- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
06-AFT命令
本章节下载: 06-AFT命令 (368.15 KB)
目 录
1.1.10 aft port-block synchronization enable
1.1.11 aft port-load-balance enable
1.1.15 aft remote-backup port-alloc
1.1.17 aft turn-off traffic-class
1.1.23 aft v6tov4 source port-block-group
1.1.25 display aft address-group
1.1.26 display aft address-mapping
1.1.27 display aft configuration
address命令用来添加一个地址组成员。
undo address命令用来删除一个地址组成员。
【命令】
address start-address end-address
undo address start-address end-address
【缺省情况】
地址组内不存在地址组成员。
【视图】
AFT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:地址组成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。
【使用指导】
一个地址组是多个地址组成员的集合。当需要对从IPv6网络到达IPv4网络的数据报文进行源地址转换时,IPv6报文的源地址将被转换为地址组成员中的某个IPv4地址。
一个地址组成员所包含的地址数目不能超过256。
各地址组成员的IP地址段不能相互重叠。
【举例】
# 在地址组2下添加两个地址组成员。
<Sysname> system-view
[Sysname] aft address-group 2
[Sysname-aft-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-aft-address-group-2] address 10.1.1.20 10.1.1.30
【相关命令】
· aft address-group
aft address-group命令用来创建一个地址组,并进入地址组视图。如果指定的地址组已经存在,则直接进入地址组视图。
undo aft address-group命令用来删除指定的地址组。
【命令】
aft address-group group-id
undo aft address-group group-id
【缺省情况】
不存在AFT地址组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-id:地址组的编号,取值范围为0~65535。
【使用指导】
一个地址组是多个地址组成员的集合,各个地址组成员通过address命令配置。地址组用于动态地址转换。当需要对从IPv6网络到达IPv4网络的数据报文进行源地址转换时,IPv6报文的源地址将被转换为地址组成员中的某个IPv4地址。
【举例】
# 创建编号为1的AFT地址组,并进入AFT地址组视图。
<Sysname> system-view
[Sysname] aft address-group 1
[Sysname-aft-address-group-1]
【相关命令】
· address
· aft v6tov4 source
· display aft address-group
· display aft configuration
aft alg命令用来开启指定或所有协议类型的AFT ALG功能。
undo aft alg命令用来关闭指定或所有协议类型的AFT ALG功能。
【命令】
aft alg { all | dns | ftp | http | icmp-error | rtsp | sip }
undo nat alg { all | dns | ftp | http | icmp-error | rtsp | sip }
【缺省情况】
DNS协议、FTP协议、HTTP协议、ICMP差错控制报文、RTSP协议、SIP协议的AFT ALG功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:所有可指定的协议的ALG功能。
dns:表示DNS协议的ALG功能。
ftp:表示FTP协议的ALG功能。
http:表示HTTP协议的ALG功能。
icmp-error:表示ICMP差错控制报文的ALG功能。
rtsp:表示RTSP协议的ALG功能。
sip:表示SIP协议的ALG功能。
【使用指导】
AFT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析。然而对于一些特殊协议,它们的报文的数据载荷中可能包含IP地址或端口信息。例如,FTP应用由数据连接和控制连接共同完成,而数据连接使用的地址和端口由控制连接报文中的载荷信息决定。这些载荷信息也必须进行有效的转换,否则可能导致功能不正常。ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的处理,利用ALG可以对载荷信息中的IP地址和端口信息进行转换。
可以通过多次执行本命令开启多个协议的AFT ALG功能。
【举例】
# 开启FTP协议的AFT ALG功能。
<Sysname> system-view
[Sysname] aft alg ftp
【相关命令】
· display aft configuration
aft enable命令用来开启接口的AFT功能。
undo aft enable命令用来关闭接口的AFT功能。
【命令】
aft enable
undo aft enable
【缺省情况】
接口的AFT功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
所有参与IPv4网络与IPv6网络通信的接口均需开启AFT功能。
