- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-AFT命令
本章节下载: 02-AFT命令 (262.53 KB)
1.1.11 aft turn-off traffic-class
1.1.16 display aft address-group
1.1.17 display aft address-mapping
1.1.18 display aft configuration
设备各款型对于本节所描述的特性支持情况有所不同,详细差异信息如下:
|
型号 |
特性 |
描述 |
|
F1000-E-G2/F1000-A-G2/F1000-S-G2/F1000-C-G2 |
AFT |
支持 |
|
F100-E-G2/F100-A-G2/F100-M-G2/F100-S-G2/F100-C-G2 |
· F100-E-G2/F100-A-G2:支持 · F100-M-G2/F100-S-G2/F100-C-G2:不支持 |
|
|
F1000-C-EI/F100-E-EI/F100-A-EI/F100-C-EI/F100-A-SI |
· F1000-C-EI/F100-E-EI/F100-A-EI/F100-A-SI:支持 · F100-C-EI:不支持 |
|
|
F100-C-HI/F100-S-HI/F100-A-HI/F1000-C-HI |
· F100-A-HI/F1000-C-HI:支持 · F100-C-HI/F100-S-HI:不支持 |
|
|
F1000-C8180/F1000-C8170/F1000-C8160/F1000-C8150/F1000-C8130/F1000-C8120 |
· F1000-C8180/F1000-C8170/F1000-C8160:支持 · F1000-C8150/F1000-C8130/F1000-C8120:不支持 |
|
|
F100-C80-WiNet/F100-C60-WiNet |
不支持 |
address命令用来添加一个地址组成员。
undo address命令用来删除一个地址组成员。
【命令】
address start-address end-address
undo address start-address end-address
【缺省情况】
地址组内不存在地址组成员。
【视图】
AFT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:地址组成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
一个地址组是多个地址组成员的集合。当需要对从IPv6网络到达IPv4网络的数据报文进行源地址转换时,IPv6报文的源地址将被转换为地址组成员中的某个IPv4地址。
一个地址组成员所包含的地址数目不能超过256。
各地址组成员的IP地址段不能相互重叠。
【举例】
# 在地址组2下添加两个地址组成员。
<Sysname> system-view
[Sysname] aft address-group 2
[Sysname-aft-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-aft-address-group-2] address 10.1.1.20 10.1.1.30
【相关命令】
· aft address-group
aft address-group命令用来创建一个地址组,并进入地址组视图。如果指定的地址组已经存在,则直接进入地址组视图。
undo aft address-group命令用来删除指定的地址组。
【命令】
aft address-group group-id
undo aft address-group group-id
【缺省情况】
不存在AFT地址组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-id:地址组的编号,取值范围为0~65535。
【使用指导】
一个地址组是多个地址组成员的集合,各个地址组成员通过address命令配置。地址组用于动态地址转换。当需要对从IPv6网络到达IPv4网络的数据报文进行源地址转换时,IPv6报文的源地址将被转换为地址组成员中的某个IPv4地址。
【举例】
# 创建编号为1的AFT地址组,并进入AFT地址组视图。
<Sysname> system-view
[Sysname] aft address-group 1
[Sysname-aft-address-group-1]
【相关命令】
· address
· aft v6tov4 source
· display aft address-group
· display aft configuration
aft enable命令用来开启接口的AFT功能。
undo aft enable命令用来关闭接口的AFT功能。
【命令】
aft enable
undo aft enable
【缺省情况】
接口的AFT功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
所有参与IPv4网络与IPv6网络通信的接口均需开启AFT功能。
【举例】
# 开启接口的AFT功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] aft enable
【相关命令】
· display aft configuration
aft log enable命令用来开启AFT日志功能。
undo aft log enable命令用来关闭AFT日志功能。
【命令】
aft log enable
undo aft log enable
【缺省情况】
AFT日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
为了满足网络管理员安全审计的需要,可以开启AFT日志功能,以便对AFT连接(AFT连接是指报文经过设备时,源或目的地址进行过AFT转换的连接)信息进行记录。
在以下情况下会触发记录AFT日志:
· AFT端口块新建
· AFT端口块删除
· AFT流创建,即AFT会话创建时输出日志,需要同时配置aft log flow-begin命令。
· AFT流删除,即AFT会话释放时输出日志,需要同时配置aft log flow-end命令。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启AFT日志功能。
<Sysname> system-view
[Sysname] aft log enable
【相关命令】
· aft log flow-begin
· aft log flow-end
· display aft configuration
aft log flow-begin命令用来开启AFT新建流的日志功能。
undo aft log flow-begin命令用来关闭AFT新建流的日志功能。
【命令】
aft log flow-begin
undo aft log flow-begin
【缺省情况】
