手册下载
H3C SR6600_SR6600-X 用户FAQ-R7612-6W100-整本手册.pdf (361.18 KB)
H3C SR6600/SR6600-X路由器 用户FAQ
Copyright © 2017新华三技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
SR6600系列路由器的业务板支持POS接口和GE接口切换吗?
SR6600系列路由器软件升级成功后主机软件版本文件是否可以删除?
SR6600系列路由器能支持Telnet用户名包含@字符吗?
通过reset counters interface命令清除端口计数后,为什么用MIB获取端口错包计数没有变化?
SR6600系列路由器主备倒换后MAC表、ARP表、路由表需要重新学习吗?
为什么所有业务板没有正常运行前不能执行save命令保存配置文件?
SR6600系列路由器在IRF模式下添加或删除IRF物理端口需要注意什么?
SR6600系列路由器IRF支持跨成员设备的以太网聚合链路吗?
SR6600系列路由器IRF支持将多条IRF物理链路与同一条IRF链路绑定吗?
SR6600系列路由器组成IRF的成员设备编号可以相同吗?··
SR6600系列路由器IRF物理端口之间可以通过中间设备连接吗?
为何IRF使能MAD检测,IRF分裂之后重启处于Active状态的IRF,但IRF重新合并之后重新加入的成员设备上的业务端口都是down的?
用户在IRF分裂状态下在设备上新增配置并保存,为何重新形成IRF之后这些新增配置会丢失?
SR6600系列路由器是否支持本地用户先认证然后再远程进行Radius认证?
为何SR6600系列路由器登录采用Radius认证,服务器采用ACS,Console方式无法登录?
为何SR6600系列路由器的Radius和ACS对接时,用户是否只能控制到一级权限?
SR6600系列路由器的HWTACACS认证失败后能在本地继续认证吗?
SR6600系列路由器支持和第三方服务器TACACS对接吗?
用户通过认证后,RADIUS服务器回复的报文中是否有login-service一项?
SR6600系列路由器 HWTACACS和Cisco的ACS的级别是如何对应的?
用远程认证方式,telnet到设备时,VTY用户界面下和RADIUS或HWTACACS服务器上用户名都设置了权限,以哪个为准?
SR6600系列路由器作为网关设备,如何配置防止下面用户的仿冒网关攻击?
SR6600系列路由器的OSPF的Cost值是否与三层以太网接口速率有关?
SR6600系列路由器的策略路由功能是属于强策略路由还是弱策略路由?
SR6600系列路由器PIM-SM域间的MSDP对等体切换时发现RPF检查失败的可能原因?
SR6600系列路由器是否支持IPv4/IPv6双向PIM?
SR6600系列路由器组播VPN是否支持跨AS(Autonomous System,自治系统)转发?
SR6600系列路由器VPLS和组播配置在同一个接口时是否会导致组播功能不可用?
SR6600系列路由器在建立NAT会话时是如何进行地址转换的?
SR6600系列路由器使能Easy IP的接口不建议使用运行路由协议的原因是?
SR6600系列路由器OpenFlow特性是否支持对二层转发报文进行控制?
SR6600系列路由器OpenFlow特性是否支持对MPLS转发报文进行控制?
SR6600系列路由器OpenFlow特性是在路由转发之前还是之后?
SR6600系列路由器OpenFlow特性是否支持VLAN虚接口?