【举例】
# 开启接口的AFT功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] aft enable
【相关命令】
· display aft configuration
aft log enable命令用来开启AFT日志功能。
undo aft log enable命令用来关闭AFT日志功能。
【命令】
aft log enable
undo aft log enable
【缺省情况】
AFT日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
为了满足网络管理员安全审计的需要,可以开启AFT日志功能,以便对AFT连接(AFT连接是指报文经过设备时,源或目的地址进行过AFT转换的连接)信息进行记录。
在以下情况下会触发记录AFT日志:
· AFT端口块新建
· AFT端口块删除
· AFT流创建,即AFT会话创建时输出日志,需要同时配置aft log flow-begin命令。
· AFT流删除,即AFT会话释放时输出日志,需要同时配置aft log flow-end命令。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启AFT日志功能。
<Sysname> system-view
[Sysname] aft log enable
【相关命令】
· aft log flow-begin
· aft log flow-end
· display aft configuration
aft log flow-begin命令用来开启AFT新建流的日志功能。
undo aft log flow-begin命令用来关闭AFT新建流的日志功能。
【命令】
aft log flow-begin
undo aft log flow-begin
【缺省情况】
AFT新建流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启AFT新建流的日志功能后,新建AFT会话时,会输出AFT日志。
只有开启AFT日志功能(aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT新建流的日志功能。
<Sysname> system-view
[Sysname] aft log flow-begin
【相关命令】
· aft log enable
· aft log flow-end
· display aft configuration
aft log flow-end命令用来开启AFT删除流的日志功能。
undo aft log flow-end命令用来关闭AFT删除流的日志功能。
【命令】
aft log flow-end
undo aft log flow-end
【缺省情况】
AFT删除流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启AFT删除流的日志功能后,释放AFT会话时,会输出AFT日志。
只有开启AFT日志功能(aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT删除流的日志功能。
<Sysname> system-view
[Sysname] aft log flow-end
【相关命令】
· aft log enable
· aft log flow-begin
· display aft configuration
aft log port-block命令用来开启AFT端口块日志功能。
undo aft log port-block命令用来关闭AFT端口块日志功能。
【命令】
aft log port-block { alarm | assign | withdraw } *
undo aft log port-block { alarm | assign | withdraw } *
【缺省情况】
AFT端口块日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
alarm:表示AFT端口块耗尽告警信息的日志功能。
assign:表示AFT端口块分配的日志功能。
withdraw:表示AFT端口块回收的日志功能。
【使用指导】
开启AFT端口块日志功能后,分配、回收AFT端口块以及AFT端口块耗尽时,系统会输出相应的AFT日志。
只有开启AFT日志功能后(执行aft log enable命令),本功能才能生效。
【举例】
# 开启AFT端口块分配的日志功能。
<Sysname> system-view
[Sysname] aft log port-block assign
【相关命令】
· aft log enable
aft port-block-group命令用来创建AFT端口块组,并进入AFT端口块组视图。如果指定的AFT端口块组已经存在,则直接进入AFT端口块组视图。
undo aft port-block-group命令用来删除指定的AFT端口块组。
【命令】
aft port-block-group block-group-id
undo aft port-block-group block-group-id
【缺省情况】
不存在AFT端口块组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
block-group-id:AFT端口块组的编号,取值范围为0~65535。
【使用指导】
创建的AFT端口块组用于配置AFT端口块静态映射。一个AFT端口块组包含如下内容:
· 地址组成员
¡ 源地址转换后的IPv4地址,通过ip-address命令配置。
¡ 源地址转换前的IPv6地址,通过ipv6-prefix命令配置。
· IPv4地址的端口范围,通过port-range命令配置。
· 端口块大小,通过block-size命令配置。
【举例】
# 创建编号为1的AFT端口块组,并进入AFT端口块组视图。
<Sysname> system-view