AFT新建流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启AFT新建流的日志功能后,新建AFT会话时,会输出AFT日志。
只有开启AFT日志功能(aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT新建流的日志功能。
<Sysname> system-view
[Sysname] aft log flow-begin
【相关命令】
· aft log enable
· aft log flow-end
· display aft configuration
aft log flow-end命令用来开启AFT删除流的日志功能。
undo aft log flow-end命令用来关闭AFT删除流的日志功能。
【命令】
aft log flow-end
undo aft log flow-end
【缺省情况】
AFT删除流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启AFT删除流的日志功能后,释放AFT会话时,会输出AFT日志。
只有开启AFT日志功能(aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT删除流的日志功能。
<Sysname> system-view
[Sysname] aft log flow-end
【相关命令】
· aft log enable
· aft log flow-begin
· display aft configuration
aft prefix-general命令用来配置General前缀。
undo aft prefix-general命令用来删除指定的General前缀。
【命令】
aft prefix-general prefix-general prefix-length
undo aft prefix-general prefix-general prefix-length
【缺省情况】
不存在General前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
prefix-general:General前缀。
prefix-length:前缀长度,取值为32、40、48、56、64或96。
【使用指导】
General前缀是长度为32、40、48、56、64或96位的IPv6地址前缀,用来将IPv6地址和IPv4地址互相转换。General前缀既可以用于转换源地址,也可以用于转换目的地址。
General前缀不能与设备上的接口地址同网段,并且,General前缀、NAT64前缀和IVI前缀三者不能相同。
【举例】
# 配置General前缀为2000:db8e::,前缀长度为32。
<Sysname> system-view
[Sysname] aft prefix-general 2000:db8e:: 32
【相关命令】
· display aft configuration
aft prefix-ivi命令用来配置IVI前缀。
undo aft prefix-ivi命令用来删除指定的IVI前缀。
【命令】
aft prefix-ivi prefix-ivi
undo aft prefix-ivi prefix-ivi
【缺省情况】
不存在IVI前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
prefix-ivi:IVI前缀,前缀取值固定为32。
【使用指导】
IVI前缀长度固定为32位,该前缀用于检查IPv6地址是否符合IVI格式,对符合IVI前缀格式的IPv6地址,取出内嵌的IPv4地址进行AFT转换。同时,IVI前缀还可以添加在IPv4地址前面组成IPv6地址以进行AFT转换。
IVI前缀、NAT64前缀和General前缀三者不能相同。
【举例】
# 配置IVI前缀为3000:db8e::。
<Sysname> system-view
[Sysname] aft prefix-ivi 3000:db8e::
【相关命令】
· display aft configuration
aft prefix-nat64命令用来配置NAT64前缀。
undo aft prefix-nat64命令用来删除指定的NAT64前缀。
【命令】
aft prefix-nat64 prefix-nat64 prefix-length
undo aft prefix-nat64 prefix-nat64 prefix-length
【缺省情况】
不存在NAT64前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
prefix-nat64:NAT64前缀。
prefix-length:前缀长度,取值为32、40、48、56、64或96。
【使用指导】
NAT64前缀是长度为32、40、48、56、64或96位的IPv6地址前缀,用来将IPv4主机的IPv4地址转换为IPv6地址,以便IPv4主机与IPv6主机通信。
NAT64前缀不能与设备上的接口地址同网段,并且,NAT64前缀、IVI前缀和General前缀三者不能相同。
【举例】
# 配置NAT64前缀为2000:db8e::,前缀长度为32。
<Sysname> system-view
[Sysname] aft prefix-nat64 2000:db8e:: 32
【相关命令】
· display aft configuration
aft turn-off tos命令用来配置IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0。
undo aft turn-off tos命令用来恢复缺省情况。
【命令】
aft turn-off tos
undo aft turn-off tos
【缺省情况】
IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段与转换前的IPv6报文的Traffic Class字段值相同。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 配置IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0。
<Sysname> system-view
[Sysname] aft turn-off tos
aft turn-off traffic-class命令用来配置IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0。
undo aft turn-off traffic-class命令用来恢复缺省情况。
【命令】
aft turn-off traffic-class
undo aft turn-off traffic-class
【缺省情况】
IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段与转换前的IPv4报文的ToS字段值相同。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 配置IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0。
<Sysname> system-view
[Sysname] aft turn-off traffic-class
aft v4tov6 destination命令用来配置从IPv4到IPv6的目的地址转换策略。
undo aft v4tov6 destination命令用来删除从IPv4到IPv6的目的地址转换策略。
【命令】
aft v4tov6 destination acl { name ipv4-acl-name prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] } }
undo aft v4tov6 destination acl { name ipv4-acl-name | number ipv4-acl-number }
【缺省情况】
不存在从IPv4到IPv6的目的地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl:指定用来匹配IPv4报文的IPv4 ACL。对于IPv4网络到IPv6网络的报文,如果IPv4报文匹配该IPv4 ACL,则根据本命令转换目的IPv4地址。
name ipv4-acl-name:IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,ACL的名称不允许使用英文单词all。
number ipv4-acl-number:IPv4 ACL的编号,取值范围为2000~3999。
prefix-general prefix-general prefix-length:配置General前缀。对于IPv4网络到IPv6网络的报文,如果匹配该IPv4 ACL,则根据General前缀将目的IPv4地址转换为IPv6地址。
prefix-ivi prefix-ivi:配置IVI前缀。对于IPv4网络到IPv6网络的报文,如果匹配该IPv4 ACL,则根据IVI前缀将目的IPv4地址转换为IVI格式的IPv6地址。
vpn-instance ipv6-vpn-instance-name:指定IPv6地址所属VPN实例。ipv6-vpn-instance-name表示IPv6 VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
【使用指导】
不同的IPv4到IPv6目的地址转换策略引用的ACL不能相同。
引用IVI前缀或General前缀之前,需要先进行IVI前缀或General前缀的配置,转换策略才能生效。
【举例】
# 配置动态地址转换策略,将匹配ACL 2000的IPv4报文目的地址使用IVI前缀3000:db8e::转换为IPv6地址。
<Sysname> system-view
[Sysname] aft prefix-ivi 3000:db8e::
[Sysname] aft v4tov6 destination acl number 2000 prefix-ivi 3000:db8e::
# 配置动态地址转换策略,将匹配ACL 2000的IPv4报文目的地址使用General前缀2000:db8e::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft v4tov6 destination acl number 2000 prefix-general 2000:db8e:: 32
【相关命令】
· display aft configuration
aft v4tov6 source命令用来配置从IPv4到IPv6的源地址转换策略。
undo aft v4tov6 source命令用来删除从IPv4到IPv6的源地址转换策略。
【命令】
静态方式:
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ]
undo aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ]
动态方式:
aft v4tov6 source acl { name ipv4-acl-name prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } }
undo aft v4tov6 source acl { name ipv4-acl-name | number ipv4-acl-number }
【缺省情况】
不存在从IPv4到IPv6的源地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定源IPv4地址。
vpn-instance ipv4-vpn-instance-name:指定该IPv4地址所属VPN实例。ipv4-vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址属于公网。
ipv6-address:指定转换后的源IPv6地址。
vpn-instance ipv6-vpn-instance-name:指定该IPv6地址所属VPN实例。ipv6-vpn-instance-name表示IPv6 VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
acl:指定用来匹配IPv4报文的IPv4 ACL。对于从IPv4网络到IPv6网络的报文,如果IPv4报文匹配该IPv4 ACL,则根据本命令转换源IPv4地址。
name ipv4-acl-name:IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,ACL的名称不允许使用英文单词all。
number ipv4-acl-number:IPv4 ACL的编号,取值范围为2000~3999。
prefix-general prefix-general prefix-length:配置General前缀,对于匹配IPv4 ACL的报文,根据此General前缀,将源IPv4地址转换为IPv6地址。prefix-general为General前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
prefix-nat64 prefix-nat64 prefix-length:配置NAT64前缀,对于匹配IPv4 ACL的报文,根据此NAT64前缀,将源IPv4地址转换为IPv6地址。prefix-nat64为NAT64前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
【使用指导】
不同的IPv4到IPv6源地址转换策略指定的IPv4地址、IPv6地址以及ACL不能相同。
引用NAT64前缀或General前缀之前,需要先进行NAT64前缀或General前缀的配置,转换策略才能生效。
