• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-安全命令参考

目录

05-uRPF命令

本章节下载 05-uRPF命令  (121.57 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/SR_Router/SR8800-F/Command/Command_Manual/H3C_SR8800-F_CR-R7353P09-6W732/11/201809/1110933_30005_0.htm

05-uRPF命令


1 IPv4 uRPF

1.1  IPv4 uRPF配置命令

1.1.1  display ip urpf

display ip urpf命令用来显示uRPF的配置应用情况。

【命令】

独立运行模式:

display ip urpf [ interface interface-type interface-number ] [ slot slot-number ]

IRF模式:

display ip urpf [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:接口类型和接口编号。

slot slot-number:显示指定单板上的uRPF配置应用情况。slot-number表示单板的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的uRPF配置应用情况。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号。(IRF模式)

【使用指导】

如果显示针对接口的uRPF配置应用情况,则需要看这个接口是否为全局接口:

·              如果是全局接口(全局接口只有一维编号,例如VLAN接口10),则需要指定slot slot-numberchassis chassis-number slot slot-number才能显示特定的单板上的uRPF配置应用情况,不带这些信息则显示主控板的uRPF配置应用情况。

·              如果是非全局接口(非全局接口有多维编号,例如以太网接口GigabitEthernet1/0/1),则直接显示接口所在单板上的uRPF配置应用情况,不需要带slot slot-numberchassis chassis-number slot slot-number参数。

【举例】

# 显示单板slot 3上uRPF的应用情况。(独立运行模式)

<Sysname> display ip urpf interface GigabitEthernet 3/1/1

uRPF configuration information of interface GigabitEthernet3/1/1:

   Check type: strict

   Allow default route

   Suppress drop ACL: 3000

表1-1 display ip urpf命令显示信息描述表

字段

描述

uRPF configuration information of interface

接口uRPF配置应用情况

(failed)

当前uRPF配置下发转发芯片失败,原因可能为芯片资源不足。没有该字段时表示下发成功

Check type

uRPF检查类型,包括:

·       loose:松散型检查

·       strict:严格型检查

Allow default route

允许缺省路由

Suppress drop ACL

配置了抑制丢弃,显示配置的ACL规则号

 


1.1.2  ip urpf

ip urpf命令用来打开uRPF功能。

undo ip urpf命令用来关闭uRPF功能。

【命令】

ip urpf { loose [ allow-default-route ] [ acl acl-number ] | strict [ allow-default-route ] [ acl acl-number ] }

undo ip urpf

【缺省情况】

uRPF功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

loose:松散型检查。仅检查报文的源地址是否在转发表中存在,而不再检查报文的入接口与转发表是否匹配。CSPC/SPC类单板和CMPE-1104单板仅支持本关键字。

strict:严格型检查。不仅检查报文的源地址是否在转发表中存在,而且检查报文的入接口与转发表是否匹配。

allow-default-route:允许源地址查转发表时匹配缺省路由表项。

acl acl-number:访问控制列表,用来抑制报文丢弃。acl-number表示指定的ACL规则号,取值范围为2000~3999。其中:

·              基本ACL的ACL规则号取值范围为2000~2999。

·              高级ACL的ACL规则号取值范围为3000~3999。

【使用指导】

uRPF功能一般部署在运营商网络接入客户侧设备的边缘位置,也可以部署在运营商网络对接其他运营商设备的边缘位置设备或部署在客户侧边缘位置设备。

建议在运营商网络接入客户侧设备的边缘位置的接口下配置严格uRPF,在运营商网络对接其他运营商网络的边缘位置的接口下配置松散uRPF。

选择严格或松散uRPF取决于当前组网中是否存在非对称路径,如果运营商设备上行流量的入接口和下行流量的出接口相同则是对称路径,此时建议用严格uRPF。一般运营商接入客户侧的组网中都是对称路径。运营商对接其他运营商的边缘位置可能出现非对称路径,此时建议用松散uRPF。

运营商网络边缘位置一般不会有缺省路由指向客户侧设备,所以一般不需要配置allow-default-route。如果在客户侧边缘设备接口上面启用uRPF,这时往往会有缺省路由指向运营商,此时需要配置allow-default-route

【举例】

# 在接口GigabitEthernet1/0/2上配置严格型uRPF检查,同时允许匹配缺省路由,并配置ACL规则号为2999。

<Sysname>system-view

[Sysname]interface gigabitethernet 1/0/2

[Sysname-GigabitEthernet1/0/2]ip urpf strict allow-default-route acl 2999

# 在接口GigabitEthernet1/0/1上配置松散型uRPF检查。

<Sysname>system-view

[Sysname]interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1]ip urpf loose