[Sysname] aft port-block-group 1
[Sysname-aft-port-block-group-1]
【相关命令】
· aft v6tov4 source
· block-size
· display aft configuration
· ip-address
· ipv6-prefix
· port-range
aft port-block synchronization enable命令用来开启AFT动态端口块热备份功能。
undo aft port-block synchronization enable命令用来关闭AFT动态端口块热备份功能。
【命令】
aft port-block synchronization enable
undo aft port-block synchronization enable
【缺省情况】
AFT动态端口块热备份功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
在业务热备份环境中,通过开启AFT端口块热备份功能,可以实现主备切换后动态AFT端口块表项一致。
HA组网环境下,开启HA热备业务表项功能(执行hot-backup enable命令)后本功能才能生效。
IRF组网环境下,开启会话业务热备份功能(执行session synchronization enable命令)后本功能才能生效。
【举例】
# 开启AFT动态端口块热备功能。
<Sysname> system-view
[Sysname] aft port-block synchronization enable
【相关命令】
· aft v6tov4 source
· hot-backup enable(可靠性命令参考/高可靠性)
· session synchronization enable(安全命令参考/会话管理)
aft port-load-balance enable命令用来开启AFT端口负载分担功能。
Undo aft port-load-balance enable命令用来关闭AFT端口负载分担功能。
【命令】
aft port-load-balance enable slot slot-number
undo aft port-load-balance enable
【缺省情况】
AFT端口负载分担功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:指定使用数值较小的一半端口资源的成员设备。slot-number表示设备在IRF中的成员编号。
【使用指导】
在双主模式的IRF双机热备场景下,当两台IRF成员设备共用AFT地址组中的地址时,可能会出现两台设备上不同的IPv6地址+端口号的地址转换结果相同的情况。为了避免上述情况的发生,需要在IRF设备上开启AFT端口负载分担功能。开启本功能后,两台设备各获得一半端口资源,从而保证两台设备上不同流量的地址转换结果不同。
在主备模式的IRF双机热备场景下,不需要配置此命令。
此命令不可以与aft remote-backup port-alloc命令同时配置。
【举例】
# 开启AFT端口负载分担功能,并指定1号成员设备使用数值较小的一半端口资源。
<Sysname> system-view
[Sysname] aft port-load-balance enable slot 1
【相关命令】
· display aft address-group
aft prefix-general命令用来配置General前缀。
undo aft prefix-general命令用来删除指定的General前缀。
【命令】
aft prefix-general prefix-general prefix-length
undo aft prefix-general prefix-general prefix-length
【缺省情况】
不存在General前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
prefix-general:General前缀。
prefix-length:前缀长度,取值为32、40、48、56、64或96。
【使用指导】
General前缀是长度为32、40、48、56、64或96位的IPv6地址前缀,用来将IPv6地址和IPv4地址互相转换。General前缀既可以用于转换源地址,也可以用于转换目的地址。
General前缀用于前缀方式,可以进行IPv6到IPv4的源或目的地址转换。如果报文的源或目的IPv6地址匹配General前缀,则取出IPv6源或目的地址中内嵌的IPv4地址,作为转换后的源或目的IPv4地址。
General前缀被aft v4tov6 source或aft v4tov6 destination命令引用,可以进行IPv4到IPv6的源或目的地址转换。如果报文匹配指定的ACL,则使用报文中的IPv4源或目的地址与General前缀组合成IPv6地址,作为转换后的IPv6源或目的地址。
General前缀不能与设备上的接口地址同网段,并且,General前缀、NAT64前缀和IVI前缀三者不能相同。
【举例】
# 配置General前缀为2000:db8e::,前缀长度为32。
<Sysname> system-view
[Sysname] aft prefix-general 2000:db8e:: 32
【相关命令】
· aft v4tov6 destination
· aft v4tov6 source
· display aft configuration
aft prefix-ivi命令用来配置IVI前缀。
undo aft prefix-ivi命令用来删除指定的IVI前缀。
【命令】
aft prefix-ivi prefix-ivi
undo aft prefix-ivi prefix-ivi
【缺省情况】
不存在IVI前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
prefix-ivi:IVI前缀,前缀取值固定为32。
【使用指导】