SR6600系列路由器分为:
· SR6600设备,包括SR6604、SR6608和SR6616
· SR6602-X设备,包括SR6602-X1和SR6602-X2
· SR6600-X设备,包括SR6604-X、SR6608-X和SR6616-X
本文档若无特殊说明,则统称为SR6600系列路由器。
表1 SR6600系列路由器系列主机介绍
主机型号 |
主控板槽位数 |
业务板槽位数 |
风扇框数量 |
电源模块插槽数量 |
SR6604 |
2 |
2 |
1 |
2 |
SR6608 |
2 |
4 |
1 |
2 |
SR6616 |
2 |
8 |
1 |
4 |
SR6602-X1 |
0 |
1 |
1 |
2 |
SR6602-X2 |
0 |
1 |
1 |
2 |
SR6604-X |
2 |
2 |
1 |
2 |
SR6608-X |
2 |
4 |
1 |
2 |
SR6616-X |
2 |
8 |
1 |
4 |
SR6600设备支持RT-RPE-X3主控板,同时需要与BKEC型号的托板一起使用。
SR6600-X设备支持RT-RSE-X3主控板,无需托板。
SR6600设备支持的线卡板包括FIP类和SAP类单板。
· FIP类单板:FIP-6xx以下的单板为全业务多核转发架构的单板,FIP-6xx及以上单板是继承使用Appllo芯片的全业务转发单板,需要与接口模块配合使用。
· SAP类单板:使用固定接口、非子母卡架构的全业务单板。
目前支持的电源模块列表如下:
描述 |
型号 |
数量 |
交流电源模块(100V AC~240V AC) |
LSWM1AC300 |
· SR6602-X1:1~2 · SR6602-X2:1~2 |
直流电源模块(-48V DC~-60V DC) |
LSWM1DC300 |
|
直流电源模块(-48V DC~-60V DC) |
PSR650-D |
· SR6604:1~2 · SR6608:1~2 · SR6616:1~4 · SR6604-X:1~2 · SR6608-X:1~2 · SR6616-X:1~4 |
PSR1200-D |
||
交流电源模块(100V AC~240V AC) |
PSR650-A |
· SR6604:1~2 · SR6608:1~2 · SR6616:1~4 · SR6604-X:1~2 · SR6608-X:1~2 · SR6616-X:1~4 |
PSR1200-A |
说明:直流和交流电源存在两种,都可以支持,但不允许混插。
如下交流电源模块支持高压直流供电。
描述 |
型号 |
数量 |
交流电源模块(100V AC~240V AC) |
LSWM1AC300 |
· SR6602-X1:1~2 · SR6602-X2:1~2 |
交流电源模块(100V AC~240V AC) |
PSR650-A |
· SR6604:1~2 · SR6608:1~2 · SR6616:1~4 · SR6604-X:1~2 · SR6608-X:1~2 · SR6616-X:1~4 |
PSR1200-A |
支持。
请确保路由器所配备电源模块的最大输出功率之和大于路由器整机功耗(建议预留20%的功率余量)。
支持。能够根据机框内单板上的温度高低来自动调整风扇运行转速。
支持单板热拔插,也支持接口模块热拔插。
堆叠情况下接口采用4维编号方式:interface-type A/B/C/D
当设备工作在独立运行模式时,接口采用3维编号方式:interface-type B/C/D。
· A:单板所在机框的框号(只在堆叠模式下显示)。
· B:单板在设备上的槽位号。
· C:单板上的接口模块号(如果单板上没有接口模块槽位,则取值固定为0)。
· D:端口编号。
支持主控板热备份,主用主控板故障时能自动切换到备用主控板而保证业务不中断。主备主控板运行的软件版本必须一致。
SR6600系列路由器的工作温度为0℃~45℃。
display environment命令用来显示设备各个单板的温度信息,包括当前温度和设定的温度告警门限。如果温度低于低温告警门限,系统会生成日志信息和告警信息提示用户;如果温度高于Warning高温门限,系统会生成日志信息和告警信息提示用户;如果温度高于Alarm高温门限,系统一方面通过反复打印日志信息和告警信息提示用户,另一方面还会通过设备面板上的指示灯来告警。
可以在设备上用以下命令查看。
<H3C>display device manuinfo
Chassis self:
The operation is not supported on the specified chassis.
