Self-tests）内容相同。该自检失败后，设备会自动重启。

3.2 配置FIPS

配置FIPS的基本配置思路如下：

(1) 需要手工删除原有的密钥对，证书等。

(2) 使能FIPS功能；

(3) 使能Password-control功能；

(4) 配置设备的本地用户相关属性（包括本地用户名，服务类型和密码等）

(5) 保存配置

完成上述配置并重启动设备以后，设备进入FIPS模式，设备运行于支持FIPS 140-2标准的工作模式下。在CC认证中，进入FIPS模式后，同时相当于设备运行于支持CC标准的工作模式下。

· 设备不支持从非FIPS版本升级到FIPS版本。

· 如果在IRF环境下切换FIPS模式，需要重启整个IRF后才能生效。

· 切换到FIPS模式后，原非FIPS模式下Telnet类型的本地用户将无法登录设备。

3.2.1 使能FIPS模式

表3 使能FIPS模式

操作	命令	说明
进入系统视图	system-view	-
使能FIPS模式	fips mode enable	必选缺省情况下，FIPS模式处于关闭状态

操作

命令

说明

进入系统视图

system-view

使能FIPS模式

fips mode enable

必选

缺省情况下，FIPS模式处于关闭状态

进入FIPS模式后，设备上的以下功能将发生变化

· FTP/TFTP功能被禁用。

· Telnet功能被禁用。

· HTTP服务器功能被禁用。

· 集群功能被禁用。

· SNMP v1和SNMP v2c版本的SNMP功能被禁用，只允许使用SNMP v3版本。

· SSL服务器只支持TLS1.0协议。

· SSH服务器不兼容SSHv1客户端。

· SSH只支持RSA。

· RSA只支持2048位的密钥对，DSA支持至少1024位的密钥对。

· SSH、SNMPv3、IPsec和SSL不支持DES、3DES、RC4、MD5算法。

3.2.2 配置手工触发密码算法自检

表4 手工触发密码算法自检

操作	命令	说明
进入系统视图	system-view	-
手工触发密码算法自检	fips self-test	必选

3.2.3 FIPS的显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后FIPS模式的状态，通过查看显示信息验证配置的效果。

表5 FIPS的显示和维护

操作	命令
显示FIPS模式的状态	display fips status

3.2.4 进入设备的FIPS模式典型配置举例

1.组网需求

· PC通过Console口与Switch相连。

· 通过配置Switch，使终端PC成功登录交换机，并进入设备的FIPS模式。

2.组网图

图1 进入设备FIPS模式登录组网图

3.配置步骤

# 配置FIPS模式。

<Sysname> system-view

[Sysname] fips mode enable

# 开启密码管理功能。

[Sysname] password-control enable

# 在设备上添加一个本地用户test，服务类型为终端用户类型，用户级别为3级，并设置其认证密码为AAbbcc1234%（密码要包含大小写字母，数字和特殊符号组成，并且默认最短为10位）。

[Sysname] local-user test

[Sysname-luser-test] service-type terminal

[Sysname-luser-test] authorization-attribute level 3

[Sysname-luser-test] password

Password:***********

Confirm :***********

Updating user(s) information, please wait...........

[Sysname-luser-test] quit

设置本地用户的密码时，请采用交互式方式进行设置，即本地用户视图下输入“passowrd”回车后，在提示信息下输入相应密码。

# 保存配置。

[Sysname] save

The current configuration will be written to the device. Are you sure? [Y/N]:y

Please input the file name(*.cfg)[flash:/startup.cfg]

(To leave the existing filename unchanged, press the enter key):

flash:/startup.cfg exists, overwrite? [Y/N]:y

Validating file. Please wait..........................

Saved the current configuration to mainboard device successfully.

Configuration is saved to device successfully.

[Sysname] quit

# 重启设备。

<Sysname> reboot

4.验证结果

重启设备后，输入用户名（test）密码（AAbbcc1234%），提示首次登录成功，请用户输入新密码（新密码和老密码必须至少四个字符不同）并确认后，成功登录设备。

User interface aux0 is available.

Please press ENTER.

Username:test

Password:

Info: First logged in. For security reasons you will need to change your password.

Please enter your new password.

Password:**********

Confirm :**********

Updating user(s) information, please wait...........

显示当前FIPS模式状态，可见设备工作在FIPS模式下。

<Sysname> display fips status

FIPS mode is enabled

如果配置FIPS模式之前未配置本地用户名或密码，只能通过忽略配置文件重启或删除配置文件后重新启动设备，设备恢复到非FIPS模式启动。

3.3 FIPS配置命令

3.4 fips mode enable

【命令】

fips mode enable

undo fips mode enable

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

fips mode enable命令用来使能FIPS模式。undo fips mode enable命令用来关闭FIPS模式。

缺省情况下，FIPS模式处于关闭状态。

开启FIPS模式后，必须要重启设备之后才会生效：即设备重启以后，才进入FIPS模式。设备支持的FIPS模式是符合FIPS 140-2标准的模式。

相关配置可参考命令display fips status。

【举例】

# 使能FIPS模式。

<Sysname> system-view

[Sysname] fips mode enable

3.5 display fips status

【命令】

display fips status

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

无

【描述】

display fips status 用来显示当前的FIPS模式状态。

相关配置可参考命令fips mode enable。

【举例】

# 显示当前的FIPS模式状态。

<Sysname> display fips status

FIPS mode is enabled

3.6 fips self-test

【命令】

fips self-test

【视图】

系统视图

【缺省级别】

3：管理级

【参数】

无

【描述】

fips self-test命令用来手工触发密码算法自检。

当管理员需要确认当前系统中的密码算法模块是否正常工作时，可以执行本命令触发密码算法自检。手工触发的密码算法自检内容与设备启动时自动进行的启动自检内容相同。

该自检失败后，设备会自动重启。

【举例】

# 手工触发密码算法自检。

<Sysname> system-view

[Sysname] fips self-test

Self-tests are running. Please wait...

Self-tests succeeded.

4 新增特性－IPsec

· 设备仅在FIPS模式下，支持IPsec特性。关于FIPS模式的介绍，请参见新增特性—FIPS。

· 本节所涉及的路由器和路由器图标，代表了一般意义下的路由器或运行了路由协议的交换机。

· 处于IRF状态的交换机不支持IPsec自动协商方式。

4.1 IPsec简介

IPsec（IP Security）是IETF制定的三层隧道加密协议，它为Internet上传输的数据提供了高质量的、可互操作的、基于密码学的安全保证。特定的通信方之间在IP层通过加密与数据源认证等方式，提供了以下的安全服务：

· 数据机密性（Confidentiality）：IPsec发送方在通过网络传输包前对包进行加密。

· 数据完整性（Data Integrity）：IPsec接收方对发送方发送来的包进行认证，以确保数据在传输过程中没有被篡改。

· 数据来源认证（Data Authentication）：IPsec在接收端可以认证发送IPsec报文的发送端是否合法。

· 防重放（Anti-Replay）：IPsec接收方可检测并拒绝接收过时或重复的报文。

IPsec具有以下优点：

· 支持IKE（Internet Key Exchange，因特网密钥交换），可实现密钥的自动协商功能，减少了密钥协商的开销。可以通过IKE建立和维护SA的服务，简化了IPsec的使用和管理。

· 所有使用IP协议进行数据传输的应用系统和服务都可以使用IPsec，而不必对这些应用系统和服务本身做任何修改。

· 对数据的加密是以数据包为单位的，而不是以整个数据流为单位，这不仅灵活而且有助于进一步提高IP数据包的安全性，可以有效防范网络攻击。

4.1.1 IPsec的协议实现

IPsec协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议AH（Authentication Header，认证头）、ESP（Encapsulating Security Payload，封装安全载荷）、IKE（Internet Key Exchange，因特网密钥交换）和用于网络认证及加密的一些算法等。其中，AH协议和ESP协议用于提供安全服务，IKE协议用于密钥交换。

IPsec提供了两种安全机制：认证和加密。认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改。加密机制通过对数据进行加密运算来保证数据的机密性，以防数据在传输过程中被窃听。

IPsec协议中的AH协议定义了认证的应用方法，提供数据源认证和完整性保证；ESP协议定义了加密和可选认证的应用方法，提供数据可靠性保证。

· AH协议（IP协议号为51）提供数据源认证、数据完整性校验和防报文重放功能，它能保护通信免受篡改，但不能防止窃听，适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头，此报文头插在标准IP包头后面，对数据提供完整性保护。可选择的认证算法有MD5（Message Digest）、SHA-1（Secure Hash Algorithm）等。

· ESP协议（IP协议号为50）提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头，并在数据包后面追加一个ESP尾。与AH协议不同的是，ESP将需要保护的用户数据进行加密后再封装到IP包中，以保证数据的机密性。常见的加密算法有DES、3DES、AES等。同时，作为可选项，用户可以选择MD5、SHA-1算法保证报文的完整性和真实性。

在实际进行IP通信时，可以根据实际安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于ESP。同时使用AH和ESP时，设备支持的AH和ESP联合使用的方式为：先对报文进行ESP封装，再对报文进行AH封装，封装之后的报文从内到外依次是原始IP报文、ESP头、AH头和外部IP头。

4.1.2 IPsec基本概念

1. 安全联盟（Security Association，SA）

IPsec在两个端点之间提供安全通信，端点被称为IPsec对等体。

SA是IPsec的基础，也是IPsec的本质。SA是通信对等体间对某些要素的约定，例如，使用哪种协议（AH、ESP还是两者结合使用）、协议的封装模式（传输模式和隧道模式）、加密算法（DES、3DES和AES）、特定流中保护数据的共享密钥以及密钥的生存周期等。建立SA的方式有手工配置和IKE自动协商两种。

SA是单向的，在两个对等体之间的双向通信，最少需要两个SA来分别对两个方向的数据流进行安全保护。同时，如果两个对等体希望同时使用AH和ESP来进行安全通信，则每个对等体都会针对每一种协议来构建一个独立的SA。

SA由一个三元组来唯一标识，这个三元组包括SPI（Security Parameter Index，安全参数索引）、目的IP地址、安全协议号（AH或ESP）。

SPI是用于唯一标识SA的一个32比特数值，它在AH和ESP头中传输。在手工配置SA时，需要手工指定SPI的取值。使用IKE协商产生SA时，SPI将随机生成。

通过IKE协商建立的SA具有生存周期，手工方式建立的SA永不老化。IKE协商建立的SA的生存周期有两种定义方式：

· 基于时间的生存周期，定义了一个SA从建立到失效的时间；

· 基于流量的生存周期，定义了一个SA允许处理的最大流量。

生存周期到达指定的时间或指定的流量，SA就会失效。SA失效前，IKE将为IPsec协商建立新的SA，这样，在旧的SA失效前新的SA就已经准备好。在新的SA开始协商而没有协商好之前，继续使用旧的SA保护通信。在新的SA协商好之后，则立即采用新的SA保护通信。

2. 封装模式

IPsec有如下两种工作模式：

· 隧道（tunnel）模式：用户的整个IP数据包被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常，隧道模式应用在两个安全网关之间的通讯。

· 传输（transport）模式：只是传输层数据被用来计算AH或ESP头，AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常，传输模式应用在两台主机之间的通讯，或一台主机和一个安全网关之间的通讯。

不同的安全协议在tunnel和transport模式下的数据封装形式如图2所示，data为传输层数据。

图2 安全协议数据封装格式

3. 认证算法与加密算法

(1) 认证算法

认证算法的实现主要是通过杂凑函数。杂凑函数是一种能够接受任意长的消息输入，并产生固定长度输出的算法，该输出称为消息摘要。IPsec对等体计算摘要，如果两个摘要是相同的，则表示报文是完整未经篡改的。IPsec使用两种认证算法：

· MD5：MD5通过输入任意长度的消息，产生128bit的消息摘要。

· SHA-1：SHA-1通过输入长度小于2的64次方bit的消息，产生160bit的消息摘要。

MD5算法的计算速度比SHA-1算法快，而SHA-1算法的安全强度比MD5算法高。

(2) 加密算法

加密算法实现主要通过对称密钥系统，它使用相同的密钥对数据进行加密和解密。目前设备的IPsec实现三种加密算法：

· DES（Data Encryption Standard）：使用56bit的密钥对一个64bit的明文块进行加密。

· 3DES（Triple DES）：使用三个56bit的DES密钥（共168bit密钥）对明文进行加密。

· AES（Advanced Encryption Standard）：使用128bit、192bit或256bit密钥长度的AES算法对明文进行加密。

这三个加密算法的安全性由高到低依次是：AES、3DES、DES，安全性高的加密算法实现机制复杂，运算速度慢。对于普通的安全要求，DES算法就可以满足需要。

4. 协商方式

有如下两种协商方式建立SA：

· 手工方式（manual）配置比较复杂，创建SA所需的全部信息都必须手工配置，而且不支持一些高级特性（例如定时更新密钥），但优点是可以不依赖IKE而单独实现IPsec功能。

· IKE自动协商（isakmp）方式相对比较简单，只需要配置好IKE协商安全策略的信息，由IKE自动协商来创建和维护SA。

当与之进行通信的对等体设备数量较少时，或是在小型静态环境中，手工配置SA是可行的。对于中、大型的动态网络环境中，推荐使用IKE协商建立SA。

5. 安全隧道

安全隧道是建立在本端和对端之间可以互通的一个通道，它由一对或多对SA组成。

4.1.3 协议规范

与IPsec相关的协议规范有：

· RFC2401：Security Architecture for the Internet Protocol

· RFC2402：IP Authentication Header

· RFC2406：IP Encapsulating Security Payload

· RFC4552：Authentication/Confidentiality for OSPFv3

4.2 建立IPsec隧道的配置方式

目前，设备仅支持基于ACL建立IPsec隧道的配置方式：由ACL来指定要保护的数据流范围，通过配置安全策略并将安全策略绑定在实际的物理接口上来完成IPsec的配置。这种方式可以利用ACL的丰富配置功能，结合实际的组网环境灵活制定IPsec安全策略。

4.3 基于ACL建立IPsec安全隧道配置

4.3.1 IPsec隧道限制说明

设备通过ACL来识别由IPsec隧道保护的流量时，受保护的流量只能是源地址或目的地址为本机的报文。例如：可配置IPsec隧道对设备发送给日志服务器的日志信息进行保护。ACL中定义的匹配转发流量的规则不生效，IPsec不会对设备转发的任何数据流和语音流进行保护。关于IPsec中ACL规则的定义请参见“4.3.3 配置访问控制列表”。

4.3.2 配置任务简介

基于ACL建立IPsec安全隧道的基本配置思路如下：

(1) 通过配置访问控制列表，用于匹配需要保护的数据流；

(2) 通过配置安全提议，指定安全协议、认证算法和加密算法、封装模式等；

(3) 通过配置安全策略，将要保护的数据流和安全提议进行关联（即定义对何种数据流实施何种保护），并指定SA的协商方式、对等体IP地址（即保护路径的起/终点）、所需要的密钥和SA的生存周期等；

(4) 最后在设备接口上应用安全策略即可完成IPsec隧道的配置。

表6 配置任务简介

配置任务		说明	详细配置
IPsec基本配置	配置访问控制列表	必选	4.3.3
	配置安全提议		4.3.4
	配置安全策略		4.3.5
	在接口上应用安全策略组		4.3.6
配置会话空闲超时时间		可选	4.3.7
使能解封装后IPsec报文的ACL检查开关		可选	4.3.8
配置IPsec抗重放功能		可选	4.3.9
配置报文信息预提取功能		可选	4.3.10

通常情况下，由于IKE协议采用UDP的500端口进行通信，IPsec的AH和ESP协议分别使用51或50号协议来工作，因此为保障IKE和IPsec的正常运行，需要确保应用了IKE和IPsec配置的接口上没有禁止掉属于以上端口和协议的流量。

4.3.3 配置访问控制列表

ACL（Access Control List，访问控制列表）是用来实现流识别功能的。网络设备为了过滤报文，需要配置一系列的匹配条件对报文进行分类，当设备的端口接收到报文后，即根据当前端口上应用的ACL规则对报文进行分析、识别之后，根据预先设定的策略对报文进行不同的处理。

1.ACL规则中关键字的使用

IPsec通过配置ACL来定义需要过滤的数据流。在IPsec的应用中，ACL规则中的permit关键字表示与之匹配的流量需要被IPsec保护，而规则中的deny关键字则表示与之匹配的那些流量不需要保护。一个ACL中可以配置多条规则，首个与数据流匹配上的规则决定了对该数据流的处理方式，如果该规则为permit，则该规则就定义了需要建立SA来保护的数据流量的范围。

在IPsec策略中定义的ACL既可用于过滤接口入方向数据流，也可用于过滤接口出方向数据流。

· 设备出入方向的数据流都使用IPsec策略中定义的ACL规则来做匹配依据。具体是，出方向的数据流正向匹配ACL规则，入方向的数据流反向匹配ACL规则。

· 在出方向上，与ACL的permit规则匹配的报文将被IPsec保护，未匹配上任何规则或与deny规则匹配上的报文将不被IPsec保护。

· 在入方向上，与ACL的permit规则匹配上的未被IPsec保护的报文将被丢弃，目的地址为本机的IPsec报文将被进行解封装处理，解封装后的IP报文若能与ACL的permit规则匹配上则采取后续处理，否则丢弃。

需要注意的是：

· 仅对确实需要IPsec保护的数据流配置permit规则，避免盲目地使用关键字any。这是因为，在一个permit规则中使用any关键字就代表所有指定范围上出方向的流量都需要被IPsec保护，所有对应入方向上被保护的IPsec报文将被接收并处理，入方向上未被保护的IPsec报文将被丢弃。这种情况下，一旦入方向收到的某流量是未被IPsec保护的，那么该流量就会被丢弃，这会造成一些本不需要IPsec处理的流量丢失，影响正常的业务流传输。

· 合理使用deny规则，尤其是在一个安全策略下有多条优先级不同的子安全策略时，避免本应该与优先级较低的子安全策略的ACL permit规则匹配而被IPsec保护的出方向报文，因为先与优先级较高的子安全策略的ACL deny规则匹配上，而在接收端被当作未被IPsec保护的报文丢弃。

· 在交换机上给IPsec使用的ACL不能与其它业务共享，并且ACL中的规则要对称，否则某些情况下IPsec只能保护单一方向的数据流。

2.ACL规则的配置

为保证SA的成功建立，建议将IPsec对等体上的访问控制列表镜像配置，即保证两端要保护的数据流范围是镜像的。

若IPsec对等体上的访问控制列表配置非镜像，那么只有一种情况下，SA的协商是可以建立的。这种情况就是，一端的访问控制列表规则定义的范围是另外一端的子集。但需要注意的是，在这种ACL配置下，并不是任何一端发起的SA协商都可以成功，仅当保护范围小（细粒度）的一端向保护范围大（粗粒度）的一端发起的协商才能成功，反之则协商失败。这是因为，协商响应方要求协商发起方发送过来的数据必须在响应方可以接受的范围之内。其结果就是，从细粒度一端向粗粒度一端发起的协商是可以成功的；从粗粒度一方向细粒度一方发起的协商是不能成功的。

3.数据流的保护方式

目前，设备支持的数据流的保护方式为标准方式：即一条隧道保护一条数据流。ACL中的每一个规则对应的数据流都会由一条单独创建的隧道来保护。

· ACL的具体配置请参见“ACL和QoS配置指导”中的“ACL”。

· 若在接口上同时使能IPsec和QoS，同一个IPsec安全联盟的数据流如果被QoS分类进入不同队列，会导致部分报文发送乱序。由于IPsec具有防重放功能，IPsec入方向上对于防重放窗口之外的报文会进行丢弃，从而导致丢包现象。因此当IPsec与QoS结合使用时，必须保证IPsec分类与QoS分类规则配置保持一致。IPsec的分类规则完全由引用的ACL规则确定，QoS分类规则的配置请参考“ACL和QoS配置指导”中的“QoS配置方式”。

4.3.4 配置安全提议

安全提议是安全策略的一个组成部分，它用于保存IPsec需要使用的特定安全协议、加密/认证算法以及封装模式，为IPsec协商SA提供各种安全参数。

表7 配置安全提议

操作		命令	说明
进入系统视图		system-view	-
创建安全提议，并进入安全提议视图		ipsec proposal proposal-name	必选缺省情况下，没有任何安全提议存在
配置安全提议采用的安全协议		transform { ah \| ah-esp \| esp }	可选缺省情况下，采用ESP协议
配置安全算法	配置ESP协议采用的加密算法	esp encryption-algorithm aes [ key-length ]	可选缺省情况下，ESP协议缺省采用AES-128加密算法
	配置ESP协议采用的认证算法	esp authentication-algorithm sha1	可选缺省情况下， ESP协议缺省采用SHA1认证算法
	配置AH协议采用的认证算法	ah authentication-algorithm sha1	可选缺省情况下，AH协议缺省采用SHA1认证算法
配置安全协议对IP报文的封装形式		encapsulation-mode { transport \| tunnel }	可选缺省情况下，安全协议采用隧道模式对IP报文进行封装传输模式必须应用于数据流的源地址和目的地址与安全隧道两端地址相同的情况下

· 可对安全提议进行修改，但对已协商成功的SA，新修改的安全提议并不起作用，即SA仍然使用原来的安全提议（除非使用reset ipsec sa命令重置），只有新协商的SA将使用新的安全提议。

· 只有选择了相应的安全协议后，该安全协议所需的安全算法才可配置。例如，如果使用transform命令选择了esp，那么只有ESP所需的安全算法才可配置，而AH所需的安全算法则不能配置。ESP协议允许对报文同时进行加密和认证，FIPS模式下，ESP必须同时使用加密和认证。

4.3.5 配置安全策略

安全策略规定了对什么样的数据流采用什么样的安全提议。一条安全策略由“名字”和“顺序号”共同唯一确定。

安全策略分为手工安全策略和IKE协商安全策略：

· 手工配置方式：需要用户手工配置密钥、SPI等参数，在隧道模式下还需要手工配置安全隧道两个端点的IP地址；

· IKE协商方式：由IKE自动协商生成各参数。

1.手工配置安全策略

(1) 配置准备

手工配置安全策略时，除完成该安全策略需要引用的访问控制列表及安全提议的配置之外，为保证SA的协商成功，安全隧道两端的配置必须符合以下要求：

· 安全策略引用的安全提议应采用相同的安全协议、安全算法和报文封装形式；

· 当前端点的对端地址与对端的本端地址应保持一致；

· 应分别设置出方向SA和入方向SA的参数，且保证SA的唯一性，即不同SA必须对应不同的SPI；

· 本端和对端SA的SPI及密钥必须是完全匹配的。即，本端的入方向SA的SPI及密钥必须和对端的出方向SA的SPI及密钥相同；本端的出方向SA的SPI及密钥必须和对端的入方向SA的SPI及密钥相同；

· 两端SA使用的密钥应当以相同的方式输入。即，一端以字符串方式输入密钥，另一端必须也以字符串方式输入密钥。而且，任何一端出入方向的SA使用的密钥也应当以相同的方式输入。

(2) 手工配置安全策略

表8 手工配置安全策略

操作			命令	说明
进入系统视图			system-view	-
用手工方式创建一条安全策略，并进入安全策略视图			ipsec policy policy-name seq-number manual	必选缺省情况下，没有任何安全策略存在
配置安全策略引用的访问控制列表			security acl acl-number	必选缺省情况下，安全策略没有指定访问控制列表
配置安全策略所引用的安全提议			proposal proposal-name	必选缺省情况下，安全策略没有引用任何安全提议
配置隧道的起点与终点	配置安全隧道的本端地址		tunnel local ip-address	必选缺省情况下，没有配置安全隧道的本端地址和对端地址
配置隧道的起点与终点	配置安全隧道的对端地址		tunnel remote ip-address	必选缺省情况下，没有配置安全隧道的本端地址和对端地址
配置SA的安全参数索引参数			sa spi { inbound \| outbound } { ah \| esp } spi-number	必选缺省情况下，不存在SA的安全参数索引
配置SA使用的密钥		配置协议的认证密钥（以16进制方式输入）	sa authentication-hex { inbound \| outbound } { ah \| esp } [ cipher \| simple ] hex-key	必选对于ESP协议，配置认证密钥时，系统会自动地同时生成认证算法的密钥和加密算法的密钥
配置SA使用的密钥		配置ESP协议的加密密钥（以16进制方式输入）	sa encryption-hex { inbound \| outbound } esp [ cipher \| simple ] hex-key	必选对于ESP协议，配置认证密钥时，系统会自动地同时生成认证算法的密钥和加密算法的密钥

· 一条安全策略只能引用一条访问控制列表，如果设置安全策略引用了多于一个访问控制列表，最后引用的那条访问控制列表才有效。

· 通过手工方式建立SA，一条安全策略只能引用一个安全提议，并且如果已经引用了安全提议，必须先取消原先的安全提议才能引用新的安全提议。

· 在为系统配置SA时，必须分别设置inbound和outbound两个方向SA的参数。同时，为保证SA的唯一性，不同SA必须对应不同的SPI，且设备上同一个方向上的SPI必须不同。

· 如果先后以不同的方式输入了密钥，则最后设定的密钥有效。

· 对于手工方式创建的安全策略，不能直接修改它的创建方式，而必须先删除该安全策略然后再重新创建。

2. 配置使用IKE协商方式的安全策略

在采用IKE方式配置安全策略时，目前仅支持直接配置安全策略，即：在安全策略视图中定义需要协商的各参数。

(1) 配置准备

在配置IKE协商安全策略之前，需要完成以下配置：

· 配置所引用的访问控制列表和安全提议。

· 配置IKE对等体。具体配置请参见“5.5 配置IKE对等体”。

为保证IKE协商成功，安全策略中所有配置的参数必须在本端和对端相匹配。

(2) 直接配置使用IKE协商方式的安全策略

表9 直接配置使用IKE协商方式的安全策略

操作	命令	说明
进入系统视图	system-view	-
创建一条安全策略，并进入安全策略视图	ipsec policy policy-name seq-number isakmp	必选缺省情况下，没有安全策略存在
配置用于描述安全策略的IPsec连接名	connection-name name	可选缺省情况下，无IPsec连接名
配置安全策略引用的访问控制列表	security acl acl-number	必选缺省情况下，安全策略没有指定访问控制列表
配置安全策略所引用的安全提议	proposal proposal-name&<1-6>	必选缺省情况下，安全策略没有引用任何提议
在安全策略中引用IKE对等体	ike-peer peer-name	必选
配置使用此安全策略发起协商时使用PFS特性	pfs { dh-group2 \| dh-group5 \| dh-group14 }	可选缺省情况下，安全策略发起协商时没有使用PFS特性 PFS（Perfect Forward Secrecy，完善的前向安全性）特性请参见“5.1.1 IKE的安全机制”
配置SA的生存周期	sa duration { time-based seconds \| traffic-based kilobytes }	可选缺省情况下，安全策略的SA生存周期为当前全局的SA生存周期值
使能安全策略	policy enable	可选缺省情况下，安全策略处于使能状态
退回系统视图	quit	-
配置全局SA的生存周期	ipsec sa global-duration { time-based seconds \| traffic-based kilobytes }	可选缺省情况下，SA基于时间的生存周期为3600秒，基于流量的生存周期为1843200千字节

· 一条安全策略只能引用一条访问控制列表，如果设置安全策略引用了多于一个访问控制列表，最后配置的那条访问控制列表才有效。

· 通过IKE协商建立SA，一条安全策略最多可以引用六个安全提议，IKE协商将在安全隧道的两端搜索能够完全匹配的安全提议。如果IKE在两端找不到完全匹配的安全提议，则SA不能建立，需要被保护的报文将被丢弃。

· IKE在使用安全策略发起一个协商时，可以进行一个PFS交换。如果本端配置了PFS特性，则发起协商的对端也必须配置PFS特性，而且本端和对端指定的DH组必须一致，否则协商会失败。

· 所有在安全策略视图下没有单独配置生存周期的SA，都采用全局生存周期。IKE为IPsec协商建立SA时，采用本地设置的和对端提议的生存周期中较小的一个。

· 对于IKE方式创建的安全策略，不能直接修改它的创建方式，而必须先删除该安全策略然后再重新创建。

4.3.6 在接口上应用安全策略组

安全策略组是所有具有相同名字、不同顺序号的安全策略的集合。在同一个安全策略组中，顺序号越小的安全策略，优先级越高。

为使定义的SA生效，应在每个要加密的数据流和要解密的数据流所在接口（逻辑的或物理的）上应用一个安全策略组，以对数据进行保护。当取消安全策略组在接口上的应用后，此接口便不再具有IPsec的安全保护功能。

当从一个接口发送数据时，将按照从小到大的顺序号查找安全策略组中每一条安全策略。如果数据匹配了一条安全策略引用的访问控制列表，则使用这条安全策略对数据进行处理；如果数据没有匹配安全策略引用的访问控制列表，则继续查找下一条安全策略；如果数据与所有安全策略引用的访问控制列表都不匹配，则直接被发送（IPsec不对数据加以保护）。

表10 在接口上应用安全策略组

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
应用指定的安全策略组	ipsec policy policy-name	必选

· 目前，设备上的安全策略只支持在Vlan接口下配置。

· 一个接口只能应用一个安全策略组。交换机上同一个安全策略不建议应用到多个接口上，通过手工创建的安全策略只能应用到一个接口上。

4.3.7 配置会话空闲超时时间

数据包首次匹配IPsec策略后创建IPsec会话，并根据匹配结果创建IPsec会话表项，会话表项中记录了报文的五元组（源IP地址、目的IP地址、协议号、源端口、目的端口）和匹配的IPsec隧道。

IPsec会话的删除由IPsec会话的空闲超时时间决定。IPsec会话在超过它的空闲超时时间之后，被自动删除。

属于该会话的后续数据流根据报文的五元组，来查找会话表项。如果找到匹配的会话表项，则根据会话表项中的隧道信息来处理；如果没有找到匹配的会话表项，则按照IPsec原来的处理流程来处理，即从接口下查找策略组、策略，最后查找匹配的隧道来处理。

IPsec流程中增加的会话处理机制，节省了大量的中间匹配过程，提高了IPsec的转发效率。

表11 配置会话空闲超时时间

操作

命令

说明

进入系统视图

system-view

配置IPsec会话的空闲超时时间

ipsec session idle-time seconds

可选

缺省情况下，IPsec会话的空闲超时时间为300秒

4.3.8 使能解封装后IPsec报文的ACL检查功能

在隧道模式下，对于解封装之后的入方向IPsec报文，有可能出现报文的内部IP头不在当前安全策略配置的ACL保护范围内的情况，如网络中恶意构造的攻击报文头可能不在此范围，所以需要重新检查报文内部IP头是否在ACL保护范围内。使能该功能后可以保证ACL检查不通过的报文被丢弃，从而提高网络安全性。

表12 使能解封装后IPsec报文的ACL检查功能

操作

命令

说明

进入系统视图

system-view

使能解封装后IPsec报文的ACL检查功能

ipsec decrypt check

可选

缺省情况下，解封装后IPsec报文的ACL检查功能处于使能状态

4.3.9 配置IPsec抗重放功能

通常，重放报文是指已经处理过的报文。IPsec通过滑动窗口（抗重放窗口）机制检测重放报文。AH和ESP协议报文中带有序列号，如果收到报文的序列号与已经解封装过的报文序列号相同，或报文的序列号出现得较早，即已经超过了抗重放窗口的范围，则认为该报文为重放报文。

由于对重放报文的解封装无实际作用，并且解封装过程涉及密码学运算，会消耗设备大量的资源，导致业务可用性下降，实际上构成了拒绝服务攻击。通过使能IPsec抗重放检测功能，将检测到的重放报文在解封装处理之前丢弃，可以降低设备资源的消耗。

另外，在某些特定环境下，业务数据报文的序列号顺序可能与正常的顺序差别较大，虽然并非有意的重放攻击，但会被抗重放检测认为是重放报文，导致业务数据报文被丢弃，影响业务的正常运行。因此，这种情况下就可以通过关闭IPsec抗重放检测功能来避免业务数据报文的错误丢弃，也可以通过适当地增大抗重放窗口的宽度，来适应业务正常运行的需要。

表13 配置IPsec抗重放功能

操作	命令	说明
进入系统视图	system-view	-
使能IPsec抗重放检测功能	ipsec anti-replay check	可选缺省情况下，IPsec抗重放检测功能处于使能状态
配置IPsec抗重放窗口宽度	ipsec anti-replay window width	可选缺省情况下，IPsec抗重放窗口宽度为32

· IPsec抗重放检测功能缺省是使能的，是否关闭该功能请根据实际需求慎重使用。

· 使用较大的抗重放窗口宽度会引起系统开销增大，导致系统性能下降，与抗重放检测用于降低系统在接收重放报文时的开销的初衷不符，因此建议在能够满足业务运行需要的情况下，使用较小的抗重放窗口宽度。

按照IPsec协议，只有IKE协商的IPsec SA才能够支持抗重放检测，手工方式生成的IPsec SA不支持抗重放检测。因此该功能使能与否与对手工方式生成的IPsec SA没有影响。

4.3.10 配置报文信息预提取功能

当在接口上同时应用了IPsec策略与QoS策略时，缺省情况下，QoS使用被封装报文的外层IP头信息来对报文进行分类。但如果希望QoS基于被封装报文的原始IP头信息对报文进行分类，则需要配置报文信息预提取功能来实现。

关于QoS策略及QoS分类的相关介绍请参见“ACL和QoS配置指导”中的“QoS配置方式”。

表14 配置报文信息预提取功能

操作	命令	说明
进入系统视图	system-view	-
进入安全策略视图	ipsec policy policy-name seq-number [ isakmp \| manual ]	二者必选其一
配置报文信息预提取功能	qos pre-classify	必选缺省情况下，报文信息预提取功能处于关闭状态

4.3.11 IPsec显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后IPsec的运行情况，通过查看显示信息认证配置的效果。

在用户视图下执行reset命令可以清除IPsec统计信息。

表15 IPsec显示和维护

操作	命令
显示安全策略的信息	display ipsec policy [ brief \| name policy-name [ seq-number ] ] [ \| { begin \| exclude \| include } regular-expression ]
显示安全提议的信息	display ipsec proposal [ proposal-name ] [ \| { begin \| exclude \| include } regular-expression ]
显示SA的相关信息	display ipsec sa [ brief \| policy policy-name [ seq-number ] \| remote ip-address ] [ \| { begin \| exclude \| include } regular-expression ]
显示IPsec会话的信息	display ipsec session [ tunnel-id integer ] [ \| { begin \| exclude \| include } regular-expression ]
显示IPsec处理报文的统计信息	display ipsec statistics [ tunnel-id integer ] [ \| { begin \| exclude \| include } regular-expression ]
显示IPsec隧道的信息	display ipsec tunnel [ \| { begin \| exclude \| include } regular-expression ]
清除已经建立的SA	reset ipsec sa [ parameters dest-address protocol spi \| policy policy-name [ seq-number ] \| remote ip-address ]
清除设备上IPsec隧道的会话	reset ipsec session [ tunnel-id integer ]
清除IPsec的报文统计信息	reset ipsec statistics

4.3.12 采用IKE方式建立保护IPv4报文的IPsec安全隧道配置举例

1.组网需求

· 如图3所示，在Switch A和Switch B之间建立一个安全隧道，对Switch A与Switcht B之间的数据流进行安全保护。

· 安全协议采用ESP协议，加密算法采用AES 128，认证算法采用HMAC-SHA1-96。

2.组网图

图3 IPsec配置组网图

3.配置步骤

(1) 配置Switch A

# 配置Vlan-interface1接口的IP地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 1

[SwitchA-Vlan-interface1] ip address 2.2.2.1 255.255.255.0

[SwitchA-Vlan-interface1] quit

# 配置一个访问控制列表，定义由Switch A去Switch B的数据流。

[SwitchA] acl number 3101

[SwitchA-acl-adv-3101] rule 0 permit ip source 2.2.2.1 0 destination 2.2.3.1 0

[SwitchA-acl-adv-3101] rule 5 permit ip source 2.2.3.1 0 destination 2.2.2.1 0

[SwitchA-acl-adv-3101] quit

# 创建名为tran1的安全提议。

[SwitchA] ipsec proposal tran1

# 报文封装形式采用隧道模式。

[SwitchA-ipsec-proposal-tran1] encapsulation-mode tunnel

# 安全协议采用ESP协议。

[SwitchA-ipsec-proposal-tran1] transform esp

# 选择算法。

[SwitchA-ipsec-proposal-tran1] esp encryption-algorithm aes 128

[SwitchA-ipsec-proposal-tran1] esp authentication-algorithm sha1

[SwitchA-ipsec-proposal-tran1] quit

# 配置IKE对等体。

[SwitchA] ike peer peer

[SwitchA-ike-peer-peer] pre-shared-key Ab12<><>

[SwitchA-ike-peer-peer] remote-address 2.2.3.1

[SwitchA-ike-peer-peer] quit

# 创建一条安全策略，协商方式为isakmp。

[SwitchA] ipsec policy map1 10 isakmp

# 引用安全提议。

[SwitchA-ipsec-policy-isakmp-map1-10] proposal tran1

# 引用访问控制列表。

[SwitchA-ipsec-policy-isakmp-map1-10] security acl 3101

# 引用IKE对等体。

[SwitchA-ipsec-policy-isakmp-map1-10] ike-peer peer

[SwitchA-ipsec-policy-isakmp-map1-10] quit

# 在Vlan-interface1接口上应用安全策略组。

[SwitchA] interface vlan-interface 1

[SwitchA-Vlan-interface1] ipsec policy map1

(2) 配置Switch B

# 配置Vlan-interface1接口的IP地址。

<SwitchB> system-view

[SwitchB] interface vlan-interface 1

[SwitchB-Vlan-interface1] ip address 2.2.3.1 255.255.255.0

[SwitchB-Vlan-interface1] quit

# 配置一个访问控制列表，定义由Switch B去Switch A的数据流。

[SwitchB] acl number 3101

[SwitchB-acl-adv-3101] rule 0 permit ip source 2.2.3.1 0 destination 2.2.2.1 0

[SwitchB-acl-adv-3101] rule 5 permit ip source 2.2.2.1 0 destination 2.2.3.1 0

[SwitchB-acl-adv-3101] quit

# 创建名为tran1的安全提议。

[SwitchB] ipsec proposal tran1

# 报文封装形式采用隧道模式。

[SwitchB-ipsec-proposal-tran1] encapsulation-mode tunnel

# 安全协议采用ESP协议。

[SwitchB-ipsec-proposal-tran1] transform esp

# 选择算法。

[SwitchB-ipsec-proposal-tran1] esp encryption-algorithm aes 128

[SwitchB-ipsec-proposal-tran1] esp authentication-algorithm sha1

[SwitchB-ipsec-proposal-tran1] quit

# 配置IKE对等体。

[SwitchB] ike peer peer

[SwitchB-ike-peer-peer] pre-shared-key Ab12<><>

[SwitchB-ike-peer-peer] remote-address 2.2.2.1

[SwitchB-ike-peer-peer] quit

# 创建一条安全策略，协商方式为isakmp。

[SwitchB] ipsec policy use1 10 isakmp

# 引用访问控制列表。

[SwitchB-ipsec-policy-isakmp-use1-10] security acl 3101

# 引用安全提议。

[SwitchB-ipsec-policy-isakmp-use1-10] proposal tran1

# 引用IKE对等体。

[SwitchB-ipsec-policy-isakmp-use1-10] ike-peer peer

[SwitchB-ipsec-policy-isakmp-use1-10] quit

# 在Vlan-interface1接口上应用安全策略组。

[SwitchB] interface vlan-interface 1

[SwitchB-Vlan-interface1] ipsec policy use1

4.验证配置结果

以上配置完成后，Switch A和Switch B之间如果有报文发送，将触发IKE进行协商建立SA。IKE协商成功并创建了SA后，Switch A和Switch B之间的数据流将被加密传输。

4.4 IPsec配置命令

4.4.1 ah authentication-algorithm

【命令】

ah authentication-algorithm sha1

undo ah authentication-algorithm

【视图】

安全提议视图

【缺省级别】

2：系统级

【参数】

sha1：采用SHA-1认证算法。

【描述】

ah authentication-algorithm命令用来配置AH协议采用的认证算法。undo ah authentication-algorithm命令用来恢复缺省情况。

缺省情况下，AH协议采用SHA-1认证算法。

需要注意的是，只有先使用transform命令选择了ah或ah-esp安全协议后，才能够配置ah认证算法。

相关配置可参考命令ipsec proposal和transform。

【举例】

# 配置安全提议prop1，设定AH协议采用SHA-1算法。

<Sysname> system-view

[Sysname] ipsec proposal prop1

[Sysname-ipsec-proposal-prop1] transform ah

[Sysname-ipsec-proposal-prop1] ah authentication-algorithm sha1

4.4.2 connection-name

【命令】

connection-name name

undo connection-name

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

name：IPsec连接的名称，为1～32个字符的字符串，不区分大小写。

【描述】

connection-name命令用来配置IPsec连接名，该连接名用于描述一个IPsec安全策略。undo connection-name命令用来恢复缺省情况。

缺省情况下，无IPsec连接名。

【举例】

# 配置一个IPsec连接名“aaa”来描述序号为1的安全策略policy1。

<Sysname> system-view

[Sysname] ipsec policy policy1 1 isakmp

[Sysname-ipsec-policy-isakmp-policy1-1] connection-name aaa

4.4.3 display ipsec policy

【命令】

display ipsec policy [ brief | name policy-name [ seq-number ] ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

brief：显示所有安全策略的简要信息。

name：显示指定安全策略的详细信息。

policy-name：指定安全策略的名字，为1～15个字符的字符串。

seq-number：指定安全策略的顺序号，取值范围为1～65535。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ipsec policy命令用来显示安全策略的信息。

需要注意的是：

· 如果不指定任何参数，则显示所有安全策略的详细信息。

· 如果指定了name policy-name，而没有指定seq-number，则显示指定的安全策略组的详细信息。

相关配置可参考命令ipsec policy (system-view)。

【举例】

# 显示所有安全策略的简要信息。

<Sysname> display ipsec policy brief

IPsec-Policy-Name Mode acl ike-peer name Mapped Template

------------------------------------------------------------------------

aaa-100 manual

policy1-1 isakmp

IPsec-Policy-Name Mode acl Local-Address Remote-Address

------------------------------------------------------------------------

aaa-100 manual

表16 display ipsec policy brief命令显示信息描述表

字段	描述
IPsec-Policy-Name	安全策略的名字和顺序号
Mode	安全策略采用的协商方式 · manual：手工方式 · isakmp：IKE协商方式
acl	安全策略引用的访问控制列表
ike-peer name	对等体的名称
Mapped Template	引用的安全策略模板名
Local-Address	本端的IP地址
Remote-Address	对端的IP地址

# 显示所有安全策略的详细信息。

<Sysname> display ipsec policy

===========================================

IPsec Policy Group: "aaa"

Interface:

===========================================

-----------------------------

IPsec policy name: "aaa"

sequence number: 100

mode: manual

-----------------------------

security data flow :

tunnel local address:

tunnel remote address:

proposal name:

inbound AH setting:

AH spi:

AH string-key:

AH authentication hex key:

inbound ESP setting:

ESP spi:

ESP string-key:

ESP encryption hex key:

ESP authentication hex key:

outbound AH setting:

AH spi:

AH string-key:

AH authentication hex key:

outbound ESP setting:

ESP spi:

ESP string-key:

ESP encryption hex key:

ESP authentication hex key:

===========================================

IPsec Policy Group: "policy1"

Interface:

===========================================

-----------------------------

IPsec policy name: "policy1"

sequence number: 1

mode: isakmp

-----------------------------

security data flow :

selector mode: standard

tunnel remote address:

perfect forward secrecy:

proposal name:

IPsec sa local duration(time based): 3600 seconds

IPsec sa local duration(traffic based): 1843200 kilobytes

policy enable: True

表17 display ipsec policy命令显示信息描述表

字段	描述
IPsec Policy Group	安全策略组的名称
security data flow	安全策略引用的访问控制列表
Interface	应用了安全策略的接口名称
IPsec policy name	安全策略的名称
sequence number	安全策略的顺序号
mode	安全策略采用的协商方式 · mannul：手工方式 · isakmp：IKE协商方式
selector mode	安全策略的数据流保护方式
ike-peer name	安全策略引用的IKE对等体名称
tunnel local address	隧道本端的IP地址
tunnel remote address	隧道对端的IP地址
perfect forward secrecy	是否采用了完善的前向安全性（PFS）
proposal name	安全策略引用的提议的名字
policy enable	安全策略是否被使能
inbound/outbound AH/ESP setting	输入/输出端采用AH/ESP协议的有关设置，包括SPI和密钥

4.4.4 display ipsec proposal

【命令】

display ipsec proposal [ proposal-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

proposal-name：指定提议的名字，为1～32个字符的字符串。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ipsec proposal命令用来显示安全提议的信息。

如果没有指定提议的名字，则显示所有安全提议的信息。

相关配置可参考命令ipsec proposal。

【举例】

# 显示所有安全提议的信息。

<Sysname> display ipsec proposal

IPsec proposal name: aaa

encapsulation mode: tunnel

transform: ah-new

AH protocol: authentication sha1-hmac-96

表18 display ipsec proposal命令显示信息描述表

字段	描述
IPsec proposal name	提议的名字
encapsulation mode	提议采用的封装模式，包括两种：传输（transport）和隧道（tunnel）模式
transform	提议采用的安全协议，包括三种：AH协议、ESP协议、AH-ESP（先采用ESP协议，再采用AH协议）
AH protocol	AH协议采用的认证算法
ESP protocol	ESP协议采用的认证算法和加密算法

4.4.5 display ipsec sa

【命令】

display ipsec sa [ brief | policy policy-name [ seq-number ] | remote ip-address ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

brief：显示所有的安全联盟的简要信息。

policy：显示由指定安全策略创建的安全联盟的详细信息。

policy-name：指定安全策略的名字，为1～15个字符的字符串。

seq-number：指定安全策略的顺序号，取值范围为1～65535。

remote ip-address：显示指定对端IP地址的安全联盟的详细信息。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ipsec sa命令用来显示安全联盟的相关信息。

需要注意的是，当未指定任何参数时，显示所有的安全联盟的信息。

相关配置可参考命令reset ipsec sa和ipsec sa global-duration。

【举例】

# 显示安全联盟的简要信息。

<Sysname> display ipsec sa brief

Src Address Dst Address SPI Protocol Algorithm

--------------------------------------------------------

10.1.1.1 10.1.1.2 300 ESP E:AES-192;

A:HMAC-SHA1-96

10.1.1.2 10.1.1.1 400 ESP E:AES-192;

A:HMAC-SHA1-96

表19 display ipsec sa brief命令显示信息描述表

字段	描述
Src Address	本端的IP地址
Dst Address	对端的IP地址
SPI	安全参数索引
Protocol	IPsec采用的安全协议
Algorithm	安全协议采用的认证算法和加密算法，其中，以“E:”开头表示加密算法；以“A:”开头表示认证算法；NULL表示未指定相关算法

# 显示所有安全联盟的详细信息。

<Sysname> display ipsec sa

===============================

Interface: Vlan-interface 1

path MTU: 1500

===============================

-----------------------------

IPsec policy name: "r2"

sequence number: 1

mode: isakmp

-----------------------------

connection id: 3

encapsulation mode: tunnel

perfect forward secrecy:

tunnel:

local address: 2.2.2.2

remote address: 1.1.1.2

flow:

sour addr: 192.168.2.0/255.255.255.0 port: 0 protocol: IP

dest addr: 192.168.1.0/255.255.255.0 port: 0 protocol: IP

[inbound ESP SAs]

spi: 3564837569 (0xd47b1ac1)

proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5

sa duration (kilobytes/sec): 4294967295/604800

sa remaining duration (kilobytes/sec): 1843200/2686

max received sequence-number: 5

anti-replay check enable: Y

anti-replay window size: 32

udp encapsulation used for nat traversal: N

[outbound ESP SAs]

spi: 801701189 (0x2fc8fd45)

proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5

sa duration (kilobytes/sec): 4294967295/604800

sa remaining duration (kilobytes/sec): 1843200/2686

max sent sequence-number: 6

udp encapsulation used for nat traversal: N

===============================

Protocol: OSPFv3

===============================

-----------------------------

IPsec policy name: "manual"

sequence number: 1

mode: manual

-----------------------------

connection id: 2

encapsulation mode: transport

perfect forward secrecy:

tunnel:

flow :

[inbound AH SAs]

spi: 1234563 (0x12d683)

proposal: AH-SHA1HMAC96

No duration limit for this sa

[outbound AH SAs]

spi: 1234563 (0x12d683)

proposal: AH-SHA1HMAC96

No duration limit for this sa

表20 display ipsec sa命令显示信息描述表

字段	描述
Interface	应用了安全策略的接口
path MTU	从该接口发送出去的最大IP数据报文长度
Protocol	应用了安全策略的协议该字段的支持情况与设备型号有关，请以设备的实际情况为准
IPsec policy name	采用的安全策略名
sequence number	安全策略顺序号
mode	IPsec协商方式
connection id	安全隧道标识符
encapsulation mode	采用的封装模式，有两种：传输（transport）和隧道（tunnel）模式
perfect forward secrecy	此安全策略发起协商时使用完善的前向安全特性
tunnel	安全隧道
local address	安全隧道本端的IP地址
remote address	安全隧道对端的IP地址
flow	数据流
sour addr	数据流的源地址
dest addr	数据流的目的地址
port	端口号
protocol	协议类型
inbound	输入端安全联盟的信息
spi	安全参数索引号
proposal	安全提议所采用的安全协议及算法
sa duration	安全联盟生命周期
sa remaining duration	安全联盟剩余的生命周期
max received sequence-number	接收的报文最大序列号（安全协议提供的防重放功能）
udp encapsulation used for nat traversal	此安全联盟是否使用NAT穿越功能
outbound	输出端安全联盟的信息
max sent sequence-number	发送的报文最大序列号（安全协议提供的防重放功能）
anti-replay check enable	抗重放检测开关是否使能
anti-replay window size	抗重放窗口宽度

4.4.6 display ipsec session

【命令】

display ipsec session [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

integer：显示指定IPsec隧道的会话信息，取值范围为1～2000000000。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ipsec session命令用来显示IPsec会话的信息。

需要注意的是，如果不指定任何参数，则显示所有IPsec会话信息。

通过会话可以直接查找到匹配的隧道，节省了大量的中间匹配过程，提高了IPsec的转发效率。会话用协议、源地址、源端口、目的地址、目的端口五元组来标识。

相关配置可参考命令reset ipsec session。

【举例】

# 显示所有的IPsec会话信息。

<Sysname> display ipsec session

------------------------------------------------------------

total sessions : 2

------------------------------------------------------------

tunnel-id : 3

session idle time/total duration (sec) : 36/300

session flow : (8 times matched)

Sour Addr : 15.15.15.1 Sour Port: 0 Protocol : 1

Dest Addr : 15.15.15.2 Dest Port: 0 Protocol : 1

------------------------------------------------------------

tunnel-id : 4

session idle duration/total duration (sec) : 7/300

session flow : (3 times matched)

Sour Addr : 12.12.12.1 Sour Port: 0 Protocol : 1

Dest Addr : 13.13.13.1 Dest Port: 0 Protocol : 1

# 显示IPsec隧道ID为5的会话信息。

<Sysname> display ipsec session tunnel-id 5

------------------------------------------------------------

total sessions : 1

------------------------------------------------------------

tunnel-id : 5

session idle time/total duration (sec) : 30/300

session flow : (4 times matched)

Sour Addr : 12.12.12.2 Sour Port: 0 Protocol : 1

Dest Addr : 13.13.13.2 Dest Port: 0 Protocol : 1

表21 display ipsec session命令显示信息描述表

字段	描述
total sessions	IPsec会话的总个数
tunnel-id	IPsec的隧道标识，与IPsec SA的connection-id相同
session idle time	IPsec会话的空闲时间，单位为秒
total duration	IPsec会话总的生命周期，单位为秒，缺省值为300秒
session flow	IPsec会话的流信息
times matched	匹配此IPsec会话的报文数
Sour Addr	IPsec会话源IP地址
Dest Addr	IPsec会话目的IP地址
Sour Port	IPsec会话的源端口号
Dest Port	IPsec会话的目的端口号
Protocol	IPsec保护报文的协议号，例如：1代表ICMP

4.4.7 display ipsec statistics

【命令】

display ipsec statistics [ tunnel-id integer ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

tunnel-id integer：显示指定IPsec隧道的报文统计信息。其中，integer为隧道的ID号，取值范围为1～2000000000。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ipsec statistics命令用来显示IPsec处理报文的统计信息。

需要注意的是，如果不指定任何参数，则显示所有IPsec处理的报文统计信息。

相关配置可参考命令reset ipsec statistics。

【举例】

# 显示所有IPsec处理的报文统计信息。

<Sysname> display ipsec statistics

the security packet statistics:

input/output security packets: 47/62

input/output security bytes: 3948/5208

input/output dropped security packets: 0/45

dropped security packet detail:

not enough memory: 0

can't find SA: 45

queue is full: 0

authentication has failed: 0

wrong length: 0

replay packet: 0

packet too long: 0

wrong SA: 0

表22 display ipsec statistics命令显示信息描述表

字段	描述
Connection ID	隧道ID号
input/output security packets	受安全保护的输入/输出数据包
input/output security bytes	受安全保护的输入/输出字节数
input/output dropped security packets	被设备丢弃了的受安全保护的输入/输出数据包
dropped security packet detail	被丢弃的输入/输出数据包的详细信息（包括以下各项）
not enough memory	因为内存不足而被丢弃的数据包的数目
can't find SA	因为找不到安全联盟而被丢弃的数据包的数目
queue is full	因为队列满而被丢弃的数据包的数目
authentication has failed	因为认证失败而被丢弃的数据包的数目
wrong length	因为数据包长度不正确而被丢弃的数据包的数目
replay packet	重放的数据包的数目
packet too long	因为数据包过长而被丢弃的数据包的数目
wrong SA	因为安全联盟不正确而被丢弃的数据包的数目

4.4.8 display ipsec tunnel

【命令】

display ipsec tunnel [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ipsec tunnel命令用来显示IPsec隧道的信息。

【举例】

# 显示IPsec隧道的信息。

<Sysname> display ipsec tunnel

total tunnel : 2

------------------------------------------------

connection id: 3

perfect forward secrecy:

SA's SPI:

inbound: 187199087 (0xb286e6f) [ESP]

outbound: 3562274487 (0xd453feb7) [ESP]

tunnel:

local address: 44.44.44.44

remote address : 44.44.44.55

flow:

sour addr : 44.44.44.0/255.255.255.0 port: 0 protocol : IP

dest addr : 44.44.44.0/255.255.255.0 port: 0 protocol : IP

------------------------------------------------

connection id: 5

perfect forward secrecy:

SA's SPI:

inbound: 12345 (0x3039) [ESP]

outbound: 12345 (0x3039) [ESP]

tunnel:

flow:

表23 display ipsec tunnel命令显示信息描述表

字段	描述
connection id	连接标识符，用来唯一地标识一个IPsec Tunnel
perfect forward secrecy	完善的前向安全，标志IKE第二阶段快速模式使用哪个DH组
SA's SPI	出方向和入方向的安全策略索引
tunnel	IPsec隧道端点的地址
flow	IPsec隧道保护的数据流，包括源地址、目的地址、源端口、目的端口、协议
as defined in acl 3001	IPsec隧道保护ACL 3001中定义的所有数据流

4.4.9 encapsulation-mode

【命令】

encapsulation-mode { transport | tunnel }

undo encapsulation-mode

【视图】

安全提议视图

【缺省级别】

2：系统级

【参数】

transport：采用传输模式。

tunnel：采用隧道模式。

【描述】

encapsulation-mode命令用来配置安全协议对IP报文的封装形式。undo encapsulation-mode命令用来恢复缺省情况。

缺省情况下，安全协议采用隧道模式对IP报文进行封装。

相关配置可参考命令ipsec proposal。

【举例】

# 配置名为prop2的提议采用传输模式对IP报文进行封装。

<Sysname> system-view

[Sysname] ipsec proposal prop2

[Sysname-ipsec-proposal-prop2] encapsulation-mode transport

4.4.10 esp authentication-algorithm

【命令】

esp authentication-algorithm sha1

undo esp authentication-algorithm

【视图】

安全提议视图

【缺省级别】

2：系统级

【参数】

sha1：采用SHA-1认证算法，密钥长度160位。

【描述】

esp authentication-algorithm命令用来配置ESP协议采用的认证算法。undo esp authentication-algorithm命令用来配置ESP协议不对报文进行认证。

缺省情况下，ESP协议采用SHA-1认证算法。

需要注意的是：

· 必须同时使用ESP协议的认证与加密。

· ESP协议采用的加密算法和认证算法不能同时设置为空。当加密算法不为空时，undo esp authentication-algorithm命令才起作用。

相关配置可参考命令ipsec proposal、esp encryption-algorithm、proposal和transform。

【举例】

# 配置提议prop1采用ESP协议并使用SHA-1认证算法。

<Sysname> system-view

[Sysname] ipsec proposal prop1

[Sysname-ipsec-proposal-prop1] transform esp

[Sysname-ipsec-proposal-prop1] esp authentication-algorithm sha1

4.4.11 esp encryption-algorithm

【命令】

esp encryption-algorithm aes [ key-length ]

undo esp encryption-algorithm

【视图】

安全提议视图

【缺省级别】

2：系统级

【参数】

aes：指定安全提议采用的加密算法为CBC模式的AES算法，AES算法采用128bits、192bits、256bits的密钥进行加密。

key-length：AES算法采用的密钥长度，取值可以为128、192、256，缺省值为128。采用AES算法时，此参数有效。

【描述】

esp encryption-algorithm命令用来配置ESP协议采用的加密算法。undo esp encryption-algorithm命令用来配置ESP协议不对报文进行加密。

缺省情况下，ESP协议采用AES-128加密算法。

需要注意的是：

· 必须同时使用ESP协议的认证与加密。

· ESP协议采用的加密算法和认证算法不能同时设置为空。当认证算法不为空时，undo esp encryption-algorithm命令才起作用。

相关配置可参考命令ipsec proposal、esp authentication-algorithm、proposal和transform。

【举例】

# 配置提议prop1采用ESP协议并使用aes加密算法。

<Sysname> system-view

[Sysname] ipsec proposal prop1

[Sysname-ipsec-proposal-prop1] transform esp

[Sysname-ipsec-proposal-prop1] esp encryption-algorithm aes

4.4.12 ike-peer (IPsec policy view)

【命令】

ike-peer peer-name

undo ike-peer peer-name

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

peer-name：IKE对等体名，为1～32个字符的字符串。

【描述】

ike-peer命令用来在IKE协商方式配置的安全策略中引用IKE对等体。undo ike peer命令用来取消在安全策略中引用IKE对等体。

相关配置可参考命令ipsec policy。

【举例】

# 配置在安全策略中引用IKE对等体。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 isakmp

[Sysname-ipsec-policy-isakmp-policy1-10] ike-peer peer1

4.4.13 ipsec anti-replay check

【命令】

ipsec anti-replay check

undo ipsec anti-replay check

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

ipsec anti-replay check命令用来开启IPsec抗重放检测功能。undo ipsec anti-replay check用来关闭IPsec抗重放检测功能。

缺省情况下，IPsec抗重放检测功能处于开启状态。

【举例】

# 开启IPsec抗重放检测。

<Sysname> system-view

[Sysname] ipsec anti-replay check

4.4.14 ipsec anti-replay window

【命令】

ipsec anti-replay window width

undo ipsec anti-replay window

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

width：IPsec抗重放窗口的宽度，可取的值为32、64、128、256、512、1024。

【描述】

ipsec anti-replay window命令用来配置IPsec抗重放窗口的宽度。undo ipsec anti-replay window命令用来恢复缺省情况。

缺省情况下，IPsec抗重放窗口的宽度为32。

需要注意的是，修改后的配置仅对于新协商成功的IPsec SA生效。

【举例】

# 配置IPsec抗重放窗口的宽度为64。

<Sysname> system-view

[Sysname] ipsec anti-replay window 64

4.4.15 ipsec decrypt check

【命令】

ipsec decrypt check

undo ipsec decrypt check

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

ipsec decrypt check命令用来使能解封装后IPsec报文的ACL检查功能。undo ipsec decrypt check命令用来关闭解封装后IPsec报文的ACL检查功能。

缺省情况下，解封装后IPsec报文的ACL检查功能处于使能状态。

【举例】

# 使能对解封装后IPsec报文的ACL检查功能。

<Sysname> system-view

[Sysname] ipsec decrypt check

4.4.16 ipsec policy (interface view)

【命令】

ipsec policy policy-name

undo ipsec policy [ policy-name ]

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

policy-name：指定应用在接口上的安全策略组的名字，为1～15个字符的字符串。在系统视图下，必须已经配置了名字为policy-name的安全策略组。

【描述】

ipsec policy命令用来在接口上应用指定的安全策略组。undo ipsec policy命令用来从接口上取消应用的安全策略组，使此接口不再具有IPsec的安全保护功能。

需要注意的是：

· 交换机上安全策略只支持Vlan接口下配置。

· 在一个接口上，只能应用一个安全策略组。在一个接口上应用一个安全策略组，实际上是同时应用了安全策略组中所有的安全策略，从而能够对不同的数据流采用不同的安全联盟进行保护。如果要在接口上应用另一个安全策略组，必须先从接口上取消应用的安全策略组。

· 交换机上，同一个安全策略不建议应用到多个接口上。

· 当从一个接口发送报文时，将按照顺序号从小到大的顺序查找安全策略组中每一条安全策略。如果报文匹配了一条安全策略引用的访问控制列表，则使用这条安全策略对报文进行处理；如果报文没有匹配安全策略引用的访问控制列表，则继续查找下一条安全策略；如果报文对所有安全策略引用的访问控制列表都不匹配，则报文直接被发送（IPsec不对报文加以保护）。

相关配置可参考命令ipsec policy (System view)。

【举例】

# 在Vlan-interface1接口上应用名为pg1的安全策略组。

<Sysname> system-view

[Sysname] interface vlan-interface 1

[Sysname-Vlan-interface1] ipsec policy pg1

4.4.17 ipsec policy (system view)

【命令】

ipsec policy policy-name seq-number [ isakmp | manual ]

undo ipsec policy policy-name [ seq-number ]

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

policy-name：安全策略的名字，为1～15个字符的字符串，不区分大小写，字符可以是英文字母或者数字，不能包括减号“-”。

seq-number：安全策略的顺序号，取值范围为1～65535。

isakmp：指定通过IKE协商建立安全联盟。

manual：指定用手工方式建立安全联盟。

【描述】

ipsec policy命令用来创建一条安全策略，并进入安全策略视图。undo ipsec policy命令用来删除指定的安全策略。

缺省情况下，没有任何安全策略存在。

需要注意的是：

· 使用此命令创建安全策略时，必须指定协商方式，但进入已创建的安全策略时，可以不指定协商方式。

· 不能修改已创建的安全策略的协商方式，只能先删除该安全策略，再重新创建。

· 具有相同名字的安全策略一起组成一个安全策略组。由名字和顺序号一起确定一条唯一的安全策略。在一个安全策略组中，顺序号seq-number越小的安全策略，优先级越高。

· 不带seq-number参数的undo命令用来删除一个安全策略组。

相关配置可参考命令ipsec policy (Interface view)和display ipsec policy。

【举例】

# 配置名字为policy1，顺序号为100，采用IKE方式协商安全联盟的安全策略。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 isakmp

[Sysname-ipsec-policy-isakmp-policy1-100]

# 配置名字为policy1，顺序号为101，采用手工方式建立安全联盟的安全策略。

<Sysname> system-view

[Sysname] ipsec policy policy1 101 manual

[Sysname-ipsec-policy-manual-policy1-101]

4.4.18 ipsec proposal

【命令】

ipsec proposal proposal-name

undo ipsec proposal proposal-name

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

proposal-name：指定安全提议的名字，为1～32个字符的字符串，不区分大小写。

【描述】

ipsec proposal命令用来创建一个安全提议，并进入IPsec提议视图。undo ipsec proposal命令用来删除指定的安全提议。

缺省情况下，没有任何安全提议存在。

需要注意的是，使用该命令创建一个新的IPsec安全提议后，其缺省参数为采用ESP协议，AES-128加密算法，SHA1认证算法。

相关配置可参考命令display ipsec proposal。

【举例】

# 创建名为newprop1的安全提议。

<Sysname> system-view

[Sysname] ipsec proposal newprop1

4.4.19 ipsec sa global-duration

【命令】

ipsec sa global-duration { time-based seconds | traffic-based kilobytes }

undo ipsec sa global-duration { time-based | traffic-based }

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

seconds：指定基于时间的全局生存周期，取值范围为180～604800，单位为秒。

kilobytes：指定基于流量的全局生存周期，取值范围为2560～4294967295，单位为千字节。如果流量达到此值，则生存周期到期。

【描述】

ipsec sa global-duration命令用来配置全局的安全联盟生存周期。undo ipsec sa global-duration命令用来恢复缺省情况。

缺省情况下，安全联盟基于时间的全局生存周期为3600秒，基于流量的全局生存周期为1843200千字节。

需要注意的是：

· 当IKE协商安全联盟时，如果采用的安全策略或者安全框架没有配置自己的生存周期，将采用此命令所定义的全局生存周期与对端协商。如果安全策略或者安全框架配置了自己的生存周期，则系统使用安全策略或者安全框架自己的生存周期与对端协商。

· IKE为IPsec协商建立安全联盟时，采用本地配置的生存周期和对端提议的生存周期中较小的一个。

· 安全联盟的生存周期只对通过IKE协商的安全联盟起作用，对通过手工方式建立的安全联盟不起作用。

· FIPS模式下，如果IPsec使用IKE进行自动协商，但IPsec SA达到配置的流量生命周期时，会通知IKE进行1阶段与2阶段重协商。

相关配置可参考命令sa duration。

【举例】

# 配置全局的安全联盟生存时间为2小时。

<Sysname> system-view

[Sysname] ipsec sa global-duration time-based 7200

# 配置全局的安全联盟生存时间为：传输10M字节的流量后，当前的安全联盟即过期。

[Sysname] ipsec sa global-duration traffic-based 10240

4.4.20 ipsec session idle-time

【命令】

ipsec session idle-time seconds

undo ipsec session idle-time

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

seconds：IPsec会话的空闲超时时间，取值范围为60～3600，单位为秒。

【描述】

ipsec session idle-time命令用来配置IPsec会话的空闲超时时间。undo ipsec session idle-time命令用来恢复缺省情况。

缺省情况下，IPsec会话的空闲超时时间为300秒。

【举例】

# 配置IPsec会话的空闲超时时间为600秒。

<Sysname> system-view

[Sysname] ipsec session idle-time 600

4.4.21 pfs

【命令】

pfs { dh-group2 | dh-group5 | dh-group14 }

undo pfs

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

dh-group2：指定使用1024-bit Diffie-Hellman组。

dh-group5：指定使用1536-bit Diffie-Hellman组。

dh-group14：指定使用2048-bit Diffie-Hellman组。

【描述】

pfs命令用来配置使用此安全策略发起协商时使用完善的前向安全（Perfect Forward Secrecy）特性。undo pfs命令用来配置在协商时不使用PFS特性。

缺省情况下，安全策略发起协商时没有使用PFS特性。

需要注意的是：

· 2048-bit Diffie-Hellman组（dh-group14）、1536-bit Diffie-Hellman组（dh-group5）和1024-bit Diffie-Hellman组（dh-group2）安全性和需要的计算时间依次递减。