静态方式中指定的IPv6地址不能与设备上的接口地址同网段。
【举例】
# 配置静态源地址转换策略,将源IPv4地址2.2.2.123转换为源IPv6地址3001::5。
<Sysname> system-view
[Sysname] aft v4tov6 source 2.2.2.123 3001::5
# 配置动态地址转换策略,将匹配ACL 2000的IPv4报文源地址使用NAT64前缀2000::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft prefix-nat64 2000:: 32
[Sysname] aft v4tov6 source acl number 2000 prefix-nat64 2000:: 32
# 配置动态地址转换策略,将匹配ACL 2000的IPv4报文源地址使用General前缀3000::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft v4tov6 source acl number 2000 prefix-general 3000:: 32
【相关命令】
· display aft configuration
aft v6server命令用来配置IPv6侧服务器对应的IPv4地址及端口号。
undo aft v6server命令用来删除IPv6侧服务器对应的IPv4地址及端口号。
【命令】
aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ]
undo aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ]
【缺省情况】
不存在IPv6侧服务器对应的IPv4地址及端口号。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
protocol protocol-type:指定支持的协议类型。protocol-type取值及含义如下:
· tcp:表示TCP协议。
· udp:表示UDP协议。
ipv4-destination-address:IPv6地址映射的IPv4地址。
ipv4-port-number:IPv4端口号,取值范围为1~65535。
vpn-instance ipv4-vpn-instance-name:指定该IPv4地址所属VPN实例。ipv4-vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址属于公网。
ipv6-destination-address:需要映射的IPv6目的地址。
ipv6-port-number:IPv6端口号,取值范围为1~65535。
vpn-instance ipv6-vpn-instance-name:指定该IPv6地址所属VPN实例。ipv6-vpn-instance-name表示IPv6 VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
【使用指导】
不同的IPv6侧服务器配置的IPv4协议、地址、端口和VPN信息不能完全相同。
【举例】
# 配置IPv6服务器3001::5对应IPv4地址2.2.2.123及端口号1720,指定支持的协议为TCP。
<Sysname> system-view
[Sysname] aft v6server protocol tcp 2.2.2.123 1720 3001::5 1720
【相关命令】
· display aft configuration
aft v6tov4 source命令用来配置从IPv6到IPv4的源地址转换策略。
undo aft v6tov4 source命令用来删除从IPv6到IPv4的源地址转换策略。
【命令】
静态方式:
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ]
undo aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ]
动态方式:
aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } { address-group group-id [ no-pat | port-block-size blocksize ] | interface interface-type interface-number } [ vpn-instance ipv4-vpn-instance-name ]
undo aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] }
【缺省情况】
不存在从IPv6到IPv4的源地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:指定源IPv6地址。
vpn-instance ipv6-vpn-instance-name:指定该IPv6地址所属的VPN实例。ipv6-vpn-instance-name表示IPv6 VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
ipv4-address:指定转换后的源IPv4地址。
vpn-instance ipv4-vpn-instance-name:指定该IPv4地址所属的VPN实例。ipv4-vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址属于公网。
acl ipv6:指定用来匹配IPv6报文的IPv6 ACL。对于IPv6网络到IPv4网络的报文,如果IPv6报文匹配该IPv6 ACL,则根据本命令转换源IPv6地址。
name ipv6-acl-name:IPv6 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,IPv6 ACL的名称不允许使用英文单词all。
number ipv6-acl-number:IPv6 ACL的编号,取值范围为2000~3999。
prefix-nat64 prefix-nat64 prefix-length:指定用来匹配IPv6报文目的地址的NAT64前缀。对于从IPv6网络到IPv4网络的报文,如果目的IPv6地址符合配置的NAT64前缀格式,则根据本命令转换源IPv6地址。prefix-nat64为NAT64前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96。
address-group group-id:指定将源IPv6地址转换为该地址组中的IPv4地址。group-id为AFT地址组的编号,取值范围为0~65535。
no-pat:指定该地址转换策略不进行端口转换。如果不指定该参数,则表示进行端口转换。
port-block-size blocksize:端口块大小,取值范围为100~64512。如果不指定该参数,则表示PAT方式进行端口转换时不做端口块限制。