Slot 0 CPU 0:
DEVICE_NAME:RT-RSE-X3
DEVICE_SERIAL_NUMBER:210231A1U5B13C900098
MAC_ADDRESS:5CDD-70A2-C654
MANUFACTURING_DATE:2014-02-11
VENDOR_NAME: H3C
Slot 3 CPU 0:
DEVICE_NAME: FIP-240
DEVICE_SERIAL_NUMBER: 210231A2MGB13C900008
MAC_ADDRESS:NONE
MANUFACTURING_DATE:NONE
VENDOR_NAME: H3C
SR6600-X路由器采用电源智能控制技术,能够根据电源模块剩余功率和已安装业务板的功率,智能给线卡上下电,并能关闭不需要工作的业务板电源。
请参见《H3C SR6600/SR6600-X路由器 接口模块手册》。
请参见《H3C SR6600/SR6600-X路由器 接口模块手册》。
仅HIM-TS8P接口模块支持POS接口和GE接口切换。
对于SR6600-X都可选配SFE-X1交换网板。
对于SR6600都可以选配SFE-L1交换网板。
支持。
SR6600系列路由器的BootWare随主机软件发布,不用单独升级。
SR6602-X1、SR6602-X2设备及RSE-X2主控板从V5升级到V7时,需要按照版本说明书中的操作步骤执行BootWare升级后才能完成版本升级。
可以使用命令display version查看系统当前运行的主机程序版本、BootWare版本和设备运行时间。
不能删除。主机软件版本文件中包含主控板软件和业务板软件两部分,主控板和业务板每次启动时都要读取这些文件。
设备提供回收站功能,使用delete命令删除的文件会保留在回收站中,只有使用delete /unreserved命令才能彻底删除文件。可以使用undelete来恢复没有彻底删除的文件。
使用dir命令不显示已经被删除并被放入回收站中的文件,只有使用dir /all命令才能显示回收站中的文件,这些文件的文件名被“[ ]”包含。
SR6600系列路由器使用reset recycle-bin命令清除回收站中的文件,彻底释放空间。如果回收站中的文件损坏,则可以在命令后加/force参数强制删除。
SR6600系列路由器支持完善的热补丁机制。
需要确认:
· 要加载的补丁文件位于Flash或CF卡中。
· 设置的补丁加载目录和存放目录保持一致。
· 主用主控板和备用主控板上补丁文件存放目录保持一致,并且补丁文件都存在。
当设备出厂后第一次启动的时候,是无法显示当前启动的配置文件的。
<Sysname> display startup
MainBoard:
Current saved-configuration file: NULL
Next main startup saved-configuration file: flash:/startup.cfg
Next backup startup saved-configuration file: NULL
Slot 1:
Current saved-configuration file: NULL
Next main startup saved-configuration file: flash:/startup.cfg
Next backup startup saved-configuration file: NULL
如果路由器上电后配置终端无显示信息,首先请排除以下方面的问题:
· 电源系统是否正常;
· 主控板是否正常;
· 是否已将配置电缆接到主控板的Console口。
如果以上检查未发现问题,很可能有如下原因:
· 配置电缆连接的串口错误(实际选择的串口与终端设置的串口不符);
· 如果配置终端上显示乱码,很可能是配置终端参数设置错误;
· 配置电缆本身有问题。
正确设置为:波特率为9600,数据位为8,奇偶校验为无,停止位为1,流量控制为无,选择终端仿真为VT100。
需要注意的是:对于SecureCRT终端软件,需要在连接设置时取消勾选Flow-control中的DTR/DSR或者RTS/CTS。
通过在Console用户界面视图执行speed speed-value命令修改Console口传输速率为115200bps,然后断开超级终端,使用波特率为115200重新连接即可。
通过在用户视图下执行命令free user-interface vty number可以清除Telnet进程。
SR6600系列路由器不支持本地用户名包含@字符。