· 此命令使IPsec在使用此安全策略发起一个协商时，在阶段2的协商中进行一次附加的密钥交换以提高通讯的安全性。

· 本端和对端指定的Diffie-Hellman组必须一致，否则协商会失败。

相关配置可参考命令ipsec policy (System view)。

【举例】

# 配置使用安全策略policy1进行协商时使用PFS特性。

<Sysname> system-view

[Sysname] ipsec policy policy1 200 isakmp

[Sysname-ipsec-policy-isakmp-policy1-200] pfs dh-group2

4.4.22 policy enable

【命令】

policy enable

undo policy enable

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

无

【描述】

policy enable命令用来使能安全策略。undo policy enable命令用来去使能安全策略。

缺省情况下，安全策略处于使能状态。

需要注意的是：如果IKE对等体未使能安全策略，则不能触发IKE协商或是作为响应方参与IKE协商。

相关配置可参考命令ipsec policy (System view)。

【举例】

# 使能名字为policy1，顺序号为100的安全策略。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 isakmp

[Sysname-ipsec-policy-isakmp-policy1-100] policy enable

4.4.23 proposal (IPsec policy view)

【命令】

proposal proposal-name&<1-6>

undo proposal [ proposal-name ]

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

proposal-name&<1-6>：所采用的提议名字，为1～32个字符的字符串。&<1-6>表示前面的参数最多可以输入6次。

【描述】

proposal命令用来配置安全策略所引用的提议。undo proposal命令用来取消安全策略引用的提议。

缺省情况下，安全策略没有引用任何提议。

需要注意的是：

· 在使用此命令之前，必须已经配置了相应的安全提议。

· 如果安全策略是手工（manual）方式的，则安全策略在引用提议时只能指定一个安全提议。如果需要改变已配置好的安全提议，必须先使用命令undo proposal取消原先的安全提议，再配置新的安全提议。

· 如果安全策略是IKE（isakmp）协商方式的，则一条安全策略最多可以引用六个安全提议，IKE协商时将在安全策略中搜索能够完全匹配的安全提议。

相关配置可参考命令ipsec proposal、ipsec policy (System view)。

【举例】

# 配置安全策略引用名字为prop1的安全提议。

<Sysname> system-view

[Sysname] ipsec proposal prop1

[Sysname-ipsec-proposal-prop1] quit

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] proposal prop1

4.4.24 qos pre-classify

【命令】

qos pre-classify

undo qos pre-classify

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

无

【描述】

qos pre-classify命令用来配置报文信息的预提取功能。undo qos pre-classify命令用来恢复缺省情况。

缺省情况下，未配置报文信息的预提取功能。

QoS预分类功能是指，在报文进行IPsec封装之前，QoS根据原始IP头信息进行报文分类。

相关配置可参考命令ipsec policy (System view)。

【举例】

# 配置报文信息的预提取功能。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 isakmp

[Sysname-ipsec-policy-isakmp-policy1-100] qos pre-classify

4.4.25 reset ipsec sa

【命令】

reset ipsec sa [ parameters dest-address protocol spi | policy policy-name [ seq-number ] | remote ip-address ]

【视图】

用户视图

【缺省级别】

2：系统级

【参数】

parameters dest-address protocol spi：指定一个安全联盟所对应的目的IP地址、安全协议、SPI。

dest-address：指定目的地址。

protocol：指定安全协议，可选关键字为ah或esp，不区分大小写。

spi：指定安全参数索引，取值范围为256～4294967295。

policy：指定安全策略。

policy-name：指定安全策略的名字，为1～15个字符的字符串，不区分大小写，字符可以是英文字母或者数字。

seq-number：指定安全策略的顺序号，取值范围为1～65535。如果不指定seq-number，则是指名字为policy-name的安全策略组中所有安全策略。

remote ip-address：指定安全联盟对应的对端IP地址。

【描述】

reset ipsec sa命令用来清除已经建立的IPsec SA（无论是手工建立的还是通过IKE协商建立的）。

如果不指定任何参数，则清除所有的IPsec SA。

需要注意的是：

· 通过手工建立的IPsec SA被清除后，系统会自动根据对应的手工安全策略建立新的IPsec SA。

· 通过IKE协商建立的IPsec SA被清除后，如果有报文重新触发IKE协商，IKE将重新协商建立新的IPsec SA。

· 如果指定了parameters关键字，由于IPsec SA是成对出现的，清除了一个方向的IPsec SA，另一个方向的IPsec SA也会被清除。

相关配置可参考命令display ipsec sa。

【举例】

# 清除所有IPsec SA。

<Sysname> reset ipsec sa

# 清除对端地址为10.1.1.2的IPsec SA。

<Sysname> reset ipsec sa remote 10.1.1.2

# 清除安全策略名字为policy1、顺序号为10的IPsec SA。

<Sysname> reset ipsec sa policy policy1 10

# 清除对端地址为10.1.1.2、安全协议为AH、安全参数索引为10000的IPsec SA。

<Sysname> reset ipsec sa parameters 10.1.1.2 ah 10000

4.4.26 reset ipsec session

【命令】

reset ipsec session [ tunnel-id integer ]

【视图】

用户视图

【缺省级别】

2：系统级

【参数】

integer：显示指定IPsec隧道的会话信息，取值范围为1～2000000000。

【描述】

reset ipsec session命令用来清除设备上IPsec隧道的会话。

相关配置可参考命令display ipsec session。

【举例】

# 清除所有的IPsec会话。

<Sysname> reset ipsec session

# 清除IPsec隧道ID为5的会话。

<Sysname> reset ipsec session tunnel-id 5

4.4.27 reset ipsec statistics

【命令】

reset ipsec statistics

【视图】

用户视图

【缺省级别】

2：系统级

【参数】

无

【描述】

reset ipsec statistics命令用来清除IPsec的报文统计信息，所有的统计信息都被设置成零。

相关配置可参考命令display ipsec statistics。

【举例】

# 清除IPsec的报文统计信息。

<Sysname> reset ipsec statistics

4.4.28 sa authentication-hex

【命令】

sa authentication-hex { inbound | outbound } { ah | esp } [ cipher | simple ] hex-key

undo sa authentication-hex { inbound | outbound } { ah | esp }

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

inbound：入方向，IPsec使用入方向安全联盟处理接收的报文。

outbound：出方向，IPsec使用出方向安全联盟处理发送的报文。

ah：采用AH协议。

esp：采用ESP协议。

cipher：表示以密文方式设置认证密钥。hex-key为8～85个字符的字符串，区分大小写。

simple：表示以明文方式设置认证密钥。hex-key为以十六进制格式输入的明文密钥，不区分大小写，对于SHA1算法，密钥长度为20个字节。

hex-key：不指定cipher或simple时，表示以明文方式设置认证密钥。

【描述】

sa authentication-hex命令用来对配置安全联盟的认证密钥。undo sa authentication-hex命令用来删除配置的安全联盟的认证密钥。

需要注意的是：

· 在配置manual方式的安全策略时，必须分别配置inbound和outbound两个方向安全联盟的参数。

· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的密钥必须和对端的出方向安全联盟的密钥一样；本端的出方向安全联盟密钥必须和对端的入方向安全联盟的密钥一样。

· 在安全隧道的两端，应当以相同的方式输入密钥。如果一端以字符串方式输入密钥，另一端以16进制方式输入密钥，则不能通讯。而且，任何一端出入方向的SA使用的密钥也应当以相同的方式输入。

相关配置可参考命令ipsec policy (System view)。

【举例】

# 配置采用AH协议的入方向安全联盟的认证密钥为明文的0x112233445566778899aabbccddeeff00；出方向安全联盟的认证密钥为明文的0xaabbccddeeff001100aabbccddeeff00。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex inbound ah simple 112233445566778899aabbccddeeff00

[Sysname-ipsec-policy-manual-policy1-100] sa authentication-hex outbound ah simple aabbccddeeff001100aabbccddeeff00

4.4.29 sa duration

【命令】

sa duration { time-based seconds | traffic-based kilobytes }

undo sa duration { time-based | traffic-based }

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

seconds：指定基于时间的生存周期，取值范围为180～604800，单位为秒。

kilobytes：指定基于流量的生存周期，取值范围为2560～4294967295，单位为千字节。

【描述】

sa duration命令用来为安全策略配置安全联盟的生存周期。undo sa duration命令用来恢复缺省情况。

缺省情况下，安全策略的安全联盟生存周期为当前全局的安全联盟生存周期值。

需要注意的是：

· 当IKE协商安全联盟时，如果采用的安全策略没有配置自己的生存周期，将采用全局生存周期（通过命令ipsec sa global-duration设置）与对端协商。如果安全策略配置了自己的生存周期，则系统使用安全策略或者安全框架自己的生存周期与对端协商。

· IKE为IPsec协商建立安全联盟时，采用本地配置的生存周期和对端提议的生存周期中较小的一个。

· 安全联盟的生存周期只对通过IKE协商的安全联盟起作用，而对通过手工方式建立的安全联盟不起作用。

· FIPS模式下，如果IPsec使用IKE进行自动协商，但IPsec SA达到配置的流量生命周期时，会通知IKE进行1阶段与2阶段重协商。

相关配置可参考命令ipsec sa global-duration、ipsec policy (System view)。

【举例】

# 配置安全策略policy1的安全联盟生存时间为两个小时，即7200秒。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 isakmp

[Sysname-ipsec-policy-isakmp-policy1-100] sa duration time-based 7200

# 配置安全策略policy1的安全联盟生存周期为20M字节，即传输20480千字节的流量后，当前的安全联盟就过期。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 isakmp

[Sysname-ipsec-policy-isakmp-policy1-100] sa duration traffic-based 20480

4.4.30 sa encryption-hex

【命令】

sa encryption-hex { inbound | outbound } esp [ cipher | simple ] hex-key

undo sa encryption-hex { inbound | outbound } esp

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

inbound：入方向，IPsec使用入方向安全联盟处理接收的报文。

outbound：出方向，IPsec使用出方向安全联盟处理发送的报文。

esp：采用ESP协议。

cipher：表示以密文方式设置加密密钥。hex-key为8～117个字符的字符串，区分大小写。

simple：表示以明文方式设置加密密钥。hex-key为以十六进制格式输入的明文密钥，不区分大小写，对于不同的算法，密钥长度不同：AES128-CBC算法，密钥长度为16字节；AES192-CBC算法，密钥长度为24字节；AES256-CBC算法，密钥长度为32字节。

hex-key：不指定cipher或simple时，表示以明文方式设置加密密钥。

【描述】

sa encryption-hex命令用来配置安全联盟的加密密钥参数。undo sa encryption-hex命令用来删除配置的安全联盟的加密密钥参数。

需要注意的是：

· 在配置安全策略时，必须分别配置inbound和outbound两个方向安全联盟的参数。

· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的加密密钥必须和对端的出方向安全联盟的加密密钥一样；本端的出方向安全联盟的加密密钥必须和对端的入方向安全联盟的加密密钥一样。

相关配置可参考命令ipsec policy (System view)。

【举例】

# 配置采用ESP协议的入方向安全联盟的加密算法的密钥为明文的0x1234567890abcdef；出方向加密算法的密钥为明文的0xabcdefabcdef1234。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex inbound esp simple 1234567890abcdef

[Sysname-ipsec-policy-manual-policy1-100] sa encryption-hex outbound esp simple abcdefabcdef1234

4.4.31 sa spi

【命令】

sa spi { inbound | outbound } { ah | esp } spi-number

undo sa spi { inbound | outbound } { ah | esp }

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

inbound：入方向，IPsec使用入方向安全联盟处理接收的报文。

outbound：出方向，IPsec使用出方向安全联盟处理发送的报文。

ah：采用AH协议。

esp：采用ESP协议。

spi-number：安全联盟三元组标识中的安全参数索引，取值范围为256～4294967295。

【描述】

sa spi命令用来配置安全联盟的安全参数索引参数。undo sa spi命令用来删除配置的安全联盟的安全参数索引参数。

需要注意的是：

· 对于isakmp方式的安全策略，IKE将自动协商安全联盟的参数并创建安全联盟，不需要手工设置安全联盟的参数。

· 在配置安全策略时，必须分别配置inbound和outbound两个方向安全联盟的参数。同时，为保证SA的唯一性，不同SA必须对应不同的SPI，且同一个方向上的SPI必须不同。

· 在安全隧道的两端设置的安全联盟参数必须是完全匹配的。本端的入方向安全联盟的SPI必须和对端的出方向安全联盟的SPI一样；本端的出方向安全联盟的SPI必须和对端的入方向安全联盟的SPI一样。

相关配置可参考命令ipsec policy (System view)。

【举例】

# 配置入方向安全联盟的SPI为10000，出方向安全联盟的SPI为20000。

<Sysname> system-view

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] sa spi inbound ah 10000

[Sysname-ipsec-policy-manual-policy1-100] sa spi outbound ah 20000

4.4.32 security acl

【命令】

security acl acl-number

undo security acl

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

acl-number：指定安全策略所引用的访问控制列表号，取值范围为3000～3999。

【描述】

security acl命令用来配置安全策略引用的访问控制列表。undo security acl命令用来取消安全策略引用的访问控制列表。

缺省情况下，安全策略没有指定访问控制列表。

配置IKE协商安全策略的情况下，安全策略的数据流保护方式为标准方式，即一条隧道保护一条数据流。ACL中的每一个规则对应的数据流都会由一条单独创建的隧道来保护。

需要注意的是：

· 交换机上下发ACL时，必须要配置两个方向的规则，否则某些情况下IPsec只能保护单一方向的数据流。

· 交换机上不支持聚合口与隧道口下发ACL。

· 交换机上不支持下发多个ACL，只能支持一个ACL下发多条规格。

· 在交换机上同一个ACL只能给一个安全策略使用，不可以与其它业务共享。

相关配置可参考命令ipsec policy (System view)。

【举例】

# 配置安全策略引用ACL 3001。

<Sysname> system-view

[Sysname] acl number 3001

[Sysname-acl-adv-3001] rule permit tcp source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[Sysname-acl-adv-3001] quit

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] security acl 3001

4.4.33 transform

【命令】

transform { ah | ah-esp | esp }

undo transform

【视图】

安全提议视图

【缺省级别】

2：系统级

【参数】

ah：采用AH协议。

ah-esp：先用ESP协议对报文进行保护，再用AH协议进行保护。

esp：采用ESP协议。

【描述】

transform命令用来配置提议采用的安全协议。undo transform命令用来恢复缺省情况。

缺省情况下，采用ESP协议。

· 如果指定参数ah，则缺省的认证算法为SHA1。

· 如果指定参数esp，则缺省的加密算法为AES-128，认证算法为SHA1。

· 如果指定参数ah-esp，则AH缺省的认证算法为SHA1，ESP协议缺省的加密算法为AES-128，认证算法为SHA1。

需要注意的是：在安全隧道的两端，IPsec提议所使用的安全协议需要匹配。

相关配置可参考命令ipsec proposal。

【举例】

# 配置一个采用AH协议的提议。

<Sysname> system-view

[Sysname] ipsec proposal prop1

[Sysname-ipsec-proposal-prop1] transform ah

4.4.34 tunnel local

【命令】

tunnel local ip-address

undo tunnel local

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

ip-address：本端地址。

【描述】

tunnel local命令用来配置安全隧道的本端地址。undo tunnel local命令用来删除在安全隧道中设定的本端地址。

缺省情况下，没有配置安全隧道的本端地址。

需要注意的是：如果没有设置本端地址，本端地址将采用安全策略应用的接口地址。

相关配置可参考命令ipsec policy (System view)。

【举例】

# 配置安全隧道的本端地址为Loopback0的地址10.0.0.1。

<Sysname> system-view

[Sysname] interface loopback 0

[Sysname-LoopBack0] ip address 10.0.0.1 32

[Sysname-LoopBack0] quit

[Sysname] ipsec policy policy1 100 manual

[Sysname-ipsec-policy-manual-policy1-100] tunnel local 10.0.0.1

4.4.35 tunnel remote

【命令】

tunnel remote ip-address

undo tunnel remote [ ip-address ]

【视图】

安全策略视图

【缺省级别】

2：系统级

【参数】

ip-address：安全策略的隧道对端地址。

【描述】

tunnel remote命令用来配置安全隧道的对端地址。undo tunnel remote命令用来删除安全隧道的对端地址。

缺省情况下，没有配置安全隧道的对端地址。

需要注意的是：

· 设置新的对端地址将会覆盖已经设置的对端地址；

· 安全隧道是建立在本端和对端之间，在安全隧道的两端，当前端点的对端地址需要与对端的本端地址保持一致。

相关配置可参考命令ipsec policy (System view)。

【举例】

# 配置安全策略的对端地址为10.1.1.2。

<Sysname> system-view

[Sysname] ipsec policy policy1 10 manual

[Sysname-ipsec-policy-policy1-10] tunnel remote 10.1.1.2

5 新增特性－IKE

设备仅在FIPS模式下，支持IKE。

5.1 IKE简介

在实施IPsec的过程中，可以使用IKE（Internet Key Exchange，因特网密钥交换）协议来建立SA，该协议建立在由ISAKMP（Internet Security Association and Key Management Protocol，互联网安全联盟和密钥管理协议）定义的框架上。IKE为IPsec提供了自动协商交换密钥、建立SA的服务，能够简化IPsec的使用和管理，大大简化IPsec的配置和维护工作。

IKE不是在网络上直接传输密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥，并且即使第三方截获了双方用于计算密钥的所有交换数据，也不足以计算出真正的密钥。

5.1.1 IKE的安全机制

IKE具有一套自保护机制，可以在不安全的网络上安全地认证身份、分发密钥、建立IPsec SA。

1.数据认证

数据认证有如下两方面的概念：

· 身份认证：身份认证确认通信双方的身份。支持两种认证方法：预共享密钥（pre-shared-key）认证和基于PKI的数字签名（rsa-signature）认证。

· 身份保护：身份数据在密钥产生之后加密传送，实现了对身份数据的保护。

2.DH

DH（Diffie-Hellman，交换及密钥分发）算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据，计算出共享的密钥。即使第三方（如黑客）截获了双方用于计算密钥的所有交换数据，由于其复杂度很高，也不足以计算出真正的密钥。所以，DH交换技术可以保证双方能够安全地获得公有信息。

3.PFS

PFS（Perfect Forward Secrecy，完善的前向安全性）特性是一种安全特性，指一个密钥被破解，并不影响其他密钥的安全性，因为这些密钥间没有派生关系。对于IPsec，是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。

5.1.2 IKE的交换过程

IKE使用了两个阶段为IPsec进行密钥协商并建立SA：

(1) 第一阶段，通信各方彼此间建立了一个已通过身份认证和安全保护的通道，即建立一个ISAKMP SA。

(2) 第二阶段，用在第一阶段建立的安全隧道为IPsec协商安全服务，即为IPsec协商具体的SA，建立用于最终的IP数据安全传输的IPsec SA。

图4 主模式交换过程

如图4所示，第一阶段主模式的IKE协商过程中包含三对消息：

· 第一对叫SA交换，是协商确认有关安全策略的过程；

· 第二对消息叫密钥交换，交换Diffie-Hellman公共值和辅助数据（如：随机数），密钥材料在这个阶段产生；

· 最后一对消息是ID信息和认证数据交换，进行身份认证和对整个第一阶段交换内容的认证。

5.1.3 IKE在IPsec中的作用

· 因为有了IKE，IPsec很多参数（如：密钥）都可以自动建立，降低了手工配置的复杂度。

· IKE协议中的DH交换过程，每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程，保证了每个SA所使用的密钥互不相关。

· IPsec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值，此数溢出后，为实现防重放，SA需要重新建立，这个过程需要IKE协议的配合。

· 对安全通信的各方身份的认证和管理，将影响到IPsec的部署。IPsec的大规模使用，必须有CA（Certificate Authority，证书颁发机构）或其他集中管理身份数据的机构的参与。

· IKE提供端与端之间动态认证。

5.1.4 IPsec与IKE的关系

图5 IPsec与IKE的关系图

从图5中我们可以看出IKE和IPsec的关系：

· IKE是UDP之上的一个应用层协议，是IPsec的信令协议；

· IKE为IPsec协商建立SA，并把建立的参数及生成的密钥交给IPsec；

· IPsec使用IKE建立的SA对IP报文加密或认证处理。

5.1.5 协议规范

与IKE相关的协议规范有：

· RFC2408：Internet Security Association and Key Management Protocol (ISAKMP)

· RFC2409：The Internet Key Exchange (IKE)

· RFC2412：The OAKLEY Key Determination Protocol

5.2 IKE配置任务简介

进行IKE配置之前，用户需要确定以下几个因素，以便配置过程的顺利进行。

· 确定IKE交换过程中算法的强度，即确定安全保护的强度（包括身份认证方法、加密算法、认证算法、DH组）：不同的算法的强度不同，算法强度越高，受保护数据越难被破解，但消耗的计算资源越多。一般来说，密钥越长的算法强度越高。

· 确定通信双方预先约定的预共享密钥或所属的PKI域。关于PKI的配置，请参见“安全配置指导”中的“PKI”。

表24 IKE配置任务简介

配置任务	说明	详细配置
配置本端安全网关的名字	可选	5.3
配置IKE安全提议	可选若IKE对等体中需要指定IKE安全提议，则必配	5.4
配置IKE对等体	必选	5.5
配置Keepalive定时器	可选	5.6
配置NAT Keepalive定时器	可选	5.7
配置对等体存活检测	可选	5.8
配置取消对next payload域的检查	可选	5.9

5.3 配置本端安全网关的名字

当IKE协商的发起端使用安全网关名字进行协商时（即配置了id-type name或id-type user-fqdn），本端需要配置本端安全网关的名字，该名字既可以在系统视图下进行配置，也可以在IKE对等体视图下配置，若IKE对等体视图下未配置本端安全网关的名字，则采用系统视图下的配置。

表25 配置本端安全网关名字

操作

命令

说明

进入系统视图

system-view

配置本端安全网关的名字

ike local-name name

可选

缺省情况下，使用设备名作为本端安全网关的名字

5.4 配置IKE安全提议

IKE安全提议定义了一套属性数据来描述IKE协商怎样进行安全通信。用户可以创建多条不同优先级的IKE提议，优先级由IKE提议的序号表示，数值越小，优先级越高。

协商双方必须至少有一条匹配的IKE提议才能协商成功。在进行IKE协商时，协商发起方会将自己的安全提议发送给对端，由对端进行匹配，协商响应方则从自己优先级最高（序号最小）的IKE提议开始，按照优先级顺序与对端发送的安全提议进行匹配，直到找到一个匹配的安全提议来使用。匹配的IKE提议将被用来建立安全隧道。

以上IKE安全提议的匹配原则是：协商双方具有相同的加密算法、认证方法、认证算法和DH组标识。匹配的IKE提议的ISAKMP SA存活时间则取两端的最小值。

缺省情况下，系统提供一条缺省的IKE提议。此缺省的IKE提议具有最低的优先级，具有缺省的加密算法、认证方法、认证算法、DH组标识和ISAKMP SA存活时间。

表26 配置IKE安全提议

操作	命令	说明
进入系统视图	system-view	-
创建IKE提议，并进入IKE提议视图	ike proposal proposal-number	必选
指定一个供IKE提议使用的加密算法	encryption-algorithm aes-cbc [ key-length ]	可选缺省情况下，IKE缺省提议使用AES-CBC-128加密算法
指定一个供IKE提议使用的认证方法	authentication-method { pre-share \| rsa-signature }	可选缺省情况下，IKE提议使用预共享密钥的认证方法
指定一个供IKE提议使用的认证算法	authentication-algorithm sha	可选缺省情况下，IKE提议使用SHA1认证算法
配置IKE阶段1密钥协商时所使用的DH密钥交换参数	dh { group2 \| group5 \| group14 }	可选缺省情况下，IKE阶段1密钥协商时所使用的DH密钥交换参数为group2，即1024-bit的Diffie-Hellman组
指定一个IKE提议的ISAKMP SA存活时间	sa duration seconds	可选缺省情况下，IKE提议的ISAKMP SA存活时间为86400秒

如果存活时间超时，ISAKMP SA将自动更新。因为IKE协商需要进行DH计算，在低端设备上需要经过较长的时间，为使ISAKMP SA的更新不影响安全通信，建议设置存活时间大于10分钟。

5.5 配置IKE对等体

在采用IKE方式配置安全策略时，需要指定IKE对等体。IKE对等体中主要包括以下配置：

· 本端作为发起方时所使用的协商模式（主模式）。本端作为响应方时，将自动适配发起方的协商模式。

· 本端作为发起方时可以使用的IKE安全提议（可指定多个）。本端作为响应方时，将使用系统视图下已经配置的安全提议与对端发送的安全提议进行协商。

· 根据IKE提议使用的认证方法不同，选择所使用的预共享密钥或者PKI域。

· 本端在IKE第一阶段协商时，所使用的ID类型（IP地址、FQDN名、User FQDN名）。在预共享密钥认证的主模式下，只能使用IP地址类型的ID。

· 本端安全网关的名字或IP地址。一般情况下本端安全网关的IP地址不需要配置，只有要指定特殊的本端安全网关地址时（如指定loopback接口地址）才需要配置。

· 对端安全网关的名字或IP地址。若本端作为发起方，则需要配置对端安全网关名字或对端安全网关IP地址，它们用于发起方在协商过程中寻找对端。

· NAT穿越功能。当IPsec/IKE隧道中存在NAT设备时，导致隧道一端为公网地址，另一端为私网地址，则必须在隧道两端均配置NAT穿越功能，保证隧道能够正常协商建立。

· 用于IKE对等体存活状态检测的DPD名称。

表27 配置IKE对等体

操作		命令	说明
进入系统视图		system-view	-
创建一个IKE对等体，并进入IKE-Peer视图		ike peer peer-name	必选
配置IKE第一阶段的协商模式		exchange-mode main	可选缺省情况下，IKE阶段的协商模式使用主模式
配置IKE对等体引用的IKE安全提议		proposal proposal-number&<1-6>	可选缺省情况下，IKE对等体未引用任何IKE安全提议，使用系统视图下已配置的IKE安全提议进行IKE协商
配置采用预共享密钥认证时，所使用的预共享密钥		pre-shared-key [ cipher ] key	二者必选其一根据IKE提议使用的认证方法选择其中一个配置
配置采用数字签名认证时，证书所属的PKI域		certificate domain domain-name	二者必选其一根据IKE提议使用的认证方法选择其中一个配置
选择IKE第一阶段的协商过程中使用ID的类型		id-type { ip \| name \| user-fqdn }	可选缺省情况下，使用IP地址作为IKE协商过程中使用的ID
配置本端及对端安全网关的名字	配置本端安全网关的名字	local-name name	可选对端使用remote-name配置的网关名字应与IKE协商发起端所配置的本端安全网关名字保持一致缺省情况下，未定义本端安全网关的名字，使用系统视图下本端安全网关的名字
配置本端及对端安全网关的名字	配置对端安全网关的名字	remote-name name
配置本端及对端安全网关的IP地址	配置本端安全网关的IP地址	local-address ip-address	可选对端使用remote-address配置的IP地址应与IKE协商发起端使用local-address命令所配的网关IP地址保持一致缺省情况下，IKE协商时的本端网关IP地址使用应用安全策略的接口的主IP地址
配置本端及对端安全网关的IP地址	配置对端安全网关的IP地址	remote-address { hostname [ dynamic ] \| low-ip-address [ high-ip-address ] }
配置IKE/IPsec的NAT穿越功能		nat traversal	可选在IPsec/IKE组建的VPN隧道中，若存在NAT安全网关设备，则必须配置IPsec/IKE的NAT穿越功能缺省情况下，没有配置NAT穿越功能
为IKE对等体应用一个DPD		dpd dpd-name	可选缺省情况下，IKE对等体没有应用DPD 关于DPD的配置请参见“5.8 配置对等体存活检测”

修改IKE对等体配置之后，要执行命令reset ipsec sa、reset ike sa来清除原有的IPsec SA与IKE SA，否则重新协商SA会失败。

5.6 配置Keepalive定时器

IKE通过Keepalive报文维护ISAKMP SA的链路状态。一般在对端配置了等待Keepalive报文的超时时间后，必须在本端配置此Keepalive报文发送时间间隔。当对端在配置的超时时间内未收到此Keepalive报文时，如果该ISAKMP SA带有TIMEOUT标记，则删除该ISAKMP SA以及由其协商的IPsec SA；否则，将其标记为TIMEOUT。

表28 配置Keepalive定时器

操作	命令	说明
进入系统视图	system-view	-
配置ISAKMP SA向对端发送Keepalive报文的时间间隔	ike sa keepalive-timer interval seconds	必选缺省情况下，ISAKMP SA不向对端发送Keepalive报文
配置ISAKMP SA等待对端发送Keepalive报文的超时时间	ike sa keepalive-timer timeout seconds	必选缺省情况下，ISAKMP SA不向对端发送Keepalive报文

本端配置的Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过连续三次的报文丢失，所以，本端的超时时间可以配置为对端配置的Keepalive报文发送时间间隔的三倍。

5.7 配置NAT Keepalive定时器

在IPsec/IKE组建的VPN隧道中，若存在NAT安全网关设备，需配置NAT穿越功能来实现NAT穿越，但由于在NAT网关上的NAT映射会话有一定存活时间，因此一旦安全隧道建立后如果长时间没有报文穿越，NAT会话表项会被删除，这样将导致在NAT网关外侧的隧道无法继续传输数据。为防止NAT表项老化，NAT网关内网侧的ISAKMP SA会以一定的时间间隔向对端发送NAT Keepalive报文，以维持NAT会话的存活。

表29 配置NAT Keepalive定时器

操作

命令

说明

进入系统视图

system-view

配置ISAKMP SA向对端发送NAT Keepalive报文的时间间隔

ike sa nat-keepalive-timer interval seconds

必选

缺省情况下，ISAKMP SA向对端发送NAT Keepalive报文的时间间隔为20秒

5.8 配置对等体存活检测

DPD（Dead Peer Detection，对等体存活检测）用于IKE对等体存活状态检测。启动DPD功能后，当本端需要向对端发送IPsec报文时，若判断当前距离最后一次收到对端IPsec报文已经超过触发DPD的时间间隔（interval-time interval-time），则触发DPD查询，本端主动向对端发送DPD请求报文，对IKE对等体是否存活进行检测。如果本端在DPD报文的重传时间间隔（time-out time-out）内未收到对端发送的DPD回应报文，则重传DPD请求，缺省重传两次之后，若仍然没有收到对端的DPD回应报文，则删除该IKE SA和对应的IPsec SA。

DPD和Keepalive的区别：

· Keepalive定期发送查询；

· DPD只在要发送加密报文前并且长时间（触发DPD的时间间隔）未收到对端IPsec报文时发送查询。

表30 配置对等体存活检测

操作	命令	说明
进入系统视图	system-view	-
创建一个DPD，并进入DPD视图	ike dpd dpd-name	必选
配置触发DPD的时间间隔	interval-time interval-time	可选缺省情况下，触发DPD的时间间隔为10秒
配置DPD报文的重传时间间隔	time-out time-out	可选缺省情况下，DPD报文的重传时间间隔为5秒

5.9 配置取消对next payload域的检查

next payload域是在IKE协商报文（由几个payload组装而成）的最后一个payload的通用头中的一个域。按协议规定如果当前载荷处于消息的最后，该域必须为0，但某些公司的设备会将该域赋其它值，为增强设备的互通性，可以通过下面的配置取消IKE协商过程对该域的检查。

表31 配置取消对next payload域的检查

操作

命令

说明

进入系统视图

system-view

配置在IKE协商过程中取消对next payload域的检查

ike next-payload check disabled

必选

缺省情况下，在IPsec协商过程中对next payload域进行检查

5.10 IKE显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后IKE的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以删除IKE建立的安全隧道。

表32 IKE显示和维护

操作	命令
显示DPD配置的参数	display ike dpd [ dpd-name ] [ \| { begin \| exclude \| include } regular-expression ]
显示IKE对等体配置的参数	display ike peer [ peer-name ] [ \| { begin \| exclude \| include } regular-expression ]
显示当前IKE SA的信息	display ike sa [ verbose [ connection-id connection-id \| remote-address remote-address ] ] [ \| { begin \| exclude \| include } regular-expression ]
显示每个IKE提议配置的参数	display ike proposal [ \| { begin \| exclude \| include } regular-expression ]
清除IKE建立的安全隧道	reset ike sa [ connection-id ]

5.11 IKE典型配置举例

1.组网需求

· 在Switch A和Switch B之间建立一个安全隧道，对Switch A与Switch B之间的数据流进行安全保护。

· 在Switch A上配置一条IKE提议，其提议号为10，使用的认证算法为SHA1。Switch B使用缺省的IKE提议。

· 使用预共享密钥的认证方法。

2.组网图

图6 IKE主模式及预共享密钥认证典型组网图

3.配置步骤

请保证Switch A与Switch B之间路由可达。

(1) 配置安全网关Switch A

# 配置Vlan-interface1的IP地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 1

[SwitchA-vlan-interface1] ip address 1.1.1.1 255.255.255.0

[SwitchA-vlan-interface1] quit

# 配置ACL 3101，定义由Switch A去Switch B的数据流。

[SwitchA] acl number 3101

[SwitchA-acl-adv-3101] rule 0 permit ip source 1.1.1.1 0 destination 2.2.2.2 0

[SwitchA-acl-adv-3101] rule 1 permit ip source 2.2.2.2 0 destination 1.1.1.1 0

[SwitchA-acl-adv-3101] quit

# 配置安全提议tran1。

[SwitchA] ipsec proposal tran1

# 报文封装形式采用隧道模式。

[SwitchA-ipsec-proposal-tran1] encapsulation-mode tunnel

# 安全协议采用ESP协议。

[Switch-ipsec-proposal-tran1] transform esp

# 选择ESP协议采用的加密算法和认证算法。

[SwitchA-ipsec-proposal-tran1] esp encryption-algorithm aes 128

[SwitchA-ipsec-proposal-tran1] esp authentication-algorithm sha1

[SwitchA-ipsec-proposal-tran1] quit

# 创建一条IKE提议10。

[SwitchA] ike proposal 10

# 指定IKE提议使用的认证算法为SHA1。

[SwitchA-ike-proposal-10] authentication-algorithm sha

# 使用预共享密钥认证方法。

[SwitchA-ike-proposal-10] authentication-method pre-share

# 配置ISAKMP SA的存活时间为5000秒。

[SwitchA-ike-proposal-10] sa duration 5000

[SwitchA-ike-proposal-10] quit

# 创建IKE对等体。

[SwitchA] ike peer peer

# 配置IKE对等体引用IKE安全提议10。

[SwitchA-ike-peer-peer] proposal 10

# 配置预共享密钥。

[SwitchA-ike-peer-peer] pre-shared-key Ab12<><>

# 配置对端安全网关的IP地址。

[SwitchA-ike-peer-peer] remote-address 2.2.2.2

[SwitchA-ike-peer-peer] quit

# 创建一条安全策略，协商方式为isakmp。

[SwitchA] ipsec policy map1 10 isakmp

# 引用安全提议。

[SwitchA-ipsec-policy-isakmp-map1-10] proposal tran1

# 引用访问控制列表。

[SwitchA-ipsec-policy-isakmp-map1-10] security acl 3101

# 引用IKE对等体。

[SwitchA-ipsec-policy-isakmp-map1-10] ike-peer peer

[SwitchA-ipsec-policy-isakmp-map1-10] quit

# 在Vlan-interface1上应用安全策略组。

[SwitchA] interface vlan-interface 1

[SwitchA-Vlan-interface1] ipsec policy map1

(2) 配置安全网关Switch B

# 配置Vlan-interface1的IP地址。

<SwitchB> system-view

[SwitchB] interface Vlan-interface1

[SwitchB-Vlan-interface1] ip address 2.2.2.2 255.255.255.0

[SwitchB-Vlan-interface1] quit

# 配置ACL 3101，定义由Switch B去Switch A的数据流。

[SwitchB] acl number 3101

[SwitchB-acl-adv-3101] rule 0 permit ip source 2.2.2.2 0 destination 1.1.1.1 0

[SwitchB-acl-adv-3101] rule 1 permit ip source 1.1.1.1 0 destination 2.2.2.2 0

[SwitchB-acl-adv-3101] quit

# 创建安全提议tran1。

[SwitchB] ipsec proposal tran1

# 报文封装形式采用隧道模式。

[SwitchB-ipsec-proposal-tran1] encapsulation-mode tunnel

# 安全协议采用ESP协议。

[SwitchB-ipsec-proposal-tran1] transform esp

# 选择ESP协议采用的加密算法和认证算法。

[SwitchB-ipsec-proposal-tran1] esp encryption-algorithm aes 128

[SwitchB-ipsec-proposal-tran1] esp authentication-algorithm sha1

[SwitchB-ipsec-proposal-tran1] quit

# 创建一条IKE提议10。

[SwitchA] ike proposal 10

# 指定IKE提议使用的认证算法为SHA1。

[SwitchA-ike-proposal-10] authentication-algorithm sha

# 使用预共享密钥认证方法。

[SwitchA-ike-proposal-10] authentication-method pre-share

# 配置ISAKMP SA的存活时间为5000秒。

[SwitchA-ike-proposal-10] sa duration 5000

[SwitchA-ike-proposal-10] quit

# 创建IKE对等体。

[SwitchA] ike peer peer

# 配置IKE对等体引用IKE安全提议10。

[SwitchA-ike-peer-peer] proposal 10

# 配置预共享密钥。

[SwitchB-ike-peer-peer] pre-shared-key Ab12<><>

# 配置对端安全网关的IP地址。

[SwitchB-ike-peer-peer] remote-address 1.1.1.1

[SwitchB-ike-peer-peer] quit

# 创建一条安全策略，协商方式为isakmp。

[SwitchB] ipsec policy use1 10 isakmp

# 引用安全提议。

[SwitchB-ipsec-policy-isakmp-use1-10] proposal tran1

# 引用访问控制列表。

[SwitchB-ipsec-policy-isakmp-use1-10] security acl 3101

# 引用IKE对等体。

[SwitchB-ipsec-policy-isakmp-use1-10] ike-peer peer

[SwitchB-ipsec-policy-isakmp-use1-10] quit

# 在Vlan-interface1上应用安全策略组。

[SwitchB] interface Vlan-interface1

[SwitchB-Vlan-interface1] ipsec policy use1

4.验证配置结果

以上配置完成后，Switch A和Switch B之间如果有报文发送，将触发IKE协商。在进行IKE提议匹配的时候，从优先级最高的提议开始匹配，在进行提议匹配的时候，存活时间是不用进行匹配的，它由IKE协商双方决定。

5.12 常见错误配置举例

配置参数建立IPsec安全隧道时，可以打开IKE的Error调试开关，帮助我们查找配置问题。其命令是：

<Switch> debugging ike error

5.12.1 非法用户身份信息

1.故障现象

非法用户身份信息

2.故障分析

用户身份信息是发起IPsec通信的用户用来标识自己的数据。在实际应用中我们可以通过用户身份标识实现对不同的数据流建立不同的安全隧道进行保护。目前我们是通过用户的IP地址和名字来标识用户。

可以看到调试信息：

got NOTIFY of type INVALID_ID_INFORMATION

或者

drop message from A.B.C.D due to notification type INVALID_ID_INFORMATION

3.处理过程

检查协商两端接口上配置的安全策略中的ACL内容是否相容。建议用户将两端的ACL配置成互为镜像的。ACL镜像的含义请参考IPsec配置中“配置访问控制列表”内容。

5.12.2 提议不匹配

1.故障现象

提议不匹配

2.故障分析

可以看到调试信息：

got NOTIFY of type NO_PROPOSAL_CHOSEN

或者：

drop message from A.B.C.D due to notification type NO_PROPOSAL_CHOSEN

协商双方没有可以匹配的提议。

3.处理过程

对于阶段1，检查IKE proposal是否有与对方匹配的。对于阶段2协商，检查双方接口上应用的IPsec安全策略的参数是否匹配，引用的IPsec安全提议的协议、加密算法和认证算法是否有匹配的。

5.12.3 无法建立安全隧道

1.故障现象

无法建立安全隧道

2.故障分析

实际应用中有时会发现在不稳定的网络状态下，安全隧道无法建立或者存在安全隧道却无法通信，而且检查双方的ACL的配置正确，也有匹配的提议。

这种情况一般是安全隧道建立好以后，有一方的设备重启造成的。

3.处理过程

· 使用display ike sa命令检查双方是否都已建立阶段1的SA。

· 使用display ipsec sa policy命令查看接口上的安全策略是否已建立了IPsec SA。

· 根据以上两步的结果查看，如果有一方存在的SA在另一方上不存在，请先使用reset ipsec sa命令清除双方不对称存在的IPsec SA，再使用reset ike sa命令清除双方不对称存在的IKE SA，并重新发起协商。

5.12.4 ACL配置错误

1.故障现象

ACL配置错误，导致协商成功之后数据流不通

2.故障分析

多台设备之间先后建立不同的安全隧道，出现同一设备有不同对端的情况。若此设备不配置ACL规则，则分别由对端发起报文来与之建立保护粒度不同的安全隧道。由于安全隧道的优先级由它们创建的顺序决定，当这一设备的出方向报文首先匹配到较粗粒度的安全隧道时，将导致此设备无法与其它较细粒度对端互通。

3.处理过程

为避免这种情况发生，当同一设备有不同对端时，建议用户在此设备上配置ACL来区别数据流，且与不同对端尽量避免配置有重复范围的ACL子规则。若需要有重复范围的子规则，应该将细粒度的子规则配置为较高的优先级。

5.13 IKE配置命令

5.13.1 authentication-algorithm

【命令】

authentication-algorithm sha

undo authentication-algorithm

【视图】

IKE提议视图

【缺省级别】

2：系统级

【参数】

sha：指定认证算法为HMAC-SHA1。

【描述】

authentication-algorithm命令用来指定一个供IKE提议使用的认证算法。undo authentication-algorithm命令用来恢复缺省情况。

缺省情况下，IKE提议使用SHA1认证算法。

相关配置可参考命令ike proposal和display ike proposal。

【举例】

# 指定IKE提议10的认证算法为SHA1认证算法。

<Sysname> system-view

[Sysname] ike proposal 10

[Sysname-ike-proposal-10] authentication-algorithm sha

5.13.2 authentication-method

【命令】

authentication-method { pre-share | rsa-signature }

undo authentication-method

【视图】

IKE提议视图

【缺省级别】

2：系统级

【参数】

pre-share：指定认证方法为预共享密钥方法。

rsa-signature：指定认证方法为RSA数字签名方法。

【描述】

authentication-method命令用来指定一个供IKE提议使用的认证方法。undo authentication-method命令用来恢复缺省情况。

缺省情况下，IKE提议使用预共享密钥的认证方法。

相关配置可参考命令ike proposal和display ike proposal。

【举例】

# 指定IKE提议10的认证方法为预共享密钥。

<Sysname> system-view

[Sysname] ike proposal 10

[Sysname-ike-proposal-10] authentication-method pre-share

5.13.3 certificate domain

【命令】

certificate domain domain-name

undo certificate domain

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

domain-name：指定的PKI域名称，为1～15个字符的字符串。

【描述】

certificate domain命令用来配置IKE协商采用数字签名认证时，证书所属的PKI域。undo certificate domain命令用来取消配置证书所属的PKI域。

相关配置可参考命令authentication-method，以及“安全命令参考/PKI”中的命令pki domain。

【举例】

# 配置IKE协商所使用的PKI域为abcde。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1] certificate domain abcde

5.13.4 dh

【命令】

dh { group2 | group5 | group14 }

undo dh

【视图】

IKE提议视图

【缺省级别】

2：系统级

【参数】

group2：指定阶段1密钥协商时采用1024-bit的Diffie-Hellman组。

group5：指定阶段1密钥协商时采用1536-bit的Diffie-Hellman组。

group14：指定阶段1密钥协商时采用2048-bit的Diffie-Hellman组。

【描述】

dh命令用来配置IKE阶段1密钥协商时所使用的DH密钥交换参数。undo dh命令用来恢复缺省情况。

缺省情况下，IKE阶段1密钥协商时所使用的DH密钥交换参数为group2，即1024-bit的Diffie-Hellman组。

相关配置可参考命令ike proposal和display ike proposal。

【举例】

# 指定IKE提议10使用1536-bit的Diffie-Hellman组。

<Sysname> system-view

[Sysname] ike proposal 10

[Sysname-ike-proposal-10] dh group5

5.13.5 display ike dpd

【命令】

display ike dpd [ dpd-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

dpd-name：指定DPD的名字，为1～32个字符的字符串。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ike dpd命令用来显示DPD配置的参数。

如果不指定参数dpd-name，将显示所有DPD配置的参数。

相关配置可参考命令ike dpd。

【举例】

# 显示DPD配置的参数。

<Sysname> display ike dpd

---------------------------

IKE dpd: dpd1

references: 1

interval-time: 10

time_out: 5

---------------------------

表33 display ike dpd命令显示信息描述表

字段	描述
references	引用该DPD配置的IKE对等体的个数
Interval-time	经过多长时间没有从对端收到IPsec报文则触发DPD，单位为秒
time_out	DPD报文的重传时间间隔，单位为秒

5.13.6 display ike peer

【命令】

display ike peer [ peer-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

peer-name：IKE对等体名，为1～32个字符的字符串。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ike peer命令用来显示IKE对等体配置的参数。

相关配置可参考命令ike peer。

【举例】

# 显示IKE对等体配置的参数信息。

<Sysname> display ike peer

---------------------------

IKE Peer: aaa

exchange mode: main on phase 1

peer id type: ip

peer ip address: 0.0.0.0 ~ 255.255.255.255

local ip address:

peer name:

nat traversal: disable

dpd:

---------------------------

表34 display ike peer命令显示信息描述表

字段	描述
exchange mode	IKE第一阶段的协商模式
pre-shared-key	IKE第一阶段协商所使用的预共享密钥
peer id type	IKE第一阶段的协商过程中使用ID的类型
peer ip address	对端安全网关的IP地址
local ip address	本端安全网关的IP地址
peer name	对端安全网关的名字
nat traversal	是否启动IPsec/IKE的NAT穿越功能
dpd	对等体存活检测的名称

5.13.7 display ike proposal

【命令】

display ike proposal [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ike proposal命令用来显示所有IKE提议配置的参数。

IKE提议按照优先级的先后顺序显示。

相关配置可参考命令authentication-method、ike proposal、encryption-algorithm、authentication-algorithm、dh和sa duration。

【举例】

# 显示IKE提议配置的参数信息。

<Sysname> display ike proposal

priority authentication authentication encryption Diffie-Hellman duration

method algorithm algorithm group (seconds)

---------------------------------------------------------------------------

11 PRE_SHARED SHA AES_CBC_128 MODP_1024 86400

default PRE_SHARED SHA AES_CBC_128 MODP_1024 86400

表35 display ike proposal命令显示信息描述表

字段	描述
priority	IKE提议的优先级
authentication method	IKE提议使用的认证方法
authentication algorithm	IKE提议使用的认证算法
encryption algorithm	IKE提议使用的加密算法
Diffie-Hellman group	IKE阶段1密钥协商时所使用的DH密钥交换参数
duration (seconds)	IKE提议的ISAKMP SA存活时间（秒）

5.13.8 display ike sa

【命令】

display ike sa [ verbose [ connection-id connection-id | remote-address remote-address ] ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

verbose：显示当前IKE SA的详细信息。

connection-id：按照连接标识符显示IKE SA的详细信息，取值范围为1～2000000000。

remote-address：按照对端地址显示IKE SA的详细信息。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ike sa命令用来显示当前IKE SA的信息。

需要注意的是，若不选择任何参数则显示当前IKE SA和IPsec SA的摘要信息。

相关配置可参考命令ike proposal和ike peer。

【举例】

# 显示当前IKE SA和IPsec SA的摘要信息。

<Sysname> display ike sa

total phase-1 SAs: 1

connection-id peer flag phase doi

----------------------------------------------------------

1 202.38.0.2 RD|ST 1 IPSEC

2 202.38.0.2 RD|ST 2 IPSEC

flag meaning

RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO--TIMEOUT

表36 display ike sa命令显示信息描述表

字段	描述
total phase-1 SAs	所有第一阶段安全联盟的总数
connection-id	IKE SA和IPsec SA的标识符
peer	此安全联盟的对端的IP地址
flag	显示此安全联盟的状态： · RD（READY）：表示此安全联盟已建立成功 · ST（STAYALIVE）：表示此端是隧道协商发起方 · RL（REPLACED）：表示此隧道已经被新的隧道代替，一段时间后将被删除 · FD（FADING）：表示此隧道已发生过一次软超时，目前还在使用，在硬超时发生时，会删除此隧道 · TO（TIMEOUT）：表示此安全联盟在上次keepalive超时发生后还没有收到keepalive报文，如果在下次keepalive超时发生时仍没有收到keepalive报文，此安全联盟将被删除
phase	此安全联盟所属阶段： · Phase 1：建立安全隧道进行通信的阶段，此阶段建立IKE SA · Phase 2：协商安全服务的阶段，此阶段建立IPsec SA
doi	安全联盟所属解释域

# 显示当前IKE SA的详细信息。

<Sysname> display ike sa verbose

---------------------------------------------

connection id: 2

transmitting entity: initiator

---------------------------------------------

local ip: 4.4.4.4

local id type: IPV4_ADDR

local id: 4.4.4.4

remote ip: 4.4.4.5

remote id type: IPV4_ADDR

remote id: 4.4.4.5

authentication-method: PRE-SHARED-KEY

authentication-algorithm: HASH-SHA1

encryption-algorithm: AES-CBC

life duration(sec): 86400

remaining key duration(sec): 86379

exchange-mode: MAIN

diffie-hellman group: GROUP14

nat traversal: NO

# 按照连接标识符显示IKE SA的详细信息。

<Sysname> display ike sa verbose connection-id 2

---------------------------------------------

connection id: 2

transmitting entity: initiator

---------------------------------------------

local ip: 4.4.4.4

local id type: IPV4_ADDR

local id: 4.4.4.4

remote ip: 4.4.4.5

remote id type: IPV4_ADDR

remote id: 4.4.4.5

authentication-method: PRE-SHARED-KEY

authentication-algorithm: HASH-SHA1

encryption-algorithm: AES-CBC

life duration(sec): 86400

remaining key duration(sec): 82480

exchange-mode: MAIN

diffie-hellman group: GROUP14

nat traversal: NO

# 按照对端地址显示IKE SA的详细信息。

<Sysname> display ike sa verbose remote-address 4.4.4.5

---------------------------------------------

connection id: 2

transmitting entity: initiator

---------------------------------------------

local ip: 4.4.4.4

local id type: IPV4_ADDR

local id: 4.4.4.4

remote ip: 4.4.4.5

remote id type: IPV4_ADDR

remote id: 4.4.4.5

authentication-method: PRE-SHARED-KEY

authentication-algorithm: HASH-SHA1

encryption-algorithm: AES-CBC

life duration(sec): 86400

remaining key duration(sec): 82236

exchange-mode: MAIN

diffie-hellman group: GROUP14

nat traversal: NO

表37 display ike sa verbose命令显示信息描述表

字段	描述
connection id	IKE SA和IPsec SA的标识符
transmitting entity	IKE协商中的实体
local ip	本端安全网关的IP地址
local id type	本端安全网关的ID类型
local id	本端安全网关的ID
remote ip	对端安全网关的IP地址
remote id type	对端安全网关的ID类型
remote id	对端安全网关的ID
authentication-method	IKE提议使用的认证方法
authentication-algorithm	IKE提议使用的认证算法
encryption-algorithm	IKE提议使用的加密算法
life duration(sec)	IKE SA的生命周期（秒）
remaining key duration(sec)	IKE SA的剩余生命周期（秒）
exchange-mode	IKE第一阶段的协商模式
diffie-hellman group	IKE第一阶段密钥协商时所使用的DH密钥交换参数
nat traversal	是否使能NAT穿越功能

5.13.9 dpd

【命令】

dpd dpd-name

undo dpd

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

dpd-name：指定DPD的名字，为1～32个字符的字符串。

【描述】

dpd命令用来为IKE对等体应用一个DPD。undo dpd命令用来取消IKE对等体对DPD的应用。

缺省情况下，IKE对等体没有应用DPD。

【举例】

# 为对等体peer1应用名称为dpd1的DPD。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1] dpd dpd1

5.13.10 encryption-algorithm

【命令】

encryption-algorithm aes-cbc [ key-length ]

undo encryption-algorithm

【视图】

IKE提议视图

【缺省级别】

2：系统级

【参数】

aes-cbc：指定IKE安全提议采用的加密算法为CBC模式的AES算法，AES算法采用128 bits、192bits、256bits的密钥进行加密。

key-length：AES算法采用的密钥长度，取值可以为128、192、256，缺省值为128。

【描述】

encryption-algorithm命令用来指定一个供IKE提议使用的加密算法。undo encryption-algorithm命令用来恢复缺省情况。

缺省情况下，IKE提议使用AES-128加密算法。

相关配置可参考命令ike proposal和display ike proposal。

【举例】

#指定IKE提议10的加密算法为CBC模式的128-bit AES。

<Sysname> system-view

[Sysname] ike proposal 10

[Sysname-ike-proposal-10] encryption-algorithm aes 128

5.13.11 exchange-mode

【命令】

exchange-mode main

undo exchange-mode

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

main：主模式。

【描述】

exchange-mode命令用来选择IKE阶段的协商模式。undo exchange-mode命令用来恢复缺省情况。

缺省情况下，IKE阶段的协商模式使用主模式。

相关配置可参考命令id-type。

【举例】

# 配置IKE使用主模式。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1] exchange-mode main

5.13.12 id-type

【命令】

id-type { ip | name | user-fqdn }

undo id-type

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

ip：选择IP地址作为IKE协商过程中使用的ID。

name：选择FQDN（Fully Qualified Domain Name，完全合格域名）类型的名字作为IKE协商过程中使用的ID。

user-fqdn：选择User FQDN类型的名字作为IKE协商过程中使用的ID。

【描述】

id-type命令用来选择IKE协商过程中使用的ID的类型。undo id-type命令用来恢复缺省情况。

缺省情况下，使用IP地址作为IKE协商过程中使用的ID。

需要注意的是：在预共享密钥认证的主模式下，只能使用IP地址类型的身份进行IKE协商，建立安全联盟。

相关配置可参考命令local-name、ike local-name、remote-name、remote-address、local-address和exchange-mode。

【举例】

# 配置使用名字作为IKE协商过程中使用的ID。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1] id-type name

5.13.13 ike dpd

【命令】

ike dpd dpd-name

undo ike dpd dpd-name

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

dpd-name：指定DPD的名字，为1～32个字符的字符串。

【描述】

ike dpd命令用来创建一个DPD，并进入DPD视图。undo ike dpd命令用来删除指定名字的DPD配置。

【举例】

# 创建一个名称为dpd2的DPD。

<Sysname> system-view

[Sysname] ike dpd dpd2

5.13.14 ike local-name

【命令】

ike local-name name

undo ike local-name

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

name：指定IKE协商时的本端安全网关的名字，为1～32个字符的字符串，区分大小写。

【描述】

ike local-name命令用来配置本端安全网关的名字。undo ike local-name命令用来恢复缺省情况。

缺省情况下，使用设备名作为本端安全网关的名字。

当IKE协商的发起端使用安全网关名字进行协商时（即配置了id-type name或id-type user-fqdn），发起端需要配置本端安全网关的名字，该名字既可以在系统视图下进行配置（使用命令ike local-name），也可以在IKE对等体视图下配置（使用命令local-name），若两个视图下都配置了本端安全网关的名字，则采用IKE对等体视图下的配置。

在IKE协商过程中，发起端会将本端安全网关的名字发送给对端来标识自己的身份，而响应端使用配置的对端安全网关的名字（使用命令remote-name）来认证发起端，故此时响应端上配置的对端安全网关的名字应与发起端上所配的本端安全网关的名字保持一致。

相关配置可参考命令remote-name和id-type。

【举例】

# 为IKE配置本端安全网关的名字为app。

<Sysname> system-view

[Sysname] ike local-name app

5.13.15 ike next-payload check disabled

【命令】

ike next-payload check disabled

undo ike next-payload check disabled

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

ike next-payload check disabled命令用来配置在IKE协商过程中取消对最后一个payload的next payload域的检查，以便与某些公司的产品互通。undo ike next-payload check disabled命令用来恢复缺省情况。

缺省情况下，在IKE协商过程中对next payload域进行检查。

【举例】

# 配置在IKE协商过程中取消对最后一个payload的next payload域的检查。

<Sysname> system-view

[Sysname] ike next-payload check disabled

5.13.16 ike peer (system view)

【命令】

ike peer peer-name

undo ike peer peer-name

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

peer-name：IKE对等体名，为1～32个字符的字符串。

【描述】

ike peer命令用来创建一个IKE对等体，并进入IKE-Peer视图。undo ike peer命令用来删除一个IKE对等体。

【举例】

# 创建IKE对等体为peer1，并进入IKE-Peer视图。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1]

5.13.17 ike proposal

【命令】

ike proposal proposal-number

undo ike proposal proposal-number

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

proposal-number：IKE提议序号，取值范围为1～65535。该序号同时表示优先级，数值越小，优先级越高。在进行IKE协商的时候，会从序号最小的IKE提议进行匹配，如果匹配则直接使用，否则继续查找。

【描述】

ike proposal命令用来创建IKE提议，并进入IKE提议视图。undo ike proposal命令用来删除一个IKE提议。

缺省情况下，系统提供一条缺省的IKE提议，此缺省的IKE提议具有最低的优先级。缺省的提议具有缺省的参数，包括：

· 加密算法：AES-128

· 认证算法：HMAC-SHA1

· 认证方法：预共享密钥

· DH组标识：MODP_1024

· 安全联盟的存活时间：86400秒

相关配置可参考命令display ike proposal。

【举例】

# 创建IKE提议10，并进入IKE提议视图。

<Sysname> system-view

[Sysname] ike proposal 10

[Sysname-ike-proposal-10]

5.13.18 ike sa keepalive-timer interval

【命令】

ike sa keepalive-timer interval seconds

undo ike sa keepalive-timer interval

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

seconds：指定通过ISAKMP SA向对端发送Keepalive报文的时间间隔，取值范围为20～28800，单位为秒。

【描述】

ike sa keepalive-timer interval命令用来配置ISAKMP SA向对端发送Keepalive报文的时间间隔。undo ike sa keepalive-timer interval命令用来取消该功能。

缺省情况下，ISAKMP SA不向对端发送Keepalive报文。

需要注意的是，本端配置的Keepalive报文的发送时间间隔应小于对端等待Keepalive报文的超时时间。

相关配置可参考命令ike sa keepalive-timer timeout。

【举例】

# 配置本端向对端发送Keepalive报文的时间间隔为200秒。

<Sysname> system-view

[Sysname] ike sa keepalive-timer interval 200

5.13.19 ike sa keepalive-timer timeout

【命令】

ike sa keepalive-timer timeout seconds

undo ike sa keepalive-timer timeout

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

seconds：指定ISAKMP SA等待对端发送Keepalive报文的超时时间，取值范围为20～28800，单位为秒。

【描述】

ike sa keepalive-timer timeout命令用来配置ISAKMP SA等待Keepalive报文的超时时间。undo ike sa keepalive-timer timeout命令用来使此功能失效。

缺省情况下，ISAKMP SA不向对端发送Keepalive报文。

需要注意的是，本端配置的Keepalive报文的等待超时时间要大于对端发送的时间间隔。由于网络中一般不会出现超过三次的报文丢失，所以，本端的超时时间可以配置为对端配置的Keepalive报文的发送时间间隔的三倍。

相关配置可参考命令ike sa keepalive-timer interval。

【举例】

# 配置本端等待对端发送Keepalive报文的超时时间为20秒。

<Sysname> system-view

[Sysname] ike sa keepalive-timer timeout 20

5.13.20 ike sa nat-keepalive-timer interval

【命令】

ike sa nat-keepalive-timer interval seconds

undo ike sa nat-keepalive-timer interval

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

seconds：指定ISAKMP SA向对端发送NAT Keepalive报文的时间间隔，取值范围为5～300，单位为秒。

【描述】

ike sa nat-keepalive-timer interval命令用来配置ISAKMP SA向对端发送NAT Keepalive报文的时间间隔。undo ike sa nat-keepalive-timer interval命令用来使此功能失效。

缺省情况下，ISAKMP SA向对端发送NAT Keepalive报文的时间间隔为20秒。

【举例】

# 配置ISAKMP SA向对端发送NAT Keepalive报文的时间间隔为5秒。

<Sysname> system-view

[Sysname] ike sa nat-keepalive-timer interval 5

5.13.21 interval-time

【命令】

interval-time interval-time

undo interval-time

【视图】

IKE-DPD视图

【缺省级别】

2：系统级

【参数】

interval-time：指定经过多长时间没有从对端收到IPsec报文，则触发DPD，取值范围为1～300，单位为秒。

【描述】

interval-time命令用来为IKE DPD配置触发DPD的时间间隔。undo interval-time命令用来恢复缺省情况。

缺省情况下，触发DPD的时间间隔为10秒。

【举例】

# 为dpd2配置触发DPD的时间间隔为1秒。

<Sysname> system-view

[Sysname] ike dpd dpd2

[Sysname-ike-dpd-dpd2] interval-time 1

5.13.22 local-address

【命令】

local-address ip-address

undo local-address

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

ip-address：IKE协商时的本端安全网关的IP地址。

【描述】

local-address命令用来配置IKE协商时的本端安全网关的IP地址。undo local-address命令用来取消本端安全网关的IP地址。

缺省情况下，IKE协商时的本端安全网关IP地址使用应用安全策略的接口的主地址。只有当用户需要指定特殊的本端安全网关地址时才需要配置此命令。

【举例】

# 配置本端安全网关IP地址为1.1.1.1。

<Sysname> system-view

[Sysname] ike peer xhy

[Sysname-ike-peer-xhy] local-address 1.1.1.1

5.13.23 local-name

【命令】

local-name name

undo local-name

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

name：IKE协商时的本端安全网关的名字，为1～32个字符的字符串，区分大小写。

【描述】

ike local-name命令用来配置本端安全网关的名字。undo ike local-name命令用来恢复缺省情况。

缺省情况下，未定义本端安全网关的名字，使用系统视图下本端安全网关的名字。

相关配置可参考命令remote-name和id-type。

【举例】

# 为IKE对等体peer1配置本端安全网关的名字为localgw。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1] local-name localgw

5.13.24 nat traversal

【命令】

nat traversal

undo nat traversal

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

无

【描述】

nat traversal命令用来配置IPsec/IKE的NAT穿越功能。undo nat traversal命令用来取消IPsec/IKE的NAT穿越功能。

缺省情况下，没有配置NAT穿越功能。

【举例】

# 为IKE对等体peer1配置NAT穿越功能。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1] nat traversal

5.13.25 peer

【命令】

peer { multi-subnet | single-subnet }

undo peer

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

multi-subnet：指定多子网类型。

single-subnet：指定单子网类型。

【描述】

peer命令用来配置IKE协商时对端安全网关的子网类型。undo peer命令用来恢复缺省情况。

缺省情况下，为单子网类型。

本命令用于与NETSCREEN设备互通时使用。

【举例】

# 配置IKE协商时对端安全网关的子网类型为多子网类型。

<Sysname> system-view

[Sysname] ike peer xhy

[Sysname-ike-peer-xhy] peer multi-subnet

5.13.26 pre-shared-key

【命令】

pre-shared-key [ cipher ] key

undo pre-shared-key

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

key：指定以密文方式显示的明文预共享密钥，为8～128个字符的字符串，区分大小写，且密钥必须包含大小写字母，数字和特殊符号。

cipher key：指定以密文方式显示的预共享密钥。其中，key表示密文的预共享密钥，为1～201个字符的字符串，区分大小写。

【描述】

pre-shared-key命令用来配置IKE协商采用预共享密钥认证时，所使用的预共享密钥，undo pre-shared-key命令用来取消IKE协商所使用的预共享密钥。

相关配置可参考命令authentication-method。

【举例】

# 配置IKE协商所使用的预共享密钥为AAbbcc1234%。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1] pre-shared-key AAbbcc1234%

5.13.27 proposal (IKE peer view)

【命令】

proposal proposal-number&<1-6>

undo proposal [ proposal-number ]

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

proposal-number&<1-6>：IKE安全提议序号，取值范围为1～65535。该序号同时表示优先级，数值越小，优先级越高。

【描述】

proposal命令用来配置IKE对等体引用的IKE安全提议。undo proposal命令用来取消指定的或所有引用的IKE安全提议。

缺省情况下，IKE对等体未引用任何IKE安全提议，使用系统视图下已配置的IKE安全提议进行IKE协商。

IKE第一阶段的协商过程中，如果本端引用了指定的IKE安全提议，那么就使用指定的安全提议与对端进行协商；如果没有指定，则使用系统视图下已配置的IKE安全提议与对端进行协商。

需要注意的是：

· 一个IKE对等体中最多可以引用六个IKE安全提议。

· IKE协商中的响应方使用系统视图下已经配置的安全提议与对端发送的安全提议进行协商。

相关配置可参考命令ike proposal和ike peer (System view)。

【举例】

# 设置IKE对等体peer1引用序号为10的IKE安全提议。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1] proposal 10

5.13.28 remote-address

【命令】

remote-address { hostname [ dynamic ] | low-ip-address [ high-ip-address ] }

undo remote-address

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

hostname：IPsec对端安全网关的主机名，为1～255个字符的字符串，不区分大小写。该主机名是IPsec对端在网络中的唯一标识，可被DNS服务器解析为IP地址。

dynamic：表示IPsec对端安全网关的主机名会进行动态地址解析。如果不配置该参数，则表示仅在配置对端主机名后执行一次DNS查询。

low-ip-address：IPsec对端安全网关的IP地址。如果配置对端安全网关IP地址为连续的地址范围，则该参数为地址范围中的最小地址。

high-ip-address：如果配置对端安全网关IP地址为连续的地址范围，则该参数为地址范围中的最大地址。

【描述】

remote-address命令用来配置IPsec对端安全网关的IP地址。undo remote-address命令用来删除IPsec对端安全网关的IP地址。

需要注意的是：

· 本端通过命令remote-address配置的对端安全网关的IP地址，应该与对端IKE协商时使用的本端安全网关的IP地址一致（可通过local-address命令配置，若不配置，则为应用安全策略的接口的主地址）。

· 如果配置对端地址为精确值（主机名方式与之等价），则本端可以作为IKE协商的发起端；如果配置对端地址为一个地址范围，则本端只能作为响应方，而这个范围表示的是本端能接受的协商对象的地址范围。

· 如果对端地址经常变动，建议配置对端主机名时采用dynamic 参数，以便本端在IKE协商时及时更新对端地址。

相关配置可参考命令id-type ip和local-address。

【举例】

# 配置对端安全网关IP地址为10.0.0.1。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1] remote-address 10.0.0.1

# 配置对端安全网关地址为test.com，并采用动态更新方式。

<Sysname> system-view

[Sysname] ike peer peer2

[Sysname-ike-peer-peer2] remote-address test.com dynamic

5.13.29 remote-name

【命令】

remote-name name

undo remote-name

【视图】

IKE-Peer视图

【缺省级别】

2：系统级

【参数】

name：指定IKE协商时对端的名字，为1～32字符的字符串。

【描述】

remote-name命令用来配置对端安全网关的名字。undo remote-name命令用来取消对端安全网关名称的配置。

当IKE协商的发起端使用安全网关名字进行协商时（即配置了id-type name 或id-type user-fqdn），发起端会发送自己名字给对端来标识自己的身份，而对端使用remote-name name来认证发起端，故此时name应与发起端上令所配的本端安全网关的名字保持一致。

相关配置可参考命令id-type、local-name和ike local-name。

【举例】

# 为IKE对等体peer1配置对端安全网关名字为apple。

<Sysname> system-view

[Sysname] ike peer peer1

[Sysname-ike-peer-peer1] remote-name apple

5.13.30 reset ike sa

【命令】

reset ike sa [ connection-id ]

【视图】

用户视图

【缺省级别】

2：系统级

【参数】

connection-id：清除指定连接ID的IKE SA，取值范围为1～2000000000。

【描述】

reset ike sa命令用来清除IKE SA。

需要注意的是：

· 如果未指定任何参数，则表示清除所有IKE SA。

· 清除本地的IPsec SA时，如果相应的IKE SA还存在，将在此IKE SA的保护下，向对端发送删除消息，通知对方清除相应的IPsec SA。

· 如果先清除IKE SA，那么再清除本地IPsec SA时，就无法通知对端清除相应的IPsec SA。

相关配置可参考命令display ike sa。

【举例】

# 清除连接ID号为2 的IKE SA。

<Sysname> display ike sa

total phase-1 SAs: 1

connection-id peer flag phase doi

----------------------------------------------------------

1 202.38.0.2 RD|ST 1 IPSEC

2 202.38.0.2 RD|ST 2 IPSEC

flag meaning

RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO--TIMEOUT

<Sysname> reset ike sa 2

<Sysname> display ike sa

total phase-1 SAs: 1

connection-id peer flag phase doi

----------------------------------------------------------

1 202.38.0.2 RD|ST 1 IPSEC

flag meaning

RD--READY ST--STAYALIVE RL--REPLACED FD—FADING TO—TIMEOUT

5.13.31 sa duration

【命令】

sa duration seconds

undo sa duration

【视图】

IKE提议视图

【缺省级别】

2：系统级

【参数】

seconds：指定ISAKMP SA存活时间，取值范围为60～604800，单位为秒。

【描述】

sa duration命令用来指定一个IKE提议的ISAKMP SA存活时间，超时后ISAKMP SA将自动更新。undo sa duration命令用来恢复缺省情况。

缺省情况下，IKE提议的ISAKMP SA存活时间为86400秒。

在设定的存活时间超时前，会提前协商另一个安全联盟来替换旧的安全联盟。在新的安全联盟还没有协商完之前，依然使用旧的安全联盟；在新的安全联盟建立后，将立即使用新的安全联盟，而旧的安全联盟在存活时间超时后，被自动清除。

相关配置可参考命令ike proposal和display ike proposal。

【举例】

# 指定IKE提议10的ISAKMP SA存活时间600秒（10分钟）。

<Sysname> system-view

[Sysname] ike proposal 10

[Sysname-ike-proposal-10] sa duration 600

5.13.32 time-out

【命令】

time-out time-out

undo time-out

【视图】

IKE-DPD视图

【缺省级别】

2：系统级

【参数】

time-out：指定DPD报文的重传时间间隔，取值范围为1～60，单位为秒。

【描述】

time-out命令用来为IKE DPD配置DPD报文的重传时间间隔。undo time-out命令用来恢复缺省情况。

缺省情况下，DPD报文的重传时间间隔为5秒。

【举例】

# 配置dpd2的DPD报文重传时间间隔为1秒。

<Sysname> system-view

[Sysname] ike dpd dpd2

[Sysname-ike-dpd-dpd2] time-out 1

6 新增特性－验证文件的正确性和完整性配置

6.1 验证文件的正确性和完整性配置

使用指定的摘要算法对指定的文件计算摘要值，通常用于验证文件的正确性和完整性，防止文件内容被篡改。

表38 验证文件的正确性和完整性

操作

命令

说明

验证文件的正确性和完整性配置

crypto-digest sha256 file file-url

必选

该命令在用户视图下执行

6.2 验证文件的正确性和完整性配置命令

6.2.1 crypto-digest

【命令】

crypto-digest sha256 file file-url

【视图】

用户视图

【缺省级别】

2：系统级

【参数】

sha256：指定使用的摘要算法为SHA-256。

file file-url：指定的文件名称。

【描述】

crypto-digest命令用来计算指定文件的摘要值。

使用指定的摘要算法对指定的文件计算摘要值，通常用于验证文件的正确性和完整性，防止文件内容被篡改。例如，用户可以使用本命令计算出设备上的启动文件的摘要值，并与H3C网站上发布的该版本启动文件对应的摘要值进行比较，来验证该版本文件是否合法。

【举例】

# 使用SHA-256算法计算1.bin文件的摘要值。

<Sysname> crypto-digest sha256 file 1.bin

Computing digest...