interface interface-type interface-number:指定将源IPv6地址转换为该接口的主IPv4地址。 interface-type interface-number表示接口类型和接口编号。如果指定该参数,则表示接口将一定采用PAT方式进行端口转换,不做端口块限制。
【使用指导】
如果指定了port-block-size blocksize参数,则进行PAT转换时,可用的端口范围为1024~65535。该端口范围被划分成多个端口块,每个端口块的大小由port-block-size blocksize参数决定。例如,blocksize为1000时,第一个端口块的端口号范围为1024~2023,第二个端口块的端口号范围为2024~3023,以此类推。
引用NAT64前缀之前,需要先进行NAT64前缀的配置,转换策略才能生效。
不同IPv6到IPv4源地址转换策略中指定的IPv6地址、IPv4地址、地址组、ACL、NAT64前缀均不能相同。
【举例】
# 配置静态地址转换策略,将源IPv6地址3001::5转换为源IPv4地址2.2.2.123。
<Sysname> system-view
[Sysname] aft v6tov4 source 3001::5 2.2.2.123
# 配置动态地址转换策略,将匹配ACL 2000的IPv6报文源地址转换为地址组0中的地址,并指定PAT方式进行端口转换时的端口块大小为100。
<Sysname> system-view
[Sysname] aft v6tov4 source acl ipv6 number 2000 address-group 0 port-block-size 100
【相关命令】
· display aft configuration
· display aft port-block
display aft address-group命令用来显示地址组信息。
【命令】
display aft address-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
group-id:地址组的编号,取值范围为0~65535。如果不指定本参数,则显示所有地址组的信息。
【举例】
<Sysname> display aft address-group
There are 3 AFT address groups.
Group number Start address End address
1 202.110.10.10 202.110.10.15
2 202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
6 --- ---
# 显示指定地址组的信息。
<Sysname> display aft address-group 1
Group number Start address End address
1 202.110.10.10 202.110.10.15
表1-1 display aft address-group命令显示信息描述表
|
字段 |
描述 |
|
There are n AFT address groups |
当前有n个AFT地址组 |
|
Group number |
地址组编号 |
|
Start address |
地址组成员的起始地址。如果未配置,则显示为“---” |
|
End address |
地址组成员的结束地址。如果未配置,则显示为“---” |
display aft address-mapping命令用来显示AFT地址映射信息。
【命令】
display aft address-mapping [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的AFT地址映射表项信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的AFT地址映射表项信息。
【举例】
# 显示AFT地址映射表的信息。
<Sysname> display aft address-mapping
Slot 0:
IPv6: Source IP/port: 2000:0:FF01:101:100::8/1024
Destination IP/port: 5000::1717:1714/1025
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
IPv4: Source IP/port: 1.1.1.1/1031
Destination IP/port: 23.23.23.20/1025
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Total address mappings found: 1
表1-2 display aft address-group命令显示信息描述表
|
字段 |
描述 |
|
Slot 0 |
指定成员设备上的AFT地址映射信息 |
|
IPv4 |
IPv4地址信息 |
|
IPv6 |
IPv6地址信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
VPN instance/VLAN ID/Inline ID |
会话所属的VPN实例/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
协议类型,包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
display aft configuration命令用来显示AFT配置信息。
【命令】
display aft configuration
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示AFT的配置信息。
<Sysname> display aft configuration
aft address-group 1
address 202.110.10.10 202.110.10.15
address 101.1.1.100 101.1.1.200
aft prefix-ivi 2013::
aft prefix-ivi 1111::
aft v6tov4 source 1::1 1.1.1.1
aft v6tov4 source 1::2 1.1.1.2
interface GigabitEthernet1/0/1
aft enable
display aft no-pat命令用来显示AFT NO-PAT表项信息。
【命令】
display aft no-pat [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的AFT NO-PAT表项信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的AFT NO-PAT表项信息。
【使用指导】
NO-PAT是指IPv6地址与IPv4地址存在一一对应的转换关系,不存在端口转换关系。
【举例】