命令行端口上计数与通过MIB获取的计数有所不同。通过reset counters interface命令清除端口的计数时,虽然会清除接口管理模块对应接口上的计数信息,但并不会清除底层的硬件计数信息。通过MIB获取端口计数是通过获取底层硬件的计数器进行累加的,因此不会受到影响。
设备启动时根据提示按Ctrl + B进入BootWare菜单,然后按键Ctrl + F进行当前存储器的格式化操作。
以下操作以RSE-X3主控板格式化FLASH为例。
==========================<EXTENDED-BOOTWARE MENU>==========================
|<1> Boot System |
|<2> Enter Serial SubMenu |
|<3> Enter Ethernet SubMenu |
|<4> File Control |
|<5> Restore to Factory Default Configuration |
|<6> Skip Current System Configuration |
|<7> BootWare Operation Menu |
|<8> Skip Authentication for Console Login |
|<9> Storage Device Operation |
|<0> Reboot |
============================================================================
Ctrl+Z: Access EXTEND-ASSISTANT MENU
Ctrl+F: Format File System
Enter your choice(0-9):
Warning:All files on flash will be lost! Are you sure to format? [Y/N]
MAC表项和ARP表项在备用主控板上会进行备份,主备倒换不需要重新学习。
路由表需要重新学习,但是如果路由协议配置了GR或者NSR,主备倒换之后转发表保持不变,转发不受影响;如果路由协议没有配置GR或者NSR,转发会受到影响。
SR6600系列路由器的配置信息保存在Flash的配置文件中,单板启动时会读取配置文件恢复对此单板的配置信息,并在内存中保留一份当前运行的配置信息。在系统启动阶段,如果所有接口还没有正常运行,即配置文件还未完全恢复到内存中,此时执行命令save保存,就会以内存中不完整的配置信息覆盖配置文件,会造成部分配置信息丢失。
不支持。
是的,全系列都支持IRF。
都能支持。
SR6604、SR6608、SR6616之间可以组成IRF,不受设备类型一致的限制;
SR6604-X、SR6608-X、SR6616-X之间可以组成IRF,不受设备类型一致的限制;
SR6602-X1、SR6602-X2之间可以组成IRF,不受设备类型一致的限制。
只能支持两台成员设备,且只支持链形拓扑堆叠,不支持环形拓扑堆叠。
在将物理端口加入IRF端口或者从IRF端口中删除前,必须先将涉及到的物理端口执行shutdown命令;执行添加或者删除操作后,再将该物理端口执行undo shutdown命令;在备框上的最后一个IRF物理端口不能够执行shutdown命令。
支持。
支持。只要将对应成员设备上的IRF物理端口与IRF端口绑定,这些IRF物理端口就会自动聚合,无需使用聚合端口。
两台成员设备的成员编号不能相同,在组建IRF之前要求两台设备配置不同的成员编号后再进行组建;同一成员设备上的两块主控板成员编号要求一致,如果不一致,备用主控板会重启一下然后把成员编号改成和主用主控板一致。
不行。为了确保组网的稳定,需要使用光纤或电缆直接连接,不能通过中间设备连接。
目前只有线卡板上的固定口支持作为IRF端口。
不能。因为成员设备之间的IRF报文是通过每台成员设备上的主控板进行交互的,而且每台成员设备中的业务板也必须通过该成员设备上的主控板才能正常工作(包括数据平面和控制平面),当从设备上所有主控板都被拔出时,从设备无法正常工作。所以从设备的主控板不能都拔掉,至少保留1块。对于SR6600系列路由器-S路由器,IRF物理端口所在的主控板也不能都被拔出,否则当最后一条IRF物理链路断开后会导致IRF分裂。
如果配置LACP MAD检测方式,组网中需要使用中间设备,中间设备必须满足下列条件:
· 必须为H3C的交换机设备;
· 使用的软件版本必须能够识别、处理携带了ActiveID值的LACP PDU协议报文;
· 在LACP MAD检测组网中,如果中间设备本身也是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同。否则可能造成LACP MAD检测异常,甚至导致业务中断。