SHA256 digest(1.bin)=7bcb92458222f91f9a09a807c4c4567efd4d5dc4e4abc06c2a741df7045433eb

7 新增特性－CC认证日志文件写保护功能

7.1 配置日志文件写保护

使能日志文件写保护功能后，当日志文件达到限额或存储空间不足时，不允许向日志文件中写入新的日志信息。

表39 配置日志文件写保护

操作

命令

说明

进入系统视图

system-view

配置日志文件写保护功能

info-center logfile overwrite-protection [ all-port-powerdown ]

必选

缺省情况下，没有配置日志文件写保护功能

· 配置all-port-powerdown参数时，设备将关闭所有物理以太网端口（配置了IRF的端口除外）。

· 仅FIPS模式下支持日志文件写保护功能。

7.2 日志文件写保护配置命令

7.2.1 info-center logfile overwrite-protection

【命令】

info-center logfile overwrite-protection [ all-port-powerdown ]

undo info-center logfile overwrite-protection

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

all-port-powerdown：用来配置日志文件达到限额或存储空间不足时，关闭所有物理以太网端口（配置了IRF的端口除外）。

【描述】

info-center logfile overwrite-protection命令用来使能日志文件写保护功能。当日志文件达到限额或存储空间不足时，不允许向日志文件中写入新的日志信息。

undo info-center logfile overwrite-protection命令用来关闭日志文件写保护功能。当日志文件达到限额或存储空间不足时，设备先将日志文件中旧的日志信息删除，再写入新的日志信息。

缺省情况下，没有使能日志文件写保护功能。

【举例】

# 使能日志文件写保护功能。

<Sysname> system-view

[Sysname] info-center logfile overwrite-protection

8 变更特性－CC认证安全相关特性增加FIPS模式下命令行

8.1 特性变更说明

设备在FIPS工作模式下，安全相关特性的命令行关键字或参数取值范围进行了修改。

8.2 命令变更说明

8.2.1 修改-key (HWTACACS scheme view)

【命令】

key { accounting | authentication | authorization } [ cipher | simple ] key

undo key { accounting | authentication | authorization }

【视图】

HWTACACS方案视图

【修改说明】

修改前：key为设置的明文密钥或密文密钥，最小字符串长度为1。

修改后：FIPS模式下，key为设置的明文密钥或密文密钥，最小字符串长度为8，且密钥必须包含大小写字母，数字和特殊符号。

8.2.2 修改-key (RADIUS scheme view)

【命令】

key { accounting | authentication } [ cipher | simple ] key

undo key { accounting | authentication }

【视图】

RADIUS方案视图

【修改说明】

修改前：key为设置的明文密钥或密文密钥，最小字符串长度为1。

修改后：FIPS模式下，key为设置的明文密钥或密文密钥，最小字符串长度为8，且密钥必须包含大小写字母，数字和特殊符号。

8.2.3 修改-password

【原命令】

password [ [ hash ] { cipher | simple } password ]

undo password

【修改后的命令】

非FIPS模式下：

password [ [ hash ] { cipher | simple } password ]

undo password

FIPS模式下：

password

【视图】

本地用户视图

【修改说明】

FIPS模式下，删除参数[ hash ] { cipher | simple } password。

password命令不指定任何参数，则表示以交互式方式设置本地用户密码，并且不显示该密码。只有先配置Password Control功能（通过命令passoword-control enable）才支持本方式，Password Control特性相关命令的具体介绍请参见“安全命令参考”中的“Password Control”。

使能Password Control特性的全局密码管理功能后，本地用户密码的设置将受到Password Control特性的约束，比如密码的长度、复杂度等将会受到限制，并且设备上将不显示配置的本地用户密码。

8.2.4 修改-primary accounting (RADIUS scheme view)

【命令】

primary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key ] *

undo primary accounting

【视图】

RADIUS方案视图

【修改说明】

修改前：key为设置的明文密钥或密文密钥，最小字符串长度为1。

修改后：FIPS模式下，key为设置的明文密钥或密文密钥，最小字符串长度为8，且密钥必须包含大小写字母，数字和特殊符号。

8.2.5 修改-primary authentication (RADIUS scheme view)

【命令】

primary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *

undo primary authentication

【视图】

RADIUS方案视图

【修改说明】

修改前：key为设置的明文密钥或密文密钥，最小字符串长度为1。

修改后：FIPS模式下，key为设置的明文密钥或密文密钥，最小字符串长度为8，且密钥必须包含大小写字母，数字和特殊符号。

8.2.6 修改-secondary accounting (RADIUS scheme view)

【命令】

secondary accounting { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key ] *

undo secondary accounting [ ipv4-address | ipv6 ipv6-address ]

【视图】

RADIUS方案视图

【修改说明】

修改前：key为设置的明文密钥或密文密钥，最小字符串长度为1。

修改后：FIPS模式下，key为设置的明文密钥或密文密钥，最小字符串长度为8，且密钥必须包含大小写字母，数字和特殊符号。

8.2.7 修改-secondary authentication (RADIUS scheme view)

【命令】

secondary authentication { ipv4-address | ipv6 ipv6-address } [ port-number | key [ cipher | simple ] key | probe username name [ interval interval ] ] *

undo secondary authentication [ ipv4-address | ipv6 ipv6-address ]

【视图】

RADIUS方案视图

【修改说明】

修改前：key为设置的明文密钥或密文密钥，最小字符串长度为1。

修改后：FIPS模式下，key为设置的明文密钥或密文密钥，最小字符串长度为8，且密钥必须包含大小写字母，数字和特殊符号。

8.2.8 修改-password-control composition

【命令】

password-control composition type-number type-number [ type-length type-length ]

undo password-control composition

【视图】

系统视图/用户组/本地用户视图

【修改说明】

修改前：

· 参数type-number表示组合类型，取值范围为1～4。

· 缺省情况下，全局的密码元素的最少组合类型为1种，至少要包含每种元素的个数为1个。

修改后：

· FIPS模式下，参数type-number的取值只能为4。

· FIPS模式的缺省情况下，全局的密码元素的最少组合类型为4种，至少要包含每种元素的个数为1个。

8.2.9 修改-password-control length

【命令】

password-control length length

undo password-control length

【视图】

系统视图/用户组/本地用户视图

【修改说明】

修改前：参数length表示密码的最小长度，取值范围为4～32。

修改后，参数length的取值范围为8～32。

8.2.10 修改-password-control super composition

【命令】

password-control super composition type-number type-number [ type-length type-length ]

undo password-control super composition

【视图】

系统视图

【修改说明】

修改前：

· 参数type-number表示组合类型，取值范围为1～4。

· 缺省情况下，组合密码的最少组合类型为1种，组合密码中每种类型的最少字符个数为1个。

修改后：

· FIPS模式下，参数type-number的取值只能为4。

· FIPS模式的缺省情况下，组合密码的最少组合类型为4种，组合密码中每种类型的最少字符个数为1个。

8.2.11 修改-password-control super length

【命令】

password-control super length length

undo password-control super length

【视图】

系统视图

【修改说明】

修改前：参数length表示super密码的最小长度，取值范围为4～16。

修改后，参数length的取值范围为8～16。

8.2.12 修改-public-key local create

【命令】

public-key local create { dsa | rsa }

【视图】

系统视图

【修改说明】

修改前：为DSA或RSA密钥模数的最小长度为512比特，最大长度为2048比特，缺省长度为1024比特。

修改后：FIPS模式下，DSA密钥模数的最小长度为1024比特，最大长度为2048比特，缺省长度为1024比特；RSA密钥模数的长度为2048比特。如果已存在相应类型的密钥对，则需要用户确认是否覆盖原有密钥对。

8.2.13 修改-scp

【原命令】

scp [ ipv6 ] server [ port-number ] { get | put } source-file-path [ destination-file-path ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

【修改后的命令】

非FIPS模式下：

FIPS模式下：

scp [ ipv6 ] server [ port-number ] { get | put } source-file-path [ destination-file-path ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *

【视图】

用户视图

【修改说明】

修改后：FIPS模式下，新增参数：

· prefer-ctos-cipher aes256：建立SSH客户端和服务器端的连接时，客户端到服务器端的首选加密算法使用aes256-cbc加密算法。

· prefer-stoc-cipher aes256：建立SSH客户端和服务器端的连接时，服务器端到客户端的首选加密算法使用aes256-cbc加密算法。

FIPS模式下，删除参数：

· identity-key dsa：publickey认证采用的公钥算法dsa。

· prefer-ctos-cipher 3des：客户端到服务器端的首选加密算法采用3des-cbc加密算法。

· prefer-ctos-cipher des：客户端到服务器端的首选加密算法采用des-cbc加密算法。

· prefer-ctos-hmac md5：客户端到服务器端的首选HMAC算法采用hmac-md5。

· prefer-ctos-hmac md5-96：客户端到服务器端的首选HMAC算法采用hmac-md5-96。

· prefer-kex dh-group-exchange：密钥交换首选算法采用diffie-hellman-group-exchange-sha1。

· prefer-kex dh-group1：密钥交换首选算法采用diffie-hellman-group1-sha1。

· prefer-stoc-cipher 3des：服务器端到客户端的首选加密算法采用3des-cbc加密算法。

· prefer-stoc-cipher des：服务器端到客户端的首选加密算法采用des-cbc加密算法。

· prefer-stoc-hmac md5：服务器端到客户端的首选HMAC算法采用hmac-md5。

· prefer-stoc-hmac md5-96：服务器端到客户端的首选HMAC算法采用hmac-md5-96。

8.2.14 修改-ssh user

【原命令】

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }

undo ssh user username

【修改后的命令】

非FIPS模式下：

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }

undo ssh user username

FIPS模式下：

ssh user username service-type stelnet authentication-type { password | password-publickey assign publickey keyname }

ssh user username service-type { all | scp | sftp } authentication-type { password | password-publickey assign publickey keyname work-directory directory-name }

undo ssh user username

【视图】

系统视图

【修改说明】

修改后：FIPS模式下，删除了any和publickey两种认证方式。

8.2.15 修改-ssh2

【原命令】

ssh2 [ ipv6 ] server [ port-number ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

【修改后的命令】

非FIPS模式下：

FIPS模式下：

ssh2 [ ipv6 ] server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *

【视图】

用户视图

【修改说明】

修改后：FIPS模式下，新增参数：

· prefer-ctos-cipher aes256：建立SSH客户端和服务器端的连接时，客户端到服务器端的首选加密算法使用aes256-cbc加密算法。

· prefer-stoc-cipher aes256：建立SSH客户端和服务器端的连接时，服务器端到客户端的首选加密算法使用aes256-cbc加密算法。

FIPS模式下，删除参数：

· identity-key dsa：publickey认证采用的公钥算法dsa。

· prefer-ctos-cipher 3des：客户端到服务器端的首选加密算法采用3des-cbc加密算法。

· prefer-ctos-cipher des：客户端到服务器端的首选加密算法采用des-cbc加密算法。

· prefer-ctos-hmac md5：客户端到服务器端的首选HMAC算法采用hmac-md5。

· prefer-ctos-hmac md5-96：客户端到服务器端的首选HMAC算法采用hmac-md5-96。

· prefer-kex dh-group-exchange：密钥交换首选算法采用diffie-hellman-group-exchange-sha1。

· prefer-kex dh-group1：密钥交换首选算法采用diffie-hellman-group1-sha1。

· prefer-stoc-cipher 3des：服务器端到客户端的首选加密算法采用3des-cbc加密算法。

· prefer-stoc-cipher des：服务器端到客户端的首选加密算法采用des-cbc加密算法。

· prefer-stoc-hmac md5：服务器端到客户端的首选HMAC算法采用hmac-md5。

· prefer-stoc-hmac md5-96：服务器端到客户端的首选HMAC算法采用hmac-md5-96。

8.2.16 修改-sftp

【原命令】

非FIPS模式下：

sftp [ ipv6] server [ port-number ] [ identity-key { dsa | rsa } | prefer-ctos-cipher { 3des | aes128 | des } | prefer-ctos-hmac { md5 | md5-96 | sha1 | sha1-96 } | prefer-kex { dh-group-exchange | dh-group1 | dh-group14 } | prefer-stoc-cipher { 3des | aes128 | des } | prefer-stoc-hmac { md5 | md5-96 | sha1 | sha1-96 } ] *

【修改后的命令】

非FIPS模式下：

FIPS模式下：

sftp [ ipv6] server [ port-number ] [ identity-key rsa | prefer-ctos-cipher { aes128 | aes256 } | prefer-ctos-hmac { sha1 | sha1-96 } | prefer-kex dh-group14 | prefer-stoc-cipher { aes128 | aes256 } | prefer-stoc-hmac { sha1 | sha1-96 } ] *

【视图】

用户视图

【修改说明】

修改后：FIPS模式下，新增参数：

· prefer-ctos-cipher aes256：建立SFTP客户端和服务器端的连接时，客户端到服务器端的首选加密算法使用aes256-cbc加密算法。

· prefer-stoc-cipher aes256：建立SFTP客户端和服务器端的连接时，服务器端到客户端的首选加密算法使用aes256-cbc加密算法。

FIPS模式下，删除参数：

· identity-key dsa：publickey认证采用的公钥算法dsa。

· prefer-ctos-cipher 3des：客户端到服务器端的首选加密算法采用3des-cbc加密算法。

· prefer-ctos-cipher des：客户端到服务器端的首选加密算法采用des-cbc加密算法。

· prefer-ctos-hmac md5：客户端到服务器端的首选HMAC算法采用hmac-md5。

· prefer-ctos-hmac md5-96：客户端到服务器端的首选HMAC算法采用hmac-md5-96。

· prefer-kex dh-group-exchange：密钥交换首选算法采用diffie-hellman-group-exchange-sha1。

· prefer-kex dh-group1：密钥交换首选算法采用diffie-hellman-group1-sha1。

· prefer-stoc-cipher 3des：服务器端到客户端的首选加密算法采用3des-cbc加密算法。

· prefer-stoc-cipher des：服务器端到客户端的首选加密算法采用des-cbc加密算法。

· prefer-stoc-hmac md5：服务器端到客户端的首选HMAC算法采用hmac-md5。

· prefer-stoc-hmac md5-96：服务器端到客户端的首选HMAC算法采用hmac-md5-96。

8.2.17 修改-ciphersuite

【原命令】

ciphersuite [ rsa_aes_128_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha ] *

【修改后的命令】

非FIPS模式下：

ciphersuite [ rsa_aes_128_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha ] *

FIPS模式下：

ciphersuite [ dhe_rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha ] *

【视图】

SSL服务器端策略视图

【修改说明】

修改后：FIPS模式下，新增参数：

· dhe_rsa_aes_128_cbc_sha：密钥交互算法采用DH_RSA、数据加密算法采用128位AES_CBC算法、MAC算法采用SHA。

FIPS模式下，删除参数：

· rsa_des_cbc_sha：密钥交换算法采用RSA、数据加密算法采用DES_CBC、MAC算法采用SHA。

· rsa_rc4_128_md5：密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用MD5。

· rsa_rc4_128_sha：密钥交换算法采用RSA、数据加密算法采用128位的RC4、MAC算法采用SHA。

8.2.18 修改-prefer-cipher

【命令】

prefer-cipher { rsa_aes_128_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }

undo prefer-cipher

【修改后的命令】

非FIPS模式下：

prefer-cipher { rsa_aes_128_cbc_sha | rsa_des_cbc_sha | rsa_rc4_128_md5 | rsa_rc4_128_sha }

undo prefer-cipher

FIPS模式下：

prefer-cipher { dhe_rsa_aes_128_cbc_sha | rsa_aes_128_cbc_sha }

undo prefer-cipher

【视图】

SSL客户端策略视图

【修改说明】

修改后：FIPS模式下，新增参数：

· dhe_rsa_aes_128_cbc_sha：密钥交互算法采用DH_RSA、数据加密算法采用128位AES_CBC算法、MAC算法采用SHA。

FIPS模式下，删除参数：

· rsa_des_cbc_sha：密钥交换算法采用RSA、数据加密算法采用DES_CBC算法、MAC算法采用SHA。

· rsa_rc4_128_md5：密钥交换算法采用RSA、数据加密算法采用128位的RC4算法、MAC算法采用MD5。

· rsa_rc4_128_sha：密钥交换算法采用RSA、数据加密算法采用128位的RC4算法、MAC算法采用SHA。

8.2.19 修改-certificate request mode

【命令】

certificate request mode { auto [ key-length key-length | password { cipher | simple } password ] * | manual }

undo certificate request mode

【视图】

PKI域视图

【修改说明】

修改前：key-length表示RSA密钥长度，取值范围为512 bit～2048 bit，缺省值为1024 bit。

修改后：FIPS模式下，key-length的取值只能为2048 bit。

9 变更特性－CC认证CLI相关特性增加FIPS模式下命令行

9.1 特性变更说明

设备在FIPS工作模式下，CLI相关特性的命令行关键字或参数取值范围进行了修改。

9.2 命令变更说明

9.2.1 修改-super password

【原命令】

super password [ level user-level ] { cipher | simple } password

undo super password [ level user-level ]

【修改后的命令】

非FIPS模式下：

super password [ level user-level ] [ hash ] { cipher | simple } password

undo super password [ level user-level ]

FIPS模式下：

super password [ level user-level ] { cipher | simple } password

undo super password [ level user-level ]

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

level user-level：用户的级别，取值范围为1～3，缺省值为3，即如没有指定用户级别，则表示设置的是切换到3级用户操作的密码。

hash：密码配置支持哈希加密算法。（FIPS模式不支持该参数）

simple：以明文方式设置用户级别切换密码。

cipher：以密文方式设置用户级别切换密码。

password：密码字符串，区分大小写。

非FIPS模式下：

· 如果采用simple形式，为1～16个字符的字符串；

· 如果采用cipher形式，指定hash参数密文密码的长度范围是1～110，不指定hash参数密文密码的长度范围是1～53。

FIPS模式下密码必须是大写字母、小写字母、数字以及特殊字符的组合：

· 如果采用simple形式，为8～16个字符的字符串；

· 如果采用cipher形式，为8～53个字符的字符串。

【修改说明】

增加FIPS模式。

非FIPS模式下：

· 增加hash参数，设置用户级别切换的密码时可采用哈希加密算法。

· 修改cipher密文密码长度，指定hash参数密文密码的长度范围是1～110，不指定hash参数密文密码的长度范围是1～53。

10 变更特性－CC认证登录交换机相关特性增加FIPS模式下命令行

10.1 特性变更说明

设备在FIPS工作模式下，登录交换机相关特性的命令行关键字或参数取值范围进行了修改。

CC认证登录交换机相关特性增加FIPS模式下相关限制：Lock、user privilege level、set authentication password命令在FIPS模式下不支持。

10.2 命令变更说明

10.2.1 修改-authentication-mode

【原命令】

authentication-mode { none | password | scheme }

undo authentication-mode

【修改后命令】

非FIPS模式下：

authentication-mode { none | password | scheme }

undo authentication-mode

FIPS模式下：

authentication-mode scheme

undo authentication-mode

【视图】

用户界面视图

【缺省级别】

3：管理级

【参数】

none：设置不进行认证。（FIPS模式不支持该参数）

password：指定进行本地密码认证方式。（FIPS模式不支持该参数）

scheme：指定进行AAA认证方式。

【描述】

authentication-mode命令用来设置用户使用当前用户界面登录设备时的认证方式。undo authentication-mode命令用来恢复缺省情况。

非FIPS模式下，缺省使用VTY用户界面登录的用户的认证方式为password，使用AUX用户界面登录的用户不需要认证。

FIPS模式下，认证方式只能是scheme。

【修改说明】

FIPS模式下：删除none、 password参数，认证方式只能是scheme。

10.2.2 修改-protocol inbound

【原命令】

protocol inbound { all | ssh | telnet }

undo protocol inbound

【修改后的命令】

非FIPS模式下：

protocol inbound { all | ssh | telnet }

undo protocol inbound

FIPS模式下：

protocol inbound { all | ssh }

undo protocol inbound

【视图】

VTY用户界面视图

【缺省级别】

3：管理级

【参数】

all：支持所有的协议，包括Telnet、SSH。（FIPS模式下不包括Telnet）

ssh：支持SSH协议。

telnet：支持Telnet协议。（FIPS模式下不支持该参数）

【描述】

protocol inbound命令用来指定所在用户界面支持的协议。undo protocol inbound命令用来恢复缺省情况。

缺省情况下，系统支持所有协议。

配置结果将在下次登录时生效。

【修改说明】

FIPS模式下删除telnet参数，即不支持Telnet协议。

10.2.3 修改-set authentication password

【原命令】

set authentication password { cipher | simple } password

undo set authentication password

【修改后的命令】

set authentication password [ hash ] { cipher | simple } password

undo set authentication password

【视图】

用户界面视图

【缺省级别】

3：管理级

【参数】

hash：密码配置支持哈希加密算法。

cipher：以密文方式设置用户本地认证密码。

simple：以明文方式设置用户本地认证密码。

password：密码字符串，区分大小写。

· 如果采用明文（simple）形式，为1～16个字符的字符串；

· 如果采用密文（cipher）形式，指定hash参数密文密码的长度范围是1～110，如果不指定hash参数密文密码的长度范围是1～53。

【描述】

非FIPS模式下，set authentication password命令用来设置本地认证的口令。undo set authentication password命令用来取消本地认证的口令。

· 缺省情况下，系统没有设置用户级别切换的密码。

· 以明文或密文方式设置的密码，均以密文方式保存在配置文件中。

FIPS模式下不支持该命令。

【修改说明】

非FIPS模式下：

· 增加hash参数，设置用户级别切换的密码时可采用哈希加密算法。

· 修改cipher密文密码长度，指定hash参数密文密码的长度范围是1～110，不指定hash参数密文密码的长度范围是1～53。

11 变更特性－CC认证软件升级相关特性增加FIPS模式下相关限制

11.1 特性变更说明

设备在FIPS工作模式下，软件升级相关特性的命令行执行命令后会对文件的签名进行校验。

· boot-loader、boot-loader update file命令在FIPS模式下，执行该命令后，系统先对启动文件的签名进行校验，只有通过校验后，该命令才能配置成功。

· bootrom命令在FIPS模式下，执行该命令后，系统先对Bootrom文件的签名进行校验，只有通过校验后，该命令才能配置成功。

· patch install、patch load在FIPS模式下，执行该命令后，系统先对补丁文件的签名进行校验，只有通过校验后，该命令才能配置成功。

11.2 命令变更说明

无

12 变更特性－CC认证配置文件管理相关特性增加FIPS模式下相关限制

12.1 特性变更说明

设备在FIPS工作模式下，配置文件管理相关特性的命令行增加FIPS模式下相关限制：backup startup-configuration、restore startup-configuration这两条命令在FIPS模式下不支持。

12.2 命令变更说明

无

13 变更特性－CC认证SNMP相关特性修改FIPS模式下命令行

13.1 特性变更说明

snmp-agent calculate-password plain-password mode sha { local-engineid | specified-engineid engineid }

【视图】

系统视图

【修改说明】

FIPS模式下，删除3desmd5、3dessha和md5参数。

13.2.6 修改-snmp-agent sys-info

【原命令】

snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }

undo snmp-agent sys-info { contact | location | version { all | { v1 | v2c | v3 }* } }

【修改后的命令】

非FIPS模式下：

snmp-agent sys-info { contact sys-contact | location sys-location | version { all | { v1 | v2c | v3 }* } }

undo snmp-agent sys-info { contact | location | version { all | { v1 | v2c | v3 }* } }

FIPS模式下：

snmp-agent sys-info { contact sys-contact | location sys-location | version v3 }

undo snmp-agent sys-info { contact | location | version v3 }

【视图】

系统视图

【修改说明】

FIPS模式下，删除all、v1和v2c参数。

13.2.7 修改-snmp-agent target-host

【原命令】

snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } [ udp-port port-number ] params securityname security-string [ v1 | v2c | v3 [ authentication | privacy ] ]

undo snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } params securityname security-string

【修改后的命令】

非FIPS模式下：

undo snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } params securityname security-string

FIPS模式下：

snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } [ udp-port port-number ] params securityname security-string v3 [ authentication | privacy ]

undo snmp-agent target-host trap address udp-domain { ip-address | ipv6 ipv6-address } params securityname security-string

【视图】

系统视图

【修改说明】

FIPS模式下，删除v1、v2c参数。

13.2.8 修改-snmp-agent usm-user v3

【原命令】

snmp-agent usm-user v3 user-name group-name [ cipher ] [ authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ]

undo snmp-agent usm-user v3 user-name group-name { local | engineid engineid-string }

【修改后的命令】

非FIPS模式下：

snmp-agent usm-user v3 user-name group-name [ cipher ] [ authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number ]

undo snmp-agent usm-user v3 user-name group-name { local | engineid engineid-string }

FIPS模式下：

snmp-agent usm-user v3 user-name group-name [ cipher ] [ authentication-mode sha auth-password [ privacy-mode aes128 priv-password ] ] [ acl acl-number ]

undo snmp-agent usm-user v3 user-name group-name { local | engineid engineid-string }

【视图】

系统视图

【修改说明】

FIPS模式下，删除md5、3des和des56参数。

F1513P06版本

本版本特性变更情况如下：

无

F1513P05版本

本版本特性变更情况如下：

无

F1513P01版本

本版本特性变更情况如下：

· 新增特性—自动备份软件的配置文件

· 新增特性—配置SAVI绑定表项延迟时间

· 新增特性—MAC地址认证的Critical VLAN

· 变更特性－802.1X认证的Critical VLAN

· 变更特性－设置用户级别切换的密码

· 变更特性－设置本地认证的密码

· 变更特性—设置本地用户的密码

· 变更特性－清除所有密码管理黑名单中的用户

· 变更特性－IRF链路down延迟上报功能

1 新增特性—自动备份软件的配置文件

1.1 自动备份软件的配置文件

设备采用新软件版本启动时，默认会采用升级前的下次启动配置文件。如果下次启动配置文件为老软件版本的配置文件，当用户使用新软件版本完成了若干配置，并对当前版本的最新配置进行首次保存时，若在设备上执行“save [ safely ] [ backup | main ] [ force ]”命令，此时设备上会提示如下信息：

The configuration file flash:/config.cfg will be automatically backed up as flash:/_config_bak.cfg for a future version downgrading.

此时设备将进行如下操作：

· 对设备当前正在使用的老配置文件自动进行备份，以备版本降级时恢复设备的原有配置（例如，当前的配置文件名称为config.cfg，则设备将该文件自动备份为名称为_config_bak.cfg的文件，并将备份后的文件保存在Master及各Slave的Flash中）。

· 采用当前运行的配置生成新的配置文件，并用新配置文件直接覆盖下次启动时使用的配置文件。

如果当前配置文件自动备份的过程中，出现IRF中某成员设备备份失败（其他成员设备备份成功），设备将提示用户选择后续的操作方式。

l 放弃保存新版本上的所有配置：选择此操作方式，则所有成员设备不会保存当前运行的所有配置。

l 采用当前运行的配置生成新的配置文件，并用新配置文件直接覆盖下次启动时使用的配置文件：选择此操作方式，升级前的老软件版本的配置文件将丢失。此时需要手工将Master上备份的老配置文件_XXX_bak.cfg拷贝到该成员设备的flash中，以确保后续该成员设备也能够顺利的降级回老版本。

在保存配置文件时请确保各成员设备Flash有足够的空间，否则可能会导致老版本配置文件备份失败。

l 如果设备需从当前的新软件版本降级回老软件版本时，首先要检查各成员设备上是否存在老版本的配置文件_XXX_bak.cfg。如果存在，需在降级之前手工指定各成员的下次启动配置文件采用老版本的配置文件，否则下次启动配置文件不会采用老版本的配置文件。

l 若执行save filename [ all | slot ]命令保存当前配置时，设备不会备份老版本的配置文件。

1.2 自动备份软件的配置文件命令

无

2 新增特性—配置SAVI绑定表项延迟时间

2.1 配置SAVI绑定表项延迟时间

在接入交换机上开启SAVI（Source Address Validation，源地址有效性验证）功能后，交换机会通过ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的绑定关系表，并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。

开启SAVI功能后，当接入交换机的端口down，该端口下对应用户的DHCPv6 Snooping和ND Snooping动态绑定表项不会立刻清除，而是等待一段时间后才被清除，这个时间称为SAVI绑定表项延迟时间，可以通过命令行进行配置。这样可以防止端口短暂的down/up过程被设备忽略而导致的合法IPv6地址无法正常上网的问题。

表1 SAVI绑定表项延迟时间配置

操作	命令	说明
进入系统视图	system-view	-
开启SAVI功能	ipv6 savi strict	必选缺省情况下，SAVI功能处于关闭状态
配置SAVI绑定表项延迟时间	ipv6 savi down-delay time	可选缺省情况下，SAVI绑定表项延迟时间为30秒

2.2 SAVI绑定表项延迟时间配置命令

2.2.1 ipv6 savi down-delay

【命令】

ipv6 savi down-delay time

undo ipv6 savi down-delay

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

time：SAVI绑定表项延迟时间，取值范围为0～86400，单位为秒。

【描述】

ipv6 savi down-delay命令用来配置SAVI绑定表项延迟时间，开启SAVI功能后，若端口关闭时间超过配置的SAVI绑定表项延迟时间，设备会删除与该端口对应的DHCPv6 Snooping表项和ND Snooping表项。undo ipv6 savi down-delay命令用来恢复缺省情况。

缺省情况下，开启SAVI功能后，SAVI绑定表项延迟时间为30秒。

【举例】

# 配置SAVI绑定表项延迟时间为360秒。

<Sysname> system-view

[Sysname] ipv6 savi down-delay 360

3 新增特性—MAC地址认证的Critical VLAN

3.1 MAC地址认证的Critical VLAN

MAC地址认证的Critical VLAN功能允许用户在进行MAC地址认证时，当所有认证服务器都不可达的情况下访问某一特定VLAN中的资源，这个VLAN称之为MAC地址认证的Critical VLAN。

端口上配置Critical VLAN后，若该端口上有用户进行MAC地址认证时，当所有认证服务器都不可达，则用户将被授权访问Critical VLAN里的资源。

当RADIUS服务器真实可达后，已经加入Critical VLAN的端口将会离开Critical VLAN：

RADIUS服务器真实可达的因素：

· 认证用户的ISP域中新增认证服务器。

· 配置了RADIUS认证服务器探测功能，且探测结果表示某认证服务器可达。

· 收到RADIUS服务器回应报文。

· 只采用RADIUS认证方式的情况下，在认证服务器都不可达后，端口才会加入Critical VLAN。若采用了其它认证方式，则端口不会加入Critical VLAN。

· RADIUS服务器相关的配置请参见“安全配置指导”中的“AAA”。

3.2 配置MAC地址认证的Critical VLAN

MAC地址认证Critical VLAN功能的优先级高于端口安全中端口入侵检测的阻塞MAC功能，低于端口入侵检测的端口关闭功能，因此在开启了端口安全入侵检测的端口关闭功能时，MAC地址认证的Critical VLAN功能不生效。关于端口入侵检测功能的具体介绍请参见“安全配置指导”中的“端口安全”。

3.2.1 配置准备

· 开启MAC地址认证特性。

· 端口的MAC VLAN功能已经使能。

· 已经创建需要配置为Critical VLAN的VLAN。

3.2.2 配置Critical VLAN

表2 配置Critical VLAN

操作	命令	说明
进入系统视图	system-view	-
进入二层以太网端口视图	interface interface-type interface-number	-
配置MAC认证的Critical VLAN	mac-authentication critical vlan critical-vlan-id	必选缺省情况下，没有配置MAC认证的Critical VLAN

· MAC地址认证过程中，当客户端无法在设备给其分配的VLAN发生变化时（加入或离开MAC地址认证的授权VLAN、Guest VLAN或Critical VLAN）触发自身的IP地址更新，建议用户通过释放IP或修复网络连接的方式解决这个问题。

· 不同的端口可以配置不同的Critical VLAN，但一个端口只能配置一个Critical VLAN。

· MAC地址认证Critical VLAN功能的优先级高于MAC地址认证的静默MAC功能，即当认证服务器都不可达时，认证失败的用户可访问指定的Critical VLAN中的资源，且该用户的MAC地址不会被加入静默MAC。

3.3 MAC地址认证的Critical VLAN配置命令

3.3.1 mac-authentication critical vlan

【命令】

mac-authentication critical vlan critical-vlan-id

undo mac-authentication critical vlan

【视图】

二层以太网端口视图

【缺省级别】

2：系统级

【参数】

critical-vlan-id：端口上指定的Critical VLAN ID，取值范围为1～4094。该VLAN必须已经创建。

【描述】

mac-authentication critical vlan命令用来配置MAC地址认证的Critical VLAN，即当用户进行MAC地址认证时，对应的ISP域下所有认证服务器都不可达的情况下用户加入的VLAN。

undo mac-authentication critical vlan命令用来取消MAC地址认证的Critical VLAN配置。

缺省情况下，端口没有配置MAC地址认证的Critical VLAN。

需要注意的是：

· 只有开启MAC认证的情况下，Critical VLAN才能生效。

· 端口上必须使能MAC VLAN功能，配置的Critical VLAN才生效。

· 认证服务器不可达是指，因网络故障等原因导致的，用于认证用户的ISP域所引用的所有服务器都不可达。

· 禁止删除已被配置为Critical VLAN的VLAN，若要删除该VLAN，请先使用命令undo mac-authentication critical vlan取消MAC地址认证的Critical VLAN配置。

相关配置可参考命令mac-authentication和“二层技术-以太网交换命令参考/VLAN”中的命令mac-vlan enable。

【举例】

# 配置以太网端口GigabitEthernet1/0/1的MAC地址认证的Critical VLAN为已经创建的VLAN 5。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] mac-authentication critical vlan 5

4 变更特性－802.1X认证的Critical VLAN

4.1 特性变更说明

password [ { cipher | simple } password ]

【修改后的命令】

password [ [ hash ] { cipher | simple } password ]

【视图】

本地用户视图

【修改说明】

修改前：

· 仅支持以明文或密文方式设置本地用户的密码。

· 明文密码为1～63个字符的字符串；密文密码为1～117个字符的字符串。

修改后：

· 以明文或密文方式设置本地用户的密码。并支持以哈希加密算法方式保存密码并显示为密码的hash值。

· 如果未指定哈希加密算法保存时，明文密码为1～63个字符的字符串；密文密码为1～117个字符的字符串；

· 如果指定哈希加密算法保存，明文密码为1～63个字符的字符串；密文密码为1～110个字符的字符串。

8 变更特性－清除所有密码管理黑名单中的用户

8.1 特性变更说明

对清除所有密码管理黑名单中的用户的命令行进行了修改。

8.2 命令变更说明

8.2.1 修改- reset password-control blacklist

【原命令】

reset password-control blacklist [ user-name name ]

【修改后的命令】

reset password-control blacklist { all | user-name name }

【视图】

用户视图

【修改说明】

修改前：reset password-control blacklist不带任何参数表示清除所有密码管理黑名单中的用户。

修改后：reset password-control blacklist all表示清除所有密码管理黑名单中的用户。

9 变更特性－IRF链路down延迟上报功能

9.1 特性变更说明

IRF链路down延迟上报时间的取值范围修改。

9.2 命令变更说明

9.2.1 修改-irf link-delay

【命令】

irf link-delay interval

【视图】

系统视图

【修改说明】

修改前：interval参数的取值范围为0～30000，单位为毫秒。

修改后：interval参数的取值范围为0～10000，单位为毫秒。

R1512P06版本

本版本特性变更情况如下：

无

R1512P05版本

本版本特性变更情况如下：

无

R1511版本

本版本特性变更情况如下：

· 新增特性—通过LLDP自动发现IP电话功能

· 新增特性－配置DNS报文的源接口

· 新增特性－ARP Snooping

· 新增特性－SCP

· 变更特性－MAC地址认证下线检测定时器取值

1 新增特性—通过LLDP自动发现IP电话功能

1.1 通过LLDP自动发现IP电话功能配置

1.1.1 简介

传统的Voice VLAN是通过手工配置的OUI地址作为IP电话的匹配规则和接入条件，由于可配置的OUI地址数量有限，这种方式限制了可接入网络的IP电话的类型（将源MAC匹配同一OUI地址的IP电话视为一个类型）。

在设备上配置了通过LLDP自动发现IP电话功能后，设备将通过LLDP自动发现对端设备，并与对端设备通过LLDP的TLV进行信息交互。如果通过端口收到的LLDP System Capabilities TLV中的信息发现对端设备具有电话能力，则认为对端设备是IP电话并将设备上配置的Voice VLAN信息通过LLDP发送给对端设备。这种方式使接入网络的IP电话类型不再受限于OUI地址的数量。

在完成IP电话的发现过程后，端口将继续完成Voice VLAN的其余功能，即端口将自动加入Voice VLAN，并提高从该IP电话发出的语音数据的优先级。为防止IP电话无法通过端口上配置的认证功能，设备还会将IP电话的MAC地址添加到MAC地址表中。

· 本功能只能与支持LLDP协议的IP电话配合使用，请查阅IP电话的使用说明，确认您的电话是否支持LLDP功能。

· 关于Voice VLAN功能的原理介绍和配置方法，请参见“二层技术-以太网交换配置指导”中的“Voice VLAN配置”。

1.1.2 配置通过LLDP自动发现IP电话功能

在配置通过LLDP自动发现IP电话功能之前，需完成以下任务：

· 在全局和端口使能LLDP功能。

· 完成Voice VLAN功能的配置。

表1 配置通过LLDP自动发现IP电话功能

操作

命令

说明

进入系统视图

system-view

配置通过LLDP自动发现IP电话功能

voice vlan track lldp

必选

缺省情况下，通过LLDP自动发现IP电话功能处于关闭状态

· 设备开启了通过LLDP自动发现IP电话功能后，每个端口最多可以接入5台IP电话。

· 通过LLDP自动发现IP电话功能与LLDP兼容CDP功能不能同时配置。

1.2 通过LLDP自动发现IP电话功能配置命令

1.2.1 voice vlan track lldp

【命令】

voice vlan track lldp

undo voice vlan track lldp

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

voice vlan track lldp命令用来开启通过LLDP自动发现IP电话功能。undo voice vlan track lldp命令用来关闭通过LLDP自动发现IP电话功能。

缺省情况下，通过LLDP自动发现IP电话功能处于关闭状态。

【举例】

# 在设备上开启通过LLDP自动发现IP电话功能。

<Sysname> system-view

[Sysname] voice vlan track lldp

2 新增特性－配置DNS报文的源接口

2.1 配置DNS报文的源接口

缺省情况下，设备根据DNS server的地址，通过路由表查找报文的出接口，并将该出接口的主IP地址作为发送到该服务器的DNS查询报文的源地址。根据DNS server的地址不同，发送报文的源地址可能会发生变化。在某些特殊的组网环境中，DNS server只应答来自特定源地址的DNS请求报文。这种情况下，必须指定DNS报文的源接口。如果为设备配置了DNS报文的源接口，则设备在发送DNS报文时，将固定使用该接口的主IP地址作为报文的源地址。

表2 配置DNS报文的源接口

操作

命令

说明

进入系统视图

system-view

配置DNS报文的源接口

dns source-interface interface-type interface-number

必选

缺省情况下，未指定DNS报文的源接口，设备根据DNS server的地址，通过路由表查找报文的出接口，并将该出接口的主IP地址作为发送到该服务器的DNS查询报文的源地址。

2.2 配置DNS报文的源接口配置命令

2.2.1 dns source-interface

【命令】

dns source-interface interface-type interface-number

undo dns source-interface

【视图】

系统视图

【缺省级别】

2.系统级

【参数】

interface-type interface-number：接口类型和接口编号。

【描述】

dns source-interface命令用来指定DNS报文的源接口。undo dns source-interface命令用来恢复缺省情况。

需要注意的是，指定源接口后，DNS协议报文的源IP地址使用该接口的主IP地址，报文发送的接口仍为根据目的IP地址找到的出接口。

【举例】

# 指定DNS查询报文的源接口为接口Vlan-interface 2。

<Sysname> system-view

[Sysname] dns source-interface vlan-interface2

3 新增特性－ARP Snooping

3.1 ARP Snooping配置

3.1.1 工作机制

设备上的一个VLAN使能ARP Snooping后，该VLAN内所有端口接收的ARP报文会被重定向到CPU。CPU对重定向上送的ARP报文进行分析，获取ARP报文的源IP地址、源MAC地址、VLAN和入端口信息，建立记录用户信息的ARP Snooping表项。

ARP Snooping表项的老化时间为25分钟，有效时间为15分钟。如果一个ARP Snooping表项自最后一次更新后15分钟内没有收到ARP更新报文，则此表项开始进入失效状态，不再对外提供服务，其他特性查找此表项将会失败。当收到源IP地址和源MAC与已存在的ARP Snooping表项IP地址和MAC均相同的ARP报文时，此ARP Snooping表项进行更新，重新开始生效，并重新老化计时。当ARP Snooping表项达到老化时间后，则将此ARP Snooping表项删除。

如果ARP Snooping收到ARP报文时检查到相同IP的ARP Snooping表项已经存在，但是MAC地址发生了变化，则认为发生了攻击，此时ARP Snooping表项处于冲突状态，表项失效，不再对外提供服务，并在25分钟后删除此表项。

3.1.2 配置ARP Snooping

表3 配置ARP Snooping

操作	命令	说明
进入系统视图	system-view	-
进入VLAN视图	vlan vlan-id	-
使能ARP Snooping功能	arp-snooping enable	必选缺省情况下，关闭ARP Snooping功能

3.1.3 ARP Snooping显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后ARP Snooping的运行情况，通过查看显示信息验证配置的效果。

在用户视图下，用户可以执行reset命令清除ARP Snooping表中的表项。

表4 ARP Snooping显示和维护

操作	命令
显示ARP Snooping表项	display arp-snooping [ ip ip-address \| vlan vlan-id ] [ \| { begin \| exclude \| include } regular-expression ]
清除ARP Snooping表项	reset arp-snooping [ ip ip-address \| vlan vlan-id ]

3.2 ARP Snooping配置命令

3.2.1 arp-snooping enable

【命令】

arp-snooping enable

undo arp-snooping enable

【视图】

VLAN视图

【缺省级别】

2：系统级

【参数】

无

【描述】

arp-snooping enable命令用来使能ARP Snooping功能。undo arp-snooping enable命令用来关闭ARP Snooping功能。

缺省情况下，关闭ARP Snooping功能。

【举例】

# 使能VLAN 1下的ARP Snooping功能。

<Sysname> system-view

[Sysname] vlan 1

[Sysname-vlan1] arp-snooping enable

3.2.2 display arp-snooping

【命令】

display arp-snooping [ ip ip-address | vlan vlan-id ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2：系统级

【参数】

ip ip-address：显示指定IP地址的ARP Snooping表项。

vlan vlan-id：显示指定VLAN的ARP Snooping表项。vlan-id的取值范围为1～4094。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display arp-snooping命令用来显示ARP Snooping表项。如果没有指定参数，表示显示所有的ARP Snooping表项。

【举例】

# 显示VLAN 1下的ARP Snooping表项。

<Sysname> display arp-snooping vlan 1

IP Address MAC Address VLAN ID Interface Aging Status

3.3.3.3 0003-0003-0003 1 GE1/0/1 20 Valid

3.3.3.4 0004-0004-0004 1 GE1/0/2 5 Invalid

---- Total entry(ies) on VLAN 1:2 ----

表5 display arp snooping命令显示信息描述表

字段	描述
IP Address	ARP Snooping表项的IP地址
MAC Address	ARP Snooping表项的MAC地址
VLAN ID	ARP Snooping表项所属的VLAN ID
Interface	ARP Snooping表项所对应的入接口
Aging	ARP Snooping表项的老化时间，单位为分钟
Status	ARP Snooping表项的状态，分为有效、无效和冲突三种情况

3.2.3 reset arp-snooping

【命令】

reset arp-snooping [ ip ip-address | vlan vlan-id ]

【视图】

用户视图

【缺省级别】

2：系统级

【参数】

ip ip-address：清除指定IP地址的ARP Snooping表项。

vlan vlan-id：清除指定VLAN的ARP Snooping表项。vlan-id的取值范围为1～4094。

【描述】

reset arp-snooping命令用来清除ARP Snooping表项。如果没有指定参数，表示清除所有的ARP Snooping表项。

【举例】

# 清除VLAN 1下的ARP Snooping表项。

<Sysname> reset arp-snooping vlan 1

4 新增特性－SCP

4.1 SCP配置

SCP是Secure Copy的简称，提供安全的文件复制功能。目前仅支持基于SSH 2.0的文件复制。

SCP建立在SSH连接的基础之上，设备作为SCP服务器时，可使得远程用户安全地登录设备，进行文件上传或下载操作；设备作为SCP客户端时，用户可以从本地设备安全登录到远程服务器，进行文件的安全传输。

设备作为SCP服务器时，同时仅允许有一个FTP、SFTP或SCP用户访问SCP服务器。

4.1.1 配置设备作为SCP服务器

配置设备作为SCP服务器的步骤如下：

(1) 配置设备作为SSH服务器，具体配置步骤请参见“安全配置指导”的“SSH配置”。

(2) 设置SSH用户的服务类型设置为scp或者all。

表6 配置SSH用户服务类型和认证方式

操作	命令	说明
进入系统视图	system-view	-
创建SSH用户，并指定SSH用户的服务类型（all、scp）和认证方式	ssh user username service-type { all \| scp } authentication-type { password \| { any \| password-publickey \| publickey } assign publickey keyname work-directory directory-name }	必选

· 对于AAA用户，即使没有创建对应的SSH用户，只要能够通过AAA认证，且设置的服务类型为SSH，则该用户仍然可以通过password认证方式登录服务器。

· SSH1不支持服务类型scp。如果客户端采用SSH1版本登录服务器，则必须在服务器上配置服务类型为all。否则，客户端无法登录服务器。

· SCP用户登录时使用的工作目录与用户使用的认证方式有关。只采用publickey认证方式的用户，使用的工作目录为通过ssh user命令为该用户设置的工作目录；只采用password认证方式的用户，使用的工作目录为通过AAA授权的工作目录；同时采用publickey和password两种认证方式的用户，使用的工作目录为通过ssh user命令为该用户设置的工作目录。

4.1.2 配置设备作为SCP客户端

该配置任务用来启动SCP客户端程序，与远程SCP服务器传输文件。

表7 与远程SCP服务器传输文件

操作		命令	说明
与远程SCP服务器传输文件	向远程IPv4 SCP服务器上传文件	scp server [ port-number ] put source-file-path [ destination-file-path ] [ identity-key { dsa \| rsa } \| prefer-ctos-cipher { 3des \| aes128 \| des } \| prefer-ctos-hmac { md5 \| md5-96 \| sha1 \| sha1-96 } \| prefer-kex { dh-group-exchange \| dh-group1 \| dh-group14 } \| prefer-stoc-cipher { 3des \| aes128 \| des } \| prefer-stoc-hmac { md5 \| md5-96 \| sha1 \| sha1-96 } ] *	四者必选其一请在用户视图下执行此命令
	从远程IPv4 SCP服务器下载文件	scp server [ port-number ] get source-file-path [ destination-file-path ] [ identity-key { dsa \| rsa } \| prefer-ctos-cipher { 3des \| aes128 \| des } \| prefer-ctos-hmac { md5 \| md5-96 \| sha1 \| sha1-96 } \| prefer-kex { dh-group-exchange \| dh-group1 \| dh-group14 } \| prefer-stoc-cipher { 3des \| aes128 \| des } \| prefer-stoc-hmac { md5 \| md5-96 \| sha1 \| sha1-96 } ] *
	向远程IPv6 SCP服务器上传文件	scp ipv6 server [ port-number ] put source-file-path [ destination-file-path ] [ identity-key { dsa \| rsa } \| prefer-ctos-cipher { 3des \| aes128 \| des } \| prefer-ctos-hmac { md5 \| md5-96 \| sha1 \| sha1-96 } \| prefer-kex { dh-group-exchange \| dh-group1 \| dh-group14 } \| prefer-stoc-cipher { 3des \| aes128 \| des } \| prefer-stoc-hmac { md5 \| md5-96 \| sha1 \| sha1-96 } ] *
	从远程IPv6 SCP服务器下载文件	scp ipv6 server [ port-number ] get source-file-path [ destination-file-path ] [ identity-key { dsa \| rsa } \| prefer-ctos-cipher { 3des \| aes128 \| des } \| prefer-ctos-hmac { md5 \| md5-96 \| sha1 \| sha1-96 } \| prefer-kex { dh-group-exchange \| dh-group1 \| dh-group14 } \| prefer-stoc-cipher { 3des \| aes128 \| des } \| prefer-stoc-hmac { md5 \| md5-96 \| sha1 \| sha1-96 } ] *

从远程服务器下载文件时，如果未完成就退出，设备会保留文件片段，用户可以自行删除。

4.1.3 设备作为SCP客户端配置举例

1. 组网需求

如图1，Switch A作为SCP客户端从Switch B下载文件remote.bin，用户采用的认证方式为password认证，用户名为test。

2. 组网图

图1 设备作为SCP客户端组网图

3. 配置步骤

(1) 配置SCP客户端

# 配置VLAN接口1的IP地址。

<SwitchA> system-view

[SwitchA] interface vlan-interface 1

[SwitchA-Vlan-interface1] ip address 192.168.0.2 255.255.255.0

[SwitchA-Vlan-interface1] quit

(2) 下载文件

# 下载远端的remote.bin文件，下载到本地后更名为local.bin。

<SwitchA> scp 192.168.0.1 get remote.bin local.bin

Username: test

Trying 192.168.0.1 ...

Press CTRL+K to abort

Connected to 192.168.0.1 ...

The Server is not authenticated. Continue? [Y/N]:y

Do you want to save the server public key? [Y/N]:n

Enter password:

18471 bytes transfered in 0.001 seconds.

4.1.4 设备作为SCP服务器配置举例

1. 组网需求

如图2，Host和Switch之间建立SSH连接，Host作为SCP客户端与SCP服务器Switch传输文件。所使用的用户名为test，密码为aabbcc，用户名和密码保存在本地设备上。

2. 组网图

图2 设备作为SCP服务器组网图

3. 配置步骤

(1) 配置SCP服务器

# 生成RSA密钥对。

<Switch> system-view

[Switch] public-key local create rsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++

++++++++++++++

+++++

++++++++

# 生成DSA密钥对。

[Switch] public-key local create dsa

The range of public key size is (512 ~ 2048).

NOTES: If the key modulus is greater than 512,

It will take a few minutes.

Press CTRL+C to abort.

Input the bits of the modulus[default = 1024]:

Generating Keys...

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

+++++++++++++++++++++++++++++++++++

# 启动SSH服务器。

[Switch] ssh server enable

# 配置VLAN接口1的IP地址，客户端将通过该地址连接SSH服务器。

[Switch] interface vlan-interface 1

[Switch-Vlan-interface1] ip address 192.168.1.45 255.255.255.0

[Switch-Vlan-interface1] quit

# 设置SSH客户端登录用户界面的认证方式为AAA认证。

[Switch] user-interface vty 0 15

[Switch-ui-vty0-15] authentication-mode scheme

# 设置SSH客户端登录用户界面支持包括SSH在内的所有协议。

[Switch-ui-vty0-15] protocol inbound all

[Switch-ui-vty0-15] quit

# 创建本地用户test和对应的工作路径。

[Switch] local-user test

[Switch-luser-test] password simple aabbcc

[Switch-luser-test] service-type ssh

[Switch-luser-test] authorization-attribute work-directory flash:/

[Switch-luser-test] quit

# 配置SSH用户认证方式为password，服务类型为SCP。

[Switch] ssh user test service-type scp authentication-type password

4.2 SCP配置命令

4.2.1 scp

【命令】

【视图】

用户视图

【缺省级别】

3：管理级

【参数】

ipv6：指定为IPv6服务器。

server：服务器的IP地址或主机名称。指定为IPv4服务器时，server为1～20个字符的字符串，不区分大小写；指定为IPv6服务器时，server为1～46个字符的字符串，不区分大小写。

port-number：服务器端口号，取值范围为0～65535，缺省值为22。

identity-key：publickey认证采用的公钥算法，缺省算法为dsa。

· dsa：公钥算法为DSA。

· rsa：公钥算法为RSA。

prefer-ctos-cipher：客户端到服务器端的首选加密算法，缺省算法为aes128。

· 3des：3des-cbc加密算法。

· aes128：aes128-cbc加密算法。

· des：des-cbc加密算法。

prefer-ctos-hmac：客户端到服务器端的首选HMAC算法，缺省算法为sha1-96。

· md5：HMAC算法hmac-md5。

· md5-96：HMAC算法hmac-md5-96。

· sha1：HMAC算法hmac-sha1。

· sha1-96：HMAC算法hmac-sha1-96。

prefer-kex：密钥交换首选算法，缺省算法为dh-group-exchange。

· dh-group-exchange：密钥交换算法diffie-hellman-group-exchange-sha1。

· dh-group1：密钥交换算法diffie-hellman-group1-sha1。

· dh-group14：密钥交换算法diffie-hellman-group14-sha1。

prefer-stoc-cipher：服务器端到客户端的首选加密算法，缺省算法为aes128。

prefer-stoc-hmac：服务器端到客户端的首选HMAC算法，缺省算法为sha1-96。

【描述】

scp命令用来与远程SCP服务器进行文件传输。

需要注意的是，当服务器端指定客户端的认证方式为publickey认证时，客户端需要读取本地的私钥进行验证。由于publickey认证可以采用RSA和DSA两种加密算法，所以需要用identity-key关键字指定采用的加密算法，才能得到正确的本地私钥数据。缺省情况下，加密算法为DSA。

【举例】

# 从远程SCP服务器下载文件remote.bin，下载到本地后更名为local.bin。

<Sysname> scp 192.168.0.1 get remote.bin local.bin

4.2.2 ssh user

【命令】

ssh user username service-type stelnet authentication-type { password | { any | password-publickey | publickey } assign publickey keyname }

undo ssh user username

【视图】

系统视图

【缺省级别】

3：管理级

【参数】

username：SSH用户名，为1～80个字符的字符串，区分大小写。

service-type：SSH用户的服务类型。包括：

all：包括scp、stelnet和sftp服务类型。

scp：服务类型为安全的文件复制。

sftp：服务类型为安全的FTP。

stelnet：服务类型为安全的Telnet。

authentication-type：SSH用户的认证方式。包括：

· password：强制用户使用密码认证。该认证方式的加密机制简单，加密速度快，可结合AAA（Authentication, Authorization, Accounting，认证、授权、计费）实现对用户认证、授权和计费，但容易受到攻击。

· any：不指定用户的认证方式，用户既可以采用password认证，也可以采用publickey认证。

· password-publickey：指定客户端版本为SSH2的用户认证方式为必须同时进行password和publickey两种认证，安全性更高；客户端版本为SSH1的用户认证方式为只要进行其中一种认证即可。

· publickey：强制用户使用公钥认证。该认证方式的加密速度相对较慢，但认证强度高，不易受到“暴力猜测”等攻击方式的影响，而且具有较高的易用性。一次配置成功后，后续认证过程自动完成，不需要用户记忆和输入密码。

assign publickey keyname：为SSH用户分配一个已经存在的公钥。keyname表示已经配置的客户端公钥名，为1～64个字符的字符串。

work-directory directory-name：为SCP或SFTP用户设置工作目录。directory-name表示SCP或SFTP用户的工作目录，为1～135个字符的字符串。

【描述】

ssh user命令用来创建SSH用户，并指定SSH用户的服务类型和认证方式。undo ssh user命令用来删除SSH用户。

需要注意的是：

· 对于使用publickey认证方式的用户，必须在设备上配置相应的用户及其公钥。对于使用password认证方式的用户，用户的账号信息可以配置在设备或者远程认证服务器（如RADIUS认证服务器）上。

· 使用该命令为用户分配公钥时，如果此用户已经被分配了公钥，则以最后一次分配的公钥为准。

· 新配置的认证方式和用户公钥，对于已经登录的SSH用户不会生效，只在SSH用户下次登录时生效。

· 如果为SCP或SFTP用户指定了公钥，则必须同时为该用户设置工作目录。

· SCP或SFTP用户登录时使用的工作目录与用户使用的认证方式有关。只采用publickey认证方式的用户，使用的工作目录为通过ssh user命令为该用户设置的工作目录；只采用password认证方式的用户，使用的工作目录为通过AAA授权的工作目录；同时采用publickey和password两种认证方式的用户，使用的工作目录为通过ssh user命令为该用户设置的工作目录。

相关配置可参考命令display ssh user-information。

【举例】

# 创建SSH用户user1，配置user1的服务类型为scp，认证方式为publickey，并指定用户公钥为key1，SCP服务器工作目录为flash:/。

<Sysname> system-view

[Sysname] ssh user user1 service-type scp authentication-type publickey assign publickey key1 work-directory flash:/

5 变更特性－MAC地址认证下线检测定时器取值

5.1 特性变更说明

MAC地址认证下线检测定时器的取值范围进行了修改。

5.2 命令变更说明

5.2.1 修改-mac-authentication timer

【命令】

mac-authentication timer { offline-detect offline-detect-value | quiet quiet-value | server-timeout server-timeout-value }

【视图】

系统视图

【参数】

offline-detect offline-detect-value：表示下线检测定时器。其中，offline-detect-value表示下线检测定时器的值，取值范围60～2147483647，单位为秒。

quiet quiet-value：表示静默定时器。其中quiet-value表示静默定时器的值，取值范围1～3600，单位为秒。

server-timeout server-timeout-value：表示服务器超时定时器。其中，server-timeout-value表示服务器超时定时器的值，取值范围为100～300，单位为秒。

【修改说明】

修改前：offline-detect-value取值范围为60～65535。

修改后：offline-detect-value取值范围为60～2147483647。

6 变更特性－IRF链路down延迟上报功能

6.1 特性变更说明

IRF链路down延迟上报时间的取值范围及缺省值修改。

6.2 命令变更说明

6.2.1 修改-irf link-delay

【命令】

irf link-delay interval

【视图】

系统视图

【修改说明】

修改前：interval参数的取值范围为200～2000，单位为毫秒，缺省值为0。

修改后：interval参数的取值范围为0～30000，单位为毫秒，缺省值为4000，即4秒。

F1509版本

本版本特性变更情况如下：

· 新增特性—三层Portal认证及支持IPv6功能

· 新增特性—802.1X的Critical VLAN功能

· 新增特性—配置Web登录用户连接的超时时间

· 新增特性—配置Web日志缓冲区容量

· 新增特性—SAVI

· 新增特性—CWMP

· 新增特性—RRPP

· 新增特性—配置以太网端口环回监测动作

· 新增特性—通过LLDP协议的Power Via MDI TLV协商PoE供电功率

· 新增特性—PVST

· 变更特性－密码配置与显示

· 变更特性－显示IPv6套接字时的指定任务取值

· 删除特性－配置本地用户密码的显示方式

7 新增特性—三层Portal认证及支持IPv6功能

7.1 简介

7.1.1 三层Portal认证方式

这种方式支持在接入设备连接用户的三层接口上开启Portal认证功能。三层接口Portal认证又可分为：直接认证方式和可跨三层认证方式。直接认证方式下，认证客户端和接入设备之间没有三层转发；可跨三层认证方式下，认证客户端和接入设备之间可以跨接三层转发设备。

(6) 直接认证方式

用户在认证前通过手工配置或DHCP直接获取一个IP地址，只能访问Portal服务器，以及设定的免费访问地址；认证通过后即可访问网络资源。

(7) 可跨三层认证方式

和直接认证方式基本相同，但是这种认证方式允许认证用户和接入设备之间跨越三层转发设备。

对于以上三种认证方式，IP地址都是用户的唯一标识。接入设备基于用户的IP地址下发ACL对接口上通过认证的用户报文转发进行控制。由于直接认证下的接入设备与用户之间未跨越三层转发设备，因此接口可以学习到用户的MAC地址，接入设备可以利用学习到MAC地址增强对用户报文转发的控制粒度。

7.1.2 三层Portal认证过程

直接认证和可跨三层Portal认证流程相同。

图3 直接认证/可跨三层Portal认证流程图

直接认证/可跨三层Portal认证流程：

(1) Portal用户通过HTTP协议发起认证请求。HTTP报文经过接入设备时，对于访问Portal服务器或设定的免费访问地址的HTTP报文，接入设备允许其通过；对于访问其它地址的HTTP报文，接入设备将其重定向到Portal服务器。Portal服务器提供Web页面供用户输入用户名和密码来进行认证。

(2) Portal服务器与接入设备之间进行CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）认证交互。若采用PAP（Password Authentication Protocol，密码验证协议）认证则直接进入下一步骤。

(3) Portal服务器将用户输入的用户名和密码组装成认证请求报文发往接入设备，同时开启定时器等待认证应答报文。

(4) 接入设备与RADIUS服务器之间进行RADIUS协议报文的交互。

(5) 接入设备向Portal服务器发送认证应答报文。

(6) Portal服务器向客户端发送认证通过报文，通知客户端认证（上线）成功。

(7) Portal服务器向接入设备发送认证应答确认。

(8) 客户端和安全策略服务器之间进行安全信息交互。安全策略服务器检测接入终端的安全性是否合格，包括是否安装防病毒软件、是否更新病毒库、是否安装了非法软件、是否更新操作系统补丁等。

(9) 安全策略服务器根据用户的安全性授权用户访问非受限资源，授权信息保存到接入设备中，接入设备将使用该信息控制用户的访问。

步骤(8)、(9)为Portal认证扩展功能的交互过程。

7.1.3 Portal支持IPv6功能

Portal认证支持IPv6功能是指在IPv6网络中可配置Portal认证，包括：指定Portal认证的IPv6 Portal服务器、配置IPv6 Portal的免认证规则、配置IPv6 Portal的源认证网段、指定IPv6 Portal用户使用的认证域、配置接口发送IPv6 Portal报文使用的源地址、强制接入设备上的IPv6 Portal用户下线等，具体配置参见下一小节。

7.2 配置三层Portal认证及支持IPv6功能

表8 三层Portal认证及支持IPv6功能配置任务简介

配置任务		说明	详细配置
指定三层Portal认证的Portal服务器		必选	7.2.2
使能三层Portal		必选	7.2.3
控制Portal用户的接入	配置免认证规则	可选	7.2.4
	配置源认证网段		7.2.5
	指定Portal用户使用的认证域		7.2.6
配置接口发送RADIUS报文的相关属性	配置接口的NAS-Port-Type	可选	7.2.7 1
配置接口发送RADIUS报文的相关属性	配置接口的NAS-ID Profile	可选	7.2.7 2
配置接口发送Portal报文使用的源地址		可选	7.2.8
配置Portal探测功能	配置Portal服务器探测功能	可选	7.2.9
配置Portal探测功能	配置Portal用户信息同步功能	可选	7.2.10
强制Portal用户下线		可选	7.2.11

7.2.2 指定三层Portal认证的Portal服务器

本配置用于指定Portal服务器的相关参数，主要包括服务器IP地址、共享加密密钥、服务器端口号以及服务器提供的Web认证地址。根据不同的组网环境，此处指定的服务器IP地址有所不同：

· 如果使用远程Portal服务器，则指定为外部Portal服务器的IP地址；

· 如果使用本地Portal服务器，则指定为设备上与Portal客户端路由可达的三层接口IP地址。

表9 指定三层Portal认证的Portal服务器

操作

命令

说明

进入系统视图

system-view

指定三层Portal认证的Portal服务器

portal server server-name ip ip-address [ key [ cipher | simple ] key-string | port port-id | url url-string ] * | ipv6 ipv6-address [ key key-string | port port-id | url url-string ] * }

必选

缺省情况下，没有指定三层Portal认证的Portal服务器

l 已配置的Portal服务器参数仅在该Portal服务器未被接口引用时才可以被删除或修改。

l 通常，使用本地Portal服务器时，Portal服务器参数key、port和url均不需配置，若配置也无效。

7.2.3 使能三层Portal认证

在使能三层Portal认证之前，需要满足以下要求：

· 使能Portal的接口已配置或者获取了合法的IP地址；

· 接口上引用的Portal服务器名已经存在；

· 未在任何端口上使能二层Portal认证。

表10 使能三层Portal认证

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	- 只能是三层接口
在接口上使能三层Portal认证	portal server server-name method { direct \| layer3 }	必选缺省情况下，没有使能三层Portal认证

l 加入聚合组的三层接口不能使能Portal，反之亦然。

l 设备向Portal服务器主动发送报文时使用的目的端口号必须与远程Portal服务器实际使用的端口号保持一致。

l 已配置的Portal服务器及其参数仅在该Portal服务器未被接口引用时才可以被删除或修改。

l 对于跨三层设备支持Portal认证的应用只能配置可跨三层Portal认证方式（portal server server-name method layer3），但可跨三层Portal认证方式不要求接入设备和Portal用户之间必需跨越三层设备。

l 允许在接口上同时使能使用IPv4 Portal服务器的三层Portal认证和使用IPv6 Portal服务器的三层Portal认证。但是，不允许同时使能使用相同IP协议的Portal服务器的三层Portal认证。

