- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-SMA命令
本章节下载: 20-SMA命令 (190.85 KB)
目 录
1.1.1 display sma-anti-spoof ipv6 address-prefix
1.1.2 display sma-anti-spoof ipv6 packet-tag
1.1.4 sma-anti-spoof ipv6 enable
1.1.5 sma-anti-spoof ipv6 filter enable
1.1.6 sma-anti-spoof ipv6 port-type
1.1.7 sma-anti-spoof ipv6 server
仅CSPEX-1802X、CSPEX-1812X-E、CEPC-CQ8L单板支持本功能。
display sma-anti-spoof ipv6 address-prefix命令用来显示所有AS的IPv6地址前缀信息。
【命令】
display sma-anti-spoof ipv6 address-prefix
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有AS的IPv6地址前缀信息。
<Sysname> display sma-anti-spoof ipv6 address-prefix
Alliance number: 1 AS number: 10
IPv6 prefix Effecting time
AA:AA::/64 May 1 14:12:49 2019
AA:AA::AA:AB/128 May 1 14:12:49 2019
Alliance number: 1 AS number: 11
IPv6 prefix Effecting time
BB:BB::/64 May 1 14:02:49 2019(i)
表1-1 display sma-anti-spoof ipv6 address-prefix命令显示信息描述表
|
字段 |
描述 |
|
Alliance number |
信任联盟号 |
|
IPv6 prefix |
当前自治系统下的IPv6前缀 |
|
Effecting time |
IPv6前缀生效的起始时间,表示格式如:May 1 14:12:49 2019或May 1 14:02:49 2019(i),其中(i)表示立即生效 |
display sma-anti-spoof ipv6 packet-tag命令用来显示所有AS对的标签信息。
【命令】
display sma-anti-spoof ipv6 packet-tag
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示所有AS对的标签信息。
<Sysname> display sma-anti-spoof ipv6 packet-tag
Alliance number: 1
Source AS number: 10 Destination AS number: 11
State machine ID: 100 Tag: 0xABCD
Effecting time: May 1 14:12:49 2019(i) Transition interval: 10s
Source AS number: 11 Destination AS number: 10
State machine ID: 101 Tag: 0xCDEF
Effecting time: May 1 14:02:49 2019 Transition interval: 12s
表1-2 display sma-anti-spoof ipv6 packet-tag命令显示信息描述表
|
字段 |
描述 |
|
Alliance number |
信任联盟号 |
|
Tag |
标签,0~128位的二进制数,以十六进制数的形式显示,如:0xABCD |
|
Effecting time |
标签生效的起始时间,表示格式如:May 1 14:12:49 2019或May 1 14:02:49 2019(i),其中(i)表示立即生效 |
|
Transition interval |
标签有效时间,单位为秒,超时后标签失效 |
sma-anti-spoof ipv6 as命令用来配置AER设备所属的AS(Autonomous System)自治域号。
undo sma-anti-spoof ipv6 as命令用来删除本设备所属的AS自治域号。
【命令】
sma-anti-spoof ipv6 as as-number
undo sma-anti-spoof ipv6 as
【缺省情况】
AER设备未加入AS自治域。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
as-number:本设备所属的AS自治域号,取值范围为1~2147483647。
【使用指导】
AER(AS Edge Router)是自治系统的边界路由器,每一个AS内可能有多个AER,但是每台AER只能归属于一个AS自治域。可以通过本命令为AER设备配置所属的AS自治域号。
同一个AS内的所有AER都需要设置相同的AS号。
【举例】
# 配置AER设备所属的AS自治域号为5。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 as 5
【相关命令】
· sma-anti-spoof ipv6 enable
sma-anti-spoof ipv6 enable命令用来开启SMA功能。
undo sma-anti-spoof ipv6 enable命令用来关闭SMA功能。
【命令】