# 显示AFT NO-PAT表项信息。
<Sysname> display aft no-pat
Slot 0:
IPv6 address: 3006::0002
IPv4 address: 200.100.1.100
IPv4 VPN : vpn2
IPv6 VPN : vpn1
IPv6 address: 4016::1102
IPv4 address: 202.120.12.110
IPv4 VPN : vpn2
IPv6 VPN : vpn1
Total entries found: 2
表1-3 display aft no-pat命令显示信息描述表
|
字段 |
描述 |
|
Slot 0 |
指定成员设备上的AFT NO-PAT表项信息 |
|
IPv6 address |
转换前的IPv6地址 |
|
IPv4 address |
转换后的IPv4地址 |
|
IPv4 VPN |
转换后的IPv4地址所属VPN实例。如果不属于任何VPN,则该行不显示 |
|
IPv6 VPN |
转换前的IPv6地址所属VPN实例。如果不属于任何VPN,则该行不显示 |
|
Total entries found |
AFT NO-PAT表项的总数 |
display aft port-block命令用来显示端口块映射表项信息。
【命令】
display aft port-block [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的AFT端口块映射表项信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的AFT端口块映射表项信息。
【举例】
# 显示端口块映射表项信息。
<Sysname> display aft port-block
Slot 0:
IPv6 address: 3006::0002
IPv4 address: 200.100.1.100
Port block : [1024 – 1123]
IPv4 VPN : vpn2
IPv6 VPN : vpn1
IPv6 address: 4016::1102
IPv4 address: 202.120.12.110
Port block : [1024 – 1200]
IPv4 VPN : vpn2
IPv6 VPN : vpn1
Total entries found: 2
表1-4 display aft port-block命令显示信息描述表
|
字段 |
描述 |
|
Slot 0 |
指定成员设备的AFT端口映射表项信息 |
|
IPv6 address |
转换前的IPv6地址 |
|
IPv4 address |
转换后的IPv4地址 |
|
Port block |
转换后的IPv4端口范围 |
|
IPv4 VPN |
转换后的IPv4地址所属VPN实例。如果不属于任何VPN,则该行不显示 |
|
IPv6 VPN |
转换前的IPv6地址所属VPN实例。如果不属于任何VPN,则该行不显示 |
|
Total entries found |
AFT端口映射表项的总数 |
display aft session命令用来显示AFT会话(即进行过AFT地址转换的会话)的信息。
【命令】
display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ slot slot-number ] [ verbose ]
display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ slot slot-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ipv4:显示AFT创建的IPv4会话信息。
source-ip source-ip-address:显示指定源地址的会话。source-ip-address表示源IPv4地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ip-address:显示指定目的地址的会话。destination-ip-address表示目的IPv4地址,该地址必须是创建会话的报文的目的地址。
vpn-instance ipv4-vpn-instance-name:显示指定VPN的会话。ipv4-vpn-instance-name表示VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则显示属于公网的IPv4会话信息。
ipv6:显示AFT创建的IPv6会话信息。
source-ip source-ipv6-address:显示指定源地址的会话。source-ipv6-addrsss表示源IPv6地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ipv6-address:显示指定目的地址的会话。destination-ipv6-address表示目的IPv6地址,该地址必须是创建会话的报文的目的地址。
vpn-instance ipv6-vpn-instance-name:显示指定VPN的会话。ipv6-vpn-instance-name表示IPv6 VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则显示属于公网的IPv6会话信息。
slot slot-number:显示指定成员设备上的AFT会话信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的AFT会话信息。
verbose:显示AFT会话的详细信息。不指定此参数时,显示会话的概要信息。
【使用指导】
如果不指定任何参数,则显示所有AFT会话的信息。
【举例】
# 显示AFT会话的详细信息。
<Sysname> display aft session ipv4 slot 0 verbose
Slot 0:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 102.128.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 102.128.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
App: SSH State: TCP_SYN_SENT
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
表1-5 display aft session命令显示信息描述表
|
字段 |
描述 |
|
Slot 0 |
显示指定成员设备的AFT会话信息 |
|
Initiator |
发起方的会话信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
VPN instance/VLAN ID/Inline ID |
会话所属的VPN实例/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