7.2.4 配置免认证规则

通过配置免认证规则（free-rule）可以让特定的用户不需要通过Portal认证即可访问外网特定资源，这是由免认证规则中配置的源信息以及目的信息决定的。

免认证规则的匹配项包括IP地址、MAC地址、所连接设备的接口和VLAN，只有符合免认证规则的用户报文才不会触发Portal认证，因此这些报文所属的用户才可以直接访问网络资源。

对于二层Portal认证，只能配置从任意源地址（即source any）到任意或指定目的地址的免认证规则。配置了到指定目的地址的免认证规则后，用户不需要通过Portal认证即可访问指定目的网段或地址的网络资源，且用户访问这些资源的HTTP请求不会被重定向到Portal认证页面上。通常，可以将一些提供特定服务器资源（例如软件升级服务器）的IP地址指定为免认证规则的目的IP，便于二层Portal用户在免认证的情况下获取特定的服务资源。

表11 配置免认证规则

操作	命令	说明
进入系统视图	system-view	-
配置Portal的免认证规则	portal free-rule rule-number { destination { any \| ip { ip-address mask { mask-length \| mask } \| any } } \| source { any \| [ ip { ip-address mask { mask-length \| mask } \| any } \| mac mac-address \| vlan vlan-id ] * } } *	二者至少选其一
配置Portal的免认证规则	portal free-rule rule-number { destination { any \| ipv6 { ipv6-address prefix-length \| any } } \| source { any \| [ ipv6 { ipv6-address prefix-length \| any } \| mac mac-address \| vlan vlan-id ] * } } *	二者至少选其一

l 如果免认证规则中同时指定源IPv6地址与源MAC地址，则必须保证指定的IPv6地址为前缀长度为128位的主机地址，否则指定的MAC地址无效。

l 相同内容的免认证规则不能重复配置，否则提示免认证规则已存在或重复。

l 无论接口上是否使能Portal认证，只能添加或者删除免认证规则，不能修改。

7.2.5 配置源认证网段

通过配置源认证网段实现只允许在源认证网段范围内的用户HTTP报文才能触发Portal认证。如果未认证用户的HTTP报文既不满足免认证规则又不在源认证网段内，则将被接入设备丢弃。

表12 配置源认证网段

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置源认证网段	portal auth-network { ipv4-network-address { mask-length \| mask } \| ipv6 ipv6-network-address prefix-length }	可选缺省情况下，源IPv4认证网段为0.0.0.0/0，源IPv6认证网段为::/0，表示对来自任意网段的用户都进行Portal认证

l 源认证网段配置仅对可跨三层Portal认证有效。直接认证方式的认证网段为任意源IP。

l 可通过多次执行本命令，配置多个源认证网段。

7.2.6 指定Portal用户使用的认证域

通过在指定接口上配置Portal用户使用的认证域，使得所有从该接口接入的Portal用户被强制使用指定的认证域来进行认证、授权和计费。即使Portal用户输入的用户名中携带的域名相同，接入设备的管理员也可以通过该配置对不同接口指定不同的认证域，从而增加了管理员部署Portal接入策略的灵活性。

表13 指定Portal用户使用的认证域

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
指定Portal用户使用的认证域	portal domain [ ipv6 ] domain-name	必选缺省情况下，未指定Portal用户使用的认证域

从指定接口上接入的Portal用户将按照如下先后顺序选择认证域：接口上指定的ISP域-->用户名中携带的ISP域-->系统缺省的ISP域。

7.2.7 配置接口发送RADIUS报文的相关属性

本特性仅三层Portal认证支持。

1.配置接口的NAS-Port-Type

RADIUS标准属性NAS-Port-Type用于表示用户接入的端口类型。当接口上有Portal用户上线时候，若该接口上配置了NAS-Port-Type，则使用本命令配置的值作为向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值，否则使用接入设备获取到的用户接入的端口类型填充该属性。

若作为Portal认证接入设备的BAS（Broadband Access Server，宽带接入服务器）与Portal客户端之间跨越了多个网络设备，则可能无法正确获取到接入用户的实际端口信息，例如对于Portal认证接入的无线客户端，BAS获取到的接入端口类型有可能是设备上认证该用户的有线接口类型。因此，为保证BAS能够向RADIUS服务器正确传递用户的接入端口信息，需要网络管理员在了解用户的实际接入环境后，通过本命令指定相应的NAS-Port-Type。

表14 配置接口的NAS-Port-Type

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置接口的NAS-Port-Type	portal nas-port-type { ethernet \| wireless }	必选缺省情况下，未指定接口的NAS-Port-Type

2.配置接口的NAS-ID Profile

在某些组网环境下，依靠VLAN来确定用户的接入位置，网络运营商需要使用NAS-Identifier来标识用户的接入位置。当接口上有Portal用户上线时，若该接口上指定了NAS-ID Profile，则接入设备会根据指定的Profile名字和用户接入的VLAN来获取与此VLAN绑定的NAS-ID，此NAS-ID的值将作为向RADIUS服务器发送的RADIUS请求报文中的NAS-Identifier属性值。

本特性中指定的Profile名字用于标识VLAN和NAS-ID的绑定关系，该绑定关系由AAA中的nas-id id-value bind vlan vlan-id命令生成，有关该命令的具体情况请参见“安全命令参考”中的“AAA”。

在接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系的情况下，则使用设备名作为接口的NAS-ID。

表15 配置接口的NAS-ID Profile

操作	命令	说明
进入系统视图	system-view	-
创建NAS-ID Profile，并进入NAS-ID-Profile视图	aaa nas-id profile profile-name	必选该命令的具体情况请参见“安全命令参考”中的“AAA”
设置NAS-ID与VLAN的绑定关系	nas-id nas-identifier bind vlan vlan-id	必选该命令的具体情况请参见“安全命令参考”中的“AAA”
退出当前视图	quit	-
进入接口视图	interface interface-type interface-number	-
指定接口的NAS-ID Profile	portal nas-id-profile profile-name	必选缺省情况下，未指定NAS-ID Profile

7.2.8 配置接口发送Portal报文使用的源地址

本特性仅三层Portal认证支持。

通过在使能Portal的接口上配置发送Portal报文使用的源地址，可以保证接入设备以此IP地址为源地址向Portal服务器发送报文，且Portal服务器向接入设备回应的报文以此IP地址为目的地址。

表16 配置接口发送Portal报文使用的源地址

操作	命令	说明
进入系统视图	system-view	-
进入接口视图	interface interface-type interface-number	-
配置接口发送Portal报文使用的源地址	portal nas-ip { ipv4-address \| ipv6 ipv6-address }	可选缺省情况下，未指定接口发送Portal报文使用的源地址，即以接入用户的接口地址作为发送Portal报文的源地址

7.2.9 配置Portal服务器探测功能

本特性仅三层Portal认证支持。

在Portal认证的过程中，如果接入设备与Portal服务器的通信中断，则会导致新用户无法上线，已经在线的Portal用户无法正常下线的问题。为解决这些问题，需要接入设备能够及时探测到Portal服务器可达状态的变化，并能触发执行相应的操作来应对这种变化带来的影响。例如，当接入设备发现Portal服务器不可达时，可打开网络限制，允许Portal用户不需经过认证即可访问网络资源，也就是通常所说的Portal逃生功能，该功能为一种灵活的用户接入方案。

通过配置本特性，设备可以对指定Portal服务器的可达状态进行探测，具体配置包括如下几项：

(1) 探测方式（可以选择其中一种或同时使用两种）

· 探测HTTP连接：接入设备定期向Portal服务器的HTTP服务端口发起TCP连接，若连接成功建立则表示此服务器的HTTP服务已开启，就认为一次探测成功且服务器可达。若连接失败则认为一次探测失败。

· 探测Portal心跳报文：支持Portal逃生心跳功能的Portal服务器（目前仅iMC支持）会定期向接入设备发送Portal心跳报文，设备通过检测此报文来判断服务器的可达状态：若设备在指定的周期内收到Portal心跳报文或者其它认证报文，且验证其正确，则认为此次探测成功且服务器可达，否则认为此次探测失败。

(2) 探测参数

· 探测间隔：进行探测尝试的时间间隔。

· 失败探测的最大次数：允许连续探测失败的最大次数。若连续探测失败数目达到此值，则认为服务器不可达。

(3) 可达状态改变时触发执行的操作（可以选择其中一种或同时使用多种）

· 发送Trap：Portal服务器可达或者不可达的状态改变时，向网管服务器发送Trap信息。Trap信息中记录了Portal服务器名以及该服务器的当前状态。

· 发送日志：Portal服务器可达或者不可达的状态改变时，发送日志信息。日志信息中记录了Portal服务器名以及该服务器状态改变前后的状态。

· 打开网络限制（Portal逃生）：Portal服务器不可达时，暂时取消端口进行的Portal认证，允许该端口接入的所有Portal用户访问网络资源。之后，若设备收到Portal服务器的心跳报文，或者收到其它认证报文（上线报文、下线报文等），则恢复该端口的Portal认证功能。

对于以上配置项，可根据实际情况进行组合使用，但需要注意以下几点：

· 如果同时指定了两种探测方式，则只要使用任何一种探测方式进行探测的失败次数达到最大值就认为服务器不可达。在服务器不可达状态下，只有使用两种探测方式的探测都成功才能认为服务器恢复为可达状态。

· 如果同时指定了多种操作，则Portal服务器可达状态改变时系统可并发执行多种操作。

· 对指定Portal服务器配置的探测功能，只有接口上使能了Portal认证并引用该Portal服务器之后才能生效。

表17 配置Portal服务器探测功能

操作

命令

说明

进入系统视图

system-view

配置对Portal服务器的探测功能

portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ]

必选

缺省情况下，未配置对Portal服务器的探测功能

本命令中指定的Portal服务器必须已经存在

只有对于支持Portal逃生心跳功能（目前仅iMC的Portal服务器支持）的Portal服务器，portal-heartbeat类型的探测方法才有效。为了配合此类型的探测，还需要在Portal服务器上选择支持逃生心跳功能，并要求此处的interval与retry参数值的乘积大于等于Portal服务器上的逃生心跳间隔时长，其中interval取值最好大于Portal服务器的逃生间隔时长。

7.2.10 配置Portal用户信息同步功能

本特性仅三层Portal认证支持。

为了解决接入设备与Portal服务器通信中断后，两者的Portal用户信息不一致问题，设备提供了一种Portal用户信息同步功能。该功能利用了Portal同步报文的发送及检测机制，具体实现如下：

(1) 由Portal服务器周期性地（周期为Portal服务器上指定的用户心跳间隔值）将在线用户信息通过用户同步报文发送给接入设备；

(2) 接入设备检测到该用户同步报文后，将其中携带的用户信息与自己的用户信息进行对比，如果发现同步报文中有设备上不存在的用户信息，则将这些自己没有的用户信息反馈给Portal 服务器，Portal服务器将删除这些用户信息；如果发现接入设备上的某用户信息在连续N（N为retry参数的取值）个周期内，都未在该Portal服务器发送过来的用户同步报文中出现过，则认为Portal服务器上已不存在该用户，设备将强制该用户下线。

表18 配置Portal用户同步功能

操作

命令

说明

进入系统视图

system-view

配置Portal用户同步功能

portal server server-name user-sync [ interval interval ] [ retry retries ]

必选

缺省情况下，未配置Portal用户同步功能

本命令中指定的Portal服务器必须已经存在

只有在指定的Portal服务器已经在接口上使能的情况下，本功能才能生效

l 只有在支持Portal用户心跳功能（目前仅iMC的Portal服务器支持）的Portal服务器的配合下，本功能才有效。为了实现该功能，还需要在Portal服务器上选择支持用户心跳功能，并要求此处的interval与retry参数值的乘积应该大于等于Portal服务器上的用户心跳间隔时长，其中interval取值最好大于Portal服务器的用户心跳间隔时长。

l 对于设备上多余的用户信息，即在N个周期后被判定为Portal服务器上已不存在的用户信息，设备会在第N＋1个周期内的某时刻将其删除掉。

7.2.11 强制Portal用户下线

通过配置强制用户下线可以终止对指定IP地址用户的认证过程，或者将已经通过认证的指定IP地址的用户删除。

表19 配置强制用户下线

操作	命令	说明
进入系统视图	system-view	-
强制接入设备上的用户下线	portal delete-user { ipv4-address \| all \| interface interface-type interface-number \| ipv6 ipv6-address }	必选

7.3 三层Portal认证及支持IPv6功能的显示和维护

表20 Portal显示和维护

操作	命令
显示接口上Portal的ACL信息	display portal acl { all \| dynamic \| static } interface interface-type interface-number [ \| { begin \| exclude \| include } regular-expression ]
显示接口上Portal的连接统计信息	display portal connection statistics { all \| interface interface-type interface-number } [ \| { begin \| exclude \| include } regular-expression ]
显示Portal服务器信息	display portal server [ server-name ] [ \| { begin \| exclude \| include } regular-expression ]
显示接口上Portal服务器的统计信息	display portal server statistics { all \| interface interface-type interface-number } [ \| { begin \| exclude \| include } regular-expression ]
清除接口上Portal的连接统计信息	reset portal connection statistics {all \| interface interface-type interface-number }
清除接口上Portal服务器的统计信息	reset portal server statistics { all \| interface interface-type interface-number }

7.4 三层Portal认证典型配置举例

7.4.1 Portal直接认证配置举例

1.组网需求

· 用户主机与接入设备Switch直接相连，采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal服务器；在通过Portal认证后，可以使用此IP地址访问非受限互联网资源。

· 采用RADIUS服务器作为认证/计费服务器。

2.组网图

图4 配置Portal直接认证组网图

3.配置步骤

l 按照组网图配置设备各接口的IP地址，保证启动Portal之前各主机、服务器和设备之间的路由可达。

l 完成RADIUS服务器上的配置，保证用户的认证/计费功能正常运行。

(1) 配置Portal server（iMC PLAT 5.0）

下面以iMC为例（使用iMC版本为：iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)），说明Portal server的基本配置。

# 配置Portal服务器。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[Portal服务器管理/服务器配置]菜单项，进入服务器配置页面。

· 根据实际组网情况调整以下参数，本例中使用缺省配置。

图5 Portal服务器配置页面

# 配置IP地址组。

单击导航树中的[Portal服务器管理/IP地址组配置]菜单项，进入Portal IP地址组配置页面，在该页面中单击<增加>按钮，进入增加IP地址组配置页面。

· 填写IP地址组名；

· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内；

· 选择业务分组，本例中使用缺省的“未分组”；

· 选择IP地址组的类型为“普通”。

图6 增加IP地址组配置页面

# 增加Portal设备。

单击导航树中的[Portal服务器管理/设备配置]菜单项，进入Portal设备配置页面，在该页面中单击<增加>按钮，进入增加设备信息配置页面。

· 填写设备名；

· 指定IP地址为与接入用户相连的设备接口IP；

· 输入密钥，与接入设备Switch上的配置保持一致；

· 选择是否进行二次地址分配，本例中为直接认证，因此为否；

· 选择是否支持逃生心跳功能和用户心跳功能，本例中不支持。

图7 增加设备信息配置页面

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中，点击NAS设备的<端口组信息管理>链接，进入端口组信息配置页面。

图8 设备信息列表

在端口组信息配置页面中点击<增加>按钮，进入增加端口组信息配置页面。

· 填写端口组名；

· 选择IP地址组，用户接入网络时使用的IP地址必须属于所选的IP地址组；

· 其它参数采用缺省值。

图9 增加端口组信息配置页面

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项，使以上Portal服务器配置生效。

(2) 配置Switch

· 配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Switch> system-view

[Switch] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[Switch-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Switch-radius-rs1] primary authentication 192.168.0.112

[Switch-radius-rs1] primary accounting 192.168.0.112

[Switch-radius-rs1] key authentication radius

[Switch-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Switch-radius-rs1] user-name-format without-domain

[Switch-radius-rs1] quit

· 配置认证域

# 创建并进入名字为dm1的ISP域。

[Switch] domain dm1

# 配置ISP域的AAA方法。

[Switch-isp-dm1] authentication portal radius-scheme rs1

[Switch-isp-dm1] authorization portal radius-scheme rs1

[Switch-isp-dm1] accounting portal radius-scheme rs1

[Switch-isp-dm1] quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。

[Switch] domain default enable dm1

· 配置Portal认证

# 配置Portal服务器：名称为newpt，IP地址为192.168.0.111，密钥为portal，端口为50100，URL为http://192.168.0.111:8080/portal。（Portal服务器的URL请与实际环境中的Portal服务器配置保持一致，此处仅为示例）

[Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与用户Host相连的接口上使能Portal认证。

[Switch] interface vlan-interface 100

[Switch–Vlan-interface100] portal server newpt method direct

[Switch] quit

7.4.2 可跨三层Portal认证配置举例

1.组网需求

Switch A支持Portal认证功能。用户Host通过Switch B接入到Switch A。

· 配置Switch A采用可跨三层Portal认证。用户在未通过Portal认证前，只能访问Portal服务器；用户通过Portal认证后，可以访问非受限互联网资源。

· 采用RADIUS服务器作为认证/计费服务器。

2.组网图

图10 配置可跨三层Portal认证组网图

3.配置步骤

l 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址（20.20.20.1），且与该Portal设备关联的IP地址组为用户所在网段（8.8.8.0/24）。

l 按照组网图配置设备各接口的IP地址，保证启动Portal之前各主机、服务器和设备之间的路由可达。

l 完成RADIUS服务器上的配置，保证用户的认证/计费功能正常运行。

在Switch A上进行以下配置。

(1) 配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<SwitchA> system-view

[SwitchA] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[SwitchA-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[SwitchA-radius-rs1] primary authentication 192.168.0.112

[SwitchA-radius-rs1] primary accounting 192.168.0.112

[SwitchA-radius-rs1] key authentication radius

[SwitchA-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[SwitchA-radius-rs1] user-name-format without-domain

[SwitchA-radius-rs1] quit

(2) 配置认证域

# 创建并进入名字为dm1的ISP域。

[SwitchA] domain dm1

# 配置ISP域的AAA方法。

[SwitchA-isp-dm1] authentication portal radius-scheme rs1

[SwitchA-isp-dm1] authorization portal radius-scheme rs1

[SwitchA-isp-dm1] accounting portal radius-scheme rs1

[SwitchA-isp-dm1] quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。

[SwitchA] domain default enable dm1

(3) 配置Portal认证

# 配置Portal服务器：名称为newpt，IP地址为192.168.0.111，密钥为portal，端口为50100，URL为http://192.168.0.111:8080/portal（请根据Portal服务器的实际情况配置，此处仅为示例）。

[SwitchA] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与Switch B相连的接口上使能Portal认证。

[SwitchA] interface vlan-interface 4

[SwitchA–Vlan-interface4] portal server newpt method layer3

[SwitchA–Vlan-interface4] quit

Switch B上需要配置到192.168.0.0/24网段的缺省路由，下一跳为20.20.20.1，具体配置略。

7.4.3 Portal直接认证扩展功能配置举例

1.组网需求

· 用户主机与接入设备Switch直接相连，采用直接方式的Portal认证。用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段；在通过安全认证后，可以访问非受限互联网资源。

· 采用RADIUS服务器作为认证/计费服务器。

2.组网图

图11 配置Portal直接认证扩展功能组网图

3.配置步骤

l 按照组网图配置设备各接口的IP地址，保证启动Portal之前各主机、服务器和设备之间的路由可达。

l 完成RADIUS服务器上的配置，保证用户的认证/计费功能正常运行。

在Swtich上进行以下配置。

(1) 配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Switch> system-view

[Switch] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[Switch-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Switch-radius-rs1] primary authentication 192.168.0.112

[Switch-radius-rs1] primary accounting 192.168.0.112

[Switch-radius-rs1] key accounting radius

[Switch-radius-rs1] key authentication radius

[Switch-radius-rs1] user-name-format without-domain

# 配置RADIUS方案的安全策略服务器。

[Switch-radius-rs1] security-policy-server 192.168.0.113

[Switch-radius-rs1] quit

(2) 配置认证域

# 创建并进入名字为dm1的ISP域。

[Switch] domain dm1

# 配置ISP域的AAA方法。

[Switch-isp-dm1] authentication portal radius-scheme rs1

[Switch-isp-dm1] authorization portal radius-scheme rs1

[Switch-isp-dm1] accounting portal radius-scheme rs1

[Switch-isp-dm1] quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。

[Switch] domain default enable dm1

(3) 配置受限资源对应的ACL为3000，非受限资源对应的ACL为3001

安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。

[Switch] acl number 3000

[Switch-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255

[Switch-acl-adv-3000] rule deny ip

[Switch-acl-adv-3000] quit

[Switch] acl number 3001

[Switch-acl-adv-3001] rule permit ip

[Switch-acl-adv-3001] quit

(4) 配置Portal认证

[Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与用户Host相连的接口上使能Portal认证。

[Switch] interface vlan-interface 100

[Switch–Vlan-interface100] portal server newpt method direct

[Switch] quit

7.4.4 可跨三层Portal认证方式扩展功能配置举例

1.组网需求

Switch A支持Portal认证功能。用户Host通过Switch B接入到Switch A。

· 配置Switch A采用可跨三层Portal认证。用户在通过身份认证而没有通过安全认证时可以访问192.168.0.0/24网段；在通过安全认证后，可以访问非受限互联网资源。

· 采用RADIUS服务器作为认证/计费服务器。

2.组网图

图12 配置可跨三层Portal认证扩展功能组网图

3.配置步骤

l 请保证在Portal服务器上添加的Portal设备的IP地址为与用户相连的接口IP地址（20.20.20.1），且与该Portal设备关联的IP地址组为用户所在网段（8.8.8.0/24）。

l 按照组网图配置设备各接口的IP地址，保证启动Portal之前各主机、服务器和设备之间的路由可达。

l 完成RADIUS服务器上的配置，保证用户的认证/计费功能正常运行。

在Switch A上进行以下配置。

(1) 配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<SwitchA> system-view

[SwitchA] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用CAMS/iMC服务器时，RADIUS服务器类型应选择extended。

[Switch-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[SwitchA-radius-rs1] primary authentication 192.168.0.112

[SwitchA-radius-rs1] primary accounting 192.168.0.112

[SwitchA-radius-rs1] key accounting radius

[SwitchA-radius-rs1] key authentication radius

[SwitchA-radius-rs1] user-name-format without-domain

# 配置RADIUS方案的安全策略服务器。

[SwitchA-radius-rs1] security-policy-server 192.168.0.113

[SwitchA-radius-rs1] quit

(2) 配置认证域

# 创建并进入名字为dm1的ISP域。

[SwitchA] domain dm1

# 配置ISP域的AAA方法。

[SwitchA-isp-dm1] authentication portal radius-scheme rs1

[SwitchA-isp-dm1] authorization portal radius-scheme rs1

[SwitchA-isp-dm1] accounting portal radius-scheme rs1

[SwitchA-isp-dm1] quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。

[SwitchA] domain default enable dm1

(3) 配置受限资源对应的ACL为3000，非受限资源对应的ACL为3001

安全策略服务器上需要将ACL 3000和ACL 3001分别指定为隔离ACL和安全ACL。

[SwitchA] acl number 3000

[SwitchA-acl-adv-3000] rule permit ip destination 192.168.0.0 0.0.0.255

[SwitchA-acl-adv-3000] rule deny ip

[SwitchA-acl-adv-3000] quit

[SwitchA] acl number 3001

[SwitchA-acl-adv-3001] rule permit ip

[SwitchA-acl-adv-3001] quit

(4) 配置Portal认证

[SwitchA] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与Switch B相连的接口上使能Portal认证。

[SwitchA] interface vlan-interface 4

[SwitchA–Vlan-interface4] portal server newpt method layer3

[SwitchA–Vlan-interface4] quit

Switch B上需要配置到192.168.0.0/24网段的缺省路由，下一跳为20.20.20.1，具体配置略。

7.4.5 Portal服务器探测和用户同步功能配置举例

1.组网需求

用户主机与接入设备Switch直接相连，通过Portal认证接入网络，并采用RADIUS服务器作为认证/计费服务器。

具体要求如下：

· 用户通过手工配置或DHCP获取的一个公网IP地址进行认证，在通过Portal认证前，只能访问Portal服务器；在通过Portal认证后，可以使用此IP地址访问非受限的互联网资源。

· 接入设备能够探测到Portal服务器是否可达，并输出可达状态变化的Trap信息，在服务器不可达时（例如，网络连接中断、网络设备故障或服务器无法正常提供服务等情况），取消Portal认证，使得用户仍然可以正常访问网络。

· 接入设备能够与服务器定期进行用户信息的同步。

2.组网图

图13 Portal服务器探测和用户同步功能配置组网图

3.配置思路

(1) 配置Portal服务器，并启动逃生心跳功能和用户心跳功能；

(2) 配置RADIUS服务器，实现正常的认证及计费功能；

(3) 接入设备通过接口Vlan-int100与用户主机直接相连，在该接口上配置直接方式的Portal认证；

(4) 接入设备上配置Portal服务器探测功能，在与Portal服务器的逃生心跳功能的配合下，对Portal服务器的可达状态进行探测；

(5) 接入设备上配置Portal用户同步功能，在与Portal服务器的用户心跳功能的配合下，与Portal服务器上的用户信息进行同步。

4.配置步骤

l 按照组网图配置设备各接口的IP地址，保证启动Portal之前各主机、服务器和设备之间的路由可达。

l 完成RADIUS服务器上的配置，保证用户的认证/计费功能正常运行。

(1) 配置Portal服务器（iMC PLAT 5.0）

下面以iMC为例（使用iMC版本为：iMC PLAT 5.0(E0101)、iMC UAM 5.0(E0101)），说明Portal server的基本配置。

# 配置Portal服务器。

登录进入iMC管理平台，选择“业务”页签，单击导航树中的[Portal服务器管理/服务器配置]菜单项，进入服务器配置页面。

· 配置逃生心跳间隔时长及用户心跳间隔时长；

· 其它参数使用缺省配置。

图14 Portal服务器配置页面

# 配置IP地址组。

单击导航树中的[Portal服务器管理/IP地址组配置]菜单项，进入Portal IP地址组配置页面，在该页面中单击<增加>按钮，进入增加IP地址组配置页面。

· 填写IP地址组名；

· 输入起始地址和终止地址。用户主机IP地址必须包含在该IP地址组范围内；

· 选择业务分组，本例中使用缺省的“未分组”；

· 选择IP地址组的类型为“普通”。

图15 增加IP地址组配置页面

# 增加Portal设备。

单击导航树中的[Portal服务器管理/设备配置]菜单项，进入Portal设备配置页面，在该页面中单击<增加>按钮，进入增加设备信息配置页面。

· 填写设备名；

· 指定IP地址为与接入用户相连的设备接口IP；

· 输入密钥，与接入设备Switch上的配置保持一致；

· 选择是否进行二次地址分配，本例中为直接认证，因此为否；

· 选择支持逃生心跳功能和用户心跳功能。

图16 增加设备信息配置页面

# Portal设备关联IP地址组

在Portal设备配置页面中的设备信息列表中，点击NAS设备的<端口组信息管理>链接，进入端口组信息配置页面。

图17 设备信息列表

在端口组信息配置页面中点击<增加>按钮，进入增加端口组信息配置页面。

· 填写端口组名；

· 选择IP地址组，用户接入网络时使用的IP地址必须属于所选的IP地址组；

· 其它参数采用缺省值。

图18 增加端口组信息配置页面

# 最后单击导航树中的[业务参数配置/系统配置手工生效]菜单项，使以上Portal服务器配置生效。

(2) 配置Switch

· 配置RADIUS方案

# 创建名字为rs1的RADIUS方案并进入该方案视图。

<Switch> system-view

[Switch] radius scheme rs1

# 配置RADIUS方案的服务器类型。使用iMC服务器时，RADIUS服务器类型应选择extended。

[Switch-radius-rs1] server-type extended

# 配置RADIUS方案的主认证和主计费服务器及其通信密钥。

[Switch-radius-rs1] primary authentication 192.168.0.112

[Switch-radius-rs1] primary accounting 192.168.0.112

[Switch-radius-rs1] key authentication radius

[Switch-radius-rs1] key accounting radius

# 配置发送给RADIUS服务器的用户名不携带ISP域名。

[Switch-radius-rs1] user-name-format without-domain

[Switch-radius-rs1] quit

· 配置认证域

# 创建并进入名字为dm1的ISP域。

[Switch] domain dm1

# 配置ISP域的AAA方法。

[Switch-isp-dm1] authentication portal radius-scheme rs1

[Switch-isp-dm1] authorization portal radius-scheme rs1

[Switch-isp-dm1] accounting portal radius-scheme rs1

[Switch-isp-dm1] quit

# 配置系统缺省的ISP域dm1，所有接入用户共用此缺省域的认证和计费方法。若用户登录时输入的用户名未携带ISP域名，则使用缺省域下的认证方法。

[Switch] domain default enable dm1

· 使能Portal认证

[Switch] portal server newpt ip 192.168.0.111 key portal port 50100 url http://192.168.0.111:8080/portal

# 在与用户Host相连的接口上使能Portal认证。

[Switch] interface vlan-interface 100

[Switch–Vlan-interface100] portal server newpt method direct

[Switch–Vlan-interface100] quit

· 配置Portal服务器探测功能

# 配置对Portal服务器newpt的探测功能：探测方式为探测Portal心跳报文，每次探测间隔时间为40秒，若连续二次探测均失败，则发送服务器不可达的Trap信息，并打开网络限制，允许未认证用户访问网络。

[Switch] portal server newpt server-detect method portal-heartbeat action trap permit-all interval 40 retry 2

此处interval与retry的乘积应该大于等于Portal服务器的逃生心跳间隔时长，且推荐interval取值大于Portal服务器的逃生心跳间隔时长。

· 配置Portal用户信息同步功能

# 配置对Portal服务器newpt的Portal用户同步功能，检测用户同步报文的时间间隔为600秒，如果设备中的某用户信息在连续两个探测周期内都未在该Portal服务器发送的同步报文中出现，设备将强制该用户下线。

[Switch] portal server newpt user-sync interval 600 retry 2

此处interval与retry的乘积应该大于等于Portal服务器上的用户心跳间隔时长，且推荐interval取值大于Portal服务器的用户心跳间隔时长。

5.验证配置结果

以上配置完成后，可以通过执行以下命令查看到Portal服务器的状态为Up，说明当前Portal服务器可达。

<Switch> display portal server newpt

Portal server:

1)newpt:

IP : 192.168.0.111

Port : 50100

Key : ******

URL : http://192.168.0.111:8080/portal

Status : Up

之后，若接入设备探测到Portal服务器不可达了，可通过以上显示命令查看到Portal服务器的状态为Down，同时，设备会输出表示服务器不可达的Trap信息“portal server newpt lost”，并取消对该接口接入的用户的Portal认证，使得用户可以直接访问外部网络。

7.5 三层Portal认证及支持IPv6功能相关配置命令

7.5.1 display portal acl

【命令】

display portal acl { all | dynamic | static } interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

all：显示所有ACL的信息，包括动态ACL和静态ACL。

dynamic：显示动态ACL的信息，即用户通过Portal认证后产生的ACL。

static：显示静态ACL的信息，即相关配置产生的ACL。

interface interface-type interface-number：显示指定接口的ACL统计信息。interface-type interface-number为接口类型和接口编号。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display portal acl命令用来显示接口上Portal的ACL信息。

【举例】

# 显示接口Vlan-interface2上所有ACL的统计信息。

<Sysname> display portal acl all interface vlan-interface 2

IPv4 portal ACL rules on Vlan-interface2:

Rule 0

Inbound interface : all

Type : static

Action : permit

Source:

IP : 0.0.0.0

Mask : 0.0.0.0

MAC : 0000-0000-0000

Interface : any

VLAN : 1

Protocol : 0

Destination:

IP : 2.2.5.5

Mask : 255.255.255.255

Rule 1

Inbound interface : all

Type : dynamic

Action : permit

Source:

IP : 8.8.8.8

Mask : 255.255.255.255

MAC : 0015-e9a6-7cfe

Interface : any

VLAN : 2

Protocol : 0

Destination:

IP : 0.0.0.0

Mask : 0.0.0.0

Author ACL:

Number : 3001

Rule 2

Inbound interface : all

Type : static

Action : redirect

Source:

IP : 0.0.0.0

Mask : 0.0.0.0

MAC : 0000-0000-0000

Interface : any

VLAN : 2

Protocol : 6

Destination:

IP : 0.0.0.0

Mask : 0.0.0.0

Rule 3

Inbound interface : all

Type : static

Action : deny

Source:

IP : 0.0.0.0

Mask : 0.0.0.0

MAC : 0000-0000-0000

Interface : any

VLAN : 2

Protocol : 0

Destination:

IP : 0.0.0.0

Mask : 0.0.0.0

IPv6 portal ACL rules on Vlan-interface2:

Rule 0

Inbound interface : all

Type : static

Action : permit

Source:

IP : ::

Prefix length : 0

MAC : 0000-0000-0000

Interface : any

VLAN : 8

Protocol : 0

Destination:

IP : 2::2

Prefix length : 128

Port : any

Rule 1

Inbound interface : all

Type : static

Action : redirect

Source:

IP : ::

Prefix length : 0

MAC : 0000-0000-0000

Interface : any

VLAN : 8

Protocol : 6

Destination:

IP : ::

Prefix length : 0

Port : 80

Rule 2

Inbound interface : GigabitEthernet1/0/1

Type : static

Action : deny

Source:

IP : ::

Prefix length : 0

MAC : 0000-0000-0000

Interface : GigabitEthernet1/0/1

VLAN : 8

Protocol : 0

Destination:

IP : ::

Prefix length : 0

Port : any

表21 display portal acl命令显示信息描述表

字段	描述
Rule	Portal ACL编号，此编号为生成的ACL序号，每次显示从0开始递增
Inbound interface	Portal ACL绑定的接口
Type	Portal ACL的类型
Action	Portal ACL的匹配动作
Protocol	Portal ACL的传输层协议号
Source	Portal ACL的源信息
IP	Portal ACL的源IP地址
Mask	Portal ACL的源IP地址子网掩码
Prefix length	Portal ACL的源IPv6地址前缀
Port	Portal ACL的源传输层端口号
MAC	Portal ACL的源MAC地址
Interface	Portal ACL的源接口
VLAN	Portal ACL的源VLAN
Protocol	Portal ACL的协议类型
Destination	Portal ACL目的信息
IP	Portal ACL的目的IP地址
Port	Portal ACL的目的传输层端口号
Mask	Portal ACL的目的IP地址子网掩码
Prefix length	Portal ACL的目的IPv6地址前缀
Author ACL	Portal ACL的授权ACL，该字段仅在Type为dynamic时才显示
Number	Portal ACL的授权ACL号，即服务器下发的ACL号，None表示服务器未下发ACL

7.5.2 display portal connection statistics

【命令】

display portal connection statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

all：显示所有接口上Portal的连接统计信息。

interface interface-type interface-number：显示指定接口上Portal的连接统计信息。interface-type interface-number为接口类型和接口编号。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display portal connection statistics命令用来显示接口上Portal的连接统计信息。

【举例】

# 显示端口GigabitEthernet1/0/1上Portal的连接统计信息。

<Sysname> display portal connection statistics interface gigabitethernet 1/0/1

---------------Interface: GigabitEthernet1/0/1-----------------------

User state statistics:

State-Name User-Num

VOID 0

DISCOVERED 0

WAIT_AUTHEN_ACK 0

WAIT_AUTHOR_ACK 0

WAIT_LOGIN_ACK 0

WAIT_ACL_ACK 0

WAIT_NEW_IP 0

WAIT_USERIPCHANGE_ACK 0

ONLINE 1

WAIT_LOGOUT_ACK 0

WAIT_LEAVING_ACK 0

Message statistics:

Msg-Name Total Err Discard

MSG_AUTHEN_ACK 3 0 0

MSG_AUTHOR_ACK 3 0 0

MSG_LOGIN_ACK 3 0 0

MSG_LOGOUT_ACK 2 0 0

MSG_LEAVING_ACK 0 0 0

MSG_CUT_REQ 0 0 0

MSG_AUTH_REQ 3 0 0

MSG_LOGIN_REQ 3 0 0

MSG_LOGOUT_REQ 2 0 0

MSG_LEAVING_REQ 0 0 0

MSG_ARPPKT 0 0 0

MSG_PORT_REMOVE 0 0 0

MSG_VLAN_REMOVE 0 0 0

MSG_IF_REMOVE 6 0 0

MSG_IF_SHUT 0 0 0

MSG_IF_DISPORTAL 0 0 0

MSG_IF_UP 0 0 0

MSG_ACL_RESULT 0 0 0

MSG_AAACUTBKREQ 0 0 0

MSG_CUT_BY_USERINDEX 0 0 0

MSG_CUT_L3IF 0 0 0

MSG_IP_REMOVE 0 0 0

MSG_ALL_REMOVE 1 0 0

MSG_IFIPADDR_CHANGE 0 0 0

MSG_SOCKET_CHANGE 8 0 0.

MSG_NOTIFY 0 0 0

MSG_SETPOLICY 0 0 0

MSG_SETPOLICY_RESULT 0 0 0

表22 display portal connection statistics命令显示信息描述表

字段	描述
User state statistics	Portal用户统计信息
State-Name	用户状态名称
User-Num	某状态下的用户数量
VOID	处于void状态的用户数
DISCOVERED	处于discovered状态的用户数
WAIT_AUTHEN_ACK	处于wait_authen_ack状态的用户数
WAIT_AUTHOR_ACK	处于wait_author_ack状态的用户数
WAIT_LOGIN_ACK	处于wait_login_ack状态的用户数
WAIT_ACL_ACK	处于wait_acl_ack状态的用户数
WAIT_NEW_IP	处于wait_new_ip状态的用户数
WAIT_USERIPCHANGE_ACK	处于wait_useripchange_ack状态的用户数
ONLINE	处于online状态的用户数
WAIT_LOGOUT_ACK	处于wait_logout_ack状态的用户数
WAIT_LEAVING_ACK	处于wait_leaving_ack状态的用户数
Message statistics	消息统计信息
Msg-Name	消息名字
Total	某一类消息的总数
Err	某一类错误的消息的数目
Discard	某一类被丢弃的消息的数目
MSG_AUTHEN_ACK	认证回应消息
MSG_AUTHOR_ACK	授权回应消息
MSG_LOGIN_ACK	计费回应消息
MSG_LOGOUT_ACK	停止计费请求回应消息
MSG_LEAVING_ACK	下线请求回应消息
MSG_CUT_REQ	切断用户请求消息
MSG_AUTH_REQ	认证请求消息
MSG_LOGIN_REQ	计费请求消息
MSG_LOGOUT_REQ	停止计费请求消息
MSG_LEAVING_REQ	下线请求消息
MSG_ARPPKT	ARP消息
MSG_PORT_REMOVE	删除某个二层接口的用户消息
MSG_VLAN_REMOVE	删除VLAN的用户消息
MSG_IF_REMOVE	删除某个三层接口导致用户下线的消息
MSG_IF_SHUT	三层接口关闭的消息
MSG_IF_DISPORTAL	接口去使能Portal的消息
MSG_IF_UP	三层接口UP的消息
MSG_ACL_RESULT	ACL下发失败的消息
MSG_AAACUTBKREQ	AAA通知Portal删除备份用户的消息
MSG_CUT_BY_USERINDEX	强制用户下线的消息
MSG_CUT_L3IF	强制用户下线导致的删除某个三层接口的用户消息
MSG_IP_REMOVE	删除某个IP的用户消息
MSG_ALL_REMOVE	删除所有的用户消息
MSG_IFIPADDR_CHANGE	接口IP变化消息
MSG_SOCKET_CHANGE	socket变化消息
MSG_NOTIFY	通知下发消息
MSG_SETPOLICY	服务器下发安全ACL的Set policy消息
MSG_SETPOLICY_RESULT	Set policy结果消息

7.5.3 display portal server

【命令】

display portal server [ server-name ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

server-name：Portal服务器的名称，为1～32个字符的字符串，区分大小写。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display portal server命令用来显示Portal服务器信息。

需要注意的是，若不指定参数server-name，则显示所有Portal服务器信息。

相关配置可参考命令portal server。

【举例】

# 显示Portal服务器aaa的信息。

<Sysname> display portal server aaa

Portal server:

1)aaa:

IP : 192.168.0.111

Port : 50100

Key : ******

URL : http://192.168.0.111

Status : Up

表23 display portal server命令显示信息描述表

字段	描述
1)	Portal服务器编号
aaa	Portal服务器名称
IP	Portal服务器的IP地址
Port	Portal服务器的监听端口
Key	与Portal服务器进行报文交互时使用的共享密钥 · 若已配置，则显示****** · 若未配置，则显示Not configured
URL	Portal服务器重定向地址若未配置，则显示Not configured
Status	Portal服务器当前状态，其取值涵义如下： · N/A：该服务器未在任何接口上被引用或者服务器探测功能未开启，可达状态未知； · Up：服务器探测功能已开启，且该服务器已经在接口上被引用，探测结果为该服务器当前可达； · Down：服务器探测功能已开启，且该服务器已经在接口上被引用，探测结果为该服务器当前不可达 IPv6 Portal服务器目前不支持服务器探测功能，因此不显示此信息

7.5.4 display portal server statistics

【命令】

display portal server statistics { all | interface interface-type interface-number } [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

all：显示所有接口上Portal服务器的统计信息。

interface interface-type interface-number：显示指定接口上Portal服务器的统计信息。interface-type interface-number为接口类型和接口编号。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display portal server statistics命令用来显示接口上Portal服务器的统计信息，其中包括设备接收到Portal服务器发送的报文以及设备发送给该Portal服务器的报文的信息。

需要注意的是，指定all参数时，设备依次显示各个接口上的Portal服务器的统计信息，即使是一个Portal服务器的统计信息也是分别在不同接口下显示。

【举例】

# 显示Vlan-interface1接口上Portal服务器的统计信息。

<Sysname> display portal server statistics interface vlan-interface 1

---------------Interface: Vlan-interface 1----------------------

Invalid packets: 0

Pkt-Name Total Discard Checkerr

REQ_CHALLENGE 3 0 0

ACK_CHALLENGE 3 0 0

REQ_AUTH 3 0 0

ACK_AUTH 3 0 0

REQ_LOGOUT 1 0 0

ACK_LOGOUT 1 0 0

AFF_ACK_AUTH 3 0 0

NTF_LOGOUT 1 0 0

REQ_INFO 6 0 0

ACK_INFO 6 0 0

NTF_USERDISCOVER 0 0 0

NTF_USERIPCHANGE 0 0 0

AFF_NTF_USERIPCHANGE 0 0 0

ACK_NTF_LOGOUT 1 0 0

NTF_USERSYNC 2 0 0

ACK_NTF_USERSYNC 0 0 0

NTF_CHALLENGE 0 0 0

NTF_USER_NOTIFY 0 0 0

AFF_NTF_USER_NOTIFY 0 0 0

表24 display portal server statistics命令显示信息描述表

字段	描述
Interface	Portal服务器所在的接口
Invalid packets	无效报文的数目
Pkt-Name	报文的名称
Total	报文的总数
Discard	丢弃报文数
Checkerr	错误报文数
REQ_CHALLENGE	Portal服务器向接入设备发送的challenge请求报文
ACK_CHALLENGE	接入设备对Portal服务器challenge请求的响应报文
REQ_AUTH	Portal服务器向接入设备发送的请求认证报文
ACK_AUTH	接入设备对Portal服务器认证请求的响应报文
REQ_LOGOUT	Portal服务器向接入设备发送的下线请求报文
ACK_LOGOUT	接入设备对Portal服务器下线请求的响应报文
AFF_ACK_AUTH	Portal服务器收到认证成功响应报文后向接入设备发送的确认报文
NTF_LOGOUT	接入设备发送给Portal服务器，用户被强制下线的通知报文
REQ_INFO	信息询问报文
ACK_INFO	信息询问的响应报文
NTF_USERDISCOVER	Portal服务器向接入设备发送的发现新用户要求上线的通知报文
NTF_USERIPCHANGE	接入设备向Portal服务器发送的通知更改某个用户IP地址的通知报文
AFF_NTF_USERIPCHANGE	Portal服务器通知接入设备对用户表项的IP切换已成功报文
ACK_NTF_LOGOUT	Portal服务器对强制下线通知的响应报文
NTF_USERSYNC	接入设备收到的从Portal服务器发送的用户同步报文
ACK_NTF_USERSYNC	接入设备向Portal服务器回应的用户同步响应报文
NTF_CHALLENGE	接入设备向Portal服务器发送的challenge请求报文
NTF_USER_NOTIFY	接入设备向Portal服务器发送的用户消息通知报文
AFF_NTF_USER_NOTIFY	Portal服务器向接入设备发送的对NTF_USER_NOTIFY的确认报文

7.5.5 portal auth-network

【命令】

portal auth-network { ipv4-network-address { mask-length | mask } | ipv6 ipv6-network-address prefix-length }

undo portal auth-network { ipv4-network-address | all | ipv6 ipv6-network-address }

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

ipv4-network-address：源IPv4认证网段地址。

mask-length：子网掩码长度，取值范围为0～32。

mask：子网掩码，点分十进制格式。

ipv6 ipv6-network-address：源IPv6认证网段地址。

prefix-length：IPv6地址前缀长度，取值范围为0～128。

all：所有源认证网段。

【描述】

portal auth-network命令用来配置源认证网段，即接口上只允许在源认证网段范围内的用户报文才能触发Portal认证。如果未认证用户的HTTP报文既不满足免认证规则又不在源认证网段内，则将被接入设备丢弃。undo portal auth-network命令用来取消源认证网段的配置。

缺省情况下，源IPv4认证网段为0.0.0.0/0，源IPv6认证网段为::/0，表示对来自任意网段的用户都进行Portal认证。

需要注意的是：

· 源认证网段配置仅对可跨三层Portal认证（layer3）有效。直接认证方式（direct）下的源认证网段为任意源IP。

· 可通过多次执行本命令，配置多个源认证网段。

【举例】

# 在接口Vlan-interface2上配置一条源认证网段为10.10.10.0/24，仅允许来自10.10.10.0/24网段的用户触发Portal认证。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname–Vlan-interface2] portal auth-network 10.10.10.0 24

7.5.6 portal delete-user

【命令】

portal delete-user { ipv4-address | all | interface interface-type interface-number | ipv6 ipv6-address }

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

Ipv4-address：指定Portal用户的IPv4地址。

all：所有Portal用户。

interface interface-type interface-number：该接口下的所有Portal用户，包括IPv4 Portal用户和IPv6 Portal用户。interface-type interface-number为接口类型和接口编号。

ipv6 ipv6-address：指定Portal用户的IPv6地址。

【描述】

portal delete-user命令用来强制接入设备上的Portal用户下线。

相关配置可参考命令display portal user。

【举例】

# 强制IP地址为1.1.1.1的Portal用户下线。

<Sysname> system-view

[Sysname] portal delete-user 1.1.1.1

7.5.7 portal domain

【命令】

portal domain [ ipv6 ] domain-name

undo portal domain [ ipv6 ]

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

ipv6：指定IPv6 Portal用户使用的认证域。若不指定本参数，则表示指定IPv4 Portal用户使用的认证域。

domain-name：ISP认证域名，为1～24个字符的字符串，不分区大小写，且必须是已经存在的域名。

【描述】

portal domain命令用来指定Portal用户使用的认证域，使得所有从该接口上接入的Portal用户强制使用该认证域。undo portal domain命令用来删除指定的Portal用户使用的认证域。

缺省情况下，未指定Portal用户使用的认证域。

对于undo命令，如果不指定任何参数，则表示删除IPv4 Portal用户使用的认证域。

相关配置可参考命令display portal interface。

【举例】

# 指定从接口Vlan-interface100上接入的IPv4 Portal用户使用认证域my-domain。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal domain my-domain

7.5.8 portal free-rule

【命令】

portal free-rule rule-number { destination { any | ip { ip-address mask { mask-length | mask } | any } | ipv6 { ipv6-address prefix-length | any } } | source { any | [ ip { ip-address mask { mask-length | mask } | any } | ipv6 { ipv6-address prefix-length | any } | mac mac-address | vlan vlan-id ] * } } *

undo portal free-rule { rule-number | all }

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

rule-number：免认证规则编号，取值范围为0～255。

any：表示不对前面的参数做限制。

ip ip-address：免认证规则的IP地址。

mask { mask-length | mask }：免认证规则的IP地址掩码。其中，mask-length为子网掩码长度，取值范围为0～32；mask为子网掩码，点分十进制格式。

ipv6 ipv6-address：免认证规则的IPv6地址。

prefix-length：免认证规则的IPv6地址前缀长度，取值范围为1～128。

mac mac-address：免认证规则的源MAC地址，为H-H-H的形式。

vlan vlan-id：免认证规则的源VLAN编号。

all：所有免认证规则。

【描述】

portal free-rule命令用来配置Portal的免认证规则，指定源过滤条件或目的过滤条件。undo portal free-rule命令用来删除免认证规则。

需要注意的是：

· 如果同时指定源IPv4地址与源MAC地址，则必须保证IPv4地址为32位掩码的主机地址，否则指定的MAC地址无效。

· 如果同时指定源IPv6地址与源MAC地址，则必须保证IPv6地址为前缀长度为128位的主机地址，否则指定的MAC地址无效。

· 相同内容的免认证规则不能重复配置，否则提示免认证规则已存在或重复。

· 无论接口上是否使能Portal认证，只能添加或者删除免认证规则，不能修改。

【举例】

# 配置Portal免认证规则，符合源地址为10.10.10.1/24，目的IP地址任意的报文不会触发Portal认证。

<Sysname> system-view

[Sysname] portal free-rule 15 source ip 10.10.10.1 mask 24 destination ip any

7.5.9 portal nas-id-profile

【命令】

portal nas-id-profile profile-name

undo portal nas-id-profile

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

profile-name：标识指定VLAN和NAS-ID绑定关系的Profile名称，为1～16个字符的字符串，不区分大小写。该Profile由命令aaa nas-id profile配置，具体情况请参考“安全命令参考”中的“AAA”。

【描述】

portal nas-id-profile命令用来指定接口的NAS-ID Profile。undo portal nas-id-profile命令用来删除指定的NAS-ID Profile。

缺省情况下，未指定NAS-ID Profile。

需要注意的是，如果接口上指定了NAS-ID Profile，则此Profile中定义的绑定关系优先使用；如果接口上未指定NAS-ID Profile或指定的Profile中没有找到匹配的绑定关系的情况下，接口上已通过命令portal nas-id命令配置了NAS-ID，则使用该NAS-ID作为接口的NAS-ID；如果接口上既没有指定NAS-ID Profile，也没有配置NAS-ID，则使用设备名作为NAS-ID。需要注意的是，portal nas-id命令的支持情况与设备的型号有关，请以设备的实际情况为准。

【举例】

# 在接口Vlan-interface 2上指定名为aaa的NAS-ID Profile 。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] portal nas-id-profile aaa

7.5.10 portal nas-ip

【命令】

portal nas-ip { ipv4-address | ipv6 ipv6-address }

undo portal nas-ip [ ipv6 ]

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

ipv4-address：接口发送Portal报文的IPv4源地址，应该为本机的地址，不能为全0地址、全1地址、D类地址、E类地址和环回地址。

ipv6 ipv6-address：接口发送Portal报文的IPv6源地址，应该为本机的地址，不能为多播地址、全0地址、本地链路地址。

【描述】

portal nas-ip命令用来配置接口发送Portal报文使用的源地址。undo portal nas-ip命令用来删除指定的源地址。

缺省情况下，未指定接口发送Portal报文使用的源地址，即以接入用户的接口地址作为发送Portal报文的源地址。

对于undo命令，如果不指定任何参数，则表示删除指定的IPv4源地址。

【举例】

# 配置接口Vlan-interface5发送Portal报文使用的IPv4源地址为2.2.2.2。

<Sysname> system-view

[Sysname] interface vlan-interface 5

[Sysname-Vlan-interface5] portal nas-ip 2.2.2.2

7.5.11 portal nas-port-type

【命令】

portal nas-port-type { ethernet | wireless }

undo portal nas-port-type

【视图】

接口视图

【缺省级别】

系统级

【参数】

ethernet：指定用户接入的端口类型为Ethernet，对应的编码值为15。

wireless：指定用户接入的端口类型为符合IEEE 802.11标准的无线接口，对应的编码值为19。该参数通常在接入无线Portal用户的接口上指定，可保证接入设备向RADIUS服务器传递的用户端口类型为无线类型。

【描述】

portal nas-port-type命令用来配置接口的NAS-Port-Type，即向RADIUS服务器发送的RADIUS请求报文的NAS-Port-Type属性值。undo portal nas-port-type命令用来恢复缺省情况。

缺省情况下，未指定接口的NAS-Port-Type，RADIUS请求报文中的NAS-Port-Type属性值为接入设备获取到的用户接入的端口类型值。

【举例】

# 配置接口Vlan-interface 2的NAS-Port-Type为符合IEEE 802.11标准的无线接口类型。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] portal nas-port-type wireless

7.5.12 portal server

【命令】

portal server server-name { ip ipv4-address [ key [ cipher | simple ] key-string | port port-id | url url-string ] * | ipv6 ipv6-address [ key [ cipher | simple ] key-string | port port-id | url url-string ] * }

undo portal server server-name [ key | port | url ]

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

server-name：Portal服务器名称，为1～32个字符的字符串，区分大小写。

ipv4-address：Portal服务器的IPv4地址。若指定的是本地Portal服务器，则此地址为接入设备上与Portal客户端路由可达的三层接口IP地址。

ipv6 ipv6-address：Portal服务器的IPv6地址。

key：与Portal服务器通信需要的共享密钥。设备与Portal服务器交互的Portal报文中会携带一个在该共享密钥参与下生成的验证字，该验证字用于接受方校验收到的Portal报文的正确性。

cipher：表示以密文方式设置共享密钥。

simple：表示以明文方式设置共享密钥。

key-string：设置的明文密钥或密文密钥，区分大小写。明文密钥为1～16个字符的字符串；密文密钥为1～53个字符的字符串。不指定cipher或simple时，表示以明文方式设置共享密钥。

port-id：设备向Portal服务器主动发送报文时使用的目的端口号，取值范围为1～65534，缺省值为50100。

url-string：HTTP报文重定向地址。缺省的HTTP报文重定向地址格式为http://ip-address，其中ip-address为Portal服务器的IP地址。重定向地址支持域名解析，但需要使用命令portal free-rule将DNS服务器地址加入Portal的免认证地址范围内。

【描述】

portal server命令用来指定三层Portal认证的Portal服务器。undo portal server命令用来删除指定的Portal服务器，或者恢复服务器参数为缺省值。

缺省情况下，没有指定三层Portal认证的Portal服务器。

需要注意的是：

· 若指定名字的Portal服务器存在，但该接口上没有用户，则undo portal server命令不指定任何参数时，将删除指定Portal服务器；否则相同条件下，指定参数port、url时，将恢复指定参数为缺省值。

· 已配置的Portal服务器及其参数仅在该Portal服务器未被任何接口引用时才可以被删除或修改。要删除或修改已经被接口引用的Portal服务器配置，必须首先在引用该Portal服务器的接口上使用命令undo portal取消配置。

· 通常，使用本地Portal服务器时，Portal服务器参数key、port和url均不需配置，若配置也无效。

【举例】

# 配置Portal服务器pts的IP地址为192.168.0.111、密钥为明文portal、HTTP重定向的URL为http://192.168.0.111/portal。

<Sysname> system-view

[Sysname] portal server pts ip 192.168.0.111 key simple portal url http://192.168.0.111/portal

7.5.13 portal server method

【命令】

portal server server-name method { direct | layer3 }

undo portal [ server server-name ]

【视图】

接口视图

【缺省级别】

2：系统级

【参数】

server-name：Portal服务器名称，为1～32个字符的字符串，区分大小写。

method：认证方式。

· direct：直接认证方式。

· layer3：三层认证方式。

【描述】

portal server method命令用来在接口上使能三层Portal认证，同时指定引用的Portal服务器和认证方式。undo portal命令用来在接口上取消所有的或指定的三层Portal认证。

缺省情况下，接口上没有使能三层Portal认证。

需要注意的是：

· 使能三层Portal认证的接口上所引用的Portal服务器必须已经存在。

· 允许在接口上同时使能使用IPv4 Portal服务器的三层Portal认证和使用IPv6 Portal服务器的三层Portal认证。但是，不允许同时使能使用相同IP协议的Portal服务器的三层Portal认证

· 如果不指定任何参数，则对应的undo命令表示取消接口上的所有三层Portal认证。

【举例】

# 在接口Vlan-interface100上使能三层Portal认证。指定Portal服务器pts，并配置为直接认证方式。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname–Vlan-interface100] portal server pts method direct

7.5.14 portal server server-detect

【命令】

portal server server-name server-detect method { http | portal-heartbeat } * action { log | permit-all | trap } * [ interval interval ] [ retry retries ]

undo portal server server-name server-detect

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

server-name：Portal服务器名称，为1～32个字符的字符串，区分大小写。该Portal服务器必须已经存在。

server-detect method { http | portal-heartbeat }：Portal服务器探测方式。包括以下两种，且可同时选择。

· http：表示探测HTTP连接。接入设备定期向Portal服务器的HTTP服务端口发起TCP连接，若连接成功建立则表示此服务器的HTTP服务已开启，就认为一次探测成功且服务器可达。若连接失败则认为一次探测失败。当Portal服务器不支持逃生心跳功能的时候只能使用此探测方式。

· portal-heartbeat：表示探测Portal心跳报文。设备检测Portal服务器定期发送的Portal心跳报文来判断服务器的可达状态：若设备在指定的周期内收到Portal心跳报文，且验证其正确，则认为此次探测成功且服务器可达，否则认为此次探测失败。该方式仅对支持Portal心跳检测机制（目前仅iMC的Portal服务器支持）的Portal服务器有效。为了配合此类型的探测，还需要在Portal服务器上选择支持逃生心跳功能，且服务器上配置的逃生心跳间隔要小于等于设备上配置的探测间隔。

action { log | permit-all | trap }：Portal服务器可达状态的变化时，可触发执行的操作。包括以下三种，且同时可选择多种。

· log：Portal服务器可达或者不可达的状态改变时，发送日志信息。日志信息中记录了Portal服务器名以及该服务器状态改变前后的状态。

· permit-all：也称为Portal逃生，表示在Portal服务器不可达时，暂时取消端口进行的Portal认证，允许所有Portal用户访问网络资源。之后，若端口收到服务器的探测报文，或者收到其它认证报文（上线报文、下线报文等），则恢复其Portal认证功能。

· trap：Portal服务器可达或者不可达的状态改变时，向网管服务器发送Trap信息。Trap信息中记录了Portal服务器名以及该服务器的当前状态。

interval interval：进行探测尝试的时间间隔，取值范围为20～600，单位为秒，缺省值为20。

retry retries：连续探测失败的最大次数，取值范围为1～5，缺省值为3。若连续探测失败数目达到此值，则认为服务器不可达。

【描述】

portal server server-detect命令用来配置对Portal服务器的探测功能，包括配置探测方法、可触发执行的操作、探测时间间隔以及最大探测失败次数。配置此功能后，设备会周期性地检测指定的Portal服务器状态是否可达，并在可达状态发生变化后执行指定的操作。undo portal server server-detect命令用来取消对指定的Portal服务器的探测功能配置。

缺省情况下，未配置对Portal服务器的探测功能。

需要注意的是：

· 可同时配置多种探测方式和可触发执行的操作。

· 如果同时指定了多种操作，则Portal服务器可达状态改变时系统可并发执行多种操作。

· 在设备上删除Portal服务器时将会同时删除该服务器的探测功能配置。

· 对同一服务器多次执行探测功能的配置时，新的配置将覆盖原有的配置，可选参数未配置时，使用缺省值。

· 对指定Portal服务器配置的探测功能，只有当该服务器在接口上使能之后才能生效。

· 对于Portal服务器发来的其它认证报文（上线报文，下线报文等）也认为等效于心跳报文。

【举例】

# 配置对Portal服务器pts的探测功能：探测方式为同时探测HTTP连接和Portal心跳报文，每次探测间隔时间为600秒，若连续二次探测均失败，则发送服务器不可达的Trap信息和日志信息，并打开网络限制，允许未认证用户访问网络。

<Sysname> system-view

[Sysname] portal server pts server-detect method http portal-heartbeat action log permit-all trap interval 600 retry 2

7.5.15 portal server user-sync

【命令】

portal server server-name user-sync [ interval interval ] [ retry retries ]

undo portal server server-name user-sync

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

server-name：Portal服务器名称，为1～32个字符的字符串，区分大小写。该Portal服务器必须已经存在。

user-sync：开启Portal用户同步功能。

interval interval：检测用户同步报文的时间间隔，取值范围为60～3600，单位为秒，缺省值为300。

retry retries：连续检测失败的最大次数，取值范围为1～5，缺省值为4。如果接入设备上的某用户信息在连续retrie个周期内，都未曾在该服务器发送的用户同步报文中出现过，则认为Portal服务器上已不存在该用户，设备将强制该用户下线。

【描述】

portal server user-sync命令用来配置对指定Portal服务器的Portal用户同步功能。配置此功能后，设备会响应并周期性地检测指定的Portal服务器发来的用户同步报文，以保持设备与该服务器上在线用户信息的一致性。undo portal server user-sync命令用来取消指定的Portal用户同步功能配置。

缺省情况下，未配置Portal用户同步功能。

需要注意的是：

· 只有在支持Portal用户心跳功能（目前仅iMC的Portal服务器支持）的Portal服务器的配合下，本功能才有效。为了实现该功能，还需要在Portal服务器上选择支持用户心跳功能，且服务器上配置的用户心跳间隔要小于等于设备上配置的检测间隔。

· 在设备上删除Portal服务器时将会同时删除该服务器的用户同步功能配置。

· 对同一服务器多次执行用户同步功能的配置时，新的配置将覆盖原有的配置，可选参数未配置时，使用缺省值。

· 对于设备上多余的用户信息，即在N个周期后被判定为Portal服务器上已不存在的用户信息，设备会在第N＋1个周期内的某时刻将其删除掉。

【举例】

# 配置对Portal服务器pts的Portal用户同步功能，检测用户同步报文的时间间隔为600秒，如果设备中的某用户信息在连续两个探测周期内都未在该Portal服务器发送的同步报文中出现，设备将强制该用户下线。

<Sysname> system-view

[Sysname] portal server pts user-sync interval 600 retry 2

7.5.16 reset portal connection statistics

【命令】

reset portal connection statistics { all | interface interface-type interface-number }

【视图】

用户视图

【缺省级别】

1：监控级

【参数】

all：清除所有接口上Portal的连接统计信息。

interface interface-type interface-number：清除指定接口上Portal的连接统计信息。interface-type interface-number为接口类型和接口编号。

【描述】

reset portal connection statistics命令用来清除接口上Portal的连接统计信息。

【举例】

# 清除Vlan-interface1接口上Portal的连接统计信息。

<Sysname> reset portal connection statistics interface vlan-interface1

7.5.17 reset portal server statistics

【命令】

reset portal server statistics { all | interface interface-type interface-number }

【视图】

用户视图

【缺省级别】

1：监控级

【参数】

all：清除所有接口上Portal服务器的统计信息。

interface interface-type interface-number：清除指定接口上Portal服务器的统计信息。interface-type interface-number为接口类型和接口编号。

【描述】

reset portal server statistics命令用来清除接口上Portal服务器的统计信息。

【举例】

# 清除Vlan-interface1接口上的Portal服务器的统计信息。

<Sysname> reset portal server statistics interface vlan-interface1

8 新增特性—802.1X的Critical VLAN功能

8.1 简介

Critical VLAN功能允许802.1X用户在采用RADIUS认证的情况下，当用户所在的ISP域内所有认证服务器都不可达时，访问某一特定VLAN中的资源，这个VLAN称之为802.1X的Critical VLAN，如下简称为Critical VLAN。

根据端口的接入控制方式不同，Critical VLAN的生效情况有所不同。

(1) 端口的接入控制方式为Port-based

在接入控制方式为Port-based的端口上配置Critical VLAN后，当该端口上有用户认证时，若所有认证服务器都不可达，则该端口会被加入到Critical VLAN，之后所有从该端口接入的用户将被授权访问Critical VLAN里的资源。端口加入Critical VLAN的情况与加入授权下发VLAN相同，与端口链路类型有关。

(2) 端口的接入控制方式为MAC-based

在接入控制方式为MAC-based的端口上配置Critical VLAN后，当该端口上有用户认证时，若所有认证服务器都不可达，则端口将允许Critical VLAN通过，用户将被授权访问Critical VLAN里的资源。

已经加入Critical VLAN的端口上有用户发起认证时，如果所有认证服务器不可达，则端口仍然在Critical VLAN内；如果满足以下任意一个条件，端口将会离开Critical VLAN：

· 用于认证用户的ISP域中的认证服务器配置有所变化，包括修改、新增或删除服务器。

· RADIUS认证服务器的恢复激活状态的定时器超时，即服务器恢复为active状态。

· 通过命令行将RADIUS认证服务器的状态置为active。

· 配置了RADIUS认证服务器探测功能（具体介绍请参见8.3 配置RADIUS认证/授权服务器探测功能），且探测结果表示某认证服务器可达。

如果服务器可达且认证失败，且端口配置了Auth-Fail VLAN则，则该端口将会加入Auth-Fail VLAN；如果服务器可达且认证成功，则该端口加入VLAN的情况与认证服务器是否下发VLAN有关，具体如下：

· 若认证服务器下发VLAN，则端口加入下发的VLAN中。用户下线后，端口会离开下发的VLAN回到初始VLAN中，该初始VLAN为端口加入Critical VLAN之前所在的VLAN。

· 若认证服务器未下发VLAN，则端口回到初始VLAN中。用户下线后，端口仍在该初始VLAN中。

· 只有采用RADIUS认证方式的情况下，在认证服务器都不可达后，端口才会加入Critical VLAN。若采用了其它认证方式，则端口不会加入Critical VLAN。

· 本节只介绍Critical VLAN的配置，802.1X其它相关功能的配置请参见“安全配置指导”中的“802.1X”；RADIUS服务器相关的配置请参见“安全配置指导”中的“AAA”。

8.2 配置802.1X的Critical VLAN

如果用户端设备发出的是携带Tag的数据流，且接入端口上使能了802.1X认证并配置了Critical VLAN，为保证各种功能的正常使用，请为Voice VLAN、端口的缺省VLAN和802.1X的Critical VLAN分配不同的VLAN ID。

配置Critical VLAN之前，需要进行以下配置准备：

· 创建需要配置为Critical VLAN的VLAN。

· 在接入控制方式为Port-based的端口上，保证802.1X的组播触发功能处于开启状态。

· 在接入控制方式为MAC-based的端口上，保证端口类型为Hybrid，端口上的MAC VLAN功能处于使能状态，且不建议将指定的Critical VLAN修改为携带Tag的方式。MAC VLAN功能的具体配置请参考“二层技术-以太网交换配置指导”中的“VLAN”。

当端口加入Critical VLAN后，如果发现有认证服务器可达，可通过配置端口的恢复动作为reinitialize来通知802.1X客户端进行认证。根据端口的接入控制方式不同，具体实现有所不同：

· 接入控制方式为MAC-based时，当服务器恢复可达后，处于Critical VLAN的端口会主动向已加入Critical VLAN的MAC地址发送单播报文触发其进行802.1X认证。

· 接入控制方式为Port-based时，当服务器恢复可达后，处于Critical VLAN的端口会主动向客户端发送组播报文，触发端口上的客户端进行802.1X认证。