如果IRF启用了MAD,在IRF分裂之后处于Recovery状态的IRF上所有业务端口会被Shutdown,此时重启处于Active状态的IRF上,在IRF重新合并(merge)时,处于Recovery状态的IRF会重新加入IRF,此时软件不会自动让重新加入的成员设备的端口自动up起来,避免再次有同样的原因导致IRF分裂。需要通过mad restore命令把MAD DOWN的端口重新UP起来。如果重启的是处于Recovery状态的IRF,则不会存在这个问题。
IRF分裂之后,两台成员设备都是主设备,在某一台成员设备上新增配置并保存,虽然在本设备上确实保存了新配置,但是如果这台成员设备重新形成IRF之后成了从设备,那么由于这些配置没有同步到主设备,从设备仍然按照主设备的配置执行,最终从设备上独自新增的配置丢失了。
表2 SR6600系列路由器攻击防御功能简介
攻击防御分类 |
攻击防御措施 |
功能描述 |
ARP攻击防御 |
ARP源抑制功能 |
用于防止设备被固定源发送的IP报文攻击 |
ARP黑洞路由功能 |
用于防止设备被不固定的源发送的IP报文攻击 |
|
ARP主动确认功能 |
用于防止攻击者仿冒用户欺骗设备 |
|
源MAC地址固定的ARP攻击检测 |
用于防止设备被同一MAC地址源发送的攻击报文攻击 |
|
ARP报文源MAC一致性检查功能 |
用于防止设备被以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的报文攻击 |
|
IP层攻击防御 |
URPF检查 |
用于防止基于源地址欺骗的网络攻击行为 |
TTL报文防攻击 |
通过关闭ICMP超时报文发送功能来避免被攻击者恶意攻击 |
|
传输层攻击防御 |
防止Syn-flood攻击 |
当服务器收到TCP连接请求时,不建立TCP半连接,而直接向发起者回复SYN ACK报文,可以避免在服务器上建立大量的TCP半连接,防止服务器受到SYN Flood攻击 |
SR6600系列路由器不支持先本地认证再RADIUS认证,只能先RADIUS认证再本地认证,而且是必须要在RADIUS无响应的情况下才执行本地认证。
需要将ACS上面的Login-service选项去除,这样才可以允许Console口用户登录。
下面两项中的任意一项没有设置正确,就会出现问题描述的现象:
· ACS上的2011/002私有属性没有配置完整。
· ACS上没有配置Login-service属性。
SR6600系列路由器支持在HWTACACS服务器不能连接后启用本地认证方式,但对于HWTACACS服务器正常,但认证失败(即用户名/密码错误)的情况则不会启用本地认证。
只要第三方的TACACS服务器按照标准RADIUS协议实现,SR6600系列路由器即可和该服务器对接,包括思科的ACS以及Free TACACS等开源的TACACS服务器。
这取决于服务器上是否配置了用户的服务类型。如果服务器上配置了用户的服务类型,则RADIUS服务器回复的报文中有login-service一项;否则,RADIUS服务器回复的报文中不会有该项。
· 用户线视图/用户线类视图下使用user-role命令配置从当前用户线登录系统的用户角色;
· 本地用户视图下通过authorization-attribute user-role命令用来指定本地用户的授权用户角色;
· 采用AAA远程认证方式时,在远程服务器上设置用户角色。
HWTACACS的0~16级与ACS的0~16级是一一对应的。
先以RADIUS或者HWTACACS服务器上用户名配置角色为准,再以本地配置的VTY用户界面下角色为次之。默认用户角色都是network-operator。
例如:
· 如果VTY 配置了network-admin或者level 15角色,服务器上配置的用户名没有用户角色,那么使用用户名telnet登录后用户角色为network-operator。
· 如果VTY没有配置角色,服务器上配置的用户角色为level 15,那么使用用户名telnet登录后用户角色为level 15。
实际上VTY用户界面下配置的用户角色是在VTY用户界面配置了authentication-mode none或password时才发生作用的。
如果SR6600系列路由器收到有设备冒充自己的ARP报文,会主动发送一个免费ARP报文,来修改下挂被欺骗的ARP表项。如果攻击报文较多,可以查找出攻击报文的入端口,抓取报文,获取报文特征,再下发ACL规则进行过滤。