sma-anti-spoof ipv6 enable
undo sma-anti-spoof ipv6 enable
【缺省情况】
SMA功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
只有开启SMA功能后,SMA的相关配置才会生效。
【举例】
# 开启SMA功能。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 enable
【相关命令】
· sma-anti-spoof ipv6 as
· sma-anti-spoof ipv6 filter enable
· sma-anti-spoof ipv6 server
sma-anti-spoof ipv6 filter enable命令用来开启AER设备报文过滤功能。
undo sma-anti-spoof ipv6 filter enable命令用来来关闭AER设备报文过滤功能。
【命令】
sma-anti-spoof ipv6 filter enable
undo sma-anti-spoof ipv6 filter enable
【缺省情况】
AER设备报文过滤功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在SMA组网中,ACS与ACS之间的通信是属于跨AS的通信,因此,当目的AS的AER出现问题时,可能会阻断ACS之间的通信,进而使得问题无法恢复。为解决这一问题,目的AS内的AER对发往本AS中的ACS的报文不检查标签的正确性,而只是去除SMA-Option后将报文直接转发给ACS。
当网络环境比较安全时,建议关闭本功能,确保ACS通信不受AER功能影响。
当网络环境不安全时,建议开启本功能,AER会对发往本AS中的ACS的报文进行标签检验,并且丢弃校验失败的报文,提高网络的安全性。
只有配置了sma-anti-spoof ipv6 enable命令,本功能才生效。
【举例】
# 开启AER设备报文过滤功能。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 filter enable
【相关命令】
· sma-anti-spoof ipv6 enable
sma-anti-spoof ipv6 port-type命令用来配置SMA的接口类型。
undo sma-anti-spoof ipv6 port-type命令用来恢复缺省情况。
【命令】
sma-anti-spoof ipv6 port-type { egress | ingress }
undo sma-anti-spoof ipv6 port-type
【缺省情况】
未配置SMA接口类型,不对报文进行SMA处理。
【视图】
三层接口视图
【缺省用户角色】
network-admin
【参数】
egress:设置SMA的接口类型为Egress类型。
ingress:设置SMA的接口类型为Ingress类型。
【使用指导】
在SMA组网环境中,为了正确地对报文进行分类,并完成标签的添加、检查以及报文转发,需要手动指定AER上的接口类型。
· Ingress接口:连接到本AS内部未使能SMA特性的路由器的接口。
· Egress接口:连接到其它AS内部AER的接口。
【举例】
# 配置接口GigabitEthernet3/1/1的SMA接口类型为Ingress类型。
<Sysname> system-view
[Sysname] interface gigabitethernet 3/1/1
[Sysname-GigabitEthernet3/1/1] sma-anti-spoof ipv6 port-type ingress
【相关命令】
· sma-anti-spoof ipv6 enable
sma-anti-spoof ipv6 server命令用来配置AER与ACS之间建立连接。
undo sma-anti-spoof ipv6 server命令用来恢复缺省情况。
【命令】
sma-anti-spoof ipv6 server ipv6-address [ ssl-client-policy policy-name ]
undo sma-anti-spoof ipv6 server
【缺省情况】
AER与ACS之间未建立连接。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:指定ACS服务器的IPv6地址。
ssl-client-policy policy-name:指定SSL客户端策略名称,为1~31个字符的字符串,不区分大小写。如果未指定本参数,则AER与ACS之间建立的是TCP连接。
【使用指导】
配置此命令前需要先通过sma-anti-spoof ipv6 enable命令开启SMA功能。如果指定的SSL客户端策略不存在,则AER与ACS无法建立连接。
如果网络环境安全,则不需要指定SSL客户端策略。
【举例】
# 指定ACS的IPv6地址为1::1,并指定与ACS建立SSL连接时使用的SSL客户端策略为ssl,使AER与ACS之间建立SSL连接。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 server 1::1 ssl-client-policy ssl
# 指定ACS的IPv6地址为1::1,使AER与ACS之间建立TCP连接。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 server 1::1
【相关命令】
· sma-anti-spoof ipv6 enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