表25 配置Critical VLAN

配置步骤	命令	说明
进入系统视图	system-view	-
进入二层以太网端口视图	interface interface-type interface-number	-
配置指定端口的Critical VLAN	dot1x critical vlan vlan-id	必选缺省情况下，端口没有配置Critical VLAN 不同的端口可以配置不同的Critical VLAN，但一个端口最多只能配置一个Critical VLAN
配置指定端口的恢复动作	dot1x critical recovery-action reinitialize	可选缺省情况下，设备检测到服务器恢复为可达状态后，端口仅仅离开Critical VLAN，不会对用户主动进行认证

· 若端口已经位于802.1X的Guest VLAN或Auth-Fail VLAN，则当所有认证服务器都不可达时，端口并不会离开当前的VLAN而加入Critical VLAN。

· 若端口已经位于MAC地址认证的Guest VLAN，则当所有认证服务器都不可达时，端口会离开当前的VLAN并加入Critical VLAN。

· 当端口向在线的802.1X用户发起重认证或者重认证过程中发现没有可达的服务器时，如果该端口上配置了Critical VLAN，则重认证将会中止，用户保持在线；如果端口上没有配置Critical VLAN，则在线用户将会下线。

8.3 配置RADIUS认证/授权服务器探测功能

通过在RADIUS方案中配置RADIUS认证/授权服务器，指定设备对用户进行RADIUS认证/授权时与哪些服务器进行通信。若在RADIUS方案中同时配置了RADIUS认证/授权服务器探测功能，则设备周期性发报文探测该主（或从）认证/授权服务器是否可达：如果认证服务器不可达，则设置服务器状态为block，如果认证服务器可达，则设置服务器状态为active。服务器状态探测功能具有实时性，可及时将服务器状态通知给相关认证模块，例如，可与802.1X Critical VLAN的端口恢复功能相配合，一旦发现服务器可达时立即触发用户进行认证。

表26 配置RADIUS认证/授权服务器探测功能

操作	命令	说明
进入系统视图	system-view	-
进入RADIUS方案视图	radius scheme radius-scheme-name	-
配置主RADIUS认证/授权服务器的服务器探测功能	primary authentication { ipv4-address \| ipv6 ipv6-address } probe username name [ interval interval ]	二者至少选其一缺省情况下，未配置主认证/授权服务器和从认证/授权服务器探测功能
配置从RADIUS认证/授权服务器的服务器探测功能	secondary authentication { ipv4-address \| ipv6 ipv6-address } probe username name [ interval interval ]	二者至少选其一缺省情况下，未配置主认证/授权服务器和从认证/授权服务器探测功能

8.4 802.1X的Critical VLAN相关配置命令

8.4.1 dot1x critical vlan

【命令】

dot1x critical vlan vlan-id

undo dot1x critical vlan

【视图】

二层以太网端口视图

【缺省级别】

2：系统级

【参数】

vlan-id：端口上指定的Critical VLAN ID，取值范围为1～4094。该VLAN必须已经创建。

【描述】

dot1x critical vlan命令用来配置指定端口的Critical VLAN，即当用户认证时对应的ISP域下所有认证服务器都不可达的情况下端口加入的VLAN。undo dot1x critical vlan命令用来恢复缺省情况。

缺省情况下，端口没有配置Critical VLAN。

需要注意的是：

· 认证服务器不可达是指，因网络故障等原因导致的，用于认证用户的ISP域所引用的所有服务器都不可达；

· 接入控制方式为MAC-based时，端口上必须先使能MAC VLAN功能，配置的Critical VLAN才生效；

· 接入控制方式在Port-based和MAC-based之间切换时，已经建立的Critical VLAN表项会被删除，位于其中的用户将返回到加入Critical VLAN之前所在的VLAN中。

· 已经配置为Critical VLAN的VLAN不允许删除。若要删除配置为Critical VLAN的VLAN，必须先取消802.1X的Critical VLAN配置；

· 若端口已经位于802.1X的Guest VLAN或Auth-Fail VLAN，则当所有认证服务器都不可达时，端口并不会离开当前的VLAN而加入Critical VLAN；

· 若端口已经位于MAC地址认证的Guest VLAN，则当所有认证服务器都不可达时，端口会离开当前的VLAN并加入Critical VLAN。

【举例】

# 在二层以太网端口GigabitEthernet1/0/1上配置Critical VLAN为VLAN 3。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x critical vlan 3

8.4.2 dot1x critical recovery-action

【命令】

dot1x critical recovery-action reinitialize

undo dot1x critical recovery-action

【视图】

二层以太网端口视图

【缺省级别】

2：系统级

【参数】

reinitialize：表示端口离开Critical VLAN，并开始主动对用户进行认证。

【描述】

dot1x critical recovery-action命令用于配置端口的恢复动作，即设备检测到认证服务器恢复为可达状态后端口执行的动作。undo dot1x critical recovery-action命令用于恢复缺省情况。

缺省情况下，设备检测到服务器恢复为可达状态后，端口仅仅离开Critical VLAN，不会对用户主动进行认证。

需要注意的是：

· 此命令仅用于和端口上的Critical VLAN配合使用。

· 接入控制方式为MAC-based时，如果端口上配置了恢复动作，则当服务器恢复可达后，处于Critical VLAN的端口会主动向已加入Critical VLAN的MAC地址发送单播报文触发其进行802.1X认证。

· 接入控制方式为Port-based时，如果端口上配置了恢复动作，则当服务器恢复可达后，处于Critical VLAN的端口会主动向客户端发送组播报文，触发端口上的客户端进行802.1X认证。

· 若需要实现认证服务器状态检测的实时性，使得设备能够及时发现有服务器恢复为可达状态，可配置认证服务器状态的探测功能。

【举例】

# 在二层以太网端口GigabitEthernet1/0/1上配置服务器可达后端口的动作为端口离开Critical VLAN，并开始对用户进行认证。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] dot1x critical recovery-action reinitialize

8.4.3 primary authentication probe

【命令】

primary authentication { ipv4-address | ipv6 ipv6-address } probe username name [ interval interval ]

undo primary authentication

【视图】

RADIUS方案视图

【缺省级别】

2：系统级

【参数】

ipv4-address：主RADIUS认证/授权服务器的IPv4地址。

ipv6 ipv6-address：主RADIUS认证/授权服务器的IPv6地址。其中，ipv6-address为合法的IPv6全球单播地址。

probe：开启对主RADIUS认证/授权服务器状态的探测功能。

username name：设置探测主RADIUS认证/授权服务器状态时认证报文中使用的用户名，为1～64个字符的字符串。该用户名并不要求是认证/授权服务器上存在的用户名。

interval interval：设置探测主RADIUS认证/授权服务器是否可达的时间间隔，取值范围为1～3600，单位为分钟，缺省值为60。

【描述】

primary authentication probe命令用来配置主RADIUS认证/授权服务器的服务器探测功能。undo primary authentication命令用来删除设置的主RADIUS认证/授权服务器。

缺省情况下，未配置主认证/授权服务器探测功能。

开启了主服务器的探测功能后，设备以指定的探测周期向当前的主认证/授权RADIUS服务器发送认证请求报文，用户名为配置的探测用户名，如果服务器在指定的时间内（由timer response-timeout命令设置）没有回应，则设备重传该请求报文。若在最大尝试次数到达之前，收到服务器的回应报文，则认为该服务器状态为active。若在累计的传送次数超过最大尝试次数（由retry命令设置）后，设备仍未收到服务器的回应报文，则认为服务器状态为block。

· 对于状态为active的服务器，如果设备的探测结果为失败（即服务器不可达），则会将其置为block状态；对于状态为block的服务器，如果设备的探测结果为成功（即服务器可达），则会将其置为active状态。

· 使能了对服务器的探测功能后，建议将timer quiet定时器的时间配置得尽可能长一些，以保证设备将服务器的状态置为实际探测到的状态。若配置的timer quiet定时器的时间较短，端口上同时配置了Critical VLAN，则可能会出现设备频繁切换服务器状态的情况，并导致端口反复加入并离开Critical VLAN。

【举例】

# 设置对RADIUS方案radius1中的主认证/授权服务器状态进行探测时使用的用户名为test，探测周期为120分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1] primary authentication 10.110.1.1 probe username test interval 120

8.4.4 secondary authentication probe

【命令】

secondary authentication { ipv4-address | ipv6 ipv6-address } probe username name [ interval interval ]

undo secondary authentication [ ipv4-address | ipv6 ipv6-address ]

【视图】

RADIUS方案视图

【缺省级别】

2：系统级

【参数】

ipv4-address：从RADIUS认证/授权服务器的IPv4地址。

ipv6 ipv6-address：从RADIUS认证/授权服务器的IPv6地址。其中，ipv6-address为合法的IPv6全球单播地址。

probe：开启对从RADIUS认证/授权服务器状态的探测功能。

username name：设置探测从RADIUS认证/授权服务器状态时认证报文中使用的用户名，为1～64个字符的字符串。该用户名并不要求是认证/授权服务器上存在的用户名。

interval interval：设置探测从RADIUS认证/授权服务器是否可达的时间间隔，取值范围为1～3600，单位为分钟，缺省值为60。

【描述】

secondary authentication porbe命令用来配置从RADIUS认证/授权服务器的服务器探测功能。undo secondary authentication命令用来删除指定的从RADIUS认证/授权服务器。

缺省情况下，未配置从认证/授权服务器探测功能。

开启了从服务器的探测功能后，设备以指定的探测周期向当前的从认证/授权RADIUS服务器发送认证请求报文，用户名为配置的探测用户名，如果服务器在指定的时间内（由timer response-timeout命令设置）没有回应，则设备重传该请求报文。若在最大尝试次数到达之前，收到服务器的回应报文，则认为该服务器状态为active。若在累计的传送次数超过最大尝试次数（由retry命令设置）后，设备仍未收到服务器的回应报文，则认为服务器状态为block。

【举例】

# 设置对RADIUS方案radius1中的从认证/授权服务器状态进行探测时使用的用户名为test，探测周期为120分钟。

<Sysname> system-view

[Sysname] radius scheme radius1

[Sysname-radius-radius1]secondary authentication 10.110.1.1 probe username test interval 120

9 新增特性—配置Web登录用户连接的超时时间

9.1 Web登录用户连接的超时时间配置

表27 设置Web登录用户连接的超时时间

操作	命令	说明
进入系统视图	system-view	-
设置Web登录用户连接的超时时间	web idle-timeout minutes	可选

9.2 Web登录用户的超时时间配置命令

9.2.1 web idle-timeout

【命令】

web idle-timeout minutes

undo web idle-timeout

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

minutes：超时时间，取值范围为1～999，单位为分钟。

【描述】

web idle-timeout命令用来设置Web登录用户连接的超时时间。undo web idle-timeout命令用来恢复缺省情况。

【举例】

# 设置超时时间为20分钟。

<System> system-view

[System] web idle-timeout 20

10 新增特性—配置Web日志缓冲区容量

10.1 Web日志缓冲区容量配置

表28 设置Web日志缓冲区容量

操作	命令	说明
进入系统视图	system-view	-
设置Web日志缓冲区容量	web logbuffer size pieces	可选

10.2 Web日志缓冲区容量配置命令

10.2.1 web logbuffer size

【命令】

web logbuffer size pieces

undo web logbuffer size

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

pieces：指定日志缓冲区的大小（可容纳消息的条数），取值范围为0～1024。

【描述】

web logbuffer size命令用来设置Web日志缓冲区容量。undo web logbuffer size命令用来恢复缺省情况。

【举例】

# 设置日志缓冲区容量为800条。

<System> system-view

[System] web logbuffer size 800

11 新增特性—SAVI

11.1 SAVI配置

SAVI（Source Address Validation，源地址有效性验证）特性应用在接入设备上，通过ND Snooping特性、DHCPv6 Snooping特性及IP Source Guard特性建立起地址和端口的绑定关系表，并且以绑定关系为依据对DHCPv6协议报文、ND协议报文和IPv6数据报文的源地址进行合法性的过滤检查。

SAVI特性可以在下列地址分配场景下使用：

· DHCPv6-Only：和配置SAVI特性的设备连接的主机只能通过DHCPv6方式获取地址。

· SLAAC-Only（Stateless Address Autoconfiguration，无状态地址自动配置）：和配置SAVI特性的设备连接的主机只能通过自动地址分配方式获取地址。

· DHCPv6与SLAAC混合：和配置SAVI特性的设备连接的主机可以通过DHCPv6方式和自动地址分配方式获取地址。

不同地址分配场景中的SAVI配置不同，下面将依次介绍SAVI的全局配置以及不同场景下的SAVII配置。

11.1.1 SAVI的全局配置

表29 SAVI的全局配置

操作	命令	说明
进入系统视图	system-view	-
开启SAVI功能	ipv6 savi strict	必选缺省情况下，SAVI功能处于关闭状态
配置等待通告地址冲突的NA报文的时间	ipv6 savi dad-delay value	可选缺省情况下，等待通告地址冲突的NA报文的时间为1秒 ND Snooping表项在detect状态下，如果超过配置的等待时间没有收到NA消息，则说明节点可以使用此IPv6地址，此时记录的ND Snooping表项可以进入bound状态
配置等待DHCPv6客户端对获取地址作冲突检测的时间	ipv6 savi dad-preparedelay [ value ]	可选缺省情况下，等待DHCPv6客户端对获取地址作冲突检测的时间为1秒本命令配合DHCPv6 Snooping功能使用。DHCPv6 Snooping模块在侦听到客户端获取到地址后，还会侦听客户端是否对获取到的地址作冲突检测，如果超过配置的等待时间没有侦听到客户端发送的DAD NS报文，则设备会主动替客户端发送DAD NS报文

· SAVI功能打开时，端口在down状态持续时间超过3分钟后，设备会删除与该端口对应的DHCPv6 Snooping表项和ND Snooping表项。

· 设备为支持SAVI功能，原有ND Snooping特性和IP Source Guard特性相关命令行及描述有所修改，有关命令的详细介绍，请参见SAVI配置命令部分。

11.1.2 DHCPv6-Only场景中的SAVI配置

1.场景描述

图19 DHCPv6-Only场景示意图

在图19所示的DHCPv6-Only场景下，Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCPv6服务器，通过以太网端口GigabitEthernet1/0/2、GigabitEthernet1/0/3连接到主机，GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3都属于VLAN 2。主机只能通过DHCPv6方式获取IPv6地址，不能通过自动地址配置方式获取IPv6地址。在设备Switch B上配置SAVI特性后，设备Switch B只允许使用已绑定的DHCPv6方式分配的地址和链路本地地址发送的报文通过。

2.配置思路

本场景需要在Switch B上进行下列配置：

· 开启SAVI功能。

· 使能DHCPv6 Snooping功能。DHCPv6 Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。

· 使能链路本地类型地址的ND Snooping功能。ND Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

· 为了检查端口上的ND协议报文，需要在VLAN下使能ND Detection功能。ND Detection的详细介绍请参见“安全配置指导”中的“ND攻击防御”。

· 在连接主机的端口上配置IP Source Guard的IPv6静态绑定表项（本配置可选，如果不配置，检查时将不检查静态绑定表项）。IPv6静态绑定表项的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

· 在连接主机的端口上配置IP Source Guard的IPv6动态绑定功能。IPv6动态绑定功能的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

3.报文检查原则

接入设备Switch B会对DHCPv6 client发送的DHCPv6协议报文基于链路本地类型的ND Snooping表项检查，对ND协议报文基于链路本地类型的ND Snooping表项、DHCPv6 Snooping表项和静态绑定表项检查，对连接主机的端口上收到的IPv6数据报文基于下发到端口的动态绑定表项（包括链路本地类型的ND Snooping表项、DHCPv6 Snooping表项）和静态绑定表项检查。检查的内容包括MAC地址、IPv6地址、VLAN信息、入端口信息。

4.配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 使能IPv6转发功能。

[SwitchB] ipv6

# 全局使能DHCPv6 Snooping功能。

[SwitchB] ipv6 dhcp snooping enable

# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3

# 在VLAN 2内使能DHCPv6 Snooping功能。

[SwitchB-vlan2] ipv6 dhcp snooping vlan enable

[SwitchB] quit

# 配置GigabitEthernet1/0/1端口为信任端口。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

# 使能本地链路类型的ND Snooping功能和ND Detection功能。

[SwitchB] ipv6 nd snooping enable link-local

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 下行端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上启用IP Source Guard的IPv6动态绑定功能。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ip check source ipv6 ip-address mac-address

[SwitchB-GigabitEthernet1/0/2] quit

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ip check source ipv6 ip-address mac-address

[SwitchB-GigabitEthernet1/0/3] quit

11.1.3 SLAAC-Only场景中的SAVI配置

1.场景描述

图20 SLAAC-Only场景组网图

在图20所示的SLAAC-Only场景下，用户Host A和Host B通过Switch B接入网关Switch A。主机只能通过自动地址分配方式获取IPv6地址。在设备Switch B上配置SAVI特性后，设备Switch B只允许已绑定的无状态地址自动配置方式分配的地址发送的报文通过，不允许DHCPv6方式分配的地址发送的报文通过。

2.配置思路

本场景需要在Switch B上进行下列配置：

· 开启SAVI功能。

· 使能全球单播类型地址和链路本地类型地址的ND Snooping功能。ND Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

· 为了检查端口上的ND协议报文，需要在VLAN下使能ND Detection功能。ND Detection的详细介绍请参见“安全配置指导”中的“ND攻击防御”。

· 在连接主机的端口上配置IP Source Guard的IPv6动态绑定功能。IPv6动态绑定功能的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

· 需要使能DHCPv6 Snooping功能，并且连接Gateway的端口保持默认的非trust状态，来保证主机不能通过DHCPv6方式获取到地址。DHCPv6 Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。

3.报文检查原则

接入设备Switch B会对ND协议报文基于ND Snooping表项、静态绑定表项检查，对连接主机的端口上收到的IPv6数据报文基于下发到端口的动态绑定表项（包括ND Snooping表项）和静态绑定表项检查。检查的内容包括MAC地址、IPv6地址、VLAN信息、入端口信息。

4.配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 使能IPv6转发功能。

[SwitchB] ipv6

# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3加入VLAN 10。

[SwitchB] vlan 10

[SwitchB-vlan10] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3

[SwitchB-vlan10] quit

# 使能全球单播类型地址和链路本地类型地址的ND Snooping功能。

[SwitchB] ipv6 nd snooping enable link-local

[SwitchB] ipv6 nd snooping enable global

[SwitchB] vlan 10

[SwitchB-vlan10] ipv6 nd snooping enable

# 使能ND Detection功能。

[SwitchB-vlan10] ipv6 nd detection enable

[SwitchB-vlan10] quit

# 使能DHCPv6 Snooping功能来禁止DHCPv6协议报文转发。

[SwitchB] ipv6 dhcp snooping enable

# 将上行端口GigabitEthernet1/0/3配置为ND信任端口。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ipv6 nd detection trust

[SwitchB-GigabitEthernet1/0/3] quit

# 在下行端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上配置IPv6动态绑定功能。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ip check source ipv6 ip-address mac-address

[SwitchB-GigabitEthernet1/0/1] quit

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ip check source ipv6 ip-address mac-address

[SwitchB-GigabitEthernet1/0/2] quit

11.1.4 DHCPv6与SLAAC混合场景中的SAVI配置

1.场景描述

图21 DHCPv6与SLAAC混合场景组网图

在图21所示的在混合场景下，Switch B通过以太网端口GigabitEthernet1/0/1连接到DHCPv6服务器，通过以太网端口GigabitEthernet1/0/3连接到DHCPv6客户端。用户Host A和Host B通过Switch B接入网关Switch A。Switch B上GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5都属于VLAN 2。主机可以通过DHCPv6方式和自动地址分配方式获取地址。在设备Switch B上配置SAVI特性后，设备Switch B将允许DHCPv6方式分配的地址和已绑定的无状态地址自动配置方式分配的地址发送的报文通过。

2.配置思路

本场景需要在Switch B上进行下列配置：

· 开启SAVI功能。

· 使能DHCPv6 Snooping功能。DHCPv6 Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCPv6 Snooping”。

· 使能全球单播类型地址和链路本地类型地址的ND Snooping功能。ND Snooping的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

· 为了检查端口上的ND协议报文，需要在VLAN下使能ND Detection功能。ND Detection的详细介绍请参见“安全配置指导”中的“ND攻击防御”。

· 在连接主机的端口上配置IP Source Guard的IPv6动态绑定功能。IPv6动态绑定功能的详细介绍请参见“安全配置指导”中的“IP Source Guard”。

3.报文检查原则

接入设备Switch B会对DHCPv6 client发送的DHCPv6协议报文基于链路本地类型的ND Snooping表项检查，对ND协议报文基于ND Snooping表项、DHCPv6 Snooping表项和静态绑定表项检查，对连接主机的端口上收到的IPv6数据报文基于下发到端口的动态绑定表项（包括ND Snooping表项、DHCPv6 Snooping表项）和静态绑定表项检查。检查的内容包括MAC地址、IPv6地址、VLAN信息、入端口信息。

4.配置步骤

# 开启SAVI功能。

<SwitchB> system-view

[SwitchB] ipv6 savi strict

# 使能IPv6转发功能。

[SwitchB] ipv6

# 使能DHCPv6 Snooping功能。

[SwitchB] ipv6 dhcp snooping enable

# 将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5加入VLAN 2。

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/1 gigabitethernet 1/0/2 gigabitethernet 1/0/3 gigabitethernet 1/0/4 gigabitethernet 1/0/5

# 在VLAN 2内使能DHCPv6 Snooping功能。

[SwitchB-vlan2] ipv6 dhcp snooping vlan enable

[SwitchB] quit

# 配置GigabitEthernet1/0/1端口为DHCPv6 Snooping信任端口。

[SwitchB] interface gigabitethernet 1/0/1

[SwitchB-GigabitEthernet1/0/1] ipv6 dhcp snooping trust

[SwitchB-GigabitEthernet1/0/1] quit

# 使能ND Snooping功能和ND Detection功能。

[SwitchB] ipv6 nd snooping enable link-local

[SwitchB] ipv6 nd snooping enable global

[SwitchB] vlan 2

[SwitchB-vlan2] ipv6 nd snooping enable

[SwitchB-vlan2] ipv6 nd detection enable

[SwitchB-vlan2] quit

# 配置GigabitEthernet1/0/2端口为ND detection信任端口。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ipv6 nd detection trust

[SwitchB-GigabitEthernet1/0/2] quit

# 在下行端口GigabitEthernet1/0/3、GigabitEthernet1/0/4和GigabitEthernet1/0/5上配置IPv6动态绑定功能。

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ip check source ipv6 ip-address mac-address

[SwitchB-GigabitEthernet1/0/3] quit

[SwitchB] interface gigabitethernet 1/0/4

[SwitchB-GigabitEthernet1/0/4] ip check source ipv6 ip-address mac-address

[SwitchB-GigabitEthernet1/0/4] quit

[SwitchB] interface gigabitethernet 1/0/5

[SwitchB-GigabitEthernet1/0/5] ip check source ipv6 ip-address mac-address

11.2 SAVI配置命令

11.2.1 display ip check source

【命令】

display ip check source [ ipv6 ] [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

ipv6：显示IPv6绑定表项。如果不指定该参数，则表示显示IPv4绑定表项。

interface interface-type interface-number：显示指定端口的绑定表项。其中interface-type interface-number表示绑定的端口类型和端口编号。

ip-address ip-address：显示指定IP地址的绑定表项。其中ip-address表示绑定的IP地址。

mac-address mac-address：显示指定MAC地址的绑定表项。其中mac-address表示绑定的MAC地址，格式为H-H-H。

slot slot-number：显示指定成员设备的绑定表项。slot-number表示IRF中设备的成员编号，取值范围请以设备的实际情况为准。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display ip check source命令用来显示绑定表项信息，包括静态绑定表项和动态绑定表项。

需要注意的是：如果不指定任何参数，则显示所有端口的IPv4绑定表项。

相关配置可参考命令ip check source。

【举例】

# 显示所有的IPv4绑定表项。

<Sysname> display ip check source

Total entries found: 5

MAC Address IP Address VLAN Interface Type

040a-0000-4000 10.1.0.9 2 GE1/0/1 Static

040a-0000-3000 10.1.0.8 2 GE1/0/1 DHCP-SNP

040a-0000-2000 10.1.0.7 2 GE1/0/1 DHCP-SNP

040a-0000-1000 10.1.0.6 N/A GE1/0/2 DHCP-RLY

040a-0000-0000 N/A N/A GE1/0/2 DHCP-RLY

# 显示所有的IPv6绑定表项。

<Sysname> display ip check source ipv6

Total entries found: 3

MAC Address IP Address VLAN Interface Type

040a-0000-0003 2001::3 3 GE1/0/1 Static-IPv6

040a-0000-0001 2001::1 2 GE1/0/1 DHCPv6-SNP

040a-0000-0002 2001::2 6 GE1/0/2 ND-SNP

表30 display ip check source命令显示信息描述表

字段	描述
Total entries found:	查询到的绑定条目总数
MAC Address	绑定表项的MAC地址（N/A表示该表项不绑定MAC地址）
IP Address	绑定表项的IP地址（N/A表示该表项不绑定IP地址）
VLAN	绑定表项所属的VLAN（N/A表示该表项中没有VLAN信息）
Interface	绑定表项所属的接口
Type	绑定表项的类型 Static：IPv4静态绑定表项 Static-IPv6：IPv6静态绑定表项 DHCP-SNP：DHCP Snooping表项 DHCP-RLY：DHCP Relay表项 DHCPv6-SNP：DHCPv6 Snooping表项 ND-SNP：ND Snooping表项

11.2.2 ip check source

【命令】

ip check source [ ipv6 ] { ip-address | ip-address mac-address | mac-address }

undo ip check source [ ipv6 ]

【视图】

二层以太网端口视图/VLAN接口视图

【缺省级别】

2：系统级

【参数】

ipv6：表示通过动态获取的绑定表项过滤IPv6报文。如果不指定该参数，则表示通过动态获取的绑定表项过滤IPv4报文。

ip-address：表示绑定源IP地址。

ip-address mac-address：表示绑定源IP地址和MAC地址。

mac-address：表示绑定源MAC地址。

【描述】

ip check source命令用来配置动态绑定功能。undo ip check source命令用来恢复缺省情况。

缺省情况下，端口的动态绑定功能处于关闭状态。

需要注意的是：

端口如果加入聚合组，则不能配置端口的动态绑定功能。

IPv6动态绑定功能只能在二层以太网端口视图下配置。

相关配置可参考命令display ip check source。

【举例】

# 在二层以太网端口GigabitEthernet1/0/1上配置对报文的源IP和MAC地址的IPv4动态绑定功能，获取端口上动态生成的DHCP Snooping表项对端口转发的报文进行过滤。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ip check source ip-address mac-address

# 在Vlan-interface100上配置对报文的源IP和MAC地址的IPv4动态绑定功能，获取端口上动态生成的DHCP Relay表项对端口转发的报文进行过滤。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname-Vlan-interface100] ip check source ip-address mac-address

# 在二层以太网端口GigabitEthernet1/0/1上配置对报文的源IP和MAC地址的IPv6动态绑定功能，获取端口上动态生成的DHCPv6 Snooping和ND Snooping表项，并对端口转发的报文进行过滤。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ip check source ipv6 ip-address mac-address

11.2.3 ip check source max-entries

【命令】

ip check source [ ipv6 ] max-entries number

undo ip check source [ ipv6 ] max-entries

【视图】

二层以太网端口视图

【缺省级别】

2：系统级

【参数】

ipv6：表示限制IPv6绑定表项的数目。如果不指定该参数，则表示限制IPv4绑定表项的数目。

number：端口上绑定表项的最大值，IPv4绑定表项的取值范围为0～256，IPv6绑定表项的取值范围为0～256。

【描述】

ip check source max-entries命令用来配置端口上绑定表项数目的最大值，即端口上所允许添加的IPv4（或IPv6）静态和动态绑定表项的数量总和。undo ip check source max-entries命令用来恢复缺省情况。

缺省情况下，端口上IPv4绑定表项的最大值为256，IPv6绑定表项的最大值为256。

当端口上的IPv4（或IPv6）绑定表项数目达到指定的最大值时，端口将不再允许添加新的IPv4（或IPv6）绑定表项。

需要注意的是，如果要配置的IPv4（或IPv6）绑定表项数目的最大值小于当前端口上已存在的IPv4（或IPv6）绑定表项总数，则该最大值可以配置成功，且原有的表项不受影响，但端口将不再允许新增IPv4（或IPv6）绑定表项，除非端口上的IPv4（或IPv6）绑定表项数目减少到小于最大值。

【举例】

# 配置端口GigabitEthernet1/0/1上绑定ipv6表项数目的最大值为100。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ip check source ipv6 max-entries 100

11.2.4 ipv6 nd snooping enable global

【命令】

ipv6 nd snooping enable global

undo ipv6 nd snooping enable global

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

ipv6 nd snooping enable global命令用来使能全球单播类型地址的ND Snooping功能，根据IPv6地址为全球单播地址的DAD NS报文建立ND Snooping表项。undo nd snooping enable global命令用来恢复缺省情况。

缺省情况下，全球单播类型地址的ND Snooping功能处于关闭状态。

【举例】

# 使能全球单播类型地址的ND Snooping功能。

<Sysname> system-view

[Sysname] ipv6 nd snooping enable global

11.2.5 ipv6 nd snooping enable link-local

【命令】

ipv6 nd snooping enable link-local

undo ipv6 nd snooping enable link-local

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

ipv6 nd snooping enable link-local命令用来使能链路本地类型地址的ND Snooping功能，根据IPv6地址为链路本地地址的DAD NS报文建立ND Snooping表项。undo nd snooping enable link-local命令用来恢复缺省情况。

缺省情况下，链路本地类型地址的ND Snooping功能处于关闭状态。

【举例】

# 使能链路本地类型地址的ND Snooping功能。

<Sysname> system-view

[Sysname] ipv6 nd snooping enable link-local

11.2.6 ipv6 nd snooping uplink

【命令】

ipv6 nd snooping uplink

undo ipv6 nd snooping uplink

【视图】

二层以太网端口视图/二层聚合接口视图

【缺省级别】

2：系统级

【参数】

无

【描述】

ipv6 nd snooping uplink命令用来配置接口为上行口，禁止接口学习ND Snooping表项。undo ipv6 nd snooping uplink命令用来恢复缺省情况。

缺省情况下，ND Snooping功能使能后，接口上允许学习ND Snooping表项。

【举例】

# 配置二层以太网接口GigabitEthernet1/0/1为上行口，禁止接口学习ND Snooping表项。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname- GigabitEthernet1/0/1] ipv6 nd snooping uplink

# 配置二层聚合接口Bridge-Aggregation1为上行口，禁止接口学习ND Snooping表项。

<Sysname> system-view

[Sysname] interface bridge-aggregation 1

[Sysname-Bridge-Aggregation1] ipv6 nd snooping uplink

11.2.7 ipv6 savi dad-delay

【命令】

ipv6 savi dad-delay value

undo ipv6 savi dad-delay

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

value：等待通告地址冲突的NA报文的时间，取值范围为0～2147483647，单位为厘秒。

【描述】

ipv6 savi dad-delay命令用来配置等待通告地址冲突的NA报文的时间。undo ipv6 savi dad-delay命令用来恢复缺省情况。

缺省情况下，等待通告地址冲突的NA报文的时间为100厘秒，即1秒。

【举例】

# 配置等待通告地址冲突的NA报文的时间为100秒。

<Sysname> system-view

[Sysname] ipv6 savi dad-delay 10000

11.2.8 ipv6 savi dad-preparedelay

【命令】

ipv6 savi dad-preparedelay [ value ]

undo ipv6 savi dad-preparedelay

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

value：DHCPv6客户端从DHCPv6服务器获取到地址后，等待DHCPv6客户端开始对地址作冲突检测发送DAD NS报文的时间。取值范围为0～2147483647，单位为厘秒。如果不指定该时间参数，则默认等待时间为0厘秒。

【描述】

ipv6 savi dad-preparedelay命令用来配置等待DHCPv6客户端对获取地址作冲突检测的时间。undo ipv6 savi dad-preparedelay命令用来恢复缺省情况。

缺省情况下，等待DHCPv6客户端对获取地址作冲突检测的时间为100厘秒，即1秒。

本命令配合DHCPv6 Snooping功能使用。DHCPv6 Snooping模块在侦听到客户端获取到地址后，还会侦听客户端是否对获取到的地址作冲突检测，如果超过配置的等待时间没有侦听到客户端发送的DAD NS报文，则设备会主动替客户端发送DAD NS报文。

【举例】

# 配置等待DHCPv6客户端对获取地址作冲突检测的时间为100秒。

<Sysname> system-view

[Sysname] ipv6 savi dad-preparedelay 10000

11.2.9 ipv6 savi strict

【命令】

ipv6 savi strict

undo ipv6 savi strict

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

ipv6 savi strict命令用来开启SAVI功能。undo ipv6 savi strict命令用来关闭SAVI功能。

缺省情况下，SAVI功能处于关闭状态。

SAVI功能打开时，端口在down状态持续时间超过3分钟后，设备会删除与该端口对应的DHCPv6 Snooping表项和ND Snooping表项。

【举例】

# 开启SAVI功能。

<Sysname> system-view

[Sysname] ipv6 savi strict

12 新增特性—CWMP

12.1 CWMP简介

12.1.1 CWMP协议

CWMP（CPE WAN Management Protocol，CPE广域网管理协议）是由DSL（Digital Subscriber's Line，数字用户线路）论坛发起开发的技术规范之一，编号为TR-069，所以又被称为TR-069协议。CWMP在设计时主要针对DSL接入网络环境。在DSL接入网络中，由于用户设备数量繁多、部署分散，通常位于用户侧，不易进行设备的管理和维护，CWMP提出通过ACS（Auto-Configuration Server，自动配置服务器）对CPE（Customer Premises Equipment，用户侧设备）进行远程集中管理，解决CPE设备的管理困难，节约维护成本，提高问题解决效率。

大型数据中心的网络环境与DSL环境具有类似的特征，即接入交换机数量众多，而且随着规模的扩张，会经常出现在网络的某个层级大量增加新设备的情况。这些新设备的业务功能基本相同，如果能够利用CWMP协议的特点进行远程集中管理和配置，便可以快速完成部署，并且后期的维护和管理也将变得更加便捷。

设备提供了对CWMP协议的支持，在空配置接入网络时可以作为CPE设备，自动从ACS下载配置文件。相对于传统的手工配置方式，利用CWMP进行远程统一配置具有以下优点：

· 对于业务相同的新设备统一下发配置，减少重复工作，提高部署效率

· 设备开箱后即可直接接入网络，不需要工程师现场配置，降低人力成本

· 配置文件预先生成，降低人工配置错误几率

12.1.2 CWMP网络框架

CWMP网络的基本框架如图22所示：

图22 CWMP网络基本框架示意图

图22中的DHCP服务器、DNS服务器、ACS仅作为角色示意，实际应用中这些功能可以集中在一台服务器上。

CWMP环境中的角色主要包括：

· CPE：网络中的被管理设备，可以向ACS上报自身信息并获取相应的配置。

· ACS：自动配置服务器，用于向CPE设备下发配置并提供CPE设备的管理服务。本文中的ACS是指安装了H3C iMC分支网点智能管理系统（简称iMC BIMS）的服务器。

· DNS server：域名服务器。ACS和CPE之间可以使用URL地址来互相识别和访问，DNS用于帮助解析URL参数。

· DHCP server：DHCP服务器，用于为CPE分配IP地址，并使用DHCP报文中的option字段为CPE提供访问ACS所使用的URL等参数。

12.1.3 CWMP的基本功能

1.通过ACS向CPE自动下发配置文件

为了便于对提供相同业务功能的新设备进行快速配置，网络管理员可以在ACS上创建针对该类设备的配置文件。当CPE设备与ACS建立连接后，ACS可以判断CPE设备所属类别，并将对应该类设备的配置文件下发给CPE设备，从而可以使相同类型的大量CPE设备获得相同的业务配置。目前ACS可以通过产品型号和序列号等将CPE划分为不同的类别。

ACS向CPE下发配置文件时，可以通过以下两种方式进行：

· 部署为启动配置：ACS向CPE发送配置文件，覆盖CPE本地的缺省配置文件，当CPE重启之后，便可以使用新的配置运行。

· 部署为运行配置：ACS将配置内容直接发给CPE，并写入到CPE的当前配置中，配置内容即时生效，但是需要再执行保存配置的操作，以保证重启后配置不会丢失。

2.通过ACS管理CPE设备的系统文件

网络管理员可以将CPE设备的应用程序文件和配置文件等重要文件保存在ACS上，当ACS发现某个文件的版本有更新，将会通知CPE进行下载。CPE收到ACS的下载请求后，能够根据ACS报文中提供的下载地址和文件名，自动到指定的文件服务器下载文件。下载完成后，对下载文件的合法性做相应的检查，并将下载结果（成功或失败）反馈给ACS。目前CPE可以通过ACS下载的文件类型包括设备应用程序文件和配置文件。

同样，为了实现对重要数据的备份，CPE将根据ACS的要求将当前的配置文件和日志文件上传到指定的服务器。

3.通过ACS监控CPE的状态和性能

ACS可以监控与其相连的CPE的各种参数。由于不同的CPE具有不同的性能，可执行的功能也各异，因此ACS必须能识别不同类型CPE的性能，并监控到CPE的当前配置以及配置的变更。CWMP还允许网络管理人员自定义监控参数并通过ACS获取这些参数，以便了解CPE的状态和统计信息。

ACS能够监控的状态和性能有：厂商名称（Manufacturer）、厂商标识OUI（ManufacturerOUI）、序列号（SerialNumber）、硬件版本号（HardwareVersion）、软件版本号（SoftwareVersion）、设备状态（DeviceStatus）、启动时间（UpTime）、配置文件、ACS地址、ACS用户名、ACS密码、Inform报文自动发送使能标志、Inform报文周期发送时间间隔、Inform报文定期发送日期、CPE地址、CPE用户名、CPE密码等。

12.1.4 CWMP的实现机制

1.ACS和CPE的自动连接

CPE在第一次上电启动时，会通过DHCP自动获取IP地址，DHCP服务器在分配IP地址的同时，将向CPE通告以下内容：

· ACS的URL地址（通过option 43选项分配）

· 连接ACS所需要的用户名和密码（通过option 43选项分配）

· DNS服务器地址（直接分配）

CPE设备得到以上信息后，通过DNS服务器解析出ACS的IP地址，向ACS发起连接请求，如果用户名和密码验证通过，CPE和ACS之间将成功建立连接。

如果当前会话没有结束，但是连接异常中断，CPE将自动尝试重新连接，直至重新连接的次数达到上限。

在运行过程中，CPE设备还可以根据配置周期性或者定时向ACS服务器发起连接。ACS也可以在任何时候自动向CPE发起连接请求，通过CPE的认证（即CPE用户名、CPE密码）后，可以与CPE建立连接。

2.ACS向CPE下发配置项参数

CPE与ACS建立连接之后，ACS可以自动下发一些配置给CPE，完成对CPE的自动配置。CPE可以从ACS获取的自动配置项参数如表31所示：

表31 CPE可以从ACS获取的配置项

配置项	用途
配置文件（ConfigFile）	用于更新CPE的本地配置文件，ACS可以使用文件形式和当前配置形式向CPE下发配置文件
ACS地址（URL）	更新CPE记录的ACS地址，可用于主备ACS服务器之间的切换
ACS用户名（Username）	当ACS上连接用户名和密码发生变更时，可以自动同步到CPE设备，也可用于主备ACS服务器切换时向CPE通告备用ACS服务器的验证信息
ACS密码（Password）
Inform报文自动发送使能标志（PeriodicInformEnable）	开启CPE设备发送Inform报文的功能
Inform报文周期发送时间间隔（PeriodicInformInterval）	配置CPE周期性向ACS发送Inform报文建立连接，用于定期查询更新和信息备份
Inform报文定期发送日期（PeriodicInformTime）	配置CPE在指定时间点向ACS发送Inform报文建立连接，用于在指定时间查询更新和信息备份
CPE用户名（ConnectionRequestUsername）	配置CPE在接受ACS发起的连接时所需要的验证信息
CPE密码（ConnectionRequestPassword）	配置CPE在接受ACS发起的连接时所需要的验证信息

3.ACS对CPE的管理方式

ACS对CPE的管理和监控是通过一系列的操作来实现的，这些操作在CWMP协议里称为RPC方法。主要方法的描述如下：

· Get：ACS使用该方法可以获取CPE上参数的值。

· Set：ACS使用该方法可以设置CPE上参数的值。

· Inform：当CPE与ACS建立连接时，或者底层配置发生改变时，或者CPE周期性发送本地信息到ACS时，CPE都要通过该方法向ACS发起通告信息。

· Download：为了保证CPE端软件的升级以及厂商配置文件的自动下载，ACS使用该方法可以要求CPE到指定的URL下载指定的文件来更新CPE的本地文件。

· Upload：为了方便ACS对CPE端的管理，ACS使用该方法可以要求CPE将指定的文件上传到ACS指定的位置。

· Reboot：当CPE故障或者需要软件升级的时候，ACS使用该方法可以对CPE进行远程重启。

4.主备ACS切换时的操作方式

下面以一个具体的例子来描述主备ACS切换时的实现过程，应用场景如下：区域内有主、备两台ACS，主ACS系统升级，需要重启。为了连续监控，主ACS需要将区域内的CPE都连接到备用ACS上，处理流程如下：

图23 主备ACS切换时主ACS与CPE的消息交互举例

(1) 建立TCP连接。

(2) SSL初始化，建立安全机制。

(3) CPE发送Inform报文，开始建立CWMP连接。Inform报文使用Eventcode字段描述发送Inform报文的原因，该举例为“6 CONNECTION REQUEST”，表示ACS要求建立连接。

(4) 如果CPE通过ACS的认证，ACS将返回Inform响应报文，连接建立。

(5) 如果CPE没有别的请求，就会发送一个空报文，以满足HTTP报文请求/响应报文交互规则（CWMP是基于HTTP协议的，CWMP报文作为HTTP报文的数据部分封装在HTTP报文中）。

(6) ACS查询CPE上设置的ACS URL的值。

(7) CPE把获取到的ACS URL的值回复给ACS。

(8) ACS发现CPE的ACS URL是本机URL的值，于是发起Set请求，要求将CPE的ACS URL设置为备用ACS的URL的值。

(9) 设置成功，CPE发送响应报文。

(10) ACS发送空报文通知CPE，表示不再请求其他内容。

(11) CPE关闭连接。

之后，CPE将向备用ACS发起连接。

12.2 CWMP配置

12.2.1 DHCP服务器的配置

在CWMP网络中，DHCP服务器主要用于向CPE通告ACS的位置和验证信息，因此DHCP服务器上的配置主要包含以下内容：

· 配置地址池，为CPE设备分配IP地址

· 配置DNS服务器

· 配置option 43选项，向CPE通告ACS信息

这里主要介绍option 43选项的配置方法，关于地址池和DNS服务器的配置请参见“三层技术-IP业务配置指导”中的“DHCP服务器”。

当使用H3C设备作为DHCP server时，可以使用命令行配置包含ACS参数的option 43信息，命令格式为：option 43 hex 01length URL username password

· length：表示关键字option 43 hex 01后面参数的总长度，用十六进制数表示。

· URL：ACS的地址。

· username：ACS的用户名。

· password：ACS的密码。

ACS的URL、用户名和密码参数需要用空格隔开，参数的格式必须为字符对应的ASCII码的十六进制值格式。输入时，可以2、4、6或者8个十六进制值为一组，组间用空格隔开。比如，要将ACS地址配置为http://169.254.76.31:7547/acs（http://对应的ASCII码的十六进制值为68 74 74 70 3A 2F 2F，169.254.76.31对应的ASCII码的十六进制值为31 36 39 2E 32 35 34 2E 37 36 2E 33 31，:7547对应的ASCII码的十六进制值为3A 37 35 34 37，/acs对应的ASCII码的十六进制值为2F 61 63 73）、用户名配置为1234（对应的ASCII码的十六进制值为31 32 33 34）、密码配置为5678（对应的ASCII码的十六进制值为35 36 37 38），空格对应的ASCII码的十六进制值为20，（URL＋1个空格＋username＋1个空格＋password）一共为39个字符（39对应的十六进制为27），所以length值为0x27，可使用以下配置步骤：

<Sysname> system-view

[Sysname] dhcp server ip-pool 0

[Sysname-dhcp-pool-0] option 43 hex 0127 68747470 3A2F2F31 36392E32 35342E37 362E3331 3A373534 372F6163 73203132 33342035 3637 38

关于DHCP技术、option 43参数以及option命令的详细介绍请参见“三层技术-IP业务配置指导”中的“DHCP概述”和“DHCP服务器”。

12.2.2 DNS服务器的配置

在DNS服务器上，需要事先配置ACS服务器的URL和IP地址的对应，以便CPE设备可以通过域名解析功能得到ACS的IP地址。

12.2.3 ACS服务器的配置

由ACS远程管理，对CPE进行自动配置。可配置的主要参数请参见12.1.4 2。ACS服务器上的配置请参见您所选ACS服务器的软件使用说明。

12.2.4 CPE设备的配置

即通过命令行手工指定CWMP参数，可配置的内容如表32所示。

设备在CWMP环境中充当CPE，因此下文中只介绍CPE设备上进行的配置。

表32 CWMP配置任务简介

配置任务		说明	详细配置
使能CWMP功能		必选	12.2.5
配置ACS服务器信息	配置ACS的URL值	必选	12.2.6 1
配置ACS服务器信息	配置ACS的用户名和密码	可选	12.2.6 2
配置CPE设备属性	配置CPE的用户名和密码	可选	12.2.7 1
	配置CWMP接口	可选	12.2.7 2
	发送Inform报文	可选	12.2.7 3
	配置CPE自动重新连接的次数	可选	12.2.7 4
	配置CPE无数据传输的超时时间	可选	12.2.7 5
	配置CPE的工作模式	可选	12.2.7 6
	配置CWMP引用的SSL客户端策略	可选	12.2.7 7

12.2.5 使能CWMP功能

使能CWMP后，CWMP的其它配置才能生效。

表33 使能CWMP功能

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
使能CWMP功能	cwmp enable	可选缺省情况下，CWMP功能处于使能状态

12.2.6 配置ACS服务器信息

ACS服务器信息包括ACS的URL、用户名和密码，当CPE发起连接请求时，连接请求报文里会携带ACS的URL、用户名和密码。当ACS收到该报文后，如果这个参数的值和本地配置的值一致，则验证成功，允许建立连接；如果不一致，则验证失败，禁止建立连接。

1.配置ACS的URL值

表34 配置ACS的URL值

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
配置ACS的URL值	cwmp acs url url	必选缺省情况下，没有配置ACS的URL

一个CPE只能配置一个ACS，多次配置ACS的URL值时，最新的配置生效。

2.配置ACS的用户名和密码

表35 配置ACS的用户名和密码

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
配置连接到ACS的用户名	cwmp acs username username	必选缺省情况下，没有配置连接到ACS的用户名
配置连接到ACS的密码	cwmp acs password [ cipher \| simple ] password	可选，可以只用用户名验证，但ACS和CPE上的配置必须一致缺省情况下，没有配置连接到ACS的密码

请使用ACS上合法的用户名和密码来配置username和password参数，否则，CPE将不能通过ACS的认证。

12.2.7 配置CPE设备属性

在CPE上还可以配置CPE的用户名和密码，这些属性用于CPE对ACS的合法性进行验证。当连接由ACS发起时，会话请求报文里会携带CPE用户名和密码。CPE设备收到该报文后，会与本地设置的CPE用户名和密码比较，如果相同则通过认证，进入连接建立的下一阶段，否则，认证失败，退出连接建立过程。

1.配置CPE的用户名和密码

表36 配置CPE用户名和密码

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
配置ACS连接到CPE时用来认证的用户名	cwmp cpe username username	必选缺省情况下，没有设置CPE的用户名
配置ACS连接到CPE时用来认证的密码	cwmp cpe password [ cipher \| simple ] password	可选，可以只用用户名验证，但ACS和CPE上的配置必须一致缺省情况下，没有设置CPE的密码

2.配置CWMP连接接口

CWMP连接接口指的是CPE上用于连接ACS的接口。CPE会在Inform报文中携带CWMP连接接口的IP地址，要求ACS通过此IP地址和自己建立连接；相应的，ACS会向该IP地址回复Inform响应报文。

通常情况下，系统会采用一定的机制去自动获取一个CWMP连接接口，但如果获取的CWMP连接接口不是CPE和ACS实际相连的接口时，就会导致CWMP连接建立失败。因此，在这种情况下需要手工指定CWMP连接接口。

表37 配置CWMP连接接口

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
设置CPE上用于连接ACS的接口	cwmp cpe connect interface interface-type interface-number	必选缺省情况下，没有设置CPE上用于连接ACS的接口

3.发送Inform报文

CPE与ACS之间连接的建立过程需要发送Inform报文。通过设置Inform报文发送参数，可以触发CPE向ACS自动发起连接。

· 配置周期性发送Inform报文

表38 配置周期性发送Inform报文

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
使能CPE周期发送Inform报文功能	cwmp cpe inform interval enable	必选缺省情况下，CPE周期发送Inform报文功能处于关闭状态
配置CPE发送Inform报文的周期	cwmp cpe inform interval seconds	可选缺省情况下，CPE每隔600秒发送一次Inform报文

· 配置定时发送Inform报文

表39 配置定时发送Inform报文

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
配置CPE在指定时刻发送一次Inform报文	cwmp cpe inform time time	必选缺省情况下，CPE发送Inform报文的日期和时间为空，即没有配置CPE定时发送Inform报文的时间

4.配置CPE自动重新连接的次数

当CPE向ACS请求建立连接失败，或者在会话过程中连接异常中止（CPE没有收到表示会话正常结束的报文）时，设备可以自动重新发起连接。

表40 配置CPE自动重新连接的次数

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
配置当创建连接失败时自动重新连接的次数	cwmp cpe connect retry times	可选缺省情况下，自动重新连接的次数为无限次，即设备会一直按照一定周期给ACS发送连接请求

5.配置CPE无数据传输超时的时间

无数据传输超时时间主要用于以下两种情况：

· 在连接建立过程中，CPE向ACS发送连接请求，但是经过无数据传输超时时间还没有收到响应报文，CPE将认为连接失败。

· 连接建立后，如果CPE与ACS在无数据传输超时时间内没有报文交互，CPE将认为连接失效，并断开连接。

表41 配置CPE无数据传输超时的时间

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
配置CPE无数据传输超时的时间	cwmp cpe wait timeout seconds	可选缺省情况下，无数据传输超时的时间为30秒

6.配置CPE的工作模式

当设备作为CPE被ACS管理时，需要根据设备在网络中的位置，设置设备的工作模式。

· 当设备部署在网吧、小型企业的广域网出口，并且设备下层级联了其它CPE。此时，如果要求ACS能够管理本设备以及下层CPE，则需要配置设备工作在gateway模式。

· 如果设备下层没有级联CPE时，可以配置设备工作在device模式。

表42 配置CPE的工作模式

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
配置CPE的工作模式	cwmp device-type { device \| gateway }	可选缺省情况下，设备作为CPE时工作在gateway模式

切换工作模式前，须关闭CWMP功能。否则，不能切换。

7.配置CWMP引用的SSL客户端策略

CWMP是基于HTTP/HTTPS协议的，CWMP报文作为HTTP/HTTPS报文的数据部分封装在HTTP/HTTPS报文中。如果ACS的URL以“http://”开头，则使用HTTP协议，如果ACS的URL以“https://”开头，则使用HTTPS协议。使用HTTPS协议时，需要配置该命令，来对ACS的身份进行认证，关于SSL客户端策略的详细介绍和配置请参见“安全配置指导”中的“SSL”。

表43 配置CWMP引用的SSL客户端策略

操作	命令	说明
进入系统视图	system-view	-
进入CWMP视图	cwmp	-
配置CWMP引用的SSL客户端策略	ssl client-policy policy-name	必选缺省情况下，CWMP没有引用SSL客户端策略

12.3 CWMP显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后CWMP的运行情况，通过查看显示信息验证配置的效果。

表44 cwmp显示和维护

操作	命令
显示CWMP的当前配置信息	display cwmp configuration [ \| { begin \| exclude \| include } regular-expression ]
显示CWMP的当前状态信息	display cwmp status [ \| { begin \| exclude \| include } regular-expression ]

12.4 CWMP典型配置案例

下文中ACS的配置需要在安装了H3C iMC BIMS软件的服务器上进行。随着软件版本的更新，BIMS的功能和界面可能会有变化，如您所使用的软件界面与本例中不同，请参阅对应您使用版本的软件用户手册进行配置。

12.4.1 组网需求

某数据中心有两个机房（A和B）需要部署大量的设备，目前网络中已存在ACS服务器/DHCP服务器/DNS服务器，为提高部署效率，要求利用CWMP功能为两个机房中的设备分别自动下发不同的配置文件。下面以每个机房内的三台设备为例介绍CWMP功能的配置方法。

图24 CWMP典型配置案例组网图

其中部署到两个机房的设备及序列号如表45所示：

表45 部署到机房的设备列表

机房	设备	序列号
A	DeviceA	210235AOLNH12000008
	DeviceB	210235AOLNH12000010
	DeviceC	210235AOLNH12000015
B	DeviceD	210235AOLNH12000017
	DeviceE	210235AOLNH12000020
	DeviceF	210235AOLNH12000022

网络管理员已经事先为两个机房的设备分别创建了配置文件sys_a.cfg和sys_b.cfg，ACS服务器的访问用户名和密码分别为“vicky”和“12345”，URL地址为http://acs.database:9090/acs。

12.4.2 配置步骤

1.ACS服务器上的配置

在本例中，ACS服务器上的配置包括以下几项：

· 访问ACS服务器的用户名和密码

· 增加CPE设备的信息并将CPE划分到不同的组别

· 为不同的CPE设备组绑定不同的配置文件

ACS服务器上的其余配置保持缺省值即可。

# 在ACS服务器上配置用户名和密码。

选择“系统管理”页签，单击导航树中的[CPE认证用户]菜单项，进入CPE认证用户管理页面。

图25 CPE认证用户管理页面

b004

单击<增加>按钮，进入增加CPE认证用户页面。

图26 增加CPE认证用户页面

b005

设置用户名、密码及描述后，单击<确定>按钮完成增加操作。

# 在ACS上增加CPE设备分组和类型，这里以增加DeviceA设备到“DB_1”组的“Device_A”类型为例。选择“资源管理”页签，单击导航树中的[分组管理/设备分组]菜单项，进入设备分组页面后单击<增加>按钮，进入增加设备分组页面。

图27 增加设备分组页面

增加分组

设置分组名称后，单击<确定>按钮完成增加操作。

# 单击导航树中的[设备类型]菜单项，进入设备类型页面后单击<增加>按钮，进入增加设备类型页面。

图28 增加设备类型页面

设置设备类型名称后，单击<确定>按钮完成增加操作。

# 单击导航树中的[增加设备]菜单项，进入增加设备页面。

图29 增加设备页面

设置设备名称及相关信息，并选择设备类型和设备分组后，单击<确定>按钮完成增加操作。

图30 增加设备成功页面

重复以上步骤，将DeviceB和DeviceC设备的信息输入，完成机房A中的设备添加任务。

# 在ACS上将配置文件与不同组别的CPE设备绑定，实现自动部署。选择导航树中的[部署向导]菜单项，选择[自动部署设备配置/按设备类型]进行自动部署。

图31 部署向导页面

部署向导

# 在自动部署设备配置页面，选择要部署的配置文件，并将其选择部署为“启动配置”。

图32 自动部署设备配置页面

部署页面

# 单击[选取类型]按钮，进入设备类型选择页面，选取之前创建的Device_A类型，单击<确定>按钮完成选择操作。

图33 选取设备类型页面

# 完成选择页面后将返回自动部署设备配置页面，单击<确定>按钮完成部署任务的创建。

图34 部署任务创建成功页面

部署任务成功

对于机房B中的三台设备，配置步骤基本类似，主要区别如下：

· 需要为机房B的设备创建新的设备类型，例如“Device_B”。

· 在增加设备时，将机房B中的三台设备加入到Device_B类型中。

· 创建部署配置的任务时，将对应机房B的配置文件与Device_B进行关联。

2.DHCP服务器上的配置

DHCP服务器的配置以支持option 43功能的H3C交换机为例进行介绍。如果您使用的是其他DHCP服务器，请参阅软件的使用手册。

· 配置地址池，为CPE设备分配IP地址和DNS服务器，此处以分配10.185.10.0/24网段的地址为例。

# 使能DHCP服务。

<DHCP_server> system-view

[DHCP_server] dhcp enable

# 配置VLAN接口1工作在DHCP服务器模式。

[DHCP_server] interface vlan-interface 1

[DHCP_server-Vlan-interface1] dhcp select server global-pool

[DHCP_server-Vlan-interface1] quit

# 配置不参与自动分配的IP地址（此处包括DNS服务器、ACS服务器）。

[DHCP_server] dhcp server forbidden-ip 10.185.10.41

[DHCP_server] dhcp server forbidden-ip 10.185.10.60

# 配置DHCP地址池0的共有属性（网段、DNS服务器地址）。

[DHCP_server] dhcp server ip-pool 0

[DHCP_server-dhcp-pool-0] network 10.185.10.0 mask 255.255.255.0

[DHCP_server-dhcp-pool-0] dns-list 10.185.10.60

· 配置option 43选项。选项内容包括ACS的地址、用户名和密码。

# 将ACS的地址、用户名和密码转换成ASCII码。其中URL地址对应的ASCII码为68 74 74 70 3A 2F 2F 61 63 73 2E 64 61 74 61 62 61 73 65 3A 39 30 39 30 2F 61 63 73。用户名vicky对应的ASCII码为76 69 63 6B 79，密码12345对应的ASCII码为31 32 33 34 35。

[DHCP_server-dhcp-pool-0] option 43 hex 0140 68747470 3A2F2F61 63732E64 61746162 6173653A 39303930 2F616373 20766963 6B792031 32333435

3.DNS服务器上的配置

在DNS服务器上需要配置域名和地址的映射，将http://acs.database:9090/acs地址映射为http://10.185.1.41:9090/acs。具体配置方法请参见您使用的DNS服务器软件手册。

4.将CPE接入网络

将CPE上电并连接网线后，CPE将按照CWMP协议的流程自动从ACS处获取配置文件。

5.在ACS上查看配置效果

选择“资源管理”页签，单击导航树中的[设备交互记录]菜单项，进入设备交互记录查询页面，查看与序列号对应的设备是否已经完成部署配置的操作。

图35 设备交互记录界面

12.5 CWMP配置命令

12.5.1 cwmp

【命令】

cwmp

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

cwmp命令用来进入CWMP视图。

【举例】

# 进入CWMP视图。

<Sysname> system-view

[Sysname] cwmp

12.5.2 cwmp acs password

【命令】

cwmp acs password [ cipher | simple ] passowrd

undo cwmp acs password

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

cipher：以密文方式设置密码。不指定cipher和simple参数时，表示以明文方式设置密码。

simple：以明文方式设置密码。不指定cipher和simple参数时，表示以明文方式设置密码。

password：设置的明文密码或密文密码，区分大小写。明文密码的长度范围是1～255；密文密码的长度范围是1～373。

【描述】

cwmp acs password命令用来配置连接到ACS的密码。undo cwmp acs password命令用来恢复缺省情况。

缺省情况下，没有配置连接到ACS的密码。

需要注意的是：

· 当多次使用该命令配置密码时，以最新的配置为准。

· 执行undo cwmp acs username时，系统会执行undo cwmp acs username和undo cwmp acs password，将CPE用户名和密码一并删除。

相关配置可参考命令cwmp acs username。

【举例】

# 配置连接到ACS的密码为newpsw。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp acs password newpsw

12.5.3 cwmp acs url

【命令】

cwmp acs url url

undo cwmp acs url

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

url：指定ACS的URL，为8～255个字符的字符串，格式必须为：http://host[:port]/path或者https://host[:port]/path。

【描述】

cwmp acs url命令用来配置ACS的URL。undo cwmp acs url命令用来恢复缺省情况。

缺省情况下，没有配置ACS的URL。

当多次使用该命令配置ACS的URL时，以最新的配置为准。

【举例】

# 配置ACS的URL为http://www.acs.com:80/acs。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp acs url http://www.acs.com:80/acs

12.5.4 cwmp acs username

【命令】

cwmp acs username username

undo cwmp acs username

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

username：CPE连接到ACS时用来认证的用户名，为1～255个字符的字符串，区分大小写。

【描述】

cwmp acs username命令用来配置连接到ACS的用户名。undo cwmp acs username命令用来恢复缺省情况。

缺省情况下，没有配置连接到ACS的用户名。

需要注意的是：

· 当多次使用该命令配置密码时，以最新的配置为准。

· 执行undo cwmp acs username时，系统会执行undo cwmp acs username和undo cwmp acs password，将CPE用户名和密码一并删除。

相关配置可参考命令cwmp acs password。

【举例】

# 配置连接到ACS的用户名为newname。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp acs username newname

12.5.5 cwmp cpe connect retry

【命令】

cwmp cpe connect retry times

undo cwmp cpe connect retry

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

times：重发次数，取值范围为0～100，0表示不重发。

【描述】

cwmp cpe connect retry命令用来配置重发次数。undo cwmp cpe connect retry命令用来恢复缺省情况。

缺省情况下，重发次数为无限次，即设备会一直按照一定周期给ACS发送连接请求。

【举例】

# 配置CPE重发次数为5次。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp cpe connect retry 5

12.5.6 cwmp cpe connect interface

【命令】

cwmp cpe connect interface interface-type interface-number

undo cwmp cpe connect interface

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

interface-type interface-number：连接ACS的接口类型和接口编号。

【描述】

cwmp cpe connect interface命令用来设置CPE上用于连接ACS的接口。undo cwmp cpe connect interface命令用来恢复缺省情况。

缺省情况下，没有设置CPE上用于连接ACS的接口。

【举例】

# 配置CPE上与ACS连接的接口为Vlan-interface 1。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp cpe connect interface vlan-interface 1

12.5.7 cwmp cpe inform interval

【命令】

cwmp cpe inform interval seconds

undo cwmp cpe inform interval

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

seconds：周期发送Inform报文的时间间隔，取值范围为60～65535，单位为秒。

【描述】

cwmp cpe inform interval命令用来配置周期发送Inform报文的时间间隔。undo cwmp cpe inform interval命令用来恢复缺省情况。

缺省情况下，CPE周期发送Inform报文的时间间隔为600秒。

【举例】

# 配置CPE周期发送Inform报文的时间间隔为3600秒。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp cpe inform interval 3600

12.5.8 cwmp cpe inform interval enable

【命令】

cwmp cpe inform interval enable

undo cwmp cpe inform interval enable

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

无

【描述】

cwmp cpe inform interval enable命令用来开启CPE周期发送Inform报文功能。undo cwmp cpe inform interval enable命令用来恢复缺省情况。

缺省情况下，CPE周期发送Inform报文功能处于关闭状态。

【举例】

# 使能CPE周期发送Inform报文功能。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp cpe inform interval enable

12.5.9 cwmp cpe inform time

【命令】

cwmp cpe inform time time

undo cwmp cpe inform time

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

time：指定CPE发送一次Inform报文的日期和时间，格式为：yyyy-mm-ddThh:mm:ss，取值范围为2000-01-01T00:00:00～2105-12-31T23:59:59，该时间必须大于系统当前时间。

【描述】

cwmp cpe inform time命令用来配置CPE在指定时刻发送一次Inform报文。undo cwmp cpe inform time命令用来恢复缺省情况。

缺省情况下，CPE发送Inform报文的日期和时间为空，即没有配置CPE定时发送Inform报文的时间。

【举例】

# 配置CPE发送Inform报文的日期和时间为2007-12-01T20:00:00。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp cpe inform time 2007-12-01T20:00:00

12.5.10 cwmp cpe password

【命令】

cwmp cpe password [ cipher | simple ] password

undo cwmp cpe password

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

cipher：以密文方式设置密码。不指定cipher和simple参数时，表示以明文方式设置密码。

simple：以明文方式设置密码。不指定cipher和simple参数时，表示以明文方式设置密码。

password：设置的明文密码或密文密码，区分大小写。明文密码的长度范围是1～255；密文密码的长度范围是1～373。

【描述】

cwmp cpe password命令用来配置ACS连接到CPE时用来认证的密码。undo cwmp cpe password命令用来恢复缺省情况。

缺省情况下，没有配置连接到CPE的密码。

需要注意的是：

· 当多次使用该命令配置密码时，以最新的配置为准。

· 执行undo cwmp acs username时，系统会执行undo cwmp acs username和undo cwmp acs password，将CPE用户名和密码一并删除。

相关配置可参考命令cwmp cpe username。

【举例】

# 配置连接到CPE密码为newpsw。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp cpe password newpsw

12.5.11 cwmp cpe username

【命令】

cwmp cpe username username

undo cwmp cpe username

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

username：ACS连接到CPE时用来认证的用户名，为1～255个字符的字符串，区分大小写。

【描述】

cwmp cpe username命令用来配置ACS连接到CPE时用来认证的用户名。undo cwmp cpe username命令用来恢复缺省情况。

缺省情况下，没有配置连接到CPE的用户名。

需要注意的是：

· 当多次使用该命令配置密码时，以最新的配置为准。

· 执行undo cwmp acs username时，系统会执行undo cwmp acs username和undo cwmp acs password，将CPE用户名和密码一并删除。

相关配置可参考命令cwmp cpe password。

【举例】

# 配置连接到CPE的用户名为newname。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp cpe username newname

12.5.12 cwmp cpe wait timeout

【命令】

cwmp cpe wait timeout seconds

undo cwmp cpe wait timeout

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

seconds：无数据传输超时时间，取值范围为30～1800，单位为秒。

【描述】

cwmp cpe wait timeout命令用来配置CPE无数据传输超时时间。undo cwmp cpe wait timeout命令用来恢复缺省情况。

缺省情况下，无数据传输超时时间为30秒。

【举例】

# 配置CPE无数据传输超时时间为60秒。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] cwmp cpe wait timeout 60

12.5.13 cwmp device-type

【命令】

cwmp device-type { device | gateway }

undo cwmp device-type

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

device：配置设备工作在device模式。

gateway：配置设备工作在gateway模式。

【描述】

cwmp device-type命令用来配置设备作为CPE时的工作模式。undo cwmp device-type命令用来恢复缺省情况。

缺省情况下，设备作为CPE时工作在gateway模式。

当设备作为CPE被ACS管理时，需要根据设备在网络中的位置，设置设备的工作模式。

· 如果设备下层没有级联CPE时，可以配置设备工作在device模式。

需要注意的是，切换工作模式前，须关闭CWMP功能。否则，不能切换。

【举例】

# 设置设备工作在gateway模式。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] undo cwmp enable

[Sysname-cwmp] cwmp device-type gateway

[Sysname-cwmp] cwmp enable

12.5.14 cwmp enable

【命令】

cwmp enable

undo cwmp enable

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

无

【描述】

cwmp enable命令用来开启CWMP功能。undo cwmp enable命令用来关闭CWMP功能。

缺省情况下，CWMP功能处于开启状态。

需要注意的是：

· 当CWMP在执行上传或下载操作时，不能关闭CWMP功能。

· 建议用户在系统资源充足的情况下开启CWMP功能。否则，可能会造成配置失败，并显示提示信息“Error Enabling CWMP failed.”，此时，请等待系统有充足资源时再使能即可。

【举例】

# 当没有上传或下载操作执行时，关闭CWMP功能。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] undo cwmp enable

12.5.15 display cwmp configuration

【命令】

display cwmp configuration [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2：系统级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display cwmp configuration命令用来显示CWMP的当前配置信息。

【举例】

# CWMP使能，显示CWMP的配置信息。

<Sysname> display cwmp configuration

CWMP is enabled.