本地镜像组可支持跨板镜像,即镜像源与镜像目的可以位于同一台设备的不同单板或接口模块上。
不支持。
SR6600系列路由器支持以下三种类型的隧道技术:
· IPv6 over IPv4隧道:使IPv6报文可以穿越IPv4网络,实现隔离的IPv6网络互通。
· IPv4 over IPv4隧道和GRE隧道:创建VPN,保证通信的安全性。
· MPLS TE隧道:实现流量工程,避免由于负载不均衡导致网络拥塞。
当前SR6600系列路由器可实现以下BFD联动功能:
· BFD for IPV4系列路由协议:包括RIP、OSPF、IS-IS、IPv4 BGP
· BFD for IPV6系列路由协议:包括OSPFv3、IS-IS6、IPv6 BGP
· BFD for LDP LSP
· BFD for MPLS TE
· BFD for 静态路由、BFD for 策略路由、track
· BFD for IP FRR、BFD for MPLS TE FRR
· BFD for VRRP协议
· BFD for PIM DR
· BFD for VPLS备份PW
· BFD for lacp
· BFD for interface、BFD for subinterface
对于除FIP-600和SAP-4EXP以外的单板,支持以太网物理接口以及三层以太网子接口加入聚合组,聚合成员端口可以跨板。
对于FIP-600和SAP-4EXP单板,只支持以太网物理接口聚合。
所谓黑洞路由就是当去往某一目的地的静态路由出接口均为NULL 0接口,任何去往该目的地的IP报文都将被丢弃,并且不通知源主机。在网络遭受IP攻击的情况下,可以通过配置黑洞路由丢弃去往目的地址的报文,配置举例如下:
<Sysname>system-view
[Sysname]ip route-static 1.1.1.1 32 null 0 preference 1
Cost值与三层以太网接口协商的速率有关。
缺省情况下,三层以太网接口按照当前的接口速率自动计算接口运行OSPF协议所需的开销。
计算公式为:三层以太网接口开销=带宽参考值(100Mbps)÷接口速率(Mbps),当计算出来的开销值大于65535时,开销取最大值65535;当计算出来的开销值小于1时,开销取最小值1。
到相同的目的地,不同的路由协议(包括静态路由)可能会发现不同的路由,但并非这些路由都是最优的。事实上,在某一时刻,到某一目的地的当前路由仅能由唯一的路由协议来决定。这样,各路由协议(包括静态路由)都被赋予了一个优先级,这样当存在多个路由信息源时,具有较高优先级的路由协议发现的路由将成为当前路由。各种路由协议及其发现路由的缺省优先级(数值越小表明优先级越高)。
表3 路由协议及其发现路由的优先级
路由协议或路由种类 |
相应路由的优先级 |
DIRECT |
0 |
OSPF |
10 |
IS-IS |
15 |
STATIC |
60 |
RIP |
100 |
OSPF ASE |
150 |
OSPF NSSA |
150 |
IBGP |
255 |
EBGP |
255 |
UNKNOWN |
256 |
其中:0表示直连路由,256表示任何来自不可信源端的路由。
属于弱策略路由,即把某条流重定向到下一跳地址之后,如果该下一跳地址不存在,报文不进行重定向(不丢弃),而是按照报文的目的IP地址进行路由选路和处理。
各路由协议对GR(Graceful Restart,平滑重启)、NSR(Nonstop Routing,不间断路由)、FRR(Fast Reroute,快速重路由)、BFD(Bidirectional Forwarding Detection,双向转发检测)等特性的支持情况,请参见表4。
表4 各种路由协议对GR、NSR、FRR、BFD的支持情况
路由协议 |
GR |
NSR |
FRR |
BFD |
IPv4静态路由 |
不涉及 |
不涉及 |
√ |
√ |
IPv6静态路由 |
不涉及 |
不涉及 |
不涉及 |
√ |
RIP |
√ |
√ |
√ |
√ |
RIPng |
√ |
√ |
√ |
× |
OSPF |
√ |
√ |
√ |
√ |
OSPFv3 |
√ |
√ |
√ |
√ |
ISIS |
√ |
√ |
√ |
√ |
ISISv6 |
√ |
√ |
√ |
√ |
IPv4 BGP |
√ |
√ |
√ |
√ |
IPv6 BGP |
√ |
√ |
√ |
√ |
· 支持MPLS数据转发、LSP、LDP
· 支持用作LSR
· 支持MPLS TE、RSVP-TE
· 支持MPLS L2VPN、VPLS
· 支持MPLS L3VPN