【相关命令】

·              display ip urpf

2 IPv6 uRPF

2.1  IPv6 uRPF配置命令

2.1.1  display ipv6 urpf

display ipv6 urpf命令用来显示IPv6 uRPF的配置应用情况。

【命令】

独立运行模式:

display ipv6 urpf [ interface interface-type interface-number ] [ slot slot-number ]

IRF模式:

display ipv6 urpf [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:接口类型和接口编号。

slot slot-number:显示指定单板IPv6 uRPF配置应用情况。slot-number表示单板的槽位号。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的IPv6 uRPF配置应用情况。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号。(IRF模式)

【使用指导】

如果显示针对接口的IPv6 uRPF配置应用情况,则需要看这个接口是否是全局接口:

·              如果是全局接口(全局接口只有一维编号,例如VLAN接口10),则需要指定slot slot-numberchassis chassis-number slot slot-number才能显示特定的单板上的IPv6 uRPF配置应用情况,不带这些信息则显示主控板的IPv6 uRPF配置应用情况。

·              如果是非全局接口(非全局接口有多维编号,例如以太网接口GigabitEthernet1/0/1),则直接显示接口所在单板上的IPv6 uRPF配置应用情况,不需要带slot slot-numberchassis chassis-number slot slot-number参数。

【举例】

# 显示单板slot 3上IPv6 uRPF的应用情况。(独立运行模式)

<Sysname> display ipv6 urpf interface GigabitEthernet 3/1/1

IPv6 uRPF configuration information of interface GigabitEthernet3/1/1:

   Check type: strict

   Allow default route

表2-1 display ipv6 urpf命令显示信息描述表

字段

描述

IPv6 uRPF configuration information of interface

接口IPv6 uRPF配置应用情况

(failed)

当前IPv6 uRPF配置下发转发芯片失败,原因可能为芯片资源不足。没有该字段时表示下发成功

Check type

IPv6 uRPF检查类型,包括:

·       loose:松散型检查

·       strict:严格型检查

Allow default route

允许缺省路由

Suppress drop ACL

配置了抑制丢弃,显示配置的IPv6 ACL规则号

 

2.1.2  ipv6 urpf

ipv6 urpf命令用来打开IPv6 uRPF功能。

undo ipv6 urpf命令用来关闭IPv6 uRPF功能。

【命令】

ipv6 urpf { loose | strict } [ allow-default-route ] [ acl acl-number ]

undo ipv6 urpf

【缺省情况】

IPv6 uRPF功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

loose:松散型检查。仅检查报文的源地址是否在IPv6转发表中存在,而不再检查报文的入接口与IPv6转发表是否匹配。CSPC/SPC类单板和CMPE-1104单板仅支持本关键字。

strict:严格型检查。不仅检查报文的源地址是否在IPv6转发表中存在,而且检查报文的入接口与IPv6转发表是否匹配。

allow-default-route:允许源地址查IPv6转发时匹配缺省路由表项。

acl acl-number:访问控制列表,用来抑制报文丢弃。acl-number表示指定的ACL规则号,取值范围为2000~3999。其中:

·              基本ACL的ACL规则号取值范围为2000~2999。

·              高级ACL的ACL规则号取值范围为3000~3999。

【使用指导】

IPv6 uRPF功能一般部署在运营商网络接入客户侧设备的边缘位置,也可以部署在运营商网络对接其他运营商设备的边缘位置设备或部署在客户侧边缘位置设备。

建议在运营商网络接入客户侧设备的边缘位置的接口下配置严格IPv6 uRPF,在运营商网络对接其他运营商网络的边缘位置的接口下配置松散IPv6 uRPF。

选择严格或松散IPv6 uRPF取决于当前组网中是否存在非对称路径,如果运营商设备上行流量的入接口和下行流量的出接口相同则是对称路径,此时建议用严格IPv6 uRPF。一般运营商接入客户侧的组网中都是对称路径。运营商对接其他运营商的边缘位置可能出现非对称路径,此时建议用松散IPv6 uRPF。

运营商网络边缘位置一般不会有缺省路由指向客户侧设备,所以一般不需要配置allow-default-route。如果在客户侧边缘设备接口上面启用IPv6 uRPF,这时往往会有缺省路由指向运营商,此时需要配置allow-default-route

【举例】

# 在接口GigabitEthernet1/0/2上配置严格型IPv6 uRPF检查,同时允许匹配缺省路由,并配置ACL规则号为2999。

<Sysname>system-view

[Sysname]interface gigabitethernet 1/0/2

[Sysname-GigabitEthernet1/0/2]ipv6 urpf strict allow-default-route acl 2999

# 在接口GigabitEthernet1/0/1上配置松散IPv6 uRPF检查。

<Sysname>system-view

[Sysname]interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1]ipv6 urpf loose

【相关命令】

·              display ipv6 urpf

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们