ACS URL :http://www.acs.com:80/acs

ACS username :newname

Inform enable status :disabled

Inform interval :600s

Inform time :none

Wait timeout :30s

Reconnection times :Unlimited

Source IP interface :none

表46 display cwmp configuration命令显示信息描述表

字段	描述
CWMP is	CWMP的使能状态。enabled表示已使能，disabled表示未使能
ACS URL	ACS的URL，没有配置时显示为null
ACS username	连接到ACS的认证用户名，没有配置时显示为空
Inform enable status	周期发送Inform报文的使能情况，enabled表示已使能，disabled表示未使能
Inform interval	发送Inform报文的周期，没有配置时显示为none
Inform time	定期发送Inform报文的日期和时间，没有配置时显示为none
Wait timeout	无数据传输超时的时间
Reconnection times	重发次数
Source IP interface	CPE上用于连接ACS的接口，可以通过cwmp cpe connect interface命令设置

12.5.16 display cwmp status

【命令】

display cwmp status [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

2：系统级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display cwmp status命令用来显示CWMP的当前状态信息。

【举例】

# CWMP没有使能时，显示CWMP的状态信息。

<Sysname> display cwmp status

CWMP is disabled.

# CWMP使能，显示CWMP的状态信息。

<Sysname> display cwmp status

CWMP is enabled.

ACS URL :http://www.acs.com:80/acs

ACS information is set by :user

ACS username :newname

Connection status :disconnected

Data transfer status :none

Time of last successful connection :none

Interval upon to next connection :1096832s

表47 display cwmp status命令显示信息描述表

字段	描述
CWMP is disabled	当前没有使能CWMP功能
CWMP is enabled.	CWMP当前处于使能状态
ACS URL	ACS的URL，没有配置时显示为null
ACS information is set by	CWMP得到ACS URL的方式，没有配置ACS URL时显示为none · user表示ACS URL为命令行配置 · config file表示ACS URL为ACS配置 · DHCP表示ACS URL为DHCP配置
ACS username	连接到ACS的认证用户名，没有配置时显示为空
Connection status	连接状态，包含： · connected表示连接已建立 · disconnected表示没有建立连接 · waiting response表示正在等待响应报文
Data transfer status	数据传输的状态，包含： · uploading表示正在上传数据 · downloading表示正在下载数据 · none表示没有数据在传输
Time of last successful connection	最近一次成功连接的时间，最近没有成功连接时显示为none
Intervel upon to next connection	距离下一次发起连接的时间，单位为秒。如果没有配置周期或定期发送Inform报文时则显示为none

12.5.17 ssl client-policy

【命令】

ssl client-policy policy-name

undo ssl client-policy

【视图】

CWMP视图

【缺省级别】

2：系统级

【参数】

policy-name：SSL客户端策略名，为1～16个字符的字符串，不区分大小写。

【描述】

ssl client-policy命令用来配置CWMP引用的SSL客户端策略。undo ssl client-policy命令用来删除对该SSL客户端策略的引用。

缺省情况下，CWMP没有引用SSL客户端策略。

CWMP是基于HTTP/HTTPS协议的，CWMP报文作为HTTP/HTTPS报文的数据部分封装在HTTP/HTTPS报文中。如果ACS的URL以http://开头，则使用HTTP协议，如果ACS的URL以https://开头，则使用HTTPS协议。使用HTTPS协议时，为了对ACS身份进行认证，需要配置CWMP引用的SSL客户端策略。关于SSL客户端策略的详细介绍和配置请参见“安全配置指导”中的“SSL”。

【举例】

# 设置CWMP引用的SSL客户端策略为test。

<Sysname> system

[Sysname] cwmp

[Sysname-cwmp] ssl client-policy test

13 新增特性—RRPP

本系列设备暂不支持配置为RRPP环上的主节点。

13.1 RRPP简介

RRPP（Rapid Ring Protection Protocol，快速环网保护协议）是一个专门应用于以太网环的链路层协议。它在以太网环完整时能够防止数据环路引起的广播风暴，而当以太网环上一条链路断开时能迅速恢复环网上各个节点之间的通信通路，具备较高的收敛速度。

13.1.1 RRPP产生背景

城域网和企业网大多采用环网来构建以提供高可靠性，但环上任意一个节点发生故障都会影响业务。环网采用的技术一般是RPR或以太网环。RPR需要专用硬件，因此成本较高。而以太网环技术日趋成熟且成本低廉，城域网和企业网采用以太网环的趋势越来越明显。

目前，解决二层网络环路问题的技术有STP和RRPP。STP应用比较成熟，但收敛时间在秒级。RRPP是专门应用于以太网环的链路层协议，具有比STP更快的收敛速度。并且RRPP的收敛时间与环网上节点数无关，可应用于网络直径较大的网络。

13.1.2 RRPP基本概念

图36 RRPP组网示意图

1.RRPP域

具有相同的域ID和控制VLAN，并且相互连通的设备构成一个RRPP域。一个RRPP域具有RRPP主环、子环、控制VLAN、主节点、传输节点、主端口和副端口、公共端口和边缘端口等要素。

如图36所示，Domain 1就是一个RRPP域，它包含了两个RRPP环Ring 1和Ring 2，RRPP环上的所有节点属于这个RRPP域。

2.RRPP环

一个环形连接的以太网网络拓扑称为一个RRPP环。RRPP环分为主环和子环，环的角色可以通过指定RRPP环的级别来设定，主环的级别为0，子环的级别为1。一个RRPP域可以包含一个或多个RRPP环，但只能有一个主环，其它均为子环。

RRPP环的状态有以下两种：

· 健康状态：整个环网物理链路是连通的；

· 断裂状态：环网中某处物理链路断开。

如图36所示，RRPP域Domain 1中包含了两个RRPP环Ring 1和Ring 2。Ring 1和Ring 2的级别分别配置为0和1，则Ring 1为主环，Ring 2为子环。

3.控制VLAN和数据VLAN

控制VLAN和数据VLAN是相对而言的：

(1) 控制VLAN

控制VLAN用来传递RRPP协议报文。设备上接入RRPP环的端口都属于控制VLAN，且只有接入RRPP环的端口可加入此VLAN。

每个RRPP域都有两个控制VLAN：主控制VLAN和子控制VLAN。主环的控制VLAN称为主控制VLAN，子环的控制VLAN称为子控制VLAN。配置时只需指定主控制VLAN，系统会自动把比主控制VLAN的VLAN ID值大1的VLAN作为子控制VLAN。

同一个RRPP域中所有子环的控制VLAN都相同，且主控制VLAN和子控制VLAN的接口上都不允许配置IP地址。

(2) 数据VLAN

与控制VLAN相对，数据VLAN用来传输数据报文。数据VLAN中既可包含RRPP端口，也可包含非RRPP端口。

4.节点

RRPP环上的每台设备都称为一个节点。节点角色由用户的配置来决定，分为下列几种：

· 主节点：每个环上有且仅有一个主节点。主节点是环网状态主动检测机制的发起者，也是网络拓扑发生改变后执行操作的决策者。

· 传输节点：主环上除主节点以外的其它所有节点，以及子环上除主节点、子环与主环相交节点以外的其它所有节点都为传输节点。传输节点负责监测自己的直连RRPP链路的状态，并把链路变化通知主节点，然后由主节点来决策如何处理。

· 边缘节点：同时位于主环和子环上的节点，是一种特殊的传输节点。它在主环上是传输节点，而在子环上则是边缘节点。

· 辅助边缘节点：同时位于主环和子环上的节点，也是一种特殊的传输节点。它在主环上是传输节点，而在子环上则是辅助边缘节点。辅助边缘节点与边缘节点成对使用，用于检测主环完整性和进行环路预防。

如图36所示，Ring 1为主环，Ring 2为子环。Device A为Ring 1的主节点，Device B、Device C和Device D为Ring 1的传输节点；Device E为Ring 2的主节点，Device B为Ring 2的边缘节点，Device C为Ring 2的辅助边缘节点。

5.主端口和副端口

主节点和传输节点各自有两个端口接入RRPP环，其中一个为主端口，另一个为副端口。端口的角色由用户的配置来决定。

(1) 主节点的主端口和副端口在功能上有所区别：

· 主节点的主端口用来发送探测环路的报文，副端口用来接收该报文。

· 当RRPP环处于健康状态时，主节点的副端口在逻辑上阻塞数据VLAN，只允许控制VLAN的报文通过；当RRPP环处于断裂状态时，主节点的副端口将解除数据VLAN的阻塞状态，转发数据VLAN的报文。

(2) 传输节点的主端口和副端口在功能上没有区别，都用于RRPP环上协议报文和数据报文的传输。

如图36所示，Device A为Ring 1的主节点，Port 1和Port 2分别为其在Ring 1上的主端口与副端口；Device B、Device C和Device D为Ring 1的传输节点，它们各自的Port 1和Port 2分别为本节点在Ring 1上的主端口和副端口。

6.公共端口和边缘端口

公共端口是边缘节点和辅助边缘节点上接入主环的端口，即边缘节点和辅助边缘节点分别在主环上配置的两个端口。边缘端口是边缘节点和辅助边缘节点上只接入子环的端口。

端口的角色由用户的配置决定。如图36所示，Device B、Device C同时位于Ring 1和Ring 2上，Device B和Device C各自的端口Port 1和Port 2是接入主环的端口，因此是公共端口。Device B和Device C各自的Port 3只接入子环，因此是边缘端口。

7.RRPP环组

RRPP环组是为减少Edge-Hello报文（关于此报文的介绍请参见“13.1.3 RRPP协议报文”）的收发数量，在边缘节点或辅助边缘节点上配置的一组子环的集合。这些子环的边缘节点都配置在同一台设备上，同样辅助边缘节点也都配置在同一台设备上。而且边缘节点或辅助边缘节点所在子环对应的主环链路相同，也就是说这些子环边缘节点的Edge-Hello报文都走相同的路径到达辅助边缘节点。

在边缘节点上配置的环组称为边缘节点环组，在辅助边缘节点上配置的环组称为辅助边缘节点环组。边缘节点环组内最多允许有一个子环发送Edge-Hello报文。

13.1.3 RRPP协议报文

RRPP协议报文的类型及其作用如表48所示。

表48 RRPP报文类型及其作用

报文类型	说明
Hello	由主节点发起，对网络进行环路完整性检测
Link-Down	由传输节点、边缘节点或者辅助边缘节点发起，在这些节点的自身链路down时通知主节点环路消失
Common-Flush-FDB	由主节点发起，FDB是Forwarding Database的缩写，在RRPP环迁移到断裂状态时通知传输节点更新各自MAC表项和ARP/ND表项
Complete-Flush-FDB	由主节点发起，在RRPP环迁移到健康状态时通知传输节点更新各自MAC表项和ARP/ND表项，同时通知传输节点解除临时阻塞端口的阻塞状态
Edge-Hello	由边缘节点发起，对边缘节点与辅助边缘节点之间的主环链路进行检测
Major-Fault	由辅助边缘节点发起，在边缘节点和辅助边缘节点之间主环链路不连通时通知边缘节点主环链路故障

子环的协议报文在主环中被当作数据报文传送，而主环的协议报文则只能在主环中传送。

13.1.4 RRPP定时器

RRPP在检测以太网环的链路状况时，主节点根据Hello定时器从主端口发送Hello报文，根据Fail定时器判断副端口是否收到Hello报文。

· Hello定时器：规定了主节点从主端口发送Hello报文的周期。

· Fail定时器：规定了主节点从主端口发出Hello报文到副端口收到该报文的最大时延。在该定时器超时前，若主节点在副端口上收到了自己从主端口发出的Hello报文，主节点认为环网处于健康状态；否则，主节点认为环网处于断裂状态。

在同一RRPP域中，传输节点会通过收到的Hello报文来学习主节点上Hello定时器和Fail定时器的值，以保证环网上各节点定时器的值是一致的。

13.1.5 RRPP运行机制

1.轮询机制

轮询机制是RRPP环的主节点主动检测环网健康状态的机制。

主节点周期性地从其主端口发送Hello报文，依次经过各传输节点在环上传播。如果环路是健康的，主节点的副端口将在定时器超时前收到Hello报文，主节点将保持副端口的阻塞状态。如果环路是断裂的，主节点的副端口在定时器超时前无法收到Hello报文，主节点将解除数据VLAN在副端口的阻塞状态，同时发送Common-Flush-FDB报文通知所有传输节点，使其更新各自的MAC表项和ARP/ND表项。

2.链路down告警机制

当传输节点、边缘节点或者辅助边缘节点发现自己任何一个属于RRPP域的端口down时，都会立刻发送Link-Down报文给主节点。主节点收到Link-Down报文后立刻解除数据VLAN在其副端口的阻塞状态，并发送Common-Flush-FDB报文通知所有传输节点、边缘节点和辅助边缘节点，使其更新各自的MAC表项和ARP/ND表项。各节点更新表项后，数据流则切换到正常的链路上。

3.环路恢复

传输节点、边缘节点或者辅助边缘节点上属于RRPP域的端口重新up后，主节点可能会隔一段时间才能发现环路恢复。这段时间对于数据VLAN来说，网络有可能形成一个临时的环路，从而产生广播风暴。

为了防止产生临时环路，非主节点在发现自己接入环网的端口重新up后，立即将其临时阻塞（只允许控制VLAN的报文通过），在确信不会引起环路后，才解除该端口的阻塞状态。

4.主环链路down，多归属子环广播风暴抑制机制

如图40所示，假设Ring 1为主环，Ring 2和Ring 3为子环。当边缘节点和辅助边缘节点之间的两条主环链路均处于down状态时，子环Ring 2和Ring 3的主节点会放开各自的副端口，导致Device B、Device C、Device E和Device F之间形成环路，从而产生广播风暴。

为了防止该环路的产生，在此种情况下边缘节点会临时阻塞边缘端口，在确信不会引起环路后，才解除该边缘端口的阻塞状态。

5.负载分担机制

在同一个环网中，可能同时存在多个VLAN的数据流量，RRPP可以实现流量的负载分担，即不同VLAN的流量沿不同的路径进行转发。

通过在同一个环网上配置多个RRPP域，不同RRPP域发送不同VLAN（称为保护VLAN）的流量，实现不同VLAN的数据流量在该环网中的拓扑不同，从而达到负载分担的目的。

如图41所示，Domain 1和Domain 2都配置Ring 1为主环，两个RRPP域所保护的VLAN不同。Device A为Domain 1中Ring 1的主节点；Device B为Domain 2中Ring 1的主节点。通过配置，可以实现不同VLAN分别阻塞不同的链路，从而实现单环的负载分担。

6.环组机制

在边缘节点配置的RRPP环组内，只有域ID和环ID最小的激活子环才发送Edge-Hello报文。在辅助边缘节点环组内，任意激活子环收到Edge-Hello报文会通知给其它激活子环。这样在边缘节点/辅助边缘节点上分别对应配置RRPP环组后，只有一个子环发送/接收Edge-Hello报文，减少了对设备CPU的冲击。

如图40所示，Device B和Device C分别为Ring 2和Ring 3的边缘节点和辅助边缘节点。Device B和Device C都需要频繁收发Edge-Hello报文（若配置更多子环或多个域负载分担的情况，将会收发大量的Edge-Hello报文）。为减少Edge-Hello报文的收发数量，将边缘节点Device B上的Ring 2和Ring 3配置到一个环组，而将辅助边缘节点Device C上的Ring 2和Ring 3也配置到一个环组。这样在各环都激活的情况下，就只有Device B上的Ring 2发送Edge-Hello报文了。

13.1.6 RRPP典型组网

RRPP的正常运行依赖于用户正确的配置。下面介绍几种典型的组网。

1.单环

如图37所示，网络拓扑中只有一个环，此时只需定义一个RRPP域。

图37 单环示意图

2.相切环

如图38所示，网络拓扑中有两个或两个以上的环，各环之间只有一个公共节点，此时需针对每个环单独定义一个RRPP域。

图38 相切环示意图

3.相交环

如图39所示，网络拓扑中有两个或两个以上的环，各环之间有两个公共节点，此时只需定义一个RRPP域，选择其中一个环为主环，其它环为子环。

图39 相交环示意图

4.双归属环

如图40所示，网络拓扑中有两个或两个以上的环，各环之间有两个公共节点，且这两个公共节点都相同，此时可以只定义一个RRPP域，选择其中一个环为主环，其它环为子环。

图40 双归属环示意图

5.单环负载分担组网

在单环网络拓扑中，可以通过配置多域实现链路的负载分担。

如图41所示，Domain 1和Domain 2都配置Ring 1为主环，两个域所保护的VLAN不同。Device A为Domain 1中Ring 1的主节点；Device B为Domain 2中Ring 1的主节点。通过配置，可以实现不同VLAN分别阻塞不同的链路，从而实现单环的负载分担。

图41 单环负载分担组网示意图

6.相交环负载分担组网

在相交环网络拓扑中，也可以通过配置多域实现链路的负载分担。

如图42所示，Domain 1和Domain 2都配置Ring 1和Ring 2分别为其主环和子环，两个域所保护的VLAN不同。Device A为Domain 1中Ring 1的主节点；Device D为Domain 2中Ring 1的主节点；Device E分别为Domain 1和Domain 2中子环Ring 2的主节点，但阻塞的端口不同。通过配置，可以实现不同VLAN的流量分别在子环和主环通过不同的链路，从而实现相交环的负载分担。

图42 相交环负载分担组网示意图

13.1.7 协议规范

与RRPP相关的协议规范有：

· RFC 3619：Extreme Networks' Ethernet Automatic Protection Switching (EAPS) Version 1

13.2 RRPP配置任务简介

用户可以根据业务规划情况先划分出RRPP域，再确定各RRPP域的控制VLAN和数据VLAN，然后根据流量路径确定每个RRPP域内的环以及环上的节点角色。

表49 RRPP配置任务简介

配置任务		说明	详细配置
创建RRPP域		必选请在RRPP域内的所有节点上配置	13.3
配置控制VLAN		必选请在RRPP域内的所有节点上配置	13.4
配置保护VLAN		必选请在RRPP域内的所有节点上配置	13.5
配置RRPP环	配置RRPP端口	必选请在RRPP域内的所有节点上配置	13.6.1
配置RRPP环	配置RRPP节点	必选请在RRPP域内的所有节点上配置	13.6.2
激活RRPP域		必选请在RRPP域内的所有节点上配置	13.7
配置RRPP环组		可选请在RRPP域内的边缘节点和辅助边缘节点上配置	13.8

· 由于RRPP没有自动选举机制，只有当环网中各节点的配置都正确时，才能真正实现环网的检测和保护，因此请保证配置的准确性。

· 配置RRPP之前，需先搭建好以太网环形拓扑的组网环境。

13.3 创建RRPP域

创建RRPP域时需要指定域ID，域ID用来唯一标识一个RRPP域，在同一RRPP域内的所有节点上应配置相同的域ID。

请在欲指定为RRPP节点的设备上进行如下配置。

表50 创建RRPP域

操作	命令	说明
进入系统视图	system-view	-
创建RRPP域，并进入RRPP域视图	rrpp domain domain-id	必选

13.4 配置控制VLAN

配置RRPP环之前必须先配置控制VLAN，在同一RRPP域内的所有节点上应配置相同的控制VLAN。

请在RRPP域内的所有节点上进行如下配置。

表51 配置控制VLAN

操作	命令	说明
进入系统视图	system-view	-
进入RRPP域视图	rrpp domain domain-id	-
指定RRPP域的控制VLAN	control-vlan vlan-id	必选

· 只能将尚未创建的VLAN指定为控制VLAN，否则系统将提示出错。

· 控制VLAN内不能运行QinQ功能，否则RRPP协议报文不能进行正常转发。

· 不要将接入RRPP环的端口的缺省VLAN设置为控制VLAN或子控制VLAN，以免影响协议报文正常收发。

· 如果要在一台未配置RRPP功能的设备上透传RRPP协议报文，应保证该设备上只有接入RRPP环的那两个端口允许该RRPP环所对应控制VLAN的报文通过，而其它端口都不允许其通过；否则，其它VLAN的报文可能通过透传进入控制VLAN，从而对RRPP环产生冲击。

13.5 配置保护VLAN

配置RRPP环之前必须先配置保护VLAN，RRPP端口允许通过的VLAN都应该被RRPP域保护，在同一RRPP域内的所有节点上应配置相同的保护VLAN。

请在RRPP域内的所有节点上进行如下配置。

表52 配置保护VLAN

操作	命令	说明
进入系统视图	system-view	-
进入RRPP域视图	rrpp domain domain-id	-
配置RRPP域的保护VLAN	protected-vlan reference-instance instance-id-list	必选缺省情况下，RRPP域不保护任何VLAN

在配置负载分担时，不同RRPP域的保护VLAN必须不同。

13.6 配置RRPP环

配置RRPP环时，首先要对各节点上欲接入RRPP环的端口（简称RRPP端口）进行必要的配置，然后再配置RRPP环上的各节点。

· RRPP端口只能是二层以太网端口或二层聚合端口，但当上述端口是二层聚合组或Smart Link组的成员端口时除外。

· 当把二层聚合端口配置为RRPP端口后，仍可添加或删除对应聚合组中的成员端口。

13.6.1 配置RRPP端口

请在各节点欲接入RRPP环的端口上进行如下配置。

表53 配置RRPP端口

操作	命令	说明
进入系统视图	system-view	-
进入端口视图	interface interface-type interface-number	-
配置端口的链路类型为Trunk类型	port link-type trunk	必选缺省情况下，端口的链路类型为Access类型
配置Trunk端口允许保护VLAN的报文通过	port trunk permit vlan { vlan-id-list \| all }	必选缺省情况下，端口仅允许设备缺省VLAN的报文通过
关闭STP功能	undo stp enable	必选缺省情况下，端口的STP功能处于开启状态
配置端口信认报文的802.1p优先级	qos trust dot1p	必选缺省情况下，信任模式为信任接收端口的优先级。

· 由于RRPP端口将自动允许控制VLAN的报文通过，因此无需配置RRPP端口允许控制VLAN的报文通过。

· 有关port link-type trunk和port trunk permit vlan { vlan-id-list | all }命令的详细介绍，请参见“二层技术-以太网交换命令参考”中的“VLAN配置命令”。

· 有关undo stp enable命令的详细介绍，请参见“二层技术-以太网交换命令参考”中的“MSTP配置命令”。

· 必须配置RRPP端口信认报文的802.1p优先级，以确保端口对RRPP协议报文的处理优先于数据报文。有关qos trust dot1p命令的详细介绍，请参见“ACL和QoS命令参考”中的“优先级映射配置命令”。

· 接入RRPP环的端口不能配置为镜像组的目的端口。

· 不建议在RRPP端口上启用OAM远端环回功能，否则可能引起短时间的广播风暴。

· 建议在RRPP端口上不要配置端口的物理连接状态up/down抑制时间，以提高RRPP的拓扑变化收敛速度，具体请参见“二层技术-以太网交换命令参考/以太网端口配置命令”中的undo link-delay命令。

13.6.2 配置RRPP节点

· 在一台设备的全部RRPP域中可配置的总环数不大于16个。

· 如果一台设备处于同一RRPP域的多个RRPP环上，则只能有一个主环，且该设备在其它子环上的节点角色只能是边缘节点或辅助边缘节点。

1.配置主节点

请选择H3C其它系列设备配置为主节点，具体配置方法请参见所选设备配套手册。

2.配置传输节点

请在欲配置为传输节点的设备上进行如下配置。

表54 配置传输节点

操作	命令	说明
进入系统视图	system-view	-
进入RRPP域视图	rrpp domain domain-id	-
指定当前设备为传输节点，并指定主端口和副端口	ring ring-id node-mode transit [ primary-port interface-type interface-number ] [ secondary-port interface-type interface-number ] level level-value	必选

3.配置边缘节点

在配置边缘节点时，必须先配置主环再配置子环。

请在欲配置为边缘节点的设备上进行如下配置。

表55 配置边缘节点

操作	命令	说明
进入系统视图	system-view	-
进入RRPP域视图	rrpp domain domain-id	-
指定当前设备为主环的传输节点，并指定主端口和副端口	ring ring-id node-mode transit [ primary-port interface-type interface-number ] [ secondary-port interface-type interface-number ] level level-value	必选
指定当前设备为子环的边缘节点，并指定边缘端口	ring ring-id node-mode edge [ edge-port interface-type interface-number ]	必选

4.配置辅助边缘节点

在配置辅助边缘节点时，必须先配置主环再配置子环。

请在欲配置为辅助边缘节点的设备上进行如下配置。

表56 配置辅助边缘节点

操作	命令	说明
进入系统视图	system-view	-
进入RRPP域视图	rrpp domain domain-id	-
指定当前设备为主环的传输节点，并指定主端口和副端口	ring ring-id node-mode transit [ primary-port interface-type interface-number ] [ secondary-port interface-type interface-number ] level level-value	必选
指定当前设备为子环的辅助边缘节点，并指定边缘端口	ring ring-id node-mode assistant-edge [ edge-port interface-type interface-number ]	必选

13.7 激活RRPP域

只有当RRPP协议和RRPP环都使能之后，当前设备的RRPP域才能被激活。

请在RRPP域内的所有节点上进行如下配置。

表57 激活RRPP域

操作	命令	说明
进入系统视图	system-view	-
使能RRPP协议	rrpp enable	必选缺省情况下，RRPP协议处于关闭状态
进入RRPP域视图	rrpp domain domain-id	-
使能RRPP环	ring ring-id enable	必选缺省情况下，RRPP环处于关闭状态

· 为避免子环的Hello报文在主环上形成环路，在子环的主节点上使能子环之前，请先在主环的主节点上使能主环。在边缘节点和辅助边缘节点上，需对主环和子环分别进行操作：

· 使能子环前必须先使能主环；

· 关闭主环前必须先关闭其所在RRPP域内的所有子环。

13.8 配置RRPP环组

通过把具有相同边缘节点/辅助边缘节点配置的一组子环加入环组中，可以减少Edge-Hello报文的收发数量。环组应分别配置在边缘节点和辅助边缘节点上，且只能配置在这两种节点上。

请在RRPP域内的边缘节点和辅助边缘节点上进行如下配置。

表58 配置RRPP环组

操作	命令	说明
进入系统视图	system-view	-
创建RRPP环组，并进入RRPP环组视图	rrpp ring-group ring-group-id	必选
将子环加入RRPP环组	domain domain-id ring ring-id-list	必选

· 一个子环只能属于一个环组，且配置在边缘节点和辅助边缘节点上的环组中所包含的子环必须相同，否则环组不能正常工作。

· 加入环组的子环的边缘节点应配置在同一台设备上；同样地，辅助边缘节点也应配置在同一台设备上，而且边缘节点/辅助边缘节点所对应的主环链路应相同。

· 设备在一个环组内所有子环上应具有相同的类型：边缘节点或辅助边缘节点。

· 边缘节点环组及其对应的辅助边缘节点环组的配置和激活状态必须相同。

· 同一环组中的子环所对应主环的链路必须相同；若主环链路本身的配置就不同，或由于修改配置而导致不同，环组都将不能正常运行。

13.9 RRPP显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示配置后RRPP的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除RRPP报文统计信息。

表59 RRPP显示和维护

操作	命令
显示RRPP的摘要信息	display rrpp brief [ \| { begin \| exclude \| include } regular-expression ]
显示RRPP环组的配置信息	display rrpp ring-group [ ring-group-id ] [ \| { begin \| exclude \| include } regular-expression ]
显示RRPP的详细信息	display rrpp verbose domain domain-id [ ring ring-id ] [ \| { begin \| exclude \| include } regular-expression ]
显示RRPP报文的统计信息	display rrpp statistics domain domain-id [ ring ring-id ] [ \| { begin \| exclude \| include } regular-expression ]
清除RRPP报文的统计信息	reset rrpp statistics domain domain-id [ ring ring-id ] [ \| { begin \| exclude \| include } regular-expression ]

13.10 RRPP典型配置举例

本系列设备暂不支持配置为RRPP环上的主节点。所有配置举例中的主节点以H3C S5500-EI系列交换机为例进行介绍。

13.10.1 单环配置举例

1.组网需求

· Device A、Device B、Device C和Device D构成RRPP域1，该域的控制VLAN为VLAN 4092，保护VLAN为VLAN 1～30；

· Device A、Device B、Device C和Device D构成主环1；

· Device A为主环的主节点，GigabitEthernet1/0/1为主端口，GigabitEthernet1/0/2为副端口；

· Device B、Device C和Device D为主环的传输节点，各自的GigabitEthernet1/0/1为主端口，GigabitEthernet1/0/2为副端口。

2.组网图

图43 单环配置组网图

3.配置步骤

(1) 配置Device A

# 创建VLAN 1～30，将这些VLAN都映射到MSTP实例1上，并激活MST域的配置。

<DeviceA> system-view

[DeviceA] vlan 1 to 30

[DeviceA] stp region-configuration

[DeviceA-mst-region] instance 1 vlan 1 to 30

[DeviceA-mst-region] active region-configuration

[DeviceA-mst-region] quit

# 分别在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上取消物理连接状态up/down抑制时间配置，关闭STP功能，配置端口信任报文的802.1p优先级，并将端口配置为Trunk端口且允许VLAN 1～30通过。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] undo link-delay

[DeviceA-GigabitEthernet1/0/1] undo stp enable

[DeviceA-GigabitEthernet1/0/1] qos trust dot1p

[DeviceA-GigabitEthernet1/0/1] port link-type trunk

[DeviceA-GigabitEthernet1/0/1] port trunk permit vlan 1 to 30

[DeviceA-GigabitEthernet1/0/1] quit

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] undo link-delay

[DeviceA-GigabitEthernet1/0/2] undo stp enable

[DeviceA-GigabitEthernet1/0/2] qos trust dot1p

[DeviceA-GigabitEthernet1/0/2] port link-type trunk

[DeviceA-GigabitEthernet1/0/2] port trunk permit vlan 1 to 30

[DeviceA-GigabitEthernet1/0/2] quit

# 创建RRPP域1，将VLAN 4092配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceA] rrpp domain 1

[DeviceA-rrpp-domain1] control-vlan 4092

[DeviceA-rrpp-domain1] protected-vlan reference-instance 1

# 配置本设备为主环1的主节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceA-rrpp-domain1] ring 1 node-mode master primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceA-rrpp-domain1] ring 1 enable

[DeviceA-rrpp-domain1] quit

# 使能RRPP协议。

[DeviceA] rrpp enable

(2) 配置Device B

# 创建VLAN 1～30，将这些VLAN都映射到MSTP实例1上，并激活MST域的配置。

<DeviceB> system-view

[DeviceB] vlan 1 to 30

[DeviceB] stp region-configuration

[DeviceB-mst-region] instance 1 vlan 1 to 30

[DeviceB-mst-region] active region-configuration

[DeviceB-mst-region] quit

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] undo link-delay

[DeviceB-GigabitEthernet1/0/1] undo stp enable

[DeviceB-GigabitEthernet1/0/1] qos trust dot1p

[DeviceB-GigabitEthernet1/0/1] port link-type trunk

[DeviceB-GigabitEthernet1/0/1] port trunk permit vlan 1 to 30

[DeviceB-GigabitEthernet1/0/1] quit

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] undo link-delay

[DeviceB-GigabitEthernet1/0/2] undo stp enable

[DeviceB-GigabitEthernet1/0/2] qos trust dot1p

[DeviceB-GigabitEthernet1/0/2] port link-type trunk

[DeviceB-GigabitEthernet1/0/2] port trunk permit vlan 1 to 30

[DeviceB-GigabitEthernet1/0/2] quit

# 创建RRPP域1，将VLAN 4092配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceB] rrpp domain 1

[DeviceB-rrpp-domain1] control-vlan 4092

[DeviceB-rrpp-domain1] protected-vlan reference-instance 1

# 配置本设备为主环1的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceB-rrpp-domain1] ring 1 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceB-rrpp-domain1] ring 1 enable

[DeviceB-rrpp-domain1] quit

# 使能RRPP协议。

[DeviceB] rrpp enable

(3) 配置Device C

Device C的配置与Device B相似，配置过程略。

(4) 配置Device D

Device D的配置与Device B相似，配置过程略。

(5) 检验配置效果

配置完成后，用户可以使用display命令查看各设备上RRPP的配置和运行情况。

13.10.2 相交环配置举例

1.组网需求

· Device A、Device B、Device C、Device D和Device E构成RRPP域1，该域的控制VLAN为VLAN 4092，保护VLAN为VLAN1～30；

· Device A、Device B、Device C和Device D构成主环1，Device B、Device C和Device E构成子环2；

· Device A为主环的主节点，GigabitEthernet1/0/1为主端口，GigabitEthernet1/0/2为副端口；

· Device E为子环的主节点，GigabitEthernet1/0/1为主端口，GigabitEthernet1/0/2为副端口；

· Device B为主环的传输节点和子环的边缘节点，GigabitEthernet1/0/3为边缘端口；

· Device C为主环的传输节点和子环的辅助边缘节点，GigabitEthernet1/0/3为边缘端口；

· Device D为主环的传输节点，GigabitEthernet1/0/1为主端口，GigabitEthernet1/0/2为副端口。

2.组网图

图44 相交环配置组网图

3.配置步骤

(1) 配置Device A

# 创建VLAN 1～30，将这些VLAN都映射到MSTP实例1上，并激活MST域的配置。

<DeviceA> system-view

[DeviceA] vlan 1 to 30

[DeviceA] stp region-configuration

[DeviceA-mst-region] instance 1 vlan 1 to 30

[DeviceA-mst-region] active region-configuration

[DeviceA-mst-region] quit

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] undo link-delay

[DeviceA-GigabitEthernet1/0/1] undo stp enable

[DeviceA-GigabitEthernet1/0/1] qos trust dot1p

[DeviceA-GigabitEthernet1/0/1] port link-type trunk

[DeviceA-GigabitEthernet1/0/1] port trunk permit vlan 1 to 30

[DeviceA-GigabitEthernet1/0/1] quit

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] undo link-delay

[DeviceA-GigabitEthernet1/0/2] undo stp enable

[DeviceA-GigabitEthernet1/0/2] qos trust dot1p

[DeviceA-GigabitEthernet1/0/2] port link-type trunk

[DeviceA-GigabitEthernet1/0/2] port trunk permit vlan 1 to 30

[DeviceA-GigabitEthernet1/0/2] quit

# 创建RRPP域1，将VLAN 4092配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceA] rrpp domain 1

[DeviceA-rrpp-domain1] control-vlan 4092

[DeviceA-rrpp-domain1] protected-vlan reference-instance 1

# 配置本设备为主环1的主节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceA-rrpp-domain1] ring 1 node-mode master primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceA-rrpp-domain1] ring 1 enable

[DeviceA-rrpp-domain1] quit

# 使能RRPP协议。

[DeviceA] rrpp enable

(2) 配置Device B

# 创建VLAN 1～30，将这些VLAN都映射到MSTP实例1上，并激活MST域的配置。

<DeviceB> system-view

[DeviceB] vlan 1 to 30

[DeviceB] stp region-configuration

[DeviceB-mst-region] instance 1 vlan 1 to 30

[DeviceB-mst-region] active region-configuration

[DeviceB-mst-region] quit

# 分别在端口GigabitEthernet1/0/1、GigabitEthernet1/0/2和GigabitEthernet1/0/3上取消物理连接状态up/down抑制时间配置，关闭STP功能，配置端口信任报文的802.1p优先级，并将端口配置为Trunk端口且允许VLAN 1～30通过。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] undo link-delay

[DeviceB-GigabitEthernet1/0/1] undo stp enable

[DeviceB-GigabitEthernet1/0/1] qos trust dot1p

[DeviceB-GigabitEthernet1/0/1] port link-type trunk

[DeviceB-GigabitEthernet1/0/1] port trunk permit vlan 1 to 30

[DeviceB-GigabitEthernet1/0/1] quit

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] undo link-delay

[DeviceB-GigabitEthernet1/0/2] undo stp enable

[DeviceB-GigabitEthernet1/0/2] qos trust dot1p

[DeviceB-GigabitEthernet1/0/2] port link-type trunk

[DeviceB-GigabitEthernet1/0/2] port trunk permit vlan 1 to 30

[DeviceB-GigabitEthernet1/0/2] quit

[DeviceB] interface gigabitethernet 1/0/3

[DeviceB-GigabitEthernet1/0/3] undo link-delay

[DeviceB-GigabitEthernet1/0/3] undo stp enable

[DeviceB-GigabitEthernet1/0/3] qos trust dot1p

[DeviceB-GigabitEthernet1/0/3] port link-type trunk

[DeviceB-GigabitEthernet1/0/3] port trunk permit vlan 1 to 30

[DeviceB-GigabitEthernet1/0/3] quit

# 创建RRPP域1，将VLAN 4092配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceB] rrpp domain 1

[DeviceB-rrpp-domain1] control-vlan 4092

[DeviceB-rrpp-domain1] protected-vlan reference-instance 1

# 配置本设备为主环1的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceB-rrpp-domain1] ring 1 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceB-rrpp-domain1] ring 1 enable

# 配置本设备为子环2的边缘节点，边缘端口为GigabitEthernet1/0/3，并使能该环。

[DeviceB-rrpp-domain1] ring 2 node-mode edge edge-port gigabitethernet 1/0/3

[DeviceB-rrpp-domain1] ring 2 enable

[DeviceB-rrpp-domain1] quit

# 使能RRPP协议。

[DeviceB] rrpp enable

(3) 配置Device C

# 创建VLAN 1～30，将这些VLAN都映射到MSTP实例1上，并激活MST域的配置。

<DeviceC> system-view

[DeviceC] vlan 1 to 30

[DeviceC] stp region-configuration

[DeviceC-mst-region] instance 1 vlan 1 to 30

[DeviceC-mst-region] active region-configuration

[DeviceC-mst-region] quit

[DeviceC] interface gigabitethernet 1/0/1

[DeviceC-GigabitEthernet1/0/1] undo link-delay

[DeviceC-GigabitEthernet1/0/1] undo stp enable

[DeviceC-GigabitEthernet1/0/1] qos trust dot1p

[DeviceC-GigabitEthernet1/0/1] port link-type trunk

[DeviceC-GigabitEthernet1/0/1] port trunk permit vlan 1 to 30

[DeviceC-GigabitEthernet1/0/1] quit

[DeviceC] interface gigabitethernet 1/0/2

[DeviceC-GigabitEthernet1/0/2] undo link-delay

[DeviceC-GigabitEthernet1/0/2] undo stp enable

[DeviceC-GigabitEthernet1/0/2] qos trust dot1p

[DeviceC-GigabitEthernet1/0/2] port link-type trunk

[DeviceC-GigabitEthernet1/0/2] port trunk permit vlan 1 to 30

[DeviceC-GigabitEthernet1/0/2] quit

[DeviceC] interface gigabitethernet 1/0/3

[DeviceC-GigabitEthernet1/0/3] undo link-delay

[DeviceC-GigabitEthernet1/0/3] undo stp enable

[DeviceC-GigabitEthernet1/0/3] qos trust dot1p

[DeviceC-GigabitEthernet1/0/3] port link-type trunk

[DeviceC-GigabitEthernet1/0/3] port trunk permit vlan 1 to 30

[DeviceC-GigabitEthernet1/0/3] quit

# 创建RRPP域1，将VLAN 4092配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceC] rrpp domain 1

[DeviceC-rrpp-domain1] control-vlan 4092

[DeviceC-rrpp-domain1] protected-vlan reference-instance 1

# 配置本设备为主环1的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceC-rrpp-domain1] ring 1 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceC-rrpp-domain1] ring 1 enable

# 配置本设备为子环2的辅助边缘节点，边缘端口为GigabitEthernet1/0/3，并使能该环。

[DeviceC-rrpp-domain1] ring 2 node-mode assistant-edge edge-port gigabitethernet 1/0/3

[DeviceC-rrpp-domain1] ring 2 enable

[DeviceC-rrpp-domain1] quit

# 使能RRPP协议。

[DeviceC] rrpp enable

(4) 配置Device D

# 创建VLAN 1～30，将这些VLAN都映射到MSTP实例1上，并激活MST域的配置。

<DeviceD> system-view

[DeviceD] vlan 1 to 30

[DeviceD] stp region-configuration

[DeviceD-mst-region] instance 1 vlan 1 to 30

[DeviceD-mst-region] active region-configuration

[DeviceD-mst-region] quit

[DeviceD] interface gigabitethernet 1/0/1

[DeviceD-GigabitEthernet1/0/1] undo link-delay

[DeviceD-GigabitEthernet1/0/1] undo stp enable

[DeviceD-GigabitEthernet1/0/1] qos trust dot1p

[DeviceD-GigabitEthernet1/0/1] port link-type trunk

[DeviceD-GigabitEthernet1/0/1] port trunk permit vlan 1 to 30

[DeviceD-GigabitEthernet1/0/1] quit

[DeviceD] interface gigabitethernet 1/0/2

[DeviceD-GigabitEthernet1/0/2] undo link-delay

[DeviceD-GigabitEthernet1/0/2] undo stp enable

[DeviceD-GigabitEthernet1/0/2] qos trust dot1p

[DeviceD-GigabitEthernet1/0/2] port link-type trunk

[DeviceD-GigabitEthernet1/0/2] port trunk permit vlan 1 to 30

[DeviceD-GigabitEthernet1/0/2] quit

# 创建RRPP域1，将VLAN 4092配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceD] rrpp domain 1

[DeviceD-rrpp-domain1] control-vlan 4092

[DeviceD-rrpp-domain1] protected-vlan reference-instance 1

# 配置本设备为主环1的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceD-rrpp-domain1] ring 1 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceD-rrpp-domain1] ring 1 enable

[DeviceD-rrpp-domain1] quit

# 使能RRPP协议。

[DeviceD] rrpp enable

(5) 配置Device E

# 创建VLAN 1～30，将这些VLAN都映射到MSTP实例1上，并激活MST域的配置。

<DeviceE> system-view

[DeviceE] vlan 1 to 30

[DeviceE] stp region-configuration

[DeviceE-mst-region] instance 1 vlan 1 to 30

[DeviceE-mst-region] active region-configuration

[DeviceE-mst-region] quit

[DeviceE] interface gigabitethernet 1/0/1

[DeviceE-GigabitEthernet1/0/1] undo link-delay

[DeviceE-GigabitEthernet1/0/1] undo stp enable

[DeviceE-GigabitEthernet1/0/1] qos trust dot1p

[DeviceE-GigabitEthernet1/0/1] port link-type trunk

[DeviceE-GigabitEthernet1/0/1] port trunk permit vlan 1 to 30

[DeviceE-GigabitEthernet1/0/1] quit

[DeviceE] interface gigabitethernet 1/0/2

[DeviceE-GigabitEthernet1/0/2] undo link-delay

[DeviceE-GigabitEthernet1/0/2] undo stp enable

[DeviceE-GigabitEthernet1/0/2] qos trust dot1p

[DeviceE-GigabitEthernet1/0/2] port link-type trunk

[DeviceE-GigabitEthernet1/0/2] port trunk permit vlan 1 to 30

[DeviceE-GigabitEthernet1/0/2] quit

# 创建RRPP域1，将VLAN 4092配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceE] rrpp domain 1

[DeviceE-rrpp-domain1] control-vlan 4092

[DeviceE-rrpp-domain1] protected-vlan reference-instance 1

# 配置本设备为子环2的主节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceE-rrpp-domain1] ring 2 node-mode master primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 1

[DeviceE-rrpp-domain1] ring 2 enable

[DeviceE-rrpp-domain1] quit

# 使能RRPP协议。

[DeviceE] rrpp enable

(6) 检验配置效果

配置完成后，用户可以使用display命令查看各设备上RRPP的配置和运行情况。

13.10.3 相交环负载分担配置举例

1.组网需求

· Device A、Device B、Device C、Device D和Device F构成RRPP域1，该域的控制VLAN为VLAN 100。在该域中，Device A为主环1的主节点，Device D为主环1的传输节点，Device F为子环3的主节点，Device C为子环3的边缘节点，Device B为子环3的辅助边缘节点。

· Device A、Device B、Device C、Device D和Device E构成RRPP域2，该域的控制VLAN为VLAN 105。在该域中，Device A为主环1的主节点，Device D为主环1的传输节点，Device E为子环2的主节点，Device C为子环2的边缘节点，Device B为子环2的辅助边缘节点。

· RRPP域1的保护VLAN为VLAN 1，RRPP域2的保护VLAN为VLAN 2。由此可以按照VLAN在主环上实现负载分担。

· 由于子环2和子环3的边缘节点和辅助边缘节点的配置一样，并且对应的主环链路也相同，因此可以将子环2和子环3加入环组，从而减少Edge-Hello报文的收发数量。

2.组网图

图45 相交环负载分担配置组网图

3.配置步骤

(1) 配置Device A

# 创建VLAN 1和2，将VLAN 1和VLAN 2分别映射到MSTP实例1和2上，并激活MST域的配置。

<DeviceA> system-view

[DeviceA] vlan 1 to 2

[DeviceA] stp region-configuration

[DeviceA-mst-region] instance 1 vlan 1

[DeviceA-mst-region] instance 2 vlan 2

[DeviceA-mst-region] active region-configuration

[DeviceA-mst-region] quit

# 分别在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上取消物理连接状态up/down抑制时间配置，关闭STP功能，配置端口信任报文的802.1p优先级，并将端口配置为Trunk端口且允许VLAN 1和2通过。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] undo link-delay

[DeviceA-GigabitEthernet1/0/1] undo stp enable

[DeviceA-GigabitEthernet1/0/1] qos trust dot1p

[DeviceA-GigabitEthernet1/0/1] port link-type trunk

[DeviceA-GigabitEthernet1/0/1] port trunk permit vlan 1 2

[DeviceA-GigabitEthernet1/0/1] quit

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] undo link-delay

[DeviceA-GigabitEthernet1/0/2] undo stp enable

[DeviceA-GigabitEthernet1/0/2] qos trust dot1p

[DeviceA-GigabitEthernet1/0/2] port link-type trunk

[DeviceA-GigabitEthernet1/0/2] port trunk permit vlan 1 2

[DeviceA-GigabitEthernet1/0/2] quit

# 创建RRPP域1，将VLAN 100配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceA] rrpp domain 1

[DeviceA-rrpp-domain1] control-vlan 100

[DeviceA-rrpp-domain1] protected-vlan reference-instance 1

# 在RRPP域1内配置本设备为主环1的主节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceA-rrpp-domain1] ring 1 node-mode master primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceA-rrpp-domain1] ring 1 enable

[DeviceA-rrpp-domain1] quit

# 创建RRPP域2，将VLAN 105配置为该域的控制VLAN，并将MSTP实例2所映射的VLAN配置为该域的保护VLAN。

[DeviceA] rrpp domain 2

[DeviceA-rrpp-domain2] control-vlan 105

[DeviceA-rrpp-domain2] protected-vlan reference-instance 2

# 在RRPP域2内配置本设备为主环1的主节点，主端口为GigabitEthernet1/0/2，副端口为GigabitEthernet1/0/1，并使能该环。

[DeviceA-rrpp-domain2] ring 1 node-mode master primary-port gigabitethernet 1/0/2 secondary-port gigabitethernet 1/0/1 level 0

[DeviceA-rrpp-domain2] ring 1 enable

[DeviceA-rrpp-domain2] quit

# 使能RRPP协议。

[DeviceA] rrpp enable

(2) 配置Device B

# 创建VLAN 1和2，将VLAN 1和2分别映射到MSTP实例1和2上，并激活MST域的配置。

<DeviceB> system-view

[DeviceB] vlan 1 to 2

[DeviceB] stp region-configuration

[DeviceB-mst-region] instance 1 vlan 1

[DeviceB-mst-region] instance 2 vlan 2

[DeviceB-mst-region] active region-configuration

[DeviceB-mst-region] quit

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] undo link-delay

[DeviceB-GigabitEthernet1/0/1] undo stp enable

[DeviceB-GigabitEthernet1/0/1] qos trust dot1p

[DeviceB-GigabitEthernet1/0/1] port link-type trunk

[DeviceB-GigabitEthernet1/0/1] port trunk permit vlan 1 2

[DeviceB-GigabitEthernet1/0/1] quit

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] undo link-delay

[DeviceB-GigabitEthernet1/0/2] undo stp enable

[DeviceB-GigabitEthernet1/0/2] qos trust dot1p

[DeviceB-GigabitEthernet1/0/2] port link-type trunk

[DeviceB-GigabitEthernet1/0/2] port trunk permit vlan 1 2

[DeviceB-GigabitEthernet1/0/2] quit

# 在端口GigabitEthernet1/0/3上取消物理连接状态up/down抑制时间配置，关闭STP功能，配置端口信任报文的802.1p优先级，并将端口配置为Trunk端口且允许VLAN 2通过。

[DeviceB] interface gigabitethernet 1/0/3

[DeviceB-GigabitEthernet1/0/3] undo link-delay

[DeviceB-GigabitEthernet1/0/3] undo stp enable

[DeviceB-GigabitEthernet1/0/3] qos trust dot1p

[DeviceB-GigabitEthernet1/0/3] port link-type trunk

[DeviceB-GigabitEthernet1/0/3] port trunk permit vlan 2

[DeviceB-GigabitEthernet1/0/3] quit

# 在端口GigabitEthernet1/0/4上取消物理连接状态up/down抑制时间配置，关闭STP功能，配置端口信任报文的802.1p优先级，并将端口配置为Trunk端口且允许VLAN 1通过。

[DeviceB] interface gigabitethernet 1/0/4

[DeviceB-GigabitEthernet1/0/4] undo link-delay

[DeviceB-GigabitEthernet1/0/4] undo stp enable

[DeviceB-GigabitEthernet1/0/4] qos trust dot1p

[DeviceB-GigabitEthernet1/0/4] port link-type trunk

[DeviceB-GigabitEthernet1/0/4] port trunk permit vlan 1

[DeviceB-GigabitEthernet1/0/4] quit

# 创建RRPP域1，将VLAN 100配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceB] rrpp domain 1

[DeviceB-rrpp-domain1] control-vlan 100

[DeviceB-rrpp-domain1] protected-vlan reference-instance 1

# 在RRPP域1内配置本设备为主环1的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceB-rrpp-domain1] ring 1 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceB-rrpp-domain1] ring 1 enable

# 在RRPP域1内配置本设备为子环3的辅助边缘节点，边缘端口为GigabitEthernet1/0/4，并使能该环。

[DeviceB-rrpp-domain1] ring 3 node-mode assistant-edge edge-port gigabitethernet 1/0/4

[DeviceB-rrpp-domain1] ring 3 enable

[DeviceB-rrpp-domain1] quit

# 创建RRPP域2，将VLAN 105配置为该域的控制VLAN，并将MSTP实例2所映射的VLAN配置为该域的保护VLAN。

[DeviceB] rrpp domain 2

[DeviceB-rrpp-domain2] control-vlan 105

[DeviceB-rrpp-domain2] protected-vlan reference-instance 2

# 在RRPP域2内配置本设备为主环1的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceB-rrpp-domain2] ring 1 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceB-rrpp-domain2] ring 1 enable

# 在RRPP域2内配置本设备为子环2的辅助边缘节点，边缘端口为GigabitEthernet1/0/3，并使能该环。

[DeviceB-rrpp-domain2] ring 2 node-mode assistant-edge edge-port gigabitethernet 1/0/3

[DeviceB-rrpp-domain2] ring 2 enable

[DeviceB-rrpp-domain2] quit

# 使能RRPP协议。

[DeviceB] rrpp enable

(3) 配置Device C

# 创建VLAN 1和2，将VLAN 1和2分别映射到MSTP实例1和2上，并激活MST域的配置。

<DeviceC> system-view

[DeviceC] vlan 1 to 2

[DeviceC] stp region-configuration

[DeviceC-mst-region] instance 1 vlan 1

[DeviceC-mst-region] instance 2 vlan 2

[DeviceC-mst-region] active region-configuration

[DeviceC-mst-region] quit

[DeviceC] interface gigabitethernet 1/0/1

[DeviceC-GigabitEthernet1/0/1] undo link-delay

[DeviceC-GigabitEthernet1/0/1] undo stp enable

[DeviceC-GigabitEthernet1/0/1] qos trust dot1p

[DeviceC-GigabitEthernet1/0/1] port link-type trunk

[DeviceC-GigabitEthernet1/0/1] port trunk permit vlan 1 2

[DeviceC-GigabitEthernet1/0/1] quit

[DeviceC] interface gigabitethernet 1/0/2

[DeviceC-GigabitEthernet1/0/2] undo link-delay

[DeviceC-GigabitEthernet1/0/2] undo stp enable

[DeviceC-GigabitEthernet1/0/2] qos trust dot1p

[DeviceC-GigabitEthernet1/0/2] port link-type trunk

[DeviceC-GigabitEthernet1/0/2] port trunk permit vlan 1 2

[DeviceC-GigabitEthernet1/0/2] quit

[DeviceC] interface gigabitethernet 1/0/3

[DeviceC-GigabitEthernet1/0/3] undo link-delay

[DeviceC-GigabitEthernet1/0/3] undo stp enable

[DeviceC-GigabitEthernet1/0/3] qos trust dot1p

[DeviceC-GigabitEthernet1/0/3] port link-type trunk

[DeviceC-GigabitEthernet1/0/3] port trunk permit vlan 2

[DeviceC-GigabitEthernet1/0/3] quit

[DeviceC] interface gigabitethernet 1/0/4

[DeviceC-GigabitEthernet1/0/4] undo link-delay

[DeviceC-GigabitEthernet1/0/4] undo stp enable

[DeviceC-GigabitEthernet1/0/4] qos trust dot1p

[DeviceC-GigabitEthernet1/0/4] port link-type trunk

[DeviceC-GigabitEthernet1/0/4] port trunk permit vlan 1

[DeviceC-GigabitEthernet1/0/4] quit

# 创建RRPP域1，将VLAN 100配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceC] rrpp domain 1

[DeviceC-rrpp-domain1] control-vlan 100

[DeviceC-rrpp-domain1] protected-vlan reference-instance 1

# 在RRPP域1内配置本设备为主环1的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceC-rrpp-domain1] ring 1 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceC-rrpp-domain1] ring 1 enable

# 在RRPP域1内配置本设备为子环3的边缘节点，边缘端口为GigabitEthernet1/0/4，并使能该环。

[DeviceC-rrpp-domain1] ring 3 node-mode edge edge-port gigabitethernet 1/0/4

[DeviceC-rrpp-domain1] ring 3 enable

[DeviceC-rrpp-domain1] quit

# 创建RRPP域2，将VLAN 105配置为该域的控制VLAN，并将MSTP实例2所映射的VLAN配置为该域的保护VLAN。

[DeviceC] rrpp domain 2

[DeviceC-rrpp-domain2] control-vlan 105

[DeviceC-rrpp-domain2] protected-vlan reference-instance 2

# 在RRPP域2内配置本设备为主环1的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceC-rrpp-domain2] ring 1 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceC-rrpp-domain2] ring 1 enable

# 在RRPP域2内配置本设备为子环2的边缘节点，边缘端口为GigabitEthernet1/0/3，并使能该环。

[DeviceC-rrpp-domain2] ring 2 node-mode edge edge-port gigabitethernet1/0/3

[DeviceC-rrpp-domain2] ring 2 enable

[DeviceC-rrpp-domain2] quit

# 使能RRPP协议。

[DeviceC] rrpp enable

(4) 配置Device D

# 创建VLAN 1和2，将VLAN 1和2分别映射到MSTP实例1和2上，并激活MST域的配置。

<DeviceD> system-view

[DeviceD] vlan 1 to 2

[DeviceD] stp region-configuration

[DeviceD-mst-region] instance 1 vlan 1

[DeviceD-mst-region] instance 2 vlan 2

[DeviceD-mst-region] active region-configuration

[DeviceD-mst-region] quit

[DeviceD] interface gigabitethernet 1/0/1

[DeviceD-GigabitEthernet1/0/1] undo link-delay

[DeviceD-GigabitEthernet1/0/1] undo stp enable

[DeviceD-GigabitEthernet1/0/1] qos trust dot1p

[DeviceD-GigabitEthernet1/0/1] port link-type trunk

[DeviceD-GigabitEthernet1/0/1] port trunk permit vlan 1 2

[DeviceD-GigabitEthernet1/0/1] quit

[DeviceD] interface gigabitethernet 1/0/2

[DeviceD-GigabitEthernet1/0/2] undo link-delay

[DeviceD-GigabitEthernet1/0/2] undo stp enable

[DeviceD-GigabitEthernet1/0/2] qos trust dot1p

[DeviceD-GigabitEthernet1/0/2] port link-type trunk

[DeviceD-GigabitEthernet1/0/2] port trunk permit vlan 1 2

[DeviceD-GigabitEthernet1/0/2] quit

# 创建RRPP域1，将VLAN 100配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceD] rrpp domain 1

[DeviceD-rrpp-domain1] control-vlan 100

[DeviceD-rrpp-domain1] protected-vlan reference-instance 1

# 在RRPP域1内配置本设备为主环1的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceD-rrpp-domain1] ring 1 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceD-rrpp-domain1] ring 1 enable

[DeviceD-rrpp-domain1] quit

# 创建RRPP域2，将VLAN 105配置为该域的控制VLAN，并将MSTP实例2所映射的VLAN配置为该域的保护VLAN。

[DeviceD] rrpp domain 2

[DeviceD-rrpp-domain2] control-vlan 105

[DeviceD-rrpp-domain2] protected-vlan reference-instance 2

# 在RRPP域2内配置本设备为主环1的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceD-rrpp-domain2] ring 1 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[DeviceD-rrpp-domain2] ring 1 enable

[DeviceD-rrpp-domain2] quit

# 使能RRPP协议。

[DeviceD] rrpp enable

(5) 配置Device E

# 创建VLAN 2，将VLAN 2映射到MSTP实例2上，并激活MST域的配置。

<DeviceE> system-view

[DeviceE] vlan 2

[DeviceE-vlan2] quit

[DeviceE] stp region-configuration

[DeviceE-mst-region] instance 2 vlan 2

[DeviceE-mst-region] active region-configuration

[DeviceE-mst-region] quit

# 分别在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上取消物理连接状态up/down抑制时间配置，关闭STP功能，配置端口信任报文的802.1p优先级，并将端口配置为Trunk端口且允许VLAN 2通过，并配置其缺省VLAN为VLAN 2。

[DeviceE] interface gigabitethernet 1/0/1

[DeviceE-GigabitEthernet1/0/1] undo link-delay

[DeviceE-GigabitEthernet1/0/1] undo stp enable

[DeviceE-GigabitEthernet1/0/1] qos trust dot1p

[DeviceE-GigabitEthernet1/0/1] port link-type trunk

[DeviceE-GigabitEthernet1/0/1] port trunk permit vlan 2

[DeviceE-GigabitEthernet1/0/1] port trunk pvid vlan 2

[DeviceE-GigabitEthernet1/0/1] quit

[DeviceE] interface gigabitethernet 1/0/2

[DeviceE-GigabitEthernet1/0/2] undo link-delay

[DeviceE-GigabitEthernet1/0/2] undo stp enable

[DeviceE-GigabitEthernet1/0/2] qos trust dot1p

[DeviceE-GigabitEthernet1/0/2] port link-type trunk

[DeviceE-GigabitEthernet1/0/2] port trunk permit vlan 2

[DeviceE-GigabitEthernet1/0/2] port trunk pvid vlan 2

[DeviceE-GigabitEthernet1/0/2] quit

# 创建RRPP域2，将VLAN 105配置为该域的控制VLAN，并将MSTP实例2所映射的VLAN配置为该域的保护VLAN。

[DeviceE] rrpp domain 2

[DeviceE-rrpp-domain2] control-vlan 105

[DeviceE-rrpp-domain2] protected-vlan reference-instance 2

# 在RRPP域2内配置本设备为子环2的主节点，主端口为GigabitEthernet1/0/2，副端口为GigabitEthernet1/0/1，并使能该环。

[DeviceE-rrpp-domain2] ring 2 node-mode master primary-port gigabitethernet 1/0/2 secondary-port gigabitethernet 1/0/1 level 1

[DeviceE-rrpp-domain2] ring 2 enable

[DeviceE-rrpp-domain2] quit

# 使能RRPP协议。

[DeviceE] rrpp enable

(6) 配置Device F

# 创建VLAN 1，将VLAN 1映射到MSTP实例1上，并激活MST域的配置。

<DeviceF> system-view

[DeviceF] vlan 1

[DeviceF-vlan1] quit

[DeviceF] stp region-configuration

[DeviceF-mst-region] instance 1 vlan 1

[DeviceF-mst-region] active region-configuration

[DeviceF-mst-region] quit

# 分别在端口GigabitEthernet1/0/1和GigabitEthernet1/0/2上取消物理连接状态up/down抑制时间配置，关闭STP功能，配置端口信任报文的802.1p优先级，并将端口配置为Trunk端口且允许VLAN 1通过，并配置其缺省VLAN为VLAN 1。

[DeviceF] interface gigabitethernet 1/0/1

[DeviceF-GigabitEthernet1/0/1] undo link-delay

[DeviceF-GigabitEthernet1/0/1] undo stp enable

[DeviceF-GigabitEthernet1/0/1] qos trust dot1p

[DeviceF-GigabitEthernet1/0/1] port link-type trunk

[DeviceF-GigabitEthernet1/0/1] port trunk permit vlan 1

[DeviceF-GigabitEthernet1/0/1] port trunk pvid vlan 1

[DeviceF-GigabitEthernet1/0/1] quit

[DeviceF] interface gigabitethernet 1/0/2

[DeviceF-GigabitEthernet1/0/2] undo link-delay

[DeviceF-GigabitEthernet1/0/2] undo stp enable

[DeviceF-GigabitEthernet1/0/2] qos trust dot1p

[DeviceF-GigabitEthernet1/0/2] port link-type trunk

[DeviceF-GigabitEthernet1/0/2] port trunk permit vlan 1

[DeviceF-GigabitEthernet1/0/2] port trunk pvid vlan 1

[DeviceF-GigabitEthernet1/0/2] quit

# 创建RRPP域1，将VLAN 100配置为该域的控制VLAN，并将MSTP实例1所映射的VLAN配置为该域的保护VLAN。

[DeviceF] rrpp domain 1

[DeviceF-rrpp-domain1] control-vlan 100

[DeviceF-rrpp-domain1] protected-vlan reference-instance 1

# 在RRPP域2内配置本设备为子环3的主节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2，并使能该环。

[DeviceF-rrpp-domain1] ring 3 node-mode master primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 1

[DeviceF-rrpp-domain1] ring 3 enable

[DeviceF-rrpp-domain1] quit

# 使能RRPP协议。

[DeviceF] rrpp enable

(7) 完成以上配置后，在Device B和Device C上分别配置RRPP环组

# 在Device B上创建RRPP环组1，并为其配置子环。

[DeviceB] rrpp ring-group 1

[DeviceB-rrpp-ring-group1] domain 2 ring 2

[DeviceB-rrpp-ring-group1] domain 1 ring 3

# 在Device C上创建RRPP环组1，并为其配置子环。

[DeviceC] rrpp ring-group 1

[DeviceC-rrpp-ring-group1] domain 2 ring 2

[DeviceC-rrpp-ring-group1] domain 1 ring 3

(8) 检验配置效果

配置完成后，用户可以使用display命令查看各设备上RRPP的配置和运行情况。

13.11 RRPP配置命令

13.11.1 control-vlan

【命令】

control-vlan vlan-id

undo control-vlan

【视图】

RRPP域视图

【缺省级别】

2：系统级

【参数】

vlan-id：控制VLAN的ID，取值范围为2～4093。

【描述】

control-vlan命令用来指定RRPP域的控制VLAN。undo control-vlan命令用来删除当前RRPP域的所有控制VLAN。

需要注意的是：

· 控制VLAN和子控制VLAN都必须是尚未创建过的VLAN。

· 用户只需配置主环的控制VLAN，子环的控制VLAN由系统自动分配，其VLAN ID为主环的控制VLAN的VLAN ID加1。因此，用户在配置控制VLAN时一定要选取两个连续的、尚未创建过的VLAN，否则将导致配置失败。

· 配置RRPP环之前可删除或修改已经配置好的控制VLAN，但配置RRPP环之后就不再允许删除或修改已配置好的控制VLAN。

· 控制VLAN不能使用undo vlan all命令删除。

相关配置可参考命令rrpp domain。

【举例】

# 配置VLAN 100为RRPP域1的控制VLAN。

<Sysname> system-view

[Sysname] rrpp domain 1

[Sysname-rrpp-domain1] control-vlan 100

13.11.2 display rrpp brief

【命令】

display rrpp brief [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI配置”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display rrpp brief命令用来显示RRPP的摘要信息。

【举例】

# 显示RRPP的摘要信息。

<Sysname> display rrpp brief

Flags for Node Mode :

M –- Master , T -- Transit , E -- Edge , A -- Assistant-Edge

RRPP Protocol Status: Enable

Number of RRPP Domains: 2

Domain ID : 1

Control VLAN : Major 5 Sub 6

Protected VLAN: Reference Instance 0 to 2, 4

Hello Timer : 1 sec Fail Timer : 3 sec

Ring Ring Node Primary/Common Secondary/Edge Enable

ID Level Mode Port Port Status

--------------------------------------------------------------------------------

1 1 T GigabitEthernet1/0/1 GigabitEthernet1/0/2 Yes

Domain ID : 2

Control VLAN : Major 10 Sub 11

Hello Timer : 1 sec Fail Timer : 3 sec

Protected VLAN: Reference Instance 0 to 2, 4

Ring Ring Node Primary/Common Secondary/Edge Enable

ID Level Mode Port Port Status

--------------------------------------------------------------------------------

1 0 T GigabitEthernet1/0/3 GigabitEthernet1/0/4 Yes

2 1 E GigabitEthernet1/0/3 GigabitEthernet1/0/5 Yes

GigabitEthernet1/0/4

表60 display rrpp brief命令显示信息描述表

字段	描述
Flags for Node Mode	RRPP的节点角色： · M：代表主节点 · T：代表传输节点 · E：代表边缘节点 · A：代表辅助边缘节点
RRPP Protocol Status	RRPP协议的全局使能状态： · Enable：表示全局使能 · Disable：表示全局未使能
Number of RRPP Domains	当前设备配置的域的个数
Domain ID	RRPP域的ID
Control VLAN	RRPP域的控制VLAN： · Major：表示主控制VLAN · Sub：表示子控制VLAN
Protected VLAN	RRPP域保护的VLAN列表。此处显示的是引用的MSTP实例，引用MSTP实例所映射的VLAN可以通过命令display stp region-configuration查看
Hello Timer	Hello定时器的值，单位为秒
Fail Timer	Fail定时器的值，单位为秒
Ring ID	RRPP环的ID
Ring Level	RRPP环的级别： · 0：表示主环 · 1：表示子环
Node Mode	设备的节点角色
Primary/Common Port	· 当节点角色为主节点或传输节点时，该字段表示主端口 · 当节点角色为边缘节点或辅助边缘节点时，该字段表示公共端口 · 当环上没有配置该端口时，此处显示为“-”
Secondary/Edge Port	· 当节点角色为主节点或传输节点时，该字段表示副端口 · 当节点角色为边缘节点或辅助边缘节点时，该字段表示边缘端口 · 当环上没有配置该端口时，此处显示为“-”
Enable Status	当前RRPP环的使能状态： · Yes：表示使能 · No：表示未使能

13.11.3 display rrpp ring-group

【命令】

display rrpp ring-group [ ring-group-id ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

ring-group-id：RRPP环组的ID，取值范围为1～4。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI配置”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display rrpp ring-group命令用来显示RRPP环组的配置信息，当不指定环组ID时显示所有环组的配置。如果是边缘节点的RRPP环组，还会显示当前发送Edge-Hello报文的环。

需要注意的是，如果指定了参数ring-group-id，则显示当前设备上指定RRPP环组的配置信息；否则，将显示所有RRPP环组的配置信息。

相关配置可参考命令domain ring。

【举例】

# 显示所有RRPP环组的配置信息。

<Sysname> display rrpp ring-group

Ring Group 1：

domain 1 ring 1 to 3, 5

domain 2 ring 1 to 3, 5

domain 1 ring 1 is the sending ring

Ring Group 2：

domain 1 ring 4, 6 to 7

domain 2 ring 4, 6 to 7

表61 display rrpp ring-group命令显示信息描述表

字段	描述
Ring Group 1	RRPP环组1
domain 1 ring 1 to 3, 5	该环组的子环成员有RRPP域1的环1、2、3和5
domain 1 ring 1 is the sending ring	该环组的发送环为RRPP域1的环1