SR6600系列路由器支持IGMP的V1、V2和V3版本。缺省情况下,IGMP的版本为IGMPv2。
SR6600系列路由器支持静态RP功能。在PIM视图下使用static-rp rp-address [ acl-number | bidir | preferred ] *命令配置静态RP,同时可以配置ACL规则限制静态RP服务的组播组范围。
需要注意的是:
· 当网络中同时存在动态RP和静态RP时,如果配置preferred参数,表示优先选择静态RP,只有当静态RP失效时,动态RP才能生效。如果未指定本参数,则表示优先选择动态RP。
· PIM域内所有路由器必须同时配置该命令并且指定同一RP地址。
支持。可以利用组播静态路由来改变或衔接RPF(Reverse Path Forwarding,逆向路径转发)路由。
可以通过配置ACL规则限制非法组播源的组播转发。比如只想对源地址是99.100.100.4、组地址是225.1.1.1的组播组建立组播表项,进行转发,则可以配置如下:
1. 配置ACL规则:
[Sysname] acl number 3000
[Sysname-acl-adv-3000] rule 0 permit ip source 99.100.100.4 0 destination 225.1.1.1 0
[Sysname-acl-adv-3000] rule 1 deny ip
2. 在PIM视图下配置组播数据过滤器:
[Sysname-pim] source-policy 3000
这样在路由器上就只能建立S为99.100.100.4,G为225.1.1.1的组播表项,其他组播表项都无法建立。
SR6600系列路由器支持组播组过滤规则。可以通过在三层以太网接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图下配置igmp group-policy ipv4-acl-number [ version-number ]命令实现。
需要注意的是:
由于本命令只能过滤IGMP报文,因此无法对接口静态加入组播组或组播源组进行限制。
指定IPv4 ACL时,需要注意:
· 对于IPv4基本ACL,该ACL规则中的source参数用来指定IGMP报文中的组播组地址范围,并且该规则中除source、fragment和time-range以外的其它可选参数都将被忽略。
· 对于IPv4高级ACL,该ACL规则中的source参数用来指定IGMP报文中的组播源地址(对于IGMPv1/v2报文和未携带组播源地址的IS_EX/TO_EX类型的IGMPv3报文,视其组播源地址为0.0.0.0)范围,destination参数用来指定组播组地址范围,并且该规则中除source、destination、fragment和time-range以外的其它可选参数都将被忽略。
· 若ACL中指定了vpn-instance参数则该条规则不生效。
· 检查是否配置了静态RPF对等体(命令static-rpf-peer),如果该配置不当(如过滤策略指定的不正确),就容易发生RPF检查失败的情形。
· 正常的网络中也可能产生,比如网络中MSDP对等体存在环路,导致报文从非RPF接口进入,此时就会发生RPF检查失败。
支持。
支持。
全系列单板支持。
· 传统NAT:报文经过NAT设备时,在NAT接口上仅进行一次源IP地址转换或一次目的IP地址转换。对于内网访问外网的报文,在出接口上进行源IP地址转换;对于外网访问内网的报文,在入接口上进行目的地址IP地址转换;
· 两次NAT:报文入接口和出接口均为NAT接口。报文经过NAT设备时,先后进行两次NAT转换。对于内网访问外网的报文和外网访问内网的报文,均在入接口进行目的IP地址转换,在出接口进行源IP地址转换。这种方式常用于支持地址重叠的VPN间互访。
使能Easy IP时,所有需要上送CPU处理的报文都走一个软件队列(未使能时,各协议走各自的队列)。若有大量报文需要上送CPU处理,则容易导致队列拥塞而被丢弃,并影响设备的正常运行。因此,不建议在使能Easy IP的接口上运行路由协议。
除FIP-600和SAP-4EXP单板外全系列单板支持。
可以。
不支持。
当前FIP-600和SAP-4EXP不支持OpenFlow功能。
OpenFlow1.31。
不支持。
不支持。
当前版本只支持后置转发,即如果某报文要进行OpenFlow转发,则必须保证在未配置OpenFlow时,该报文能够根据传统路由进行正确转发,否则及时配置了OpenFlow,也不能按照OpenFlow进行转发。
VLAN虚接口只支持MAP-IP流表,不支持Extensibility流表。