协议类型,包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
|
Inbound interface |
入接口 |
|
Responder |
响应方的会话信息 |
|
App |
应用层协议类型,包括:FTP、DNS等,unknown表示非知名端口并且也未使用用户自定义的协议类型 |
|
State |
会话状态 |
|
Start time |
会话创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
Total sessions found |
AFT会话总数 |
【相关命令】
· reset aft session
display aft statistics显示AFT统计信息。
【命令】
display aft statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的AFT统计信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的AFT统计信息。
【使用指导】
如果不指定任何参数,则显示所有AFT统计信息。
【举例】
# 显示所有AFT统计信息。
<Sysname> display aft statistics
Total NO-PAT entries found: 0
Total port-block entries found: 0
Dropped packets: 0
Configuration sequence changed: 0
Failed to transfer payload: 0
Failed to transfer packet header: 0
Packet examination failed before packet sending: 0
Failed to translate destination address: 0
The translated destination address is invalid: 0
Failed to translate source address: 0
Failed to transfer FSBUF to MBUF: 0
Session ext-info is null: 0
Peer session is null: 0
Failed to get translation information from session: 0
Failed to create session: 0
Failed to fragment the MBUF: 0
Failed to create fast forwarding table: 0
Failed to formalize session: 0
Other reasons: 0
表1-6 display aft statistics命令显示信息描述表
|
字段 |
描述 |
|
Total NO-PAT entries found |
AFT创建的NO-PAT表项个数 |
|
Total port-block entries found |
AFT创建的端口块映射表项个数 |
|
Dropped packets |
AFT丢弃的报文个数 |
|
Configuration sequence changed |
配置序列变更丢包 |
|
Failed to transfer payload |
ALG处理失败丢包 |
|
Failed to transfer packet header |
报文头转换失败丢包 |
|
Packet examination failed before packet sending |
报文发送前检查失败丢包 |
|
Failed to translate destination address |
目的地址转换失败丢包 |
|
The translated destination address is invalid |
转换后的目的地址非法丢包 |
|
Failed to translate source address |
源地址转换失败丢包 |
|
Failed to transfer FSBUF to MBUF |
数据从FSBUF结构转换为MBUF结构失败丢包 |
|
Session ext-info is null |
未找到会话扩展信息丢包 |
|
Peer session is null |
未找到对端会话丢包 |
|
Failed to get translation information from session |
由会话获取转换信息失败丢包 |
|
Failed to create session |
创建会话失败丢包 |
|
Failed to fragment the MBUF |
分片失败丢包 |
|
Failed to create fast forwarding table |
创建快转表失败丢包 |
|
Failed to formalize session |
会话正式化失败丢包 |
|
Other reasons |
其他原因丢包 |
【相关命令】
· reset aft statistics
reset aft session命令用来删除AFT会话。
【命令】
reset aft session [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:删除指定成员设备上的AFT会话,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示删除所有成员设备上的AFT会话。
【使用指导】
执行本命令删除AFT会话后,该会话对应的AFT NO-PAT表项和端口块映射表信息也会同时被删除。
【举例】
# 删除所有AFT会话。
<Sysname> reset aft session
# 删除2号成员设备上的AFT会话。
<Sysname> reset aft session slot 2
【相关命令】
· display aft session
reset aft statistics命令用来清除AFT统计信息。
【命令】
reset aft statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:删除指定成员设备上的AFT统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示删除所有成员设备上的AFT统计信息。
【使用指导】
AFT统计信息包括AFT丢弃的报文个数,NO-PAT表项个数和端口块映射表项个数。该命令仅会清除AFT丢弃的报文个数统计。
【举例】
# 清除AFT统计信息。
<Sysname> reset aft statistics
# 清除2号成员设备上的AFT统计信息。
<Sysname> reset aft statistics slot 2
【相关命令】
· display aft statistics
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