13.11.4 display rrpp statistics

【命令】

display rrpp statistics domain domain-id [ ring ring-id ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

domain-id：RRPP域的ID，取值范围为1～4。

ring-id：RRPP环的ID，取值范围为1～64。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI配置”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display rrpp statistics命令用来显示RRPP报文的统计信息。

需要注意的是：

· 如果指定了参数ring-id，则显示当前设备上指定RRPP域上指定环的RRPP报文统计信息；否则，将显示指定RRPP域上所有环的RRPP报文统计信息。

· 如果某端口属于多个环，那么其报文将按环分别计数，用户看到的报文统计信息为该端口在当前环下的报文统计。

· 当环由未激活状态进入激活状态时，报文统计将重新开始计数。

相关配置可参考命令reset rrpp statistics。

【举例】

# 显示RRPP域1上环1的RRPP报文统计信息。

<Sysname> display rrpp statistics domain 1 ring 1

Ring ID : 1

Ring Level : 1

Node Mode : Transit

Active Status : Yes

Primary port : GigabitEthernet1/0/1

Packet Link Common Complete Edge Major Packet

Direct Hello Down Flush FDB Flush FDB Hello Fault Total

------------------------------------------------------------------------------

Send 0 0 0 1 0 0 1

Rcv 0 0 0 0 0 0 0

Secondary port: GigabitEthernet1/0/2

Packet Link Common Complete Edge Major Packet

Direct Hello Down Flush FDB Flush FDB Hello Fault Total

------------------------------------------------------------------------------

Send 0 0 0 0 0 0 0

Rcv 16378 0 0 1 0 0 16379

# 显示RRPP域2上所有环的RRPP报文统计信息。

<Sysname> display rrpp statistics domain 2

Ring ID : 1

Ring Level : 0

Node Mode : Transit

Active Status : Yes

Primary port : GigabitEthernet1/0/3

Packet Link Common Complete Edge Major Packet

Direct Hello Down Flush FDB Flush FDB Hello Fault Total

------------------------------------------------------------------------------

Send 0 0 0 1 0 0 1

Rcv 0 0 0 0 0 0 0

Secondary port: GigabitEthernet1/0/4

Packet Link Common Complete Edge Major Packet

Direct Hello Down Flush FDB Flush FDB Hello Fault Total

------------------------------------------------------------------------------

Send 0 0 0 0 0 0 0

Rcv 16878 0 0 1 0 0 16879

Ring ID : 2

Ring Level : 1

Node Mode : Edge

Active Status : No

Common port : GigabitEthernet1/0/3

Packet Link Common Complete Edge Major Packet

Direct Hello Down Flush FDB Flush FDB Hello Fault Total

------------------------------------------------------------------------------

Send 0 0 0 0 0 0 0

Rcv 0 0 0 0 0 0 0

Common port : GigabitEthernet1/0/4

Packet Link Common Complete Edge Major Packet

Direct Hello Down Flush FDB Flush FDB Hello Fault Total

------------------------------------------------------------------------------

Send 0 0 0 0 0 0 0

Rcv 0 0 0 0 0 0 0

Edge port : GigabitEthernet1/0/5

Packet Link Common Complete Edge Major Packet

Direct Hello Down Flush FDB Flush FDB Hello Fault Total

------------------------------------------------------------------------------

Send 0 0 0 0 0 0 0

Rcv 0 0 0 0 0 0 0

表62 display rrpp statistics命令显示信息描述表

字段	描述
Ring ID	RRPP环的ID
Ring Level	RRPP环的级别： · 0：表示主环 · 1：表示子环
Node Mode	设备的节点角色： · Master：主节点 · Transit：传输节点 · Edge：边缘节点 · Assistant-edge：辅助边缘节点
Active Status	RRPP环的激活状态： · Yes：表示激活 · No：表示未激活
Primary Port	主端口，说明此节点角色为主节点或传输节点。如果环上没有配置该端口，此处显示为“-”，下面也不会有相应的报文统计信息
Secondary Port	副端口，说明此节点角色为主节点或传输节点。如果环上没有配置该端口，此处显示为“-”，下面也不会有相应的报文统计信息
Common Port	公共端口，说明此节点角色为边缘节点或辅助边缘节点。如果环上没有配置该端口，此处显示为“-”，下面也不会有相应的报文统计信息
Edge Port	边缘端口，说明此节点角色为边缘节点或辅助边缘节点。如果环上没有配置该端口，此处显示为“-”，下面也不会有相应的报文统计信息
Packet Direct	端口上报文的传播方向： · Send：表示发送 · Rcv：表示接收
Hello	端口收发的Hello报文统计信息
Link Down	端口收发的Link-Down报文统计信息
Common Flush FDB	端口收发的Common-Flush-FDB报文统计信息
Complete Flush FDB	端口收发的Complete-Flush-FDB报文统计信息
Edge Hello	端口收发的Edge-Hello报文统计信息
Major Fault	端口收发的Major-Fault报文统计信息
Packet Total	端口收发的报文总数信息。这里只统计RRPP的Hello报文、Link-Down报文、Common-Flush-FDB报文、Complete-Flush-FDB报文、Edge-Hello报文和Major-Fault报文，其它种类的报文不统计

13.11.5 display rrpp verbose

【命令】

display rrpp verbose domain domain-id [ ring ring-id ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

domain-id：RRPP域的ID，取值范围为1～4。

ring-id：RRPP环的ID，取值范围为1～64。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI配置”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display rrpp verbose命令用来显示RRPP的详细信息。

需要注意的是，如果指定了参数ring-id，则显示当前设备上指定RRPP域上指定环的详细信息；否则，将显示指定RRPP域上所有环的详细信息。

【举例】

# 显示RRPP域1上环1的详细信息。

<Sysname> display rrpp verbose domain 1 ring 1

Domain ID : 1

Control VLAN : Major 5 Sub 6

Protected VLAN: Reference Instance 0 to 2, 4

Hello Timer : 1 sec Fail Timer : 3 sec

Ring ID : 1

Ring Level : 1

Node Mode : Transit

Ring State : -

Enable Status : Yes Active Status: Yes

Primary port : GigabitEthernet1/0/1 Port status: UP

Secondary port: GigabitEthernet1/0/2 Port status: BLOCKED

# 显示RRPP域2上所有环的详细信息。

<Sysname> display rrpp verbose domain 2

Domain ID : 2

Control VLAN : Major 10 Sub 11

Protected VLAN: Reference Instance 3, 5 to 7

Hello Timer : 1 sec Fail Timer : 3 sec

Ring ID : 1

Ring Level : 0

Node Mode : Transit

Ring State : -

Enable Status : Yes Active Status: Yes

Primary port : GigabitEthernet1/0/4 Port status: UP

Secondary port: GigabitEthernet1/0/5 Port status: BLOCKED

Ring ID : 2

Ring Level : 1

Node Mode : Edge

Ring State : -

Enable Status : No Active Status: No

Common port : GigabitEthernet1/0/4 Port status: -

GigabitEthernet1/0/5 Port status: -

Edge port : GigabitEthernet1/0/3 Port status: -

表63 display rrpp verbose命令显示信息描述表

字段	描述
Domain ID	RRPP域的ID
Control VLAN	RRPP域的控制VLAN： · Major：主控制VLAN · Sub：子控制VLAN
Protected VLAN	RRPP域保护的VLAN列表。此处显示的是引用的MSTP实例，引用MSTP实例所映射的VLAN可以通过命令display stp region-configuration查看
Hello Timer	Hello定时器的值，单位为秒
Fail Timer	Fail定时器的值，单位为秒
Ring ID	RRPP环的ID
Ring Level	RRPP环的级别： · 0：表示主环 · 1：表示子环
Node Mode	设备的节点角色： · Master：主节点 · Transit：传输节点 · Edge：边缘节点 · Assistant-edge：辅助边缘节点
Ring State	当前RRPP环的状态，只有节点角色为主节点的环此字段才有意义： · 当环处于健康状态时，该字段显示为Complete · 当环处于断裂状态时，该字段显示为Failed · 其它情况，该字段显示为“-”
Enable Status	当前RRPP环的使能状态： · Yes：表示使能 · No：表示未使能
Active Status	当前RRPP环的激活状态，可通过该字段状态了解RRPP协议和当前RRPP环的激活情况，必须同时使能RRPP协议和当前RRPP环，该环才能处于激活状态： · Yes：表示激活 · No：表示未激活
Primary Port	主端口，说明此节点角色为主节点或传输节点。如果环上没有配置该端口，此处显示为“-”
Secondary Port	副端口，说明此节点角色为主节点或传输节点。如果环上没有配置该端口，此处显示为“-”
Common Port	公共端口，说明此节点角色为边缘节点或辅助边缘节点。如果环上没有配置该端口，此处显示为“-”
Edge Port	边缘端口，说明此节点角色为边缘节点或辅助边缘节点。如果环上没有配置该端口，此处显示为“-”
Port status	端口状态，共有3种取值：Down、Up和Blocked；如果环处于未激活状态，或者是未配置该端口，此处显示为“-”

13.11.6 domain ring

【命令】

domain domain-id ring ring-id-list

undo domain domain-id [ ring ring-id-list ]

【视图】

RRPP环组视图

【缺省级别】

2：系统级

【参数】

domain-id：RRPP域的ID，取值范围为1～4。

ring-id-list：RRPP子环的ID列表。ring-id-list = { ring-id [ to ring-id ] }&<1-10>。其中，ring-id为RRPP子环的ID号，取值范围为1～64。&<1-10>表示前面的参数最多可以输入10次。

【描述】

domain ring命令用来配置RRPP环组内的子环。undo domain ring命令用来删除RRPP环组内的子环，如果没有指定子环列表，则删除该域已加入环组的所有子环。

需要注意的是，进行下列操作时应按规定顺序进行，否则辅助边缘节点可能会因收不到Edge-Hello报文而误认为主环故障：

· 将激活的环加入环组时，应先在辅助边缘节点将环加入环组，再在边缘节点将环加入环组。

· 将激活的环从环组中删除时，应先在边缘节点将环从环组中删除，再在辅助边缘节点将环从环组中删除。

· 将整个环组删除时，应先在边缘节点删除环组，再在辅助边缘节点删除环组。

· 将环组中的环激活时，应先激活辅助边缘节点环组中的环，再激活边缘节点环组中的环。

· 将环组中的环去激活时，应先去激活边缘节点环组中的环，再去激活辅助边缘节点环组中的环。

相关配置可参考命令rrpp ring-group和display rrpp ring-group。

【举例】

# 为RRPP环组1配置子环。

<Sysname> system-view

[Sysname] rrpp ring-group 1

[Sysname-rrpp-ring-group1] domain 1 ring 1 to 3 5

[Sysname-rrpp-ring-group1] domain 2 ring 1 to 3 5

13.11.7 protected-vlan

【命令】

protected-vlan reference-instance instance-id-list

undo protected-vlan [ reference-instance instance-id-list ]

【视图】

RRPP域视图

【缺省级别】

2：系统级

【参数】

reference-instance instance-id-list：引用的MSTP实例列表。其取值范围与MSTP配置命令的实例参数一致。

【描述】

protected-vlan命令用来配置RRPP域的保护VLAN，通过引用MSTP实例的方式来间接配置RRPP域所保护的VLAN列表。undo protected-vlan命令用来删除RRPP域的保护VLAN，若未指定引用的MSTP实例列表，则删除该域内的所有保护VLAN。

缺省情况下，RRPP域不保护任何VLAN。

需要注意的是：

· MSTP实例所映射的VLAN可通过命令display stp region-configuration查看。

· 配置RRPP环之前可以删除或修改已配置好的保护VLAN，配置RRPP环之后也允许删除或修改已配置好的保护VLAN，但不允许删除该域内的所有保护VLAN。

· 若MSTP的实例和VLAN映射关系发生变化，RRPP域实际保护的VLAN也会根据RRPP域的保护VLAN所引用的实例而变化。

相关配置可参考命令rrpp domain，以及“二层技术-以太网交换命令参考/MSTP配置命令”中的命令display stp region-configuration。

【举例】

# 将MSTP实例2和3所映射的VLAN配置为RRPP域1的保护VLAN。

<Sysname> system-view

[Sysname] rrpp domain 1

[Sysname-rrpp-domain1] control-vlan 100

[Sysname-rrpp-domain1] protected-vlan reference-instance 2 to 3

13.11.8 reset rrpp statistics

【命令】

reset rrpp statistics domain domain-id [ ring ring-id ]

【视图】

用户视图

【缺省级别】

1：监控级

【参数】

domain-id：RRPP域的ID，取值范围为1～4。

ring-id：RRPP环的ID，取值范围为1～64。

【描述】

reset rrpp statistics命令用来清除RRPP报文的统计信息。

需要注意的是，如果指定了参数ring-id，则清除当前设备上指定RRPP域上指定环的RRPP报文统计信息；否则，将清除指定RRPP域上所有环的RRPP报文统计信息。

相关配置可参考命令display rrpp statistics。

【举例】

# 清除当前设备上RRPP域1环10的报文统计信息。

<Sysname> reset rrpp statistics domain 1 ring 10

13.11.9 ring

【命令】

ring ring-id node-mode { { master | transit } [ primary-port interface-type interface-number ] [ secondary-port interface-type interface-number ] level level-value | { edge | assistant-edge } [ edge-port interface-type interface-number ] }

undo ring ring-id

【视图】

RRPP域视图

【缺省级别】

2：系统级

【参数】

ring-id：RRPP环的ID，取值范围为1～64。

master：指定当前设备为RRPP环的主节点。本系列设备暂不支持配置此参数。

transit：指定当前设备为RRPP环的传输节点。

primary-port：指定本节点的主端口。

interface-type interface-number：指定端口类型和端口编号，可以是二层以太网端口或二层聚合端口。

secondary-port：指定本节点的副端口。

level-value：RRPP环的级别，取值为0或1，0表示主环，1表示子环。

edge：指定当前设备为RRPP环的边缘节点。

assistant-edge：指定当前设备为RRPP环的辅助边缘节点。

edge-port：指定本节点的边缘端口。

【描述】

ring命令用来配置当前设备的节点角色、RRPP端口以及环的级别。undo ring命令用来取消上述配置。

需要注意的是：

· 同一RRPP域中不同的RRPP环不能使用相同的环ID。

· 当RRPP环处于使能状态时不能配置RRPP端口。

· 在配置边缘节点和辅助边缘节点时，必须先配置主环再配置子环。

· RRPP环的节点角色、RRPP端口以及环的级别一经配置就不能修改，若要改变这些配置，必须先删除原有配置。

· 删除边缘节点或辅助边缘节点的主环配置之前，必须先删除所有的子环配置。但是，处于激活状态的RRPP环不能被删除。

相关配置可参考命令ring enable。

【举例】

# 配置当前设备为RRPP域1上主环10的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2。

<Sysname> system-view

[Sysname] rrpp domain 1

[Sysname-rrpp-domain1] control-vlan 100

[Sysname-rrpp-domain1] protect-vlan reference-instance 0 1 2

[Sysname-rrpp-domain1] ring 10 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

# 配置当前设备为RRPP域1上子环20的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2。

<Sysname> system-view

[Sysname] rrpp domain 1

[Sysname-rrpp-domain1] control-vlan 100

[Sysname-rrpp-domain1] protect-vlan reference-instance 0 1 2

[Sysname-rrpp-domain1] ring 20 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 1

# 先配置当前设备为RRPP域1上主环10的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2；再配置当前设备为RRPP域1上子环20的边缘节点，边缘端口为GigabitEthernet1/0/3。

<Sysname> system-view

[Sysname] rrpp domain 1

[Sysname-rrpp-domain1] control-vlan 100

[Sysname-rrpp-domain1] protect-vlan reference-instance 0 1 2

[Sysname-rrpp-domain1] ring 10 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[Sysname-rrpp-domain1] ring 20 node-mode edge edge-port gigabitethernet 1/0/3

# 先配置当前设备为RRPP域1上主环10的传输节点，主端口为GigabitEthernet1/0/1，副端口为GigabitEthernet1/0/2；再配置当前设备为RRPP域1上子环20的辅助边缘节点，边缘端口为GigabitEthernet1/0/3。

<Sysname> system-view

[Sysname] rrpp domain 1

[Sysname-rrpp-domain1] control-vlan 100

[Sysname-rrpp-domain1] protect-vlan reference-instance 0 1 2

[Sysname-rrpp-domain1] ring 10 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[Sysname-rrpp-domain1] ring 20 node-mode assistant-edge edge-port gigabitethernet 1/0/3

13.11.10 ring enable

【命令】

ring ring-id enable

undo ring ring-id enable

【视图】

RRPP域视图

【缺省级别】

2：系统级

【参数】

ring-id：RRPP环的ID，取值范围为1～64。

【描述】

ring enable命令用来使能RRPP环。undo ring enable命令用来关闭RRPP环。

缺省情况下，RRPP环处于关闭状态。

需要注意的是，只有当RRPP协议和RRPP环都使能后，当前设备的RRPP域才能激活。

相关配置可参考命令rrpp enable。

【举例】

# 使能RRPP域1的RRPP环10。

<Sysname> system-view

[Sysname] rrpp domain 1

[Sysname-rrpp-domain1] control-vlan 100

[Sysname-rrpp-domain1] protect-vlan reference-instance 0 1 2

[Sysname-rrpp-domain1] ring 10 node-mode transit primary-port gigabitethernet 1/0/1 secondary-port gigabitethernet 1/0/2 level 0

[Sysname-rrpp-domain1] ring 10 enable

13.11.11 rrpp domain

【命令】

rrpp domain domain-id

undo rrpp domain domain-id

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

domain-id：RRPP域的ID，取值范围为1～4。

【描述】

rrpp domain命令用来创建RRPP域，并进入RRPP域视图。undo rrpp domain命令用来删除RRPP域。

需要注意的是：

· 删除RRPP域时，将同时删除该域的所有控制VLAN和保护VLAN。

· 删除RRPP域时，必须保证该RRPP域内尚未配置RRPP环，否则将导致删除失败。

相关配置可参考命令control-vlan和protected-vlan。

【举例】

# 创建RRPP域1，并进入RRPP域1的视图。

<Sysname> system-view

[Sysname] rrpp domain 1

[Sysname-rrpp-domain1]

13.11.12 rrpp enable

【命令】

rrpp enable

undo rrpp enable

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

rrpp enable命令用来使能RRPP协议。undo rrpp enable命令用来关闭RRPP协议。

缺省情况下，RRPP协议处于关闭状态。

需要注意的是，只有当RRPP协议和RRPP环都使能后，当前设备的RRPP域才能激活。

相关配置可参考命令ring enable。

【举例】

# 使能RRPP协议。

<Sysname> system-view

[Sysname] rrpp enable

13.11.13 rrpp ring-group

【命令】

rrpp ring-group ring-group-id

undo rrpp ring-group ring-group-id

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

ring-group-id：RRPP环组的ID，取值范围为1～4。

【描述】

rrpp ring-group命令用来创建RRPP环组，并进入RRPP环组视图。undo rrpp ring-group命令用来删除RRPP环组。

需要注意的是：

· 删除环组时，应先删除边缘节点环组，再删除辅助边缘节点环组，否则辅助边缘节点可能会因收不到Edge-Hello报文而误认为主环故障。

· 删除环组后，原环组内的所有子环不再属于任何环组。

相关配置可参考命令domain ring和display rrpp ring-group。

【举例】

# 创建RRPP环组1，并进入RRPP环组1的视图。

<Sysname> system-view

[Sysname] rrpp ring-group 1

[Sysname-rrpp-ring-group1]

14 新增特性—配置以太网端口环回监测动作

14.1 配置以太网端口环回监测动作

当用户开启以太网端口环回监测动作功能后，如果监测到端口存在环回：

(1) 对于Access端口：按照环回监测动作对报文的接收端口进行处理，并生成Trap信息和日志信息，同时删除该端口对应的MAC地址转发表项。

(2) 对于Trunk端口和Hybrid端口：生成Trap信息和日志信息。当端口环回监测受控功能也同时开启时（即配置了loopback-detection control enable），按照环回监测动作对报文的接收端口进行处理，并向终端上报Trap信息和日志信息，同时删除该端口对应的MAC地址转发表项。

表64 配置以太网端口环回监测动作

操作		命令	说明
进入系统视图		system-view	-
进入以太网端口视图或端口组视图	进入以太网端口视图	interface interface-type interface-number	二者必选其一在以太网端口视图下的配置，只在当前端口下生效；在端口组视图下的配置在端口组中的所有端口生效
进入以太网端口视图或端口组视图	进入端口组视图	port-group manual port-group-name	二者必选其一在以太网端口视图下的配置，只在当前端口下生效；在端口组视图下的配置在端口组中的所有端口生效
配置在发现端口环回后对端口进行的动作		loopback-detection action { block \| shutdown }	可选缺省情况下，端口环回监测动作为block 如果指定动作为shutdown，则被环回的端口会被系统关闭，端口物理状态为Loop down。环回消除后，需要手工执行undo shutdown命令才能恢复端口的转发能力

14.2 以太网端口环回监测动作配置命令

14.2.1 loopback-detection action

【命令】

loopback-detection action { block | shutdown }

undo loopback-detection action

【视图】

二层以太网端口视图/端口组视图

【缺省级别】

2：系统级

【参数】

block：当监测到端口被环回后，端口不收发任何报文。

shutdown：当监测到端口被环回后，系统自动关闭该端口。需要使用undo shutdown命令激活该端口。

【描述】

loopback-detection action命令用来配置当监测到端口被环回后将采取的操作。undo loopback-detection action命令用来恢复缺省情况。

缺省情况下，端口环回监测动作为block，即当监测到端口被环回后，端口不收发任何报文。

【举例】

# 设置Access端口GigabitEthernet1/0/1在监测到环回后对端口进行关闭。

<Sysname> system-view

[Sysname] loopback-detection enable

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] loopback-detection enable

[Sysname-GigabitEthernet1/0/1] loopback-detection action shutdown

# 设置Trunk端口GigabitEthernet1/0/2在监测到环回后对端口进行关闭。

<Sysname> system-view

[Sysname] loopback-detection enable

[Sysname] interface gigabitethernet 1/0/2

[Sysname-GigabitEthernet1/0/2] port link-type trunk

[Sysname-GigabitEthernet1/0/2] loopback-detection enable

[Sysname-GigabitEthernet1/0/2] loopback-detection control enable

[Sysname-GigabitEthernet1/0/2] loopback-detection action shutdown

15 新增特性—通过LLDP协议的Power Via MDI TLV协商PoE供电功率

15.1 通过LLDP协议的Power Via MDI TLV协商PoE供电功率配置

仅PoE+机型支持本特性。

支持本特性的PSE设备可以与端口连接的PD设备自动协商PoE供电功率。

本特性无需命令行配置，只需使能PSE的PoE功能和使能PoE接口的PoE功能。

15.2 通过LLDP协议的Power Via MDI TLV协商PoE供电功率配置命令

支持本特性的PSE设备会与PD设备自动协商PoE供电功率，不需命令行配置。

用户可以通过display lldp local-information命令和display lldp neighbor-information命令查看供电功率协商情况。

15.2.1 display lldp local-information

【命令】

display lldp local-information [ global | interface interface-type interface-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

global：显示待发送的全局LLDP信息。

interface interface-type interface-number：显示指定接口上待发送的LLDP信息，interface-type interface-number表示接口类型和接口编号。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display lldp local-information命令用来显示待发送的LLDP信息，这些信息将被组织成TLV发送给邻居设备。

需要注意的是，如果未指定任何参数，将显示待发送的所有LLDP信息，包括全局LLDP信息以及所有使能了LLDP功能且状态为up的接口上的LLDP信息。

【举例】

# 显示所有待发送的LLDP信息（本举例仅描述本特性新增显示信息）。

<Sysname> display lldp local-information

...

Power type : Type 2 PSE

Power source : Primary

Power priority : high

PD requested power value : 25.5(w)

PSE allocated power value : 25.5(w)

...

表1-4 display lldp local-information命令显示信息描述表

字段	描述
Power type	当设备为PoE+设备时，显示设备的供电类型：Type 2 PSE，供电功率为0～30W，供电电压50V～57V，最大供电电流600mA
Power source	当设备为PoE+设备时，显示PSE所采用的电源类型： · Unknown：表示采用的电源类型未知 · Primary：表示采用主用电源作为电源 · Backup：表示采用备用电源作为电源
Power priority	当设备为PoE+设备时，显示PSE上端口的供电优先级： · Unknown：表示优先级未知 · Critical：表示优先级为1级 · High：表示优先级为2级 · Low：表示优先级为3级
PD requested power value	当设备为PoE+设备时，显示端口连接的PD请求的电源功率，单位为瓦(w)
PSE allocated power value	当设备为PoE+设备时，显示PSE为端口连接的PD提供的电源功率，单位为瓦(w)

15.2.2 display lldp neighbor-information

【命令】

display lldp neighbor-information [ brief | interface interface-type interface-number [ brief ] | list [ system-name system-name ] ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

brief：显示由邻居设备发来的LLDP信息摘要。如果未指定该参数，将显示由邻居设备发来的LLDP信息详情。

interface interface-type interface-number：显示指定接口收到的由邻居设备发来的LLDP信息，interface-type interface-number表示接口类型和接口编号。如果未指定该参数，将显示所有接口收到的由邻居设备发来的LLDP信息。

list：按列表显示由邻居设备发来的LLDP信息。

system-name system-name：按列表显示由指定邻居设备发来的LLDP信息。system-name表示邻居设备的系统名称，为1～255个字符的字符串。如果未指定该参数，将按列表显示由所有邻居设备发来的LLDP信息。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display lldp neighbor-information命令用来显示由邻居设备发来的LLDP信息，这些信息是由邻居设备组织成TLV并发送给本设备的。

【举例】

# 显示所有接口收到的由邻居设备发来的LLDP信息（本举例仅描述本特性新增显示信息）。

<Sysname> display lldp neighbor-information

...

Power type : Type 2 PD

Power source : PSE and local

Power priority : high

PD requested power value : 25.5(w)

PSE allocated power value : 25.5(w)

...

表1-5 display lldp neighbor-information命令显示信息描述表

字段	描述
Power type（仅当本端为PoE+设备时，显示此信息）	LLDP邻居为PD设备时，显示设备的PD类型： · Type 1 PD，受电功率为0～15.4W，受电电压44V～57V，最大电流350mA · Type 2 PD，受电功率为0～30W，受电电压50V～57V，最大电流600mA
Power source（仅当本端为PoE+设备时，显示此信息）	LLDP邻居为PD设备时，显示设备采用的电源类型： · Unknown：表示采用的电源类型未知 · PSE：表示采用PSE作为电源 · Local：表示采用本地电源作为电源 · PSE and local：表示采用PSE和本地电源作为电源
Power priority（仅当本端为PoE+设备时，显示此信息）	LLDP邻居为PD设备时，显示设备上端口的受电优先级： · Unknown：表示优先级未知 · Critical：表示优先级为1级 · High：表示优先级为2级 · Low：表示优先级为3级
PD requested power value（仅当本端为PoE+设备时，显示此信息）	LLDP邻居为PD设备时，端口连接的PD设备请求的电源功率，单位为瓦(w)
PSE allocated power value（仅当本端为PoE+设备时，显示此信息）	LLDP邻居为PD设备时，PSE为连接的PD提供的电源功率，单位为瓦(w)

16 新增特性—PVST

16.1 简介

生成树协议是一种二层管理协议，它通过选择性地阻塞网络中的冗余链路来消除二层环路，同时还具备链路备份的功能。

与众多协议的发展过程一样，生成树协议也是随着网络的发展而不断更新的，从最初的STP（Spanning Tree Protocol，生成树协议）到RSTP（Rapid Spanning Tree Protocol，快速生成树协议）和PVST（Per VLAN Spanning Tree，每VLAN生成树），再到最新的MSTP（Multiple Spanning Tree Protocol，多生成树协议）。

STP和RSTP在局域网内的所有网桥都共享一棵生成树，不能按VLAN阻塞冗余链路，所有VLAN的报文都沿着一棵生成树进行转发。而PVST则可以在每个VLAN内都拥有一棵生成树，能够有效地提高链路带宽的利用率。PVST可以简单理解为在每个VLAN上运行一个STP或RSTP协议，不同VLAN之间的生成树完全独立。根据端口类型的不同，PVST所发送的BPDU格式也有所差别：

· 对于Access端口，PVST将根据该VLAN的状态发送STP格式的BPDU。

· 对于Trunk端口和Hybrid端口，PVST将在VLAN 1内根据该VLAN的状态发送STP格式的BPDU，而对于其它本端口允许通过的VLAN，则发送PVST格式的BPDU。

16.2 PVST配置任务简介

生成树协议包括STP、RSTP、PVST和MSTP四种类型。在配置生成树之前，首先需明确要使用的生成树协议类型，并规划好各设备在其中的角色（根桥或叶子节点）；然后根据所选择的协议类型及规划好的设备角色，依照本节中的表格进行配置。

· 当同时使能GVRP和生成树协议时，GVRP报文将沿CIST传播。因此当同时使能了GVRP和生成树协议时，如果希望通过GVRP在网络中发布某个VLAN，则配置生成树协议的VLAN映射表时要保证将该VLAN映射到CIST上。有关GVRP的详细介绍，请参见“二层技术-以太网交换配置指导”中的“GVRP”。

· 生成树协议与RRPP功能和Smart Link功能互斥。

· 对于生成树的相关配置来说：系统视图下的配置在全局生效；以太网接口视图下的配置只对当前端口生效；端口组视图下的配置对当前端口组中的所有端口生效；二层聚合接口视图下的配置只对当前接口生效；聚合成员端口上的配置，只有当成员端口退出聚合组后才能生效。

· 在二层聚合接口上使能生成树协议后，生成树的相关计算只在二层聚合接口上进行，聚合成员端口不再参与生成树计算。二层聚合接口的所有选中成员端口上生成树协议的使能/关闭状态以及端口转发状态与二层聚合接口保持一致。尽管聚合成员端口不参与生成树计算，但端口上的生成树相关配置仍然保留，当端口退出聚合组时，该端口将采用这些配置参与生成树计算。

表65 PVST配置任务简介

配置任务		说明	详细配置
配置根桥	配置生成树的工作模式	必选生成树缺省工作在MSTP模式下，通过本配置将其工作模式配置为PVST模式	16.3.1
	配置根桥和备份根桥	可选	16.3.2
	配置设备的优先级	可选	16.3.3
	配置交换网络的网络直径	可选	16.3.4
	配置生成树的时间参数	可选	16.3.5
	配置超时时间因子	可选	16.3.6
	配置端口的最大发送速率	可选	16.3.7
	配置端口为边缘端口	可选	16.3.8
	配置端口的链路类型	可选	16.3.11
	打开端口状态变化信息显示开关	可选	16.3.12
	使能生成树协议	必选	16.3.13
配置叶子节点	配置生成树的工作模式	必选生成树缺省工作在MSTP模式下，通过本配置将其工作模式配置为PVST模式	16.3.1
	配置设备的优先级	可选	16.3.3
	配置超时时间因子	可选	16.3.6
	配置端口的最大发送速率	可选	16.3.7
	配置端口为边缘端口	可选	16.3.8
	配置端口的路径开销	可选	16.3.9
	配置端口的优先级	可选	16.3.10
	配置端口的链路类型	可选	16.3.11
	打开端口状态变化信息显示开关	可选	16.3.12
	使能生成树协议	必选	16.3.13
执行mCheck操作		可选	16.3.14
配置VLAN Ignore功能		可选	16.3.15
配置生成树保护功能		可选	16.3.16

16.3 配置PVST

16.3.1 配置生成树的工作模式

生成树的工作模式有以下四种：

· STP模式：设备的所有端口都将向外发送STP BPDU。如果端口的对端设备只支持STP，可选择此模式。

· RSTP模式：设备的所有端口都向外发送RSTP BPDU。当端口收到对端设备发来的STP BPDU时，会自动迁移到STP模式；如果收到的是MSTP BPDU，则不会进行迁移。

· MSTP模式：设备的所有端口都向外发送MSTP BPDU。当端口收到对端设备发来的STP BPDU时，会自动迁移到STP模式；如果收到的是RSTP BPDU，则不会进行迁移。

· PVST模式：设备的所有端口都向外发送PVST BPDU，每个VLAN维护一棵生成树。不同型号的设备可维护生成树的VLAN数目（假设为n，S5120-SI系列交换机为16）不同，当使用不同型号的设备进行PVST组网时，网络中维护有生成树的VLAN总数请勿超过最小的n值，否则将导致网络故障。

MSTP模式兼容RSTP模式，RSTP模式兼容STP模式，而PVST模式与其它模式的兼容性如下：

· 对于Access端口：PVST模式在任意VLAN中都能与其它模式互相兼容。

· 对于Trunk端口或Hybrid端口：PVST模式仅在VLAN 1中能与其它模式互相兼容。

表66 配置生成树的工作模式

操作

命令

说明

进入系统视图

system-view

配置生成树的工作模式

stp mode { mstp | pvst | rstp | stp }

必选

缺省情况下，生成树的工作模式为MSTP模式

在各工作模式下进行配置时，对是否需要指定MSTI和VLAN的要求不同：

· 在STP模式或RSTP模式下无需指定MSTI和VLAN，若指定了MSTI或VLAN则该配置无效。

· 在MSTP模式下，若指定了MSTI则表示针对该MSTI进行配置，若指定了VLAN则该配置无效，若MSTI和VLAN均未指定则表示针对CIST进行配置。

· 在PVST模式下，若指定了VLAN则表示针对该VLAN进行配置，若未指定VLAN则该配置无效。

在PVST模式下，系统会自动将VLAN与MSTI进行映射。由于设备在PVST模式下支持的MSTI数量比在MSTP模式下多，因此当由PVST模式切换到MSTP模式时，多出的MSTI（按MSTI的编号由小到大确定）的映射关系配置将被自动清除，此后即使再切换回PVST模式，被清除的这些配置也不会自动恢复。为了避免这种情况，在PVST模式下不建议手工配置VLAN与MSTI的映射关系。

16.3.2 配置根桥和备份根桥

可以通过计算来自动确定生成树的根桥，用户也可以手工将设备配置为指定生成树的根桥或备份根桥：

· 设备在各生成树中的角色互相独立，在作为一棵生成树的根桥或备份根桥的同时，也可以作为其它生成树的根桥或备份根桥；但在同一棵生成树中，一台设备不能既作为根桥，又作为备份根桥。

· 在一棵生成树中，生效的根桥只有一个；当两台或两台以上的设备被指定为同一棵生成树的根桥时，系统将选择MAC地址最小的设备作为根桥。

交换网络中任意两台终端设备都通过特定路径彼此相连，这些路径由一系列的设备构成。网络直径就是指交换网络中任意两台终端设备间的最大设备数。网络直径越大，说明网络的规模越大。

表70 配置交换网络的网络直径

操作

命令

说明

进入系统视图

system-view

配置交换网络的网络直径（PVST模式）

stp vlan vlan-list bridge-diameter diameter

必选

缺省情况下，交换网络的网络直径为7

· 在配置了网络直径之后，系统会通过计算自动将设备的Hello Time、 Forward Delay和Max Age三个时间参数设置为最优值。

· 在STP/RSTP/MSTP模式下，每个MST域将被视为一台设备，且网络直径配置只对CIST有效（即只能在总根上生效），而对MSTI无效。

· 在PVST模式下，网络直径的配置只能在根桥上生效。

16.3.5 配置生成树的时间参数

在生成树的计算过程中，用到了以下三个时间参数：

(1) Forward Delay：用于确定状态迁移的延迟时间。为了防止产生临时环路，生成树协议在端口由Discarding状态向Forwarding状态迁移的过程中设置了Learning状态作为过渡，并规定状态迁移需要等待Forward Delay时间，以保持与远端的设备状态切换同步。

(2) Hello Time：用于检测链路是否存在故障。生成树协议每隔Hello Time时间会发送BPDU，以确认链路是否存在故障。如果设备在Hello Time时间内没有收到BPDU，则会由于消息超时而重新计算生成树。

(3) Max Age：用于确定BPDU是否超时。在MSTP的CIST以及PVST的各VLAN上，设备根据Max Age时间来确定端口收到的BPDU是否超时。如果端口收到的BPDU超时，则需要对该MSTI重新计算。Max Age时间对MSTP的MSTI无效。

上述三个时间参数之间应满足以下关系，否则会引起网络的频繁震荡：

(4) 2×（Forward Delay－1秒）≥Max Age

(5) Max Age≥2×（Hello Time＋1秒）

通常情况下，不建议通过本配置直接调整上述三个时间参数。由于这三个时间参数的取值与网络规模有关，因此建议通过调整网络直径，使生成树协议自动调整这三个时间参数的值。当网络直径取缺省值时，这三个时间参数也分别取其各自的缺省值。

本配置只需在根桥设备上进行，整个交换网络中的所有设备都将采用根桥设备的配置值。

表71 配置生成树的时间参数

操作	命令	说明
进入系统视图	system-view	-
配置Forward Delay时间参数（PVST模式）	stp vlan vlan-list timer forward-delay time	可选缺省情况下，Forward Delay为15秒
配置Hello Time时间参数（PVST模式）	stp vlan vlan-list timer hello time	可选缺省情况下，Hello Time为2秒
配置Max Age时间参数（PVST模式）	stp vlan vlan-list timer max-age time	可选缺省情况下，Max Age为20秒

· Forward Delay的长短与交换网络的网络直径有关。一般来说，网络直径越大，Forward Delay就应该越长。如果Forward Delay过短，可能引入临时的冗余路径；如果Forward Delay过长，网络可能较长时间不能恢复连通。建议用户采用缺省值。

· 合适的Hello Time可以保证设备能够及时发现网络中的链路故障，又不会占用过多的网络资源。如果Hello Time过长，在链路发生丢包时，设备会误以为链路出现了故障，从而引发设备重新计算生成树；如果Hello Time过短，设备将频繁发送重复的BPDU，增加了设备的负担，浪费了网络资源。建议用户采用缺省值。

· 如果Max Age过短，设备会频繁地计算生成树，而且有可能将网络拥塞误认成链路故障；如果Max Age过长，设备很可能不能及时发现链路故障，不能及时重新计算生成树，从而降低网络的自适应能力。建议用户采用缺省值。

16.3.6 配置超时时间因子

超时时间因子用来确定设备的超时时间：超时时间＝超时时间因子×3×Hello Time。

当网络拓扑结构稳定后，非根桥设备会每隔Hello Time时间向周围相连设备转发根桥发出的BPDU以确认链路是否存在故障。通常如果设备在9倍的Hello Time时间内没有收到上游设备发来的BPDU，就会认为上游设备已经故障，从而重新进行生成树的计算。

有时设备在较长时间内收不到上游设备发来的BPDU，可能是由于上游设备的繁忙导致的，在这种情况下一般不应重新进行生成树的计算。因此在稳定的网络中，可以通过延长超时时间来减少网络资源的浪费。在一个稳定的网络中，建议将超时时间因子配置为5～7。

表72 配置超时时间因子

操作

命令

说明

进入系统视图

system-view

配置设备的超时时间因子

stp timer-factor factor

必选

缺省情况下，设备的超时时间因子为3

16.3.7 配置端口的最大发送速率

端口的最大发送速率是指每Hello Time时间内端口能够发送的BPDU最大数目。端口的最大发送速率与端口的物理状态和网络结构有关，用户可以根据实际的网络情况对其进行配置。

表73 配置端口的最大发送速率

操作		命令	说明
进入系统视图		system-view	-
进入相应视图	进入二层以太网端口视图或二层聚合接口视图	interface interface-type interface-number	二者必选其一
进入相应视图	进入端口组视图	port-group manual port-group-name	二者必选其一
配置端口的最大发送速率		stp transmit-limit limit	必选缺省情况下，端口的最大发送速率为10

最大发送速率越高，每个Hello Time内可发送的BPDU数量就越多，占用的系统资源也越多。适当配置最大发送速率一方面可以限制端口发送BPDU的速度，另一方面还可以防止在网络拓扑动荡时，生成树协议占用过多的带宽资源。建议用户采用缺省配置。

16.3.8 配置端口为边缘端口

当端口直接与用户终端相连，而没有连接到其它设备或共享网段上，则该端口被认为是边缘端口。网络拓扑变化时，边缘端口不会产生临时环路。

由于设备无法知道端口是否直接与终端相连，所以需要用户手工将端口配置为边缘端口。如果用户将某个端口配置为边缘端口，那么当该端口由阻塞状态向转发状态迁移时，这个端口可以实现快速迁移，而无需等待延迟时间。

表74 配置端口为边缘端口

操作		命令	说明
进入系统视图		system-view	-
进入相应视图	进入二层以太网端口视图或二层聚合接口视图	interface interface-type interface-number	二者必选其一
进入相应视图	进入端口组视图	port-group manual port-group-name	二者必选其一
配置当前端口为边缘端口		stp edged-port enable	必选缺省情况下，端口为非边缘端口

· 在设备没有使能BPDU保护的情况下，如果被设置为边缘端口的端口上收到来自其它端口的BPDU，则该端口会重新变为非边缘端口。此时，只有重启端口才能将该端口恢复为边缘端口。

· 对于直接与终端相连的端口，请将该端口设置为边缘端口，同时使能BPDU保护功能。这样既能够使该端口快速迁移到转发状态，也可以保证网络的安全。

· 在同一个端口上不允许同时配置边缘端口和环路保护功能。

16.3.9 配置端口的路径开销

路径开销（Path Cost）是与端口相连的链路速率相关的参数。在支持生成树协议的设备上，端口在不同的MSTI中可以拥有不同的路径开销。设置合适的路径开销可以使不同VLAN的流量沿不同的物理链路转发，从而实现按VLAN负载分担的功能。

设备可以自动计算端口的缺省路径开销，用户也可以直接配置端口的路径开销。

1. 配置缺省路径开销的计算标准

缺省路径开销的计算标准有以下三种，用户可以通过本配置来改变设备自动计算端口的缺省路径开销时所采用的计算标准：

· dot1d-1998：表示按照IEEE 802.1D-1998标准来计算缺省路径开销。

· dot1t：表示按照IEEE 802.1t标准来计算缺省路径开销。

· legacy：表示按照私有标准来计算缺省路径开销。

表75 配置缺省路径开销的计算标准

操作

命令

说明

进入系统视图

system-view

配置缺省路径开销的计算标准

stp pathcost-standard { dot1d-1998 | dot1t | legacy }

必选

缺省情况下，缺省路径开销的计算标准为legacy

改变缺省路径开销的计算标准，将使端口的路径开销值恢复为缺省值。

链路速率与路径开销值的对应关系如表76所示。

表76 链路速率与端口路径开销值的对应关系表

链路速率	端口类型	端口的路径开销值
链路速率	端口类型	IEEE 802.1D-1998	IEEE 802.1t	私有标准
0	-	65535	200,000,000	200,000
10Mbps	单个端口	100	2,000,000	2,000
	聚合接口（含两个选中端口）		1,000,000	1,800
	聚合接口（含三个选中端口）		666,666	1,600
	聚合接口（含四个选中端口）		500,000	1,400
100Mbps	单个端口	19	200,000	200
	聚合接口（含两个选中端口）		100,000	180
	聚合接口（含三个选中端口）		66,666	160
	聚合接口（含四个选中端口）		50,000	140
1000Mbps	单个端口	4	20,000	20
	聚合接口（含两个选中端口）		10,000	18
	聚合接口（含三个选中端口）		6,666	16
	聚合接口（含四个选中端口）		5,000	14
10Gbps	单个端口	2	2,000	2
	聚合接口（含两个选中端口）		1,000	1
	聚合接口（含三个选中端口）		666	1
	聚合接口（含四个选中端口）		500	1

· 在计算聚合接口的路径开销时，IEEE 802.1D-1998标准不考虑聚合接口所对应聚合组内选中端口的数量；而IEEE 802.1t标准则对此予以考虑，其计算公式为：端口的路径开销＝200000000÷链路速率（单位为100Kbps），其中链路速率为聚合接口所对应聚合组内选中端口的速率之和。

· 当端口的链路速率大于10Gbps、且缺省路径开销的计算标准为IEEE 802.1D-1998或私有标准时，单个端口和聚合接口的路径开销值都会取所选标准规定的最小值，这将影响转发路径选择的合理性。在这种情况下，建议将缺省路径开销的计算标准配置为IEEE 802.1t，或手工配置端口的路径开销（请参见“1.9.35 2. 配置端口的路径开销”）。

2. 配置端口的路径开销

表77 配置端口的路径开销

操作		命令	说明
进入系统视图		system-view	-
进入相应视图	进入二层以太网端口视图或二层聚合接口视图	interface interface-type interface-number	二者必选其一
进入相应视图	进入端口组视图	port-group manual port-group-name	二者必选其一
配置端口的路径开销（PVST模式）		stp vlan vlan-list cost cost	必选缺省情况下，自动按照相应的标准计算各生成树上的路径开销

当端口的路径开销值改变时，系统将重新计算端口的角色并进行状态迁移。

3. 配置举例

# 在PVST模式下，配置按照IEEE 802.1D-1998标准来计算缺省路径开销，并配置端口GigabitEthernet1/0/3在PVST VLAN 20～30上的路径开销均为2000。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] stp pathcost-standard dot1d-1998

[Sysname] interface gigabitethernet 1/0/3

[Sysname-GigabitEthernet1/0/3] stp vlan 20 to 30 cost 2000

16.3.10 配置端口的优先级

端口优先级是确定该端口是否会被选为根端口的重要依据，同等条件下优先级高的端口将被选为根端口。在支持生成树协议的设备上，端口可以在不同的生成树中拥有不同的优先级，同一端口可以在不同的生成树中担任不同的角色，从而使不同VLAN的数据沿不同的物理路径传播，实现按VLAN进行负载分担的功能。用户可以根据组网的实际需要来设置端口的优先级。

表78 配置端口的优先级

操作		命令	说明
进入系统视图		system-view	-
进入相应视图	进入二层以太网端口视图或二层聚合接口视图	interface interface-type interface-number	二者必选其一
进入相应视图	进入端口组视图	port-group manual port-group-name	二者必选其一
配置端口的优先级（PVST模式）		stp vlan vlan-list port priority priority	必选缺省情况下，端口的优先级为128

当端口的优先级改变时，系统将重新计算端口的角色并进行状态迁移。

16.3.11 配置端口的链路类型

点对点链路是两台设备之间直接连接的链路。与点对点链路相连的两个端口如果为根端口或者指定端口，则端口可以通过传送同步报文（Proposal报文和Agreement报文）快速迁移到转发状态，减少了不必要的转发延迟时间。

表79 配置端口的链路类型

操作		命令	说明
进入系统视图		system-view	-
进入相应视图	进入二层以太网端口视图或二层聚合接口视图	interface interface-type interface-number	二者必选其一
进入相应视图	进入端口组视图	port-group manual port-group-name	二者必选其一
配置端口的链路类型		stp point-to-point { auto \| force-false \| force-true }	必选缺省情况下，端口的链路类型为auto，即由系统自动检测与本端口相连的链路是否为点对点链路

· 如果某端口是二层聚合接口或其工作在全双工模式下，则可以将该端口配置为与点对点链路相连。通常建议使用缺省配置，由系统进行自动检测。

· 在MSTP模式或PVST模式下，如果某端口被配置为与点对点链路（或非点对点链路）相连，那么该配置对该端口所属的所有MSTI或VLAN都有效。

· 如果某端口被配置为与点对点链路相连，但与该端口实际相连的物理链路不是点对点链路，则有可能引入临时回路。

16.3.12 打开端口状态变化信息显示开关

在使能了生成树协议的大型网络中，用户可以通过打开端口状态变化信息显示开关，使系统输出端口状态变化的相关信息，方便用户对端口状态进行实时监控。

表80 打开端口状态变化信息显示开关

操作

命令

说明

进入系统视图

system-view

打开端口状态变化信息显示开关（PVST模式）

stp port-log vlan vlan-list

必选

缺省情况下，端口状态变化信息显示开关处于开启状态

16.3.13 使能生成树协议

只有使能了生成树协议，生成树的其它配置才会生效。

在PVST模式下，必须保证全局、VLAN和端口上的生成树协议均处于使能状态。

表81 使能生成树协议（PVST模式）

操作		命令	说明
进入系统视图		system-view	-
全局使能生成树协议		stp enable	必选缺省情况下，生成树协议在全局处于关闭状态
在VLAN中使能生成树协议		stp vlan vlan-list enable	必选缺省情况下，生成树协议在VLAN中处于使能状态
进入相应视图	进入二层以太网端口视图或二层聚合接口视图	interface interface-type interface-number	二者必选其一
进入相应视图	进入端口组视图	port-group manual port-group-name	二者必选其一
在端口上使能生成树协议		stp enable	可选缺省情况下，所有端口上的生成树协议均处于使能状态

· 可以通过undo stp enable命令关闭特定端口的生成树协议，使这些端口不参与生成树计算，以节省设备的CPU资源。

· 在PVST模式下，全局使能生成树协议后，设备会默认使能已创建的前n个VLAN（n为设备支持的PVST实例数，S5120-SI系列交换机为16）上的生成树协议，此时如果需要再使能其它指定VLAN的生成树协议，需先关闭某些VLAN的生成树协议，然后再在指定的VLAN上使能生成树协议。如果设备上创建的VLAN总数没有超过n，则不存在这种情况。

16.3.14 执行mCheck操作

MSTP的工作模式有STP模式、RSTP模式、MSTP模式和PVST模式四种。在运行MSTP、RSTP或PVST的设备上，若某端口连接着运行STP协议的设备，该端口会自动迁移到STP模式；但在下列两种情况下，该端口将无法自动迁移回到原有模式，而需要通过执行mCheck操作将其手工迁移回原有模式：

· 运行STP协议的设备被关机或撤走；

· 运行STP协议的设备切换为MSTP模式、RSTP模式或PVST模式。

当运行STP的设备A、未使能生成树协议的设备B和运行RSTP/MSTP/PVST的设备C三者顺次相连时，设备B将透传STP报文，设备C上连接设备B的端口将迁移到STP模式。在设备B上使能生成树协议后，若想使设备B与设备C之间运行RSTP/MSTP/PVST协议，除了要在设备B上配置生成树的工作模式为RSTP/MSTP/PVST外，还要在设备B与设备C相连的端口上都执行mCheck操作。

可以在全局或在端口上执行mCheck操作。

1. 全局执行mCheck操作

表82 全局执行mCheck操作

操作	命令	说明
进入系统视图	system-view	-
全局执行mCheck操作	stp mcheck	必选

2. 在端口上执行mCheck操作

表83 在端口上执行mCheck操作

操作	命令	说明
进入系统视图	system-view	-
进入二层以太网端口视图或二层聚合接口视图	interface interface-type interface-number	-
在端口上执行mCheck操作	stp mcheck	必选

只有当生成树的工作模式为MSTP模式、RSTP模式或PVST模式时执行mCheck操作才有效。

16.3.15 配置 VLAN Ignore功能

在网络拓扑比较复杂的情况下，某些VLAN的拓扑有可能会被生成树阻塞，造成该VLAN的业务流量不通。

表84 MSTP阻塞VLAN连通性示意图

如表84所示，Device A的端口Port A1允许VLAN 1通过，Port A2允许VLAN 2通过；Device B的端口Port B1允许VLAN 1通过，Port B2允许VLAN 2通过。Device A和Device B都正常运行生成树协议，通过计算，Device A为根桥，其端口Port A1和Port A2为指定端口，Device B的端口Port B1为根端口，Port B2为阻塞端口，则VLAN 2的业务流量无法实现正常连通。

通过在指定VLAN上使能VLAN Ignore功能，可使该VLAN中每个端口的实际转发状态不再遵从生成树的计算结果，而是一直保持转发状态。

1. 配置VLAN Ignore功能

表85 配置VLAN Ignore功能

操作	命令	说明
进入系统视图	system-view	-
在指定VLAN内使能VLAN Ignore功能	stp ignored vlan vlan-list	必选缺省情况下，VLAN内的VLAN Ignore功能处于关闭状态
显示已使能VLAN Ignore功能的VLAN列表	display stp ignored-vlan [ \| { begin \| exclude \| include } regular-expression ]	可选 display命令可以在任意视图下执行

2. VLAN Ignore功能配置举例

(1) 组网需求

· Device A与Device B直连，其各自的GigabitEthernet1/0/1端口都允许VLAN 1通过、GigabitEthernet1/0/2端口都允许VLAN 2通过。

· Device A与Device B都正常运行生成树协议，Device A为根桥，Device B的GigabitEthernet1/0/2端口为阻塞端口，导致VLAN 2业务流量不通。

· 通过配置VLAN Ignore功能，使Device B上VLAN 2中的端口GigabitEthernet1/0/2一直保持转发状态。

(2) 组网图

图46 VLAN Ignore功能配置组网图

(3) 配置步骤

# 在Device B上使能VLAN 2内的VLAN Ignore功能。

<DeviceB> system-view

[DeviceB] stp ignored vlan 2

# 显示已使能VLAN Ignore功能的VLAN列表。

[DeviceB] display stp ignored-vlan

STP-Ignored VLAN: 2

16.3.16 配置生成树保护功能

生成树保护功能包括以下几种：

· BPDU保护功能

· 根保护功能

· 环路保护功能

· 防TC-BPDU攻击保护功能

· BPDU拦截功能

1. 配置BPDU保护功能

对于接入层设备，接入端口一般直接与用户终端（如PC）或文件服务器相连，此时接入端口被设置为边缘端口以实现这些端口的快速迁移；当这些端口接收到BPDU时系统会自动将这些端口设置为非边缘端口，重新计算生成树，引起网络拓扑结构的变化。这些端口正常情况下应该不会收到STP的BPDU。如果有人伪造BPDU恶意攻击设备，就会引起网络震荡。

生成树协议提供了BPDU保护功能来防止这种攻击：设备上使能了BPDU保护功能后，如果边缘端口收到了BPDU，系统就将这些端口关闭，同时通知网管这些端口已被生成树协议关闭。被关闭的端口在端口状态检测定时器超时后将被重新激活，有关端口状态检测定时器的详细介绍，请参见“基础配置指导”中的“设备管理”。

请在有边缘端口的设备上进行如下配置。

表86 配置BPDU保护功能

操作

命令

说明

进入系统视图

system-view

使能BPDU保护功能

stp bpdu-protection

必选

缺省情况下，BPDU保护功能处于关闭状态

BPDU保护功能对使能了环回测试功能的端口无效。有关环回测试功能的相关介绍，请参见“二层技术-以太网交换配置指导”中的“以太网接口”。

2. 配置根保护功能

生成树的根桥和备份根桥应该处于同一个域内，特别是对于CIST的根桥和备份根桥，网络设计时一般会把CIST的根桥和备份根桥放在一个高带宽的核心域内。但是，由于维护人员的错误配置或网络中的恶意攻击，网络中的合法根桥有可能会收到优先级更高的BPDU，这样当前合法根桥会失去根桥的地位，引起网络拓扑结构的错误变动。这种不合法的变动，会导致原来应该通过高速链路的流量被牵引到低速链路上，导致网络拥塞。

为了防止这种情况发生，生成树协议提供了根保护功能：对于使能了根保护功能的端口，其在所有MSTI上的端口角色只能为指定端口。一旦该端口收到某MSTI优先级更高的BPDU，立即将该MSTI端口设置为侦听状态，不再转发报文（相当于将此端口相连的链路断开）。当在2倍的Forward Delay时间内没有收到更优的BPDU时，端口会恢复原来的正常状态。

请在设备的指定端口上进行如下配置。

表87 配置根保护功能

操作		命令	说明
进入系统视图		system-view	-
进入相应视图	进入二层以太网端口视图或二层聚合接口视图	interface interface-type interface-number	二者必选其一
进入相应视图	进入端口组视图	port-group manual port-group-name	二者必选其一
使能端口的根保护功能		stp root-protection	必选缺省情况下，端口上的根保护功能处于关闭状态

在同一个端口上不允许同时配置根保护功能和环路保护功能。

3. 配置环路保护功能

依靠不断接收上游设备发送的BPDU，设备可以维持根端口和其它阻塞端口的状态。但是由于链路拥塞或者单向链路故障，这些端口会收不到上游设备的BPDU，此时下游设备会重新选择端口角色，收不到BPDU的下游设备端口会转变为指定端口，而阻塞端口会迁移到转发状态，从而交换网络中会产生环路。环路保护功能会抑制这种环路的产生。

在使能了环路保护功能的端口上，其所有MSTI的初始状态均为Discarding状态：如果该端口收到了BPDU，这些MSTI可以进行正常的状态迁移；否则，这些MSTI将一直处于Discarding状态以避免环路的产生。

请在设备的根端口和替换端口上进行如下配置。

表88 配置环路保护功能

操作		命令	说明
进入系统视图		system-view	-
进入相应视图	进入二层以太网端口视图或二层聚合接口视图	interface interface-type interface-number	二者必选其一
进入相应视图	进入端口组视图	port-group manual port-group-name	二者必选其一
使能端口的环路保护功能		stp loop-protection	必选缺省情况下，端口的环路保护功能处于关闭状态

· 请不要在与用户终端相连的端口上使能环路保护功能，否则该端口会因收不到BPDU而导致其所有MSTI将一直处于Discarding状态。

· 在同一个端口上不允许同时配置边缘端口和环路保护功能，或者同时配置根保护功能和环路保护功能。

4. 配置防TC-BPDU攻击保护功能

设备在收到TC-BPDU后，会执行转发地址表项的刷新操作。在有人伪造TC-BPDU恶意攻击设备时，设备短时间内会收到很多的TC-BPDU，频繁的刷新操作给设备带来很大负担，给网络的稳定带来很大隐患。而通过在设备上使能防TC-BPDU攻击保护功能，就可以避免频繁地刷新转发地址表项。

当使能了防TC-BPDU攻击保护功能后，如果设备在单位时间（固定为十秒）内收到TC-BPDU的次数大于stp tc-protection threshold命令所指定的最高次数（假设为N次），那么该设备在这段时间之内将只进行N次刷新转发地址表项的操作，而对于超出N次的那些TC-BPDU，设备会在这段时间过后再统一进行一次地址表项刷新的操作，这样就可以避免频繁地刷新转发地址表项。

表89 配置防TC-BPDU攻击保护功能

操作	命令	说明
进入系统视图	system-view	-
使能防TC-BPDU攻击保护功能	stp tc-protection enable	可选缺省情况下，防TC-BPDU攻击保护功能处于使能状态
配置在单位时间（固定为十秒）内，设备收到TC-BPDU后立即刷新转发地址表项的最高次数	stp tc-protection threshold number	可选缺省情况下，在单位时间（固定为十秒）内，设备收到TC-BPDU后立即刷新转发地址表项的最高次数为6

建议不要关闭防TC-BPDU攻击保护功能。

5. 配置BPDU拦截功能

在使能了生成树协议的网络中，由于设备收到BPDU后会进行STP计算并向其它设备转发，因此恶意用户可借此进行BPDU攻击：通过不停地发送BPDU，使网络中的所有设备都不停地进行STP计算，从而导致设备的CPU占用率过高或BPDU的协议状态错误等问题。

为了避免这种情况，用户可以在端口上配置BPDU拦截功能。使能了该功能的端口将不再接收任何BPDU，从而能够防止设备遭受BPDU攻击，保证STP计算的正确性。

表90 配置BPDU拦截功能

操作	命令	说明
进入系统视图	system-view	-
进入二层以太网端口视图	interface interface-type interface-number	-
使能端口的BPDU拦截功能	bpdu-drop any	必选缺省情况下，端口的BPDU拦截功能处于关闭状态

开启BPDU拦截功能的端口，对收到的802.1X报文也会进行丢弃，因此请不要同时开启端口的BPDU拦截功能和802.1X功能。关于802.1X功能请参见“安全配置指导”中的“802.1X”。

16.4 生成树显示和维护

在完成上述配置后，在任意视图下执行display命令都可以显示配置后生成树的运行情况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除生成树的统计信息。

表91 生成树显示和维护

操作	命令
显示被生成树保护功能阻塞的端口信息	display stp abnormal-port [ \| { begin \| exclude \| include } regular-expression ]
显示端口上的BPDU统计信息	display stp bpdu-statistics [ interface interface-type interface-number [ instance instance-id ] ] [ \| { begin \| exclude \| include } regular-expression ]
显示被生成树保护功能down掉的端口信息	display stp down-port [ \| { begin \| exclude \| include } regular-expression ]
显示生成树端口角色计算的历史信息	display stp [ instance instance-id \| vlan vlan-id ] history [ slot slot-number ] [ \| { begin \| exclude \| include } regular-expression ]
显示生成树所有端口收发的TC或TCN报文数	display stp [ instance instance-id \| vlan vlan-id ] tc [ slot slot-number ] [ \| { begin \| exclude \| include } regular-expression ]
显示生成树的状态和统计信息	display stp [ instance instance-id \| vlan vlan-id ] [ interface interface-list \| slot slot-number ] [ brief ] [ \| { begin \| exclude \| include } regular-expression ]
显示当前生效的MST域配置信息	display stp region-configuration [ \| { begin \| exclude \| include } regular-expression ]
显示所有生成树的根桥信息	display stp root [ \| { begin \| exclude \| include } regular-expression ]
显示已使能VLAN Ignore功能的VLAN列表	display stp ignored-vlan [ \| { begin \| exclude \| include } regular-expression ]
清除生成树的统计信息	reset stp [ interface interface-list ]

16.5 PVST典型配置举例

1. 组网需求

· Device A和Device B为汇聚层设备，Device C和Device D为接入层设备。

· 通过配置PVST，使VLAN 10、20、30和40中的报文分别按照其各自VLAN所对应的生成树转发。

· 由于VLAN 10、20和30在汇聚层设备终结、VLAN 40在接入层设备终结，因此配置VLAN 10和20的根桥为Device A，VLAN 30的根桥为Device B，VLAN 40的根桥为Device C。

2. 组网图

图47 PVST典型配置组网图

3. 配置步骤

(1) 配置VLAN和端口

请按照图47在Device A和Device B上分别创建VLAN 10、20和30，在Device C上创建VLAN 10、20和40，在Device D上创建VLAN 20、30和40；将各设备的各端口配置为Trunk端口并允许相应的VLAN通过，具体配置过程略。

(2) 配置Device A

# 配置生成树的工作模式为PVST模式。

<DeviceA> system-view

[DeviceA] stp mode pvst

# 配置本设备为VLAN 10和VLAN 20的根桥。

[DeviceA] stp vlan 10 20 root primary

# 全局使能生成树协议，并使能VLAN 10、20和30中的生成树协议。

[DeviceA] stp enable

[DeviceA] stp vlan 10 20 30 enable

(3) 配置Device B

# 配置生成树的工作模式为PVST模式。

<DeviceB> system-view

[DeviceB] stp mode pvst

# 配置本设备为VLAN 30的根桥。

[DeviceB] stp vlan 30 root primary

# 全局使能生成树协议，并使能VLAN 10、20和30中的生成树协议。

[DeviceB] stp enable

[DeviceB] stp vlan 10 20 30 enable

(4) 配置Device C

# 配置生成树的工作模式为PVST模式。

<DeviceC> system-view

[DeviceC] stp mode pvst

# 配置本设备为生成树VLAN 40的根桥。

[DeviceC] stp vlan 40 root primary

# 全局使能生成树协议，并使能VLAN 10、20和40中的生成树协议。

[DeviceC] stp enable

[DeviceC] stp vlan 10 20 40 enable

(5) 配置Device D

# 配置生成树的工作模式为PVST模式。

<DeviceD> system-view

[DeviceD] stp mode pvst

# 全局使能生成树协议，并使能VLAN 20、30和40中的生成树协议。

[DeviceD] stp enable

[DeviceD] stp vlan 20 30 40 enable

(6) 检验配置效果

当网络拓扑稳定后，通过使用display stp brief命令可以查看各设备上生成树的简要信息。例如：

# 查看Device A上生成树的简要信息。

[DeviceA] display stp brief

VLAN Port Role STP State Protection

10 GigabitEthernet1/0/1 DESI DISCARDING NONE

10 GigabitEthernet1/0/3 DESI FORWARDING NONE

20 GigabitEthernet1/0/1 DESI FORWARDING NONE

20 GigabitEthernet1/0/2 DESI FORWARDING NONE

20 GigabitEthernet1/0/3 DESI FORWARDING NONE

30 GigabitEthernet1/0/2 DESI FORWARDING NONE

30 GigabitEthernet1/0/3 ROOT FORWARDING NONE

# 查看Device B上生成树的简要信息。

[DeviceB] display stp brief

VLAN Port Role STP State Protection

10 GigabitEthernet1/0/2 DESI FORWARDING NONE

10 GigabitEthernet1/0/3 ROOT FORWARDING NONE

20 GigabitEthernet1/0/1 DESI FORWARDING NONE

20 GigabitEthernet1/0/2 DESI FORWARDING NONE

20 GigabitEthernet1/0/3 ROOT FORWARDING NONE

30 GigabitEthernet1/0/1 DESI FORWARDING NONE

30 GigabitEthernet1/0/3 DESI FORWARDING NONE

# 查看Device C上生成树的简要信息。

[DeviceC] display stp brief

VLAN Port Role STP State Protection

10 GigabitEthernet1/0/1 ROOT FORWARDING NONE

10 GigabitEthernet1/0/2 ALTE FORWARDING NONE

20 GigabitEthernet1/0/1 ROOT FORWARDING NONE

20 GigabitEthernet1/0/2 ALTE FORWARDING NONE

20 GigabitEthernet1/0/3 DESI DISCARDING NONE

40 GigabitEthernet1/0/3 DESI FORWARDING NONE

# 查看Device D上生成树的简要信息。

[DeviceD] display stp brief

VLAN Port Role STP State Protection

20 GigabitEthernet1/0/1 ALTE FORWARDING NONE

20 GigabitEthernet1/0/2 ROOT DISCARDING NONE

20 GigabitEthernet1/0/3 ALTE DISCARDING NONE

30 GigabitEthernet1/0/1 ROOT FORWARDING NONE

30 GigabitEthernet1/0/2 ALTE DISCARDING NONE

40 GigabitEthernet1/0/3 ROOT FORWARDING NONE

根据上述显示信息，可以绘出各VLAN所对应生成树的拓扑，如图48所示。

图48 各VLAN所对应生成树的拓扑图

16.6 PVST相关配置命令

16.6.1 bpdu-drop any

【命令】

bpdu-drop any

undo bpdu-drop any

【视图】

以太网接口视图

【缺省级别】

2：系统级

【参数】

无

【描述】

bpdu-drop any命令用来使能端口的BPDU拦截功能。undo bpdu-drop any命令用来关闭端口的BPDU拦截功能。

缺省情况下，端口的BPDU拦截功能处于关闭状态。

【举例】

# 在端口GigabitEthernet1/0/1上使能BPDU拦截功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] bpdu-drop any

16.6.2 display stp

【命令】

display stp [ instance instance-id | vlan vlan-id ] [ interface interface-list | slot slot-number ] [ brief ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

instance instance-id：显示指定MSTI的生成树状态和统计信息。instance-id为MSTI的编号，取值范围为0到15，0表示CIST。

vlan vlan-id：显示指定VLAN的生成树状态和统计信息，vlan-id为VLAN的编号，取值范围为1到4094。

interface interface-list：显示指定端口上的生成树状态和统计信息。interface-list为端口列表，表示多个端口，表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中，interface-type为端口类型，interface-number为端口编号。&<1-10>表示前面的参数最多可以输入10次。

slot slot-number：显示指定成员设备上的生成树状态和统计信息，slot-number表示设备在IRF中的成员编号。如果不指定该参数，将显示所有成员设备上的生成树状态和统计信息。

brief：显示生成树状态和统计的简要信息。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display stp命令用来显示生成树的状态和统计信息。根据这些信息，可以对网络拓扑结构进行分析与维护，也可以用于查看生成树协议工作是否正常。

需要注意的是：

(1) 在STP/RSTP模式下：

· 如果未指定端口，则显示所有端口上的生成树状态和统计信息，显示信息按照端口名称的顺序排列。

· 如果指定了端口，则显示该端口上的生成树状态和统计信息，显示信息按照端口名称的顺序排列。

(2) 在MSTP模式下：

· 如果未指定MSTI和端口，则显示所有MSTI在所有端口上的生成树状态和统计信息，显示信息按照MSTI编号的顺序排列，各MSTI内部再按照端口名称的顺序排列。

· 如果指定了MSTI但未指定端口，则显示该MSTI在所有端口上的生成树状态和统计信息，显示信息按照端口名称的顺序排列。

· 如果指定了端口但未指定MSTI，则显示所有MSTI在该端口上的生成树状态和统计信息，显示信息按照MSTI编号的顺序排列，各MSTI内部再按照端口名称的顺序排列。

· 如果同时指定了MSTI和端口，则显示指定MSTI在指定端口上的生成树状态和统计信息，显示信息按照端口名称的顺序排列。

(3) 在PVST模式下：

· 如果未指定VLAN和端口，则显示所有VLAN在所有端口上的生成树状态和统计信息，显示信息按照VLAN编号的顺序排列，各VLAN内部再按照端口名称的顺序排列。

· 如果指定了VLAN但未指定端口，则显示该VLAN在所有端口上的生成树状态和统计信息，显示信息按照端口名称的顺序排列。

· 如果指定了端口但未指定VLAN，则显示所有VLAN在该端口上的生成树状态和统计信息，显示信息按照VLAN编号的顺序排列，各VLAN内部再按照端口名称的顺序排列。

· 如果同时指定了VLAN和端口，则显示指定VLAN在指定端口上的生成树状态和统计信息，显示信息按照端口名称的顺序排列。

相关配置可参考命令reset stp。

【举例】

# 在MSTP模式下，显示MSTI 0在端口GigabitEthernet1/0/1～GigabitEthernet1/0/4上生成树状态和统计的简要信息。

<Sysname> display stp instance 0 interface gigabitethernet 1/0/1 to gigabitethernet 1/0/4 brief

MSTID Port Role STP State Protection

0 GigabitEthernet1/0/1 ALTE DISCARDING LOOP

0 GigabitEthernet1/0/2 DESI FORWARDING NONE

0 GigabitEthernet1/0/3 DESI FORWARDING NONE

0 GigabitEthernet1/0/4 DESI FORWARDING NONE

# 在PVST模式下，显示VLAN 2在端口GigabitEthernet1/0/1～GigabitEthernet1/0/4上生成树状态和统计的简要信息。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] display stp vlan 2 interface gigabitethernet 1/0/1 to gigabitethernet 1/0/4 brief

VLAN Port Role STP State Protection

2 GigabitEthernet1/0/1 ALTE DISCARDING LOOP

2 GigabitEthernet1/0/2 DESI FORWARDING NONE

2 GigabitEthernet1/0/3 DESI FORWARDING NONE

2 GigabitEthernet1/0/4 DESI FORWARDING NONE

表92 display stp brief命令显示信息描述表

字段	描述
MSTID	MSTI的编号
VLAN	VLAN的编号
Port	端口名称，和相应的MSTI或VLAN对应
Role	端口角色： · ALTE：表示替换端口 · BACK：表示备份端口 · ROOT：表示根端口 · DESI：表示指定端口 · MAST：表示主端口 · DISA：表示失效端口
STP State	端口状态： · FORWARDING：表示可以接收和发送BPDU，也转发用户流量 · DISCARDING：表示可以接收和发送BPDU，但不转发用户流量 · LEARNING：表示可以接收和发送BPDU，但不转发用户流量，是一种过渡状态
Protection	端口上的保护类型： · ROOT：表示根保护 · LOOP：表示环路保护 · BPDU：表示BPDU保护 · BPDU/ROOT：表示BPDU保护和根保护 · NONE：表示无保护

# 在MSTP模式下，显示所有MSTI在所有端口上的生成树状态和统计信息。

<Sysname> display stp

-------[CIST Global Info][Mode MSTP]-------

CIST Bridge :32768.000f-e200-2200

Bridge Times :Hello 2s MaxAge 20s FwDly 15s MaxHop 20

CIST Root/ERPC :0.00e0-fc0e-6554 / 200200

CIST RegRoot/IRPC :32768.000f-e200-2200 / 0

CIST RootPortId :128.48

BPDU-Protection :disabled

Bridge Config-

Digest-Snooping :disabled

TC or TCN received :2

Time since last TC :0 days 0h:5m:42s

----[Port1(GigabitEthernet1/0/1)][FORWARDING]----

Port Protocol :enabled

Port Role :CIST Designated Port

Port Priority :128

Port Cost(Legacy) :Config=auto / Active=200

Desg. Bridge/Port :32768.000f-e200-2200 / 128.2

Port Edged :Config=disabled / Active=disabled

Point-to-point :Config=auto / Active=true

Transmit Limit :10 packets/hello-time

Protection Type :None

MST BPDU Format :Config=auto / Active=legacy

Port Config-

Digest-Snooping :disabled

Rapid transition :false

Num of Vlans Mapped :1

PortTimes :Hello 2s MaxAge 20s FwDly 15s MsgAge 2s RemHop 20

BPDU Sent :186

TCN: 0, Config: 0, RST: 0, MST: 186

BPDU Received :0

TCN: 0, Config: 0, RST: 0, MST: 0

-------[MSTI 1 Global Info]-------

MSTI Bridge ID :0.000f-e23e-9ca4

MSTI RegRoot/IRPC :0.000f-e23e-9ca4 / 0

MSTI RootPortId :0.0

MSTI Root Type :PRIMARY root

Master Bridge :32768.000f-e23e-9ca4

Cost to Master :0

TC received :0

# 在PVST模式下，显示所有VLAN在所有端口上的生成树状态和统计信息。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] display stp

-------[VLAN 1 Global Info]-------

Protocol Status :enabled

Bridge ID :32768.000f-e200-2200

Bridge Times :Hello 2s MaxAge 20s FwDly 15s

Root ID / RPC :0.00e0-fc0e-6554 / 200200

Root PortId :128.48

BPDU-Protection :disabled

TC or TCN received :2

Time since last TC :0 days 0h:5m:42s

----[Port1(GigabitEthernet1/0/1)][FORWARDING]----

Port Protocol :enabled

Port Role :Designated Port

Port Priority :128

Port Cost(Legacy) :Config=auto / Active=200

Desg. Bridge/Port :32768.000f-e200-2200 / 128.2

Port Edged :Config=disabled / Active=disabled

Point-to-point :Config=auto / Active=true

Transmit Limit :10 packets/hello-time

Protection Type :None

Rapid transition :false

PortTimes :Hello 2s MaxAge 20s FwDly 15s MsgAge 2s

BPDU Sent :186

TCN: 0, Config: 0, RST: 0

BPDU Received :0

TCN: 0, Config: 0, RST: 0, MST: 0

-------[VLAN 2 Global Info]-------

Protocol Status :enabled

Bridge ID :32768.000f-e200-2200

Bridge Times :Hello 2s MaxAge 20s FwDly 15s

Root ID / RPC :0.00e0-fc0e-6554 / 200200

Root PortId :128.48

BPDU-Protection :disabled

TC or TCN received :2

Time since last TC :0 days 0h:5m:42s

# 当生成树协议未使能时，显示生成树的状态和统计信息。

<Sysname> display stp

Protocol Status :disabled

Protocol Std. :IEEE 802.1s

Version :3

Bridge-Prio. :32768

MAC address :000f-e200-8048

Max age(s) :20

Forward delay(s) :15

Hello time(s) :2

Max hops :20

表93 display stp命令显示信息描述表

字段	描述
CIST Bridge	CIST上的网桥ID，由两部分构成：“.”之前和之后的内容分别表示为本设备在CIST中的优先级和本设备的MAC地址。譬如，“32768.000f-e200-2200”表示本设备在CIST中的优先级为32768，其MAC地址为000F-E200-2200
Bridge ID	网桥ID，由两部分构成：“.”之前和之后的内容分别表示为本设备在VLAN 1中的桥优先级和本设备的MAC地址。譬如，“32768.000f-e200-2200”表示本设备在VLAN 1中的桥优先级为32768，其MAC地址为000F-E200-2200
Bridge Times	网桥相关的主要参数值： · Hello：表示Hello time定时器值 · MaxAge：表示Max Age定时器值 · FwDly：表示Forward delay定时器值 · MaxHop：表示MST域的最大跳数
CIST Root/ERPC	CIST总根ID/外部路径开销（即本设备到CIST总根的路径开销）
CIST RegRoot/IRPC	CIST域根ID/内部路径开销（即本设备到CIST域根的路径开销）
Root ID / RPC	VLAN根桥ID/根路径开销（即本设备到该VLAN根桥的路径开销）
CIST RootPortId	CIST根端口的端口ID。“0.0”表示本设备为根设备，没有根端口
Root PortId	VLAN根端口的端口ID。“0.0”表示本设备为根设备，没有根端口
BPDU-Protection	BPDU保护功能的全局使能状态
Bridge Config- Digest-Snooping	摘要侦听功能的全局使能状态
TC or TCN received	MSTI或VLAN收到的TC及TCN报文数
Time since last TC	MSTI或VLAN最近一次拓扑变化时间
[FORWARDING]	端口状态为Forwarding状态
[DISCARDING]	端口状态为Discarding状态
[LEARNING]	端口状态为Learning状态
Port Protocol	生成树协议在端口上的使能状态
Port Role	端口角色，和MSTI相对应。具体角色分为：Alternate、Backup、Root、Designated、Master、Disabled
Port Priority	端口优先级
Port Cost(Legacy)	端口的路径开销（Legacy表示当前设备的路径开销的计算方法，此外还有dot1d-1998和dot1t两种计算方式）： · Config：表示配置值 · Active：表示实际值
Desg. Bridge/Port	端口的指定桥ID和端口ID（对于不支持端口优先级的端口，这里显示的端口ID没有意义）
Port Edged	端口是否为边缘端口： · Config：表示配置值 · Active：表示实际值
Point-to-point	端口是否与点对点链路相连： · Config：表示配置值 · Active：表示实际值
Transmit Limit	端口每个Hello Time时间间隔发送报文的上限
Protection Type	端口遇到异常情况启动保护的类型： · Root：表示根保护 · Loop：表示环路保护 · BPDU：表示BPDU保护 · BPDU/Root：表示BPDU保护和根保护 · None：表示无保护
MST BPDU Format	端口发送MSTP报文的格式，取值为legacy和802.1s： · Config：表示配置值 · Active：表示实际值
Port Config- Digest-Snooping	摘要侦听功能在端口上的使能状态
Rapid transition	端口在当前MSTI或VLAN中是否快速迁移至转发状态
Num of Vlans Mapped	端口在当前MSTI中的VLAN计数
PortTimes	端口相关的主要参数值： · Hello：表示Hello time定时器值 · MaxAge：表示Max Age定时器值 · FwDly：表示Forward delay定时器值 · MsgAge：表示Message Age定时器值 · RemHop：表示剩余跳数
BPDU Sent	端口发送报文计数
BPDU Received	端口接收报文计数
MSTI Bridge ID	MSTI网桥ID
MSTI RegRoot/IRPC	MSTI域根/内部路径开销
MSTI RootPortId	MSTI根端口的端口ID
MSTI Root Type	MSTI域根类型： · PRIMARY root：表示根桥 · SECONDARY root：表示备份根桥
Master Bridge	MSTI的Master桥ID
Cost to Master	MSTI到Master桥的路径开销
TC received	MSTI收到的TC报文数
Protocol Status	生成树协议的全局使能状态
Protocol Std.	生成树协议采用的协议标准
Version	生成树协议采用的协议版本
Bridge-Prio.	在MSTP模式下，表示CIST的桥优先级；在PVST模式下，表示VLAN 1的桥优先级
MAC address	本设备的MAC地址
Max age(s)	BPDU的最大生存时间（单位为秒，在PVST模式下为VLAN 1的配置）
Forward delay(s)	端口状态迁移的延时（单位为秒，在PVST模式下为VLAN 1的配置）
Hello time(s)	根设备发送BPDU的周期（单位为秒，在PVST模式下为VLAN 1的配置）
Max hops	MST域中的最大跳数

16.6.3 display stp abnormal-port

【命令】

display stp abnormal-port [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display stp abnormal-port命令用来显示被生成树保护功能阻塞的端口信息。

【举例】

# 在MSTP模式下，显示被生成树保护功能阻塞的端口信息。

<Sysname> display stp abnormal-port

MSTID Blocked Port Reason

1 GigabitEthernet1/0/1 ROOT-Protected

2 GigabitEthernet1/0/2 LOOP-Protected

2 GigabitEthernet1/0/3 Formatcompatibility–Protected

# 在PVST模式下，显示被生成树保护功能阻塞的端口信息。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] display stp abnormal-port

VLAN Blocked Port Reason

1 GigabitEthernet1/0/1 ROOT-Protected

2 GigabitEthernet1/0/2 LOOP-Protected

2 GigabitEthernet1/0/3 Formatcompatibility–Protected

表94 display stp abnormal-port命令显示信息描述表

字段	描述
MSTID	被生成树保护功能阻塞的端口所在MSTI的编号
VLAN	被生成树保护功能阻塞的端口所在VLAN的编号
Blocked Port	被生成树保护功能阻塞的端口名称
Reason	导致端口阻塞的原因： · ROOT-Protected：表示发生了根保护 · LOOP-Protected：表示发生了环路保护 · Formatcompatibility-Protected：表示发生了MSTP报文格式不兼容保护 · InconsistentPortType-Protected：表示发生了端口类型不一致保护 · InconsistentPvid-Protected：表示发生了PVID不一致保护

16.6.4 display stp bpdu-statistics

【命令】

display stp bpdu-statistics [ interface interface-type interface-number [ instance instance-id ] ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

interface interface-type interface-number：显示指定端口上的BPDU统计信息，interface-type interface-number表示端口类型和端口编号。

instance instance-id：显示指定MSTI在端口上的BPDU统计信息。instance-id为MSTI的编号，取值范围为0到15，0表示CIST。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display stp bpdu-statistics命令用来显示端口上的BPDU统计信息。

需要注意的是：

(1) 在MSTP模式下：

· 如果未指定端口和MSTI，则显示所有MSTI在所有端口上的BPDU统计信息，显示信息按照端口名称的顺序排列，各端口内部再按照MSTI编号的顺序排列。

· 如果指定了端口但未指定MSTI，则显示所有MSTI在该端口上的BPDU统计信息，显示信息按照MSTI编号的顺序排列。

· 如果同时指定了MSTI和端口，则显示指定MSTI在指定端口上的BPDU统计信息。

(2) 在STP/RSTP/PVST模式下：

· 如果未指定端口，则显示所有端口上的BPDU统计信息，显示信息按照端口名称的顺序排列。

· 如果指定了端口，则显示该端口上的BPDU统计信息。

【举例】

# 在MSTP模式下，显示所有MSTI在端口GigabitEthernet1/0/1上的BPDU统计信息。

<Sysname> display stp bpdu-statistics interface gigabitethernet 1/0/1

Port: GigabitEthernet1/0/1

Instance-independent:

Type Count Last Updated

--------------------------- ---------- -----------------

Invalid BPDUs 0

Looped-back BPDUs 0

MAX-aged BPDUs 0

TCN sent 0

TCN received 0

TCA sent 0

TCA received 2 10:33:12 01/13/2010

Config sent 0

Config received 0

RST sent 0

RST received 0

MST sent 4 10:33:11 01/13/2010

MST received 151 10:37:43 01/13/2010

Instance 0:

Type Count Last Updated

--------------------------- ---------- -----------------

Timeout BPDUs 0

MAX-hoped BPDUs 0

TC detected 1 10:32:40 01/13/2010

TC sent 3 10:33:11 01/13/2010

TC received 0

Instance 1:

Type Count Last Updated

--------------------------- ---------- -----------------

Timeout BPDUs 0

MAX-hoped BPDUs 0

TC detected 0

TC sent 0

TC received 0

Instance 2:

Type Count Last Updated

--------------------------- ---------- -----------------

Timeout BPDUs 0

MAX-hoped BPDUs 0

TC detected 0

TC sent 0

TC received 0

# 在PVST模式下，显示端口GigabitEthernet1/0/1上的BPDU统计信息。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] display stp bpdu-statistics interface gigabitethernet 1/0/1

Port: GigabitEthernet1/0/1

Type Count Last Updated

--------------------------- ---------- -----------------

Invalid BPDUs 0

Looped-back BPDUs 0

MAX-aged BPDUs 0

TCN sent 0

TCN received 0

TCA sent 0

TCA received 2 10:33:12 01/13/2010

Config sent 0

Config received 0

RST sent 0

RST received 0

MST sent 4 10:33:11 01/13/2010

MST received 151 10:37:43 01/13/2010

Timeout BPDUs 0

MAX-hoped BPDUs 0

TC detected 511 10:32:40 01/13/2010

TC sent 8844 10:33:11 01/13/2010

TC received 1426 10:33:32 01/13/2010

表95 display stp bpdu-statistics命令显示信息描述表

字段	描述
Port	端口名称
Instance-independent	与MSTI无关的统计信息
Type	统计类型
Count	统计值
Last Updated	最后更新时间
Invalid BPDUs	无效或非法的BPDU数量
Looped-back BPDUs	自环（即收到由本端口发出）的BPDU数量
MAX-aged BPDUs	超过最大生存时间的BPDU数量
TCN sent	发出的TCN报文数量
TCN received	收到的TCN报文数量
TCA sent	发出的TCA报文数量
TCA received	收到的TCA报文数量
Config sent	发出的Configuration报文数量
Config received	收到的Configuration报文数量
RST sent	发出的RSTP BPDU数量
RST received	收到的RSTP BPDU数量
MST sent	发出的MSTP BPDU数量
MST received	收到的MSTP BPDU数量
Instance	与指定MSTI相关的统计信息
Timeout BPDUs	老化的BPDU数量
MAX-hoped BPDUs	超过最大跳数的BPDU数量
TC detected	监测到的拓扑变化的次数
TC sent	发出的TC报文数量
TC received	收到的TC报文数量

16.6.5 display stp down-port

【命令】

display stp down-port [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display stp down-port命令用来显示被生成树保护功能down掉的端口信息。

【举例】

# 显示被生成树保护功能down掉的端口信息。

<Sysname> display stp down-port

Down Port Reason

GigabitEthernet1/0/1 BPDU-Protected

GigabitEthernet1/0/2 Formatfrequency-Protected

表96 display stp down-port命令显示信息描述表

字段

描述

Down Port

被生成树保护功能down掉的端口名称

Reason

导致端口down的原因：

· BPDU-Protected：表示BPDU保护

· Formatfrequency-Protected：表示MSTP报文格式频繁切换保护

16.6.6 display stp history

【命令】

display stp [ instance instance-id | vlan vlan-id ] history [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

0：访问级

【参数】

instance instance-id：显示指定MSTI中端口角色计算的历史信息。instance-id为MSTI的编号，取值范围为0到15，0表示CIST。

vlan vlan-id：显示指定VLAN中端口角色计算的历史信息，vlan-id为VLAN的编号，取值范围为1到4094。

slot slot-number：显示指定成员设备上端口角色计算的历史信息，slot-number表示设备在IRF中的成员编号。如果不指定该参数，将显示所有成员设备上端口角色计算的历史信息。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display stp history命令用来显示生成树端口角色计算的历史信息。

需要注意的是：

(1) 在STP/RSTP模式下，显示信息按照端口角色计算的时间先后顺序排列。

(2) 在MSTP模式下：

· 如果未指定MSTI，则显示所有MSTI中端口角色计算的历史信息，显示信息按照MSTI编号的顺序排列，各MSTI内部再按照端口角色计算的时间先后顺序排列。

· 如果指定了MSTI，则显示指定MSTI中端口角色计算的历史信息，显示信息按照端口角色计算的时间先后顺序排列。

(3) 在PVST模式下：

· 如果未指定VLAN，则显示所有VLAN中端口角色计算的历史信息，显示信息按照VLAN编号的顺序排列，各VLAN内部再按照端口角色计算的时间先后顺序排列。

· 如果指定了VLAN，则显示指定VLAN中端口角色计算的历史信息，显示信息按照端口角色计算的时间先后顺序排列。

【举例】

# 在MSTP模式下，显示1号成员设备上MSTI 2中端口角色计算的历史信息。

<Sysname> display stp instance 2 history slot 1

--------------- STP slot 1 history trace ---------------

------------------- Instance 2 ---------------------

Port GigabitEthernet1/0/1

Role change : ROOT->DESI (Aged)

Time : 2009/02/08 00:22:56

Port priority : 0.00e0-fc01-6510 0 0.00e0-fc01-6510 128.1

Port GigabitEthernet1/0/2

Role change : ALTER->ROOT

Time : 2009/02/08 00:22:56

Port priority : 0.00e0-fc01-6510 0 0.00e0-fc01-6510 128.2

# 在PVST模式下，显示1号成员设备上VLAN 2中端口角色计算的历史信息。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] display stp vlan 2 history slot 1

--------------- STP slot 1 history trace ---------------

------------------- VLAN 2 ---------------------

Port GigabitEthernet1/0/1

Role change : ROOT->DESI (Aged)

Time : 2009/02/08 00:22:56

Port priority : 0.00e0-fc01-6510 0 0.00e0-fc01-6510 128.1

Port GigabitEthernet1/0/2

Role change : ALTER->ROOT

Time : 2009/02/08 00:22:56

Port priority : 0.00e0-fc01-6510 0 0.00e0-fc01-6510 128.2

表97 display stp history命令显示信息描述表

字段	描述
Port	端口名称
Role change	显示端口的角色变化（Aged表示由于报文超时引起的角色变化）
Time	端口角色计算时间
Port priority	端口优先级

16.6.7 display stp ignored-vlan

【命令】

display stp ignored-vlan [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display stp ignored-vlan命令用来显示已使能VLAN Ignore功能的VLAN列表。

【举例】

# 显示已使能VLAN Ignore功能的VLAN列表。

<Sysname> display stp ignored-vlan

STP-Ignored VLAN: 1 to 2

表98 display stp ignored-vlan命令显示信息描述表

字段	描述
STP-Ignored VLAN	已使能VLAN Ignore功能的VLAN，NONE表示尚无VLAN使能VLAN Ignore功能

16.6.8 display stp region-configuration

【命令】

display stp region-configuration [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display stp region-configuration命令用来显示当前生效的MST域配置信息，包括域名、修订级别以及VLAN映射表。

相关配置可参考命令instance、region-name、revision-level和vlan-mapping modulo。

【举例】

# 在MSTP模式下，显示当前生效的MST域配置信息。

<Sysname> display stp region-configuration

Oper Configuration

Format selector :0

Region name :hello

Revision level :0

Configuration digest :0x5f762d9a46311effb7a488a3267fca9f

Instance Vlans Mapped

0 21 to 4094

1 1 to 10

2 11 to 20

# 在PVST模式下，显示当前生效的MST域配置信息。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] display stp region-configuration

Oper Configuration

Format selector :0

Region name :hello

Revision level :0

Configuration digest :0x5f762d9a46311effb7a488a3267fca9f

Instance Mode Vlans Mapped

0 default 3 to 4094

1 static 1

2 dynamic 2

表99 display stp region-configuration命令显示信息描述表

字段	描述
Format selector	生成树协议规定的选择因子，缺省值为0，不可配置
Region name	MST域的域名
Revision level	MST域的修订级别，可使用命令revision-level来配置，缺省为0级
Configuration digest	配置摘要
Instance	MSTI的编号
Mode	MSTI的模式： · default：表示缺省存在的实例（即MSTI 0），在PVST模式下不运行生成树 · static：表示静态配置的实例 · dynamic：表示动态分配的实例，只在PVST模式下存在
Vlans Mapped	映射到MSTI的VLAN

16.6.9 display stp root

【命令】

display stp root [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

1：监控级

【参数】

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display stp root命令用来显示所有生成树的根桥信息。

【举例】

# 在MSTP模式下，显示所有生成树的根桥信息。

<Sysname> display stp root

MSTID Root Bridge ID ExtPathCost IntPathCost Root Port

0 0.00e0-fc0e-6554 200200 0 GigabitEthernet1/0/1

# 在PVST模式下，显示所有生成树的根桥信息。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] display stp root

VLAN Root Bridge ID ExtPathCost IntPathCost Root Port

1 0.00e0-fc0e-6554 200200 0 GigabitEthernet1/0/1

表100 display stp root命令显示信息描述表

字段	描述
MSTID	MSTI的编号
VLAN	VLAN的编号
Root Bridge ID	根桥的编号
ExtPathCost	外部路径开销。设备可自动计算端口的缺省路径开销，用户也可使用命令stp cost来配置端口的路径开销
IntPathCost	内部路径开销。设备可自动计算端口的缺省路径开销，用户也可使用命令stp cost来配置端口的路径开销
Root Port	根端口名称（若当前设备的某个端口是MSTI的根端口则显示，否则不显示）

16.6.10 display stp tc

【命令】

display stp [ instance instance-id | vlan vlan-id ] tc [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【视图】

任意视图

【缺省级别】

0：访问级

【参数】

instance instance-id：显示指定MSTI中所有端口收发的TC或TCN报文数。instance-id为MSTI的编号，取值范围为0到15，0表示CIST。

vlan vlan-id：显示指定VLAN中所有端口收发的TC或TCN报文数，vlan-id为VLAN的编号，取值范围为1到4094。

slot slot-number：显示指定成员设备上所有端口收发的TC或TCN报文数，slot-number表示设备在IRF中的成员编号。如果不指定该参数，将显示所有成员设备上所有端口收发的TC或TCN报文数。

|：使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍，请参见“基础配置指导”中的“CLI”。

begin：从包含指定正则表达式的行开始显示。

exclude：只显示不包含指定正则表达式的行。

include：只显示包含指定正则表达式的行。

regular-expression：表示正则表达式，为1～256个字符的字符串，区分大小写。

【描述】

display stp tc命令用来显示生成树所有端口收发的TC或TCN报文数。

需要注意的是：

(1) 在STP/RSTP模式下，显示信息按照端口名称的顺序排列。

(2) 在MSTP模式下：

· 如果未指定MSTI，则显示所有MSTI中所有端口收发的TC或TCN报文数，显示信息按照MSTI编号的顺序排列，各MSTI内部再按照端口名称的顺序排列。

· 如果指定了MSTI，则显示指定MSTI中所有端口收发的TC或TCN报文数，显示信息按照端口名称的顺序排列。

(3) 在PVST模式下：

· 如果未指定VLAN，则显示所有VLAN中所有端口收发的TC或TCN报文数，显示信息按照VLAN编号的顺序排列，各VLAN内部再按照端口名称的顺序排列。

· 如果指定了VLAN，则显示指定VLAN中所有端口收发的TC或TCN报文数，显示信息按照端口名称的顺序排列。

【举例】

# 在MSTP模式下，显示1号成员设备上MSTI 0中所有端口收发的TC或TCN报文数。

<Sysname> display stp instance 0 tc slot 1

-------------- STP slot 1 TC or TCN count -------------

MSTID Port Receive Send

0 GigabitEthernet1/0/1 6 4

0 GigabitEthernet1/0/2 0 2

# 在PVST模式下，显示1号成员设备上VLAN 2中所有端口收发的TC或TCN报文数。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] display stp vlan 2 tc slot 1

-------------- STP slot 1 TC or TCN count -------------

VLAN Port Receive Send

2 GigabitEthernet1/0/1 6 4

2 GigabitEthernet1/0/2 0 2

表101 display stp tc命令显示信息描述表

字段	描述
MSTID	MSTI的编号
VLAN	VLAN的编号
Port	端口名称
Receive	端口收到的TC或TCN报文数
Send	端口发出的TC或TCN报文数

16.6.11 reset stp

【命令】

reset stp [ interface interface-list ]

【视图】

用户视图

【缺省级别】

1：监控级

【参数】

interface interface-list：清除指定端口上的生成树统计信息。interface-list为端口列表，表示多个端口，表示方式为interface-list = { interface-type interface-number [ to interface-type interface-number ] }&<1-10>。其中，interface-type为端口类型，interface-number为端口编号。&<1-10>表示前面的参数最多可以输入10次。如果未指定本参数，则清除所有端口上的生成树统计信息。

【描述】

reset stp命令用来清除生成树的统计信息，包括端口收发的TCN BPDU、CONFIG BPDU、RST BPDU和MST BPDU的数量。

相关配置可参考命令display stp。

【举例】

# 清除端口GigabitEthernet1/0/1到GigabitEthernet1/0/3上的生成树统计信息。

<Sysname> reset stp interface gigabitethernet 1/0/1 to gigabitethernet 1/0/3

16.6.12 stp bpdu-protection

【命令】

stp bpdu-protection

undo stp bpdu-protection

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

stp bpdu-protection命令用来使能BPDU保护功能。undo stp bpdu-protection命令用来关闭BPDU保护功能。

缺省情况下，BPDU保护功能处于关闭状态。

【举例】

# 使能BPDU保护功能。

<Sysname> system-view

[Sysname] stp bpdu-protection

16.6.13 stp bridge-diameter

【命令】

stp [ vlan vlan-list ] bridge-diameter diameter

undo stp [ vlan vlan-list ] bridge-diameter

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

vlan vlan-list：指定VLAN。vlan-list为VLAN列表，表示多个VLAN。表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-10>。其中，vlan-id为VLAN的编号，取值范围为1到4094。&<1-10>表示前面的参数最多可以输入10次。

diameter：表示交换网络的网络直径，取值范围为2～7。

【描述】

stp bridge-diameter命令用来配置交换网络的网络直径，即交换网络中任意两台终端设备间的最大设备数。undo stp bridge-diameter命令用来恢复缺省情况。

缺省情况下，交换网络的网络直径为7。

需要注意的是：

· 选用合适的Hello Time、Forward Delay和Max Age时间参数，可以加快生成树收敛速度。上述三个时间参数的取值与网络规模有关，因此可以通过调整网络直径使生成树协议自动调整这三个时间参数的值。当网络直径为缺省值7时，这三个时间参数也分别取其各自的缺省值。

· 如果未指定VLAN，表示配置STP/RSTP/MSTP交换网络的网络直径；如果指定了VLAN，则表示配置PVST交换网络中指定VLAN的网络直径。

· 在STP/RSTP/MSTP模式下，每个MST域将被视为一台设备，且网络直径配置只对CIST有效（即只能在总根上生效），而对MSTI无效。

· 在PVST模式下，网络直径的配置只能在根桥上生效。

相关配置可参考命令stp timer forward-delay、stp timer hello和stp timer max-age。

【举例】

# 在MSTP模式下，配置交换网络的网络直径为5。

<Sysname> system-view

[Sysname] stp bridge-diameter 5

# 在PVST模式下，配置交换网络中VLAN 2的网络直径为5。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] stp vlan 2 bridge-diameter 5

16.6.14 stp cost

【命令】

stp [ instance instance-id | vlan vlan-list ] cost cost

undo stp [ instance instance-id | vlan vlan-list ] cost

【视图】

以太网接口视图/二层聚合接口视图/端口组视图

【缺省级别】

2：系统级

【参数】

instance instance-id：指定MSTI。instance-id为MSTI的编号，取值范围为0到15，0表示CIST。

cost：表示端口的路径开销值。取值范围由计算端口缺省路径开销所采用的计算方法来决定：

· 当采用IEEE 802.1D-1998标准来计算时，取值范围为1～65535。

· 当采用IEEE 802.1t标准来计算时，取值范围为1～200000000。

· 当采用私有标准来计算时，取值范围为1～200000。

【描述】

stp cost命令用来配置端口的路径开销。undo stp cost命令用来恢复缺省情况。

缺省情况下，自动按照相应的标准计算各生成树上的路径开销。

需要注意的是：

· 以太网接口视图下的配置只对当前端口生效；端口组视图下的配置对当前端口组中的所有端口生效；二层聚合接口视图下的配置只对当前接口生效；聚合成员端口上的配置，只有当成员端口退出聚合组后才能生效。

· 如果指定了MSTI，表示配置端口在MSTP指定MSTI的路径开销；如果指定了VLAN，表示配置端口在PVST指定VLAN的路径开销；如果未指定MSTI和VLAN，则表示配置端口在MSTP CIST或STP/RSTP的路径开销。

· 端口的路径开销是生成树计算的重要依据，可以影响端口的角色选择。在不同生成树上为同一端口配置不同的路径开销值，可以使不同VLAN的流量沿不同的物理链路转发，从而实现按VLAN的负载分担的功能。

· 当端口的路径开销值改变时，系统将重新计算端口的角色并进行状态迁移。

相关配置可参考命令display stp和stp pathcost-standard。

【举例】

# 在MSTP模式下，配置端口GigabitEthernet1/0/3在MSTI 2上的路径开销值为200。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/3

[Sysname-GigabitEthernet1/0/3] stp instance 2 cost 200

# 在PVST模式下，配置端口GigabitEthernet1/0/3在VLAN 2上的路径开销为200。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] interface gigabitethernet 1/0/3

[Sysname-GigabitEthernet1/0/3] stp vlan 2 cost 200

16.6.15 stp edged-port

【命令】

stp edged-port { enable | disable }

undo stp edged-port

【视图】

以太网接口视图/二层聚合接口视图/端口组视图

【缺省级别】

2：系统级

【参数】

enable：配置当前端口为边缘端口。

disable：配置当前端口为非边缘端口。

【描述】

stp edged-port命令用来配置当前端口为边缘端口或非边缘端口。undo stp edged-port命令用来恢复缺省情况。

缺省情况下，端口为非边缘端口。

需要注意的是：

· 当端口直接与用户终端相连，而没有连接到其它设备或共享网段上，则该端口被认为是边缘端口。网络拓扑变化时，边缘端口不会产生临时环路。因此，如果将某个端口配置为边缘端口，则该端口可以快速迁移到转发状态。对于直接与用户终端相连的端口，为能使其快速迁移到转发状态，请将其设置为边缘端口。

· 由于边缘端口不与其它设备相连，所以不会收到其它设备发过来的BPDU。在设备没有使能BPDU保护功能时，如果端口收到BPDU，即使用户设置该端口为边缘端口，该端口的实际运行状态也是非边缘端口。

· 在同一个端口上不允许同时配置边缘端口和环路保护功能。

相关配置可参考命令stp loop-protection。

【举例】

# 配置端口GigabitEthernet1/0/1为边缘端口。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] stp edged-port enable

16.6.16 stp enable

【命令】

在系统视图下：

stp [ vlan vlan-list ] enable

undo stp [ vlan vlan-list ] enable

在以太网接口视图、二层聚合接口视图、端口组视图下：

stp enable

undo stp enable

【视图】

系统视图/以太网接口视图/二层聚合接口视图/端口组视图

【缺省级别】

2：系统级

【参数】

vlan vlan-list：使能或关闭指定VLAN上的生成树协议。vlan-list为VLAN列表，表示多个VLAN。表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-10>。其中，vlan-id为VLAN的编号，取值范围为1到4094。&<1-10>表示前面的参数最多可以输入10次。如果不指定该参数，将使能或关闭全局的（不包括VLAN上的）生成树协议。

【描述】

stp enable命令用来使能生成树协议。undo stp enable命令用来关闭生成树协议。

缺省情况下，生成树协议在全局处于关闭状态，在VLAN中处于使能状态；所有端口上的生成树协议均处于使能状态。

需要注意的是：

· 系统视图下的配置在全局生效；以太网接口视图下的配置只对当前端口生效；端口组视图下的配置对当前端口组中的所有端口生效；二层聚合接口视图下的配置只对当前接口生效；聚合成员端口上的配置，只有当成员端口退出聚合组后才能生效。

· 当生成树协议使能后，设备会根据用户配置的生成树工作模式来决定运行在STP模式、RSTP模式、MSTP模式还是PVST模式下。

· 当生成树协议使能后，系统根据收到的BPDU动态维护相应VLAN的生成树状态；当生成树协议关闭后，系统将不再维护该状态。

相关配置可参考命令stp mode。

【举例】

# 在MSTP模式下，全局使能生成树协议。

<Sysname> system-view

[Sysname] stp enable

# 在PVST模式下，先全局使能生成树协议，再使能VLAN 2中的生成树协议。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] stp enable

[Sysname] stp vlan 2 enable

# 在MSTP模式下，关闭端口GigabitEthernet1/0/1上的生成树协议。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] undo stp enable

16.6.17 stp ignored vlan

【命令】

stp ignored vlan vlan-list

undo stp ignored vlan vlan-list

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

vlan-list：VLAN列表，表示多个VLAN。表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-10>。其中，vlan-id为VLAN的编号，取值范围为1到4094。&<1-10>表示前面的参数最多可以输入10次。

【描述】

stp ignored vlan命令用来在指定VLAN内使能VLAN Ignore功能。undo stp ignored vlan命令用来在关闭指定VLAN内的VLAN Ignore功能。

缺省情况下，VLAN内的VLAN Ignore功能处于关闭状态。

相关配置可参考命令display stp ignored-vlan。

【举例】

# 在VLAN 1～10内使能VLAN Ignore功能。

<Sysname> system-view

[Sysname] stp ignored vlan 1 to 10

16.6.18 stp loop-protection

【命令】

stp loop-protection

undo stp loop-protection

【视图】

以太网接口视图/二层聚合接口视图/端口组视图

【缺省级别】

2：系统级

【参数】

无

【描述】

stp loop-protection命令用来使能端口的环路保护功能。undo stp loop-protection命令用来关闭端口的环路保护功能。

缺省情况下，端口的环路保护功能处于关闭状态。

需要注意的是：

· 在同一个端口上不允许同时配置边缘端口和环路保护功能，或者同时配置根保护功能和环路保护功能。

相关配置可参考命令stp edged-port和stp root-protection。

【举例】

# 在端口GigabitEthernet1/0/1上使能环路保护功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] stp loop-protection

16.6.19 stp mcheck

【命令】

stp mcheck

【视图】

系统视图/以太网接口视图/二层聚合接口视图

【缺省级别】

2：系统级

【参数】

无

【描述】

stp mcheck命令用来在全局或端口上执行mCheck操作。在运行MSTP模式、RSTP模式或PVST模式的设备上，若某端口连接着运行STP协议的设备，该端口会自动迁移到STP模式；但在下列两种情况下，该端口将无法自动迁移回到原有模式，而需要通过执行mCheck操作将其手工迁移回原有模式：

· 运行STP协议的设备被关机或撤走；

· 运行STP协议的设备切换为MSTP模式、RSTP模式或PVST模式。

需要注意的是：

· 当运行STP的设备A、未使能生成树协议的设备B和运行RSTP/MSTP/PVST的设备C三者顺次相连时，设备B将透传STP报文，设备C上连接设备B的端口将迁移到STP模式。在设备B上使能生成树协议后，若想使设备B与设备C之间运行RSTP/MSTP/PVST协议，除了要在设备B上配置生成树的工作模式为RSTP/MSTP/PVST外，还要在设备B与设备C相连的端口上都执行mCheck操作。

· 设备会根据用户配置的生成树工作模式来决定运行在STP模式、RSTP模式、MSTP模式还是PVST模式下。

· 只有当生成树的工作模式为MSTP模式、RSTP模式或PVST模式时执行本命令才有效。

· 系统视图下的配置在全局生效；以太网接口视图下的配置只对当前端口生效；二层聚合接口视图下的配置只对当前接口生效；聚合成员端口上的配置，只有当成员端口退出聚合组后才能生效。

相关配置可参考命令stp mode。

【举例】

# 在端口GigabitEthernet1/0/1上执行mCheck操作。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] stp mcheck

16.6.20 stp mode

【命令】

stp mode { mstp | pvst | rstp | stp }

undo stp mode

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

mstp：配置生成树的工作模式为MSTP模式。

pvst：配置生成树的工作模式为PVST模式。

rstp：配置生成树的工作模式为RSTP模式。

stp：配置生成树的工作模式为STP模式。

【描述】

stp mode命令用来配置生成树的工作模式。undo stp mode命令用来恢复缺省情况。

缺省情况下，生成树工作模式为MSTP模式。

需要注意的是，MSTP模式兼容RSTP模式，RSTP模式兼容STP模式，而PVST模式与其它模式的兼容性如下：

· 对于Access端口：PVST模式在任意VLAN中都能与其它模式互相兼容。

· 对于Trunk端口或Hybrid端口：PVST模式仅在VLAN 1中能与其它模式互相兼容。

相关配置可参考命令stp mcheck和stp enable。

【举例】

# 配置生成树的工作模式为STP模式。

<Sysname> system-view

[Sysname] stp mode stp

16.6.21 stp pathcost-standard

【命令】

stp pathcost-standard { dot1d-1998 | dot1t | legacy }

undo stp pathcost-standard

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

dot1d-1998：表示按照IEEE 802.1D-1998标准来计算缺省路径开销。

dot1t：表示按照IEEE 802.1t标准来计算缺省路径开销。

legacy：表示按照私有标准来计算缺省路径开销。

【描述】

stp pathcost-standard命令用来配置缺省路径开销的计算标准。undo stp pathcost-standard命令用来恢复缺省情况。

缺省情况下，缺省路径开销的计算标准为legacy。

需要注意的是，改变缺省路径开销的计算标准，将使端口的路径开销值恢复为缺省值。

相关配置可参考命令stp cost和display stp。

【举例】

# 配置按照IEEE 802.1D-1998标准来计算缺省路径开销。

<Sysname> system-view

[Sysname] stp pathcost-standard dot1d-1998

16.6.22 stp point-to-point

【命令】

stp point-to-point { auto | force-false | force-true }

undo stp point-to-point

【视图】

以太网接口视图/二层聚合接口视图/端口组视图

【缺省级别】

2：系统级

【参数】

auto：表示自动检测与本端口相连的链路是否为点对点链路。

force-false：表示与本端口相连的链路不是点对点链路。

force-true：表示与本端口相连的链路是点对点链路。

【描述】

stp point-to-point命令用来配置端口的链路类型。undo stp point-to-point命令用来恢复缺省情况。

缺省情况下，端口的链路类型为auto，即由系统自动检测与本端口相连的链路是否为点对点链路。

需要注意的是：

· 当端口与非点对点链路相连时，端口的状态无法快速迁移。

· 如果某端口是二层聚合接口或其工作在全双工模式下，则可以将该端口配置为与点对点链路相连。通常建议使用缺省配置，由系统进行自动检测。

· 在MSTP模式或PVST模式下，如果某端口被配置为与点对点链路（或非点对点链路）相连，那么该配置对该端口所属的所有MSTI或VLAN都有效。

· 如果某端口被配置为与点对点链路相连，但与该端口实际相连的物理链路不是点对点链路，则有可能引入临时回路。

相关配置可参考命令display stp。

【举例】

# 配置与端口GigabitEthernet1/0/3相连的链路是点对点链路。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/3

[Sysname-GigabitEthernet1/0/3] stp point-to-point force-true

16.6.23 stp port priority

【命令】

stp [ instance instance-id | vlan vlan-list ] port priority priority

undo stp [ instance instance-id | vlan vlan-list ] port priority

【视图】

以太网接口视图/二层聚合接口视图/端口组视图

【缺省级别】

2：系统级

【参数】

instance instance-id：指定MSTI。instance-id为MSTI的编号，取值范围为0到15，0表示CIST。

priority：表示端口的优先级，取值范围为0～240，以16为步长，如0、16、32等。

【描述】

stp port priority命令用来配置端口的优先级。端口优先级可以影响端口在生成树上的角色选择。undo stp port priority命令用来恢复缺省情况。

缺省情况下，端口的优先级为128。

需要注意的是：

· 如果指定了MSTI，表示配置端口在MSTP指定MSTI的优先级；如果指定了VLAN，表示配置端口在PVST指定VLAN的优先级；如果未指定MSTI和VLAN，则表示配置端口在MSTP CIST或STP/RSTP的优先级。

· 通常，端口优先级的数值越小，端口的优先级就越高。如果设备的所有端口都采用相同的优先级数值，则端口优先级的高低就取决于该端口索引号的大小，即索引号越小优先级越高。。

相关配置可参考命令display stp。

【举例】

# 在MSTP模式下，配置端口GigabitEthernet1/0/3在MSTI 2上的优先级为16。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/3

[Sysname-GigabitEthernet1/0/3] stp instance 2 port priority 16

# 在PVST模式下，配置端口GigabitEthernet1/0/3在VLAN 2上的优先级为16。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] interface gigabitethernet 1/0/3

[Sysname-GigabitEthernet1/0/3] stp vlan 2 port priority 16

16.6.24 stp port-log

【命令】

stp port-log { instance { instance-id | all } | vlan vlan-list }

undo stp port-log { instance { instance-id | all } | vlan vlan-list }

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

instance instance-id：表示打开或关闭MSTP指定MSTI中的端口状态变化信息显示开关；如果指定了MSTI 0，则表示打开或关闭STP/RSTP的端口状态变化信息显示开关。instance-id为MSTI的编号，取值范围为0到15，0表示CIST。

all：表示打开或关闭MSTP所有MSTI中的端口状态变化信息显示开关。

vlan vlan-list：表示打开或关闭PVST指定VLAN中的端口状态变化信息显示开关。vlan-list为VLAN列表，表示方式为vlan-list = { vlan-id [ to vlan-id ] }&<1-10>。其中，vlan-id为VLAN的编号，取值范围为1到4094。&<1-10>表示前面的参数最多可以输入10次。

【描述】

stp port-log命令用来打开端口状态变化信息显示开关。undo stp port-log命令用来关闭端口状态变化信息显示开关。

缺省情况下，端口状态变化信息显示开关处于开启状态。

【举例】

# 在MSTP模式下，打开MSTI 2中的端口状态变化信息显示开关。

<Sysname> system-view

[Sysname] stp port-log instance 2

%Aug 16 00:49:41:856 2006 Sysname MSTP/3/MSTP_DISCARDING: Instance 2's GigabitEthernet1/0/1 has been set to discarding state!

%Aug 16 00:49:41:856 2006 Sysname MSTP/3/MSTP_DISCARDING: Instance 2's GigabitEthernet1/0/2 has been set to forwarding state!

// 上述信息表明：在MSTI 2中，GigabitEthernet1/0/1的端口状态变为Discarding，GigabitEthernet1/0/2的端口状态变为Forwarding。

# 在PVST模式下，打开VLAN 1～4094中的端口状态变化信息显示开关。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] stp port-log vlan 1 to 4094

%Aug 16 00:49:41:856 2006 Sysname MSTP/3/PVST_DISCARDING: VLAN 2's GigabitEthernet1/0/1 has been set to discarding state!

%Aug 16 00:49:41:856 2006 Sysname MSTP/3/PVST_FORWARDING: VLAN 2's GigabitEthernet1/0/2 has been set to forwarding state!

// 上述信息表明：在VLAN 2中，GigabitEthernet1/0/1的端口状态变为Discarding，GigabitEthernet1/0/2的端口状态变为Forwarding。

16.6.25 stp priority

【命令】

stp [ instance instance-id | vlan vlan-list ] priority priority

undo stp [ instance instance-id | vlan vlan-list ] priority

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

instance instance-id：指定MSTI。instance-id为MSTI的编号，取值范围为0到15，0表示CIST。

priority：表示设备的优先级，该数值越小表示优先级越高。取值范围为0～61440，步长为4096，即设备可以设置16个优先级取值，如0、4096、8192等。

【描述】

stp priority命令用来配置设备的优先级。undo stp priority命令用来恢复缺省情况。

缺省情况下，设备的优先级为32768。

需要注意的是，如果指定了MSTI，表示配置设备在MSTP指定MSTI中的优先级；如果指定了VLAN，表示配置设备在PVST指定VLAN中的优先级；如果未指定MSTI和VLAN，则表示配置设备在MSTP CIST或STP/RSTP中的优先级。

【举例】

# 在MSTP模式下，配置设备在MSTI 1中的优先级为4096。

<Sysname> system-view

[Sysname] stp instance 1 priority 4096

# 在PVST模式下，配置设备在VLAN 1中的优先级为4096。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] stp vlan 1 priority 4096

16.6.26 stp root primary

【命令】

stp [ instance instance-id | vlan vlan-list ] root primary

undo stp [ instance instance-id | vlan vlan-list ] root

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

instance instance-id：指定MSTI。instance-id为MSTI的编号，取值范围为0到15，0表示CIST。

【描述】

stp root primary命令用来配置当前设备为根桥。undo stp root命令用来恢复缺省情况。

缺省情况下，设备不是根桥。

需要注意的是：

· 如果指定了MSTI，表示配置当前设备为MSTP指定MSTI的根桥；如果指定了VLAN，表示配置当前设备为PVST指定VLAN的根桥；如果未指定MSTI和VLAN，则表示配置当前设备为MSTP CIST或STP/RSTP的根桥。

· 当设备一旦被配置为根桥之后，便不能再修改该设备的优先级。

相关配置可参考命令stp priority和stp root secondary。

【举例】

# 在MSTP模式下，配置当前设备为MSTI 1的根桥。

<Sysname> system-view

[Sysname] stp instance 1 root primary

# 在PVST模式下，配置当前设备为VLAN 1的根桥。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] stp vlan 1 root primary

16.6.27 stp root secondary

【命令】

stp [ instance instance-id | vlan vlan-list ] root secondary

undo stp [ instance instance-id | vlan vlan-list ] root

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

instance instance-id：指定MSTI。instance-id为MSTI的编号，取值范围为0到15，0表示CIST。

【描述】

stp root secondary命令用来配置当前设备为备份根桥。undo stp root命令用来恢复缺省情况。

缺省情况下，设备不是备份根桥。

需要注意的是：

· 如果指定了MSTI，表示配置当前设备为MSTP指定MSTI的备份根桥；如果指定了VLAN，表示配置当前设备为PVST指定VLAN的备份根桥；如果未指定MSTI和VLAN，则表示配置当前设备为MSTP CIST或STP/RSTP的备份根桥。

· 当设备一旦被配置为备份根桥之后，便不能再修改该设备的优先级。

相关配置可参考命令stp priority和stp root primary。

【举例】

# 在MSTP模式下，配置当前设备为MSTI 1的备份根桥。

<Sysname> system-view

[Sysname] stp instance 1 root secondary

# 在PVST模式下，配置当前设备为VLAN 1的备份根桥。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] stp vlan 1 root secondary

16.6.28 stp root-protection

【命令】

stp root-protection

undo stp root-protection

【视图】

以太网接口视图/二层聚合接口视图/端口组视图

【缺省级别】

2：系统级

【参数】

无

【描述】

stp root-protection命令用来使能端口的根保护功能。undo stp root-protection命令用来关闭端口的根保护功能。

缺省情况下，端口上的根保护功能处于关闭状态。

需要注意的是：

· 在同一个端口上不允许同时配置根保护功能和环路保护功能。

相关配置可参考命令stp loop-protection。

【举例】

# 在端口GigabitEthernet1/0/1上使能根保护功能。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] stp root-protection

16.6.29 stp tc-protection

【命令】

stp tc-protection enable

stp tc-protection disable

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

无

【描述】

stp tc-protection enable命令用来使能防TC-BPDU攻击保护功能。stp tc-protection disable命令用来关闭防TC-BPDU攻击保护功能。

缺省情况下，防TC-BPDU攻击保护功能处于使能状态。

相关配置可参考命令stp tc-protection threshold。

【举例】

# 关闭防TC-BPDU攻击保护功能。

<Sysname> system-view

[Sysname] stp tc-protection disable

16.6.30 stp tc-protection threshold

【命令】

stp tc-protection threshold number

undo stp tc-protection threshold

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

number：表示在单位时间（固定为十秒）内，设备收到TC-BPDU后立即刷新转发地址表项的最高次数，取值范围为1～255。

【描述】

stp tc-protection threshold命令用来配置在单位时间（固定为十秒）内，设备收到TC-BPDU后立即刷新转发地址表项的最高次数。undo stp tc-protection threshold命令用来恢复缺省情况。

缺省情况下，在单位时间（固定为十秒）内，设备收到TC-BPDU后立即刷新转发地址表项的最高次数为6。

相关配置可参考命令stp tc-protection。

【举例】

# 配置在单位时间（固定为十秒）内，设备收到TC-BPDU后立即刷新转发地址表项的最高次数为10。

<Sysname> system-view

[Sysname] stp tc-protection threshold 10

16.6.31 stp timer forward-delay

【命令】

stp [ vlan vlan-list ] timer forward-delay time

undo stp [ vlan vlan-list ] timer forward-delay

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

time：表示Forward Delay的时间值，取值范围为400～3000，步长为100，单位为0.01秒。

【描述】

stp timer forward-delay命令用来配置Forward Delay时间参数。undo stp timer forward-delay命令用来恢复缺省情况。

缺省情况下，Forward Delay为15秒。

Forward Delay用于确定状态迁移的延迟时间。为了防止产生临时环路，生成树协议在端口由Discarding状态向Forwarding状态迁移的过程中设置了Learning状态作为过渡，并规定状态迁移需要等待Forward Delay时间，以保持与远端的设备状态切换同步。

需要注意的是：

· 如果未指定VLAN，表示配置STP/RSTP/MSTP的Forward Delay时间参数；如果指定了VLAN，则表示配置PVST指定VLAN的Forward Delay时间参数。

· 通常情况下，不建议使用本命令直接调整Forward Delay时间参数。由于该时间参数的取值与网络规模有关，因此建议通过使用stp bridge-diameter命令调整网络直径，使生成树协议自动调整该时间参数的值。当网络直径取缺省值时，该时间参数也取缺省值。

相关配置可参考命令stp timer hello、stp timer max-age和stp bridge-diameter。

【举例】

# 在MSTP模式下，配置Forward Delay为20秒。

<Sysname> system-view

[Sysname] stp timer forward-delay 2000

# 在PVST模式下，配置VLAN 2的Forward Delay为20秒。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] stp vlan 2 timer forward-delay 2000

16.6.32 stp timer hello

【命令】

stp [ vlan vlan-list ] timer hello time

undo stp [ vlan vlan-list ] timer hello

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

time：表示Hello Time的时间值，取值范围为100～1000，步长为100，单位为0.01秒。

【描述】

stp timer hello命令用来配置Hello Time时间参数。undo stp timer hello命令用来恢复缺省情况。

缺省情况下，Hello Time为2秒。

Hello Time用于检测链路是否存在故障。生成树协议每隔Hello Time时间会发送BPDU，以确认链路是否存在故障。如果设备在Hello Time时间内没有收到BPDU，则会由于消息超时而重新计算生成树。

需要注意的是：

· 如果未指定VLAN，表示配置STP/RSTP/MSTP的Hello Time时间参数；如果指定了VLAN，则表示配置PVST指定VLAN的Hello Time时间参数。

· 通常情况下，不建议使用本命令直接调整Hello Time时间参数。由于该时间参数的取值与网络规模有关，因此建议通过使用stp bridge-diameter命令调整网络直径，使生成树协议自动调整该时间参数的值。当网络直径取缺省值时，该时间参数也取缺省值。

相关配置可参考命令stp timer forward-delay、stp timer max-age和stp bridge-diameter。

【举例】

# 在MSTP模式下，配置Hello Time为4秒。

<Sysname> system-view

[Sysname] stp timer hello 400

# 在PVST模式下，配置VLAN 2的Hello Time为4秒。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] stp vlan 2 timer hello 400

16.6.33 stp timer max-age

【命令】

stp [ vlan vlan-list ] timer max-age time

undo stp [ vlan vlan-list ] timer max-age

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

time：表示Max Age的时间值，取值范围为600～4000，步长为100，单位为0.01秒。

【描述】

stp timer max-age命令用来配置Max Age时间参数。undo stp timer max-age命令用来恢复缺省情况。

缺省情况下，Max Age为20秒。

Max Age用于确定BPDU是否超时。在MSTP的CIST以及PVST的各VLAN上，设备根据Max Age时间来确定端口收到的BPDU是否超时。如果端口收到的BPDU超时，则需要对该MSTI重新计算。Max Age时间对MSTP的MSTI无效。

需要注意的是：

· 如果未指定VLAN，表示配置STP/RSTP/MSTP的Max Age时间参数；如果指定了VLAN，则表示配置PVST指定VLAN的Max Age时间参数。

· 通常情况下，不建议使用本命令直接调整Max Age时间参数。由于该时间参数的取值与网络规模有关，因此建议通过使用stp bridge-diameter命令调整网络直径，使生成树协议自动调整该时间参数的值。当网络直径取缺省值时，该时间参数也取缺省值。

相关配置可参考命令stp timer forward-delay、stp timer hello和stp bridge-diameter。

【举例】

# 在MSTP模式下，配置Max Age为10秒。

<Sysname> system-view

[Sysname] stp timer max-age 1000

# 在PVST模式下，配置VLAN 2的Max Age为10秒。

<Sysname> system-view

[Sysname] stp mode pvst

[Sysname] stp vlan 2 timer max-age 1000

16.6.34 stp timer-factor

【命令】

stp timer-factor factor

undo stp timer-factor

【视图】

系统视图

【缺省级别】

2：系统级

【参数】

factor：表示超时时间因子，取值范围为1～20。

【描述】

stp timer-factor命令用来配置超时时间因子，该因子用来确定设备的超时时间：超时时间＝超时时间因子×3×Hello Time。undo stp timer-factor命令用来恢复缺省情况。

缺省情况下，超时时间因子为3。

需要注意的是：

· 当网络拓扑结构稳定后，非根桥设备会每隔Hello Time时间向周围相连设备转发根桥发出的BPDU以确认链路是否存在故障。通常如果设备在9倍的Hello Time时间内没有收到上游设备发来的BPDU，就会认为上游设备已经故障，从而重新进行生成树的计算。

· 有时设备在较长时间内收不到上游设备发来的BPDU，可能是由于上游设备的繁忙导致的，在这种情况下一般不应重新进行生成树的计算。因此在稳定的网络中，可以通过延长超时时间来减少网络资源的浪费。在一个稳定的网络中，建议将超时时间因子配置为5～7。

相关配置可参考命令stp timer hello。

【举例】

# 配置超时时间因子为7。

<Sysname> system-view

[Sysname] stp timer-factor 7

16.6.35 stp transmit-limit

【命令】

stp transmit-limit limit

undo stp transmit-limit

【视图】

以太网接口视图/二层聚合接口视图/端口组视图

【缺省级别】

2：系统级

【参数】

limit：表示每Hello Time时间内端口能够发送的BPDU最大数目，取值范围为1～255。

【描述】

stp transmit-limit命令用来配置端口的最大发送速率，即每Hello Time时间内端口能够发送的BPDU最大数目。undo stp transmit-limit命令用来恢复缺省情况。

缺省情况下，端口的最大发送速率为10，即每Hello Time时间内每个端口最多能够发送10个BPDU。

需要注意的是：

· 最大发送速率越高，每个Hello Time内可发送的BPDU数量就越多，占用的系统资源也越多。适当配置最大发送速率一方面可以限制端口发送BPDU的速度，另一方面还可以防止在网络拓扑动荡时，生成树协议占用过多的带宽资源。建议用户采用缺省配置。

【举例】

# 配置端口GigabitEthernet1/0/1的最大发送速率为5。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] stp transmit-limit 5

17 变更特性－密码配置与显示

17.1 特性变更说明

密码配置与显示相关特性对于涉及安全的参数、参数说明等进行了规范化，涉及到key、password等特性命令行的变化。

为提高密码安全，本版本中所有以明文方式或密文方式设置的密码均以密文方式保存在配置文件中。

17.2 命令变更说明

17.2.1 修改-bims-server

【原命令】

bims-server ip ip-address [ port port-number ] sharekey key

【修改后的命令】

bims-server ip ip-address [ port port-number ] sharekey [ cipher | simple ] key

【视图】

DHCP地址池视图

【修改说明】

修改前：共享密钥仅支持以明文方式设置。

修改后：共享密钥既支持以明文方式设置，也支持以密文方式设置，密文共享密钥最大长度为53个字符。

17.2.2 修改-certificate request mode

【命令】

certificate request mode { auto [ key-length key-length | password { cipher | simple } password ] * | manual }

【视图】

PKI域视图

【修改说明】

修改前：cipher方式下设置的密文密码最大长度为31个字符。

修改后：cipher方式下设置的密文密码最大长度为73个字符。

17.2.3 修改-cluster-local-user

【命令】

cluster-local-user user-name password { cipher | simple } password

【视图】

集群视图

【修改说明】

修改前：

· cipher：以明文或密文形式输入密码，以密文形式保存在配置文件中。

· 采用cipher形式设置password时，既可以是1～63个字符的明文输入，也可以是24个字符或88个字符的密文输入。

修改后：

· cipher：以密文形式设置密码。

· 采用cipher形式设置password时，密码的长度范围是1～117。

17.2.4 修改-cluster-snmp-agent usm-user v3

【原命令】

cluster-snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 | sha } auth-password [ privacy-mode des56 priv-password ] ]

【修改后的命令】

cluster-snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 | sha } [ cipher | simple ] auth-password [ privacy-mode des56 [ cipher | simple ] priv-password ] ]

【视图】

集群视图

【修改说明】

修改前：

· 不支持使用simple或cipher关键字配置以明文方式或密文方式设置密码，采用直接输入明文密码或密文密码的方式。

· 设置认证密码auth-password或加密密码priv-password时，既可以是1～16个字符的明文输入，也可以是24个字符的密文输入。

修改后：

· 支持使用simple或cipher关键字配置以明文方式或密文方式设置密码，也可以不指定simple或cipher参数，直接以明文方式设置密码。

· 明文密码的长度范围是1～16；密文密码的长度范围是1～53。

17.2.5 修改-dldp authentication-mode

【原命令】

dldp authentication-mode { md5 md5-password | none | simple simple-password }

【修改后的命令】

dldp authentication-mode { none | { md5 | simple } password }

【视图】

系统视图

【修改说明】

修改前：simple认证仅支持以明文形式设置密码；md5认证支持以明文形式或密文形式设置密码，其密文密码为固定24个字符的字符串。

修改后：simple认证和md5认证均支持以明文形式或密文形式设置密码，密文密码为33～53个字符的字符串。

17.2.6 修改-ftp-server

【命令】

ftp-server ip-address [ user-name username password { cipher | simple } password ]

【视图】

集群视图

【修改说明】

修改前：

· cipher：以明文或密文形式输入密码，以密文形式保存在配置文件中。

· 采用cipher形式设置password时，既可以是1～16个字符的明文输入，也可以是24个字符的密文输入。

修改后：

· cipher：以密文形式设置密码。

· 采用cipher形式设置password时，密码的长度范围是1～53。

17.2.7 修改-key (HWTACACS scheme view)

【命令】

key { accounting | authentication | authorization } [ cipher | simple ] key

【视图】

HWTACACS方案视图

【修改说明】

修改前：cipher方式下设置的密文密钥最大长度为64个字符。

修改后：cipher方式下设置的密文密钥最大长度为117个字符。

17.2.8 修改-key (RADIUS scheme view)

【命令】

key { accounting | authentication } [ cipher | simple ] key

【视图】

RADIUS方案视图

【修改说明】

修改前：cipher方式下设置的密文密钥，长度取值可为12、24、32、44、64、76、88或96位。

【命令】

set authentication password { cipher | simple } password

【视图】

用户界面视图

【修改说明】

修改前：

· simple：表示以明文形式输入和显示密钥。

· cipher：表示以明文或密文形式输入密钥，以密文形式显示密钥。

· password：密码字符串，区分大小写。如果采用cipher形式，既可以是1～16个字符的明文，也可以是24个字符的密文。

修改后

· cipher：以密文方式设置用户级别切换密码。

· simple：以明文方式设置用户级别切换密码。

password：设置的明文密码或密文密码，区分大小写。密文密码的长度范围是1～53。

17.2.19 修改-snmp-agent usm-user v3

【命令】

snmp-agent usm-user v3 user-name group-name [ [ cipher ] authentication-mode { md5 | sha } auth-password [ privacy-mode { 3des | aes128 | des56 } priv-password ] ] [ acl acl-number | acl ipv6 ipv6-acl-number ] *

【视图】

系统视图

【修改说明】

修改前：

· 采用密文密码时，若选择认证协议为md5，则MD5密码的长度是32个字符（16进制格式），3des密码的长度是64个字符（16进制格式），aes128或des56密码的长度是32个字符（16进制格式）。

· 采用密文密码时，若选择认证协议为sha，则SHA-1密码的长度是40个字符（16进制格式），3des密码的长度是80个字符（16进制格式），aes128或des56密码的长度是40个字符（16进制格式）。

修改后：

· 采用密文密码时，对密文认证密码的要求请参见表102。

表102 密文方式认证密码描述表

认证算法	16进制格式的认证密码	非16进制格式的认证密码
md5	长度为32	长度为53
sha	长度为40	长度为57

· 采用密文密码时，对密文加密密码的要求请参见表103。

表103 密文方式加密密码描述表

认证算法	加密算法	16进制格式的加密密码	非16进制格式的认证密码
md5	3des	长度为64	长度为73
md5	aes128或des56	长度为32	长度为53
sha	3des	长度为80	长度为73
sha	aes128或des56	长度为40	长度为53

17.2.20 修改-super password

【命令】

super password [ level user-level ] { cipher | simple } password

【视图】

系统视图

【修改说明】

修改前：

· simple：表示以明文形式输入和显示密钥。

· cipher：表示以明文或密文形式输入密钥，以密文形式显示密钥。

· password：密码字符串，区分大小写。如果采用cipher形式，既可以是1～16个字符的明文，也可以是24个字符的密文。

修改后

· cipher：以密文方式设置用户级别切换密码。

· simple：以明文方式设置用户级别切换密码。

password：设置的明文密码或密文密码，区分大小写。密文密码的长度范围是1～53。

【视图】

任意视图

【修改说明】

修改前：task-id参数的取值范围为1～100。

修改后：task-id参数的取值范围为1～150。

undo local-user password-display-mode

【视图】

系统视图

R1505P09版本

本版本特性变更情况如下：

无

R1505P08版本

本版本特性变更情况如下：

无

本网站软件下载使用须知：

1. 任何从本网站下载的软件都是H3C公司受著作权保护的产品。

2. 使用软件必须受最终用户许可协议的条款的约束，该许可协议随软件附上或包含在软件中。

3. 除非最终用户首先同意许可协议的条款，否则不能安装任何附有或内含许可协议的软件。

4. 软件仅供最终用户根据许可协议的规定下载使用。

5. 最终用户在用下载软件进行升级及使用的过程中，应严格遵守操作指导书，对于未按指导书而引起的问题，责任由使用者自负。

6. 对于任何与许可协议条款不符的软件复制或再分发均被法律明确禁止，并可导致严重的民事及刑事处罚。

7. 所下载的软件版本仅限美国以外的地区使用。

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

行业解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

H3C S5120SI_E-CMW520-R1519P02 版本软件及说明书

1 新增特性—RIP配置

1.1.1 RIP工作机制

1. RIP的基本概念

2. RIP的路由数据库

3. RIP定时器

4. 防止路由环路

1.1.2 RIP的启动和运行过程

1.1.3 RIP的版本

1.1.4 RIP的报文格式

1. RIP-1的报文格式

2. RIP-2的报文格式

3. RIP-2的验证报文格式

1.1.5 支持的RIP特性

1.2 RIP配置任务简介

1.3 配置RIP的基本功能

1.3.1 配置准备

1.3.2 配置RIP的基本功能

1. 启动RIP，配置指定网段范围内的接口运行RIP

2. 配置接口的工作状态

3. 配置RIP版本

1.4 配置RIP的路由信息控制

1.4.1 配置接口附加度量值

1.4.2 配置RIP-2路由聚合

1. 自动路由聚合

2. 手工配置聚合路由

1.4.3 禁止RIP接收主机路由

1.4.4 配置RIP发布缺省路由

1.4.5 配置RIP对接收/发布的路由进行过滤

1.4.6 配置RIP协议优先级

1.4.7 配置RIP引入外部路由

1.5 调整和优化RIP网络

1.5.1 配置RIP定时器

1.5.7 配置 RIP邻居