IVI前缀长度固定为32位,该前缀用于检查IPv6地址是否符合IVI格式或用于把IPv4地址转换为IPv6地址。
IVI前缀用于前缀方式,可以进行IPv6到IPv4的源地址转换。如果报文的源IPv6地址匹配IVI前缀,则取出IPv6源地址中内嵌的IPv4地址,作为转换后的源IPv4地址。
IVI前缀被aft v4tov6 destination命令引用,可以进行IPv4到IPv6的目的地址转换。如果报文匹配指定的ACL,则使用报文中的IPv4目的地址与IVI前缀组合成IPv6地址,作为转换后的IPv6目的地址。
IVI前缀、NAT64前缀和General前缀三者不能相同。
【举例】
# 配置IVI前缀为3000:db8e::。
<Sysname> system-view
[Sysname] aft prefix-ivi 3000:db8e::
【相关命令】
· aft v4tov6 destination
· display aft configuration
aft prefix-nat64命令用来配置NAT64前缀。
undo aft prefix-nat64命令用来删除指定的NAT64前缀。
【命令】
aft prefix-nat64 prefix-nat64 prefix-length
undo aft prefix-nat64 prefix-nat64 prefix-length
【缺省情况】
不存在NAT64前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
prefix-nat64:NAT64前缀。
prefix-length:前缀长度,取值为32、40、48、56、64或96。
【使用指导】
NAT64前缀是长度为32、40、48、56、64或96位的IPv6地址前缀。
NAT64前缀用于前缀方式,可以进行IPv6到IPv4的目的地址转换。如果报文的目的IPv6地址匹配NAT64前缀,则取出IPv6目的地址中内嵌的IPv4地址,作为转换后的IPv4目的地址。
NAT64前缀用于前缀方式或被aft v4tov6 source命令引用,可以进行IPv4到IPv6的源地址转换,即使用报文中的IPv4源地址与NAT64前缀组合成IPv6地址,作为转换后的IPv6源地址。如果是被aft v4tov6 source命令引用,只有匹配指定ACL的报文才会被转换。
NAT64前缀不能与设备上的接口地址同网段,并且,NAT64前缀、IVI前缀和General前缀三者不能相同。
【举例】
# 配置NAT64前缀为2000:db8e::,前缀长度为32。
<Sysname> system-view
[Sysname] aft prefix-nat64 2000:db8e:: 32
【相关命令】
· aft v4tov6 source
· display aft configuration
aft remote-backup port-alloc命令用来指定远端备份组中主备设备可以使用的AFT端口块范围。
undo remote-backup port-alloc命令用来恢复缺省情况。
【命令】
aft aft remote-backup port-alloc { primary | secondary }
undo aft remote-backup port-alloc
【缺省情况】
远端备份组中的主备设备共用AFT端口资源。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
primary:使用数值较小的一半端口。
secondary:使用数值较大的一半端口。
【使用指导】
在双主模式的RBM双机热备组网中,当两台设备共用AFT地址组中的地址时,可能会出现两台设备上不同的IPv6地址+端口号的地址转换结果相同的情况。为了避免上述情况的发生,需要在主管理设备上指定可以使用的AFT端口块范围。在主管理设备上选择了某一类AFT端口块范围后,从管理设备上会自动使用另外一类AFT端口块范围。例如,在远端备份组的主设备上配置aft remote-backup port-alloc secondary命令,备设备上会自动下发aft remote-backup port-alloc primary的配置。关于远端备份组的详细介绍,请参见“可靠性命令参考”中的“RBM”。
在主备备份方式的RBM双机热备组网中,仅由一台设备处理AFT业务,不会出现AFT端口资源冲突的情况,因此无需配置本命令。
此命令不可以与aft port-load-balance enable命令同时配置。
【举例】
# 在RBM双机热备中指定主用设备使用数值较小的一半端口。
<Sysname> system-view
[Sysname] aft remote-backup port-alloc primary
【相关命令】
· display aft address-group
aft turn-off tos命令用来配置IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0。
undo aft turn-off tos命令用来恢复缺省情况。
【命令】
aft turn-off tos
undo aft turn-off tos
【缺省情况】
IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段与转换前的IPv6报文的Traffic Class字段值相同。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 配置IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0。
<Sysname> system-view
[Sysname] aft turn-off tos
aft turn-off traffic-class命令用来配置IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0。
undo aft turn-off traffic-class命令用来恢复缺省情况。
【命令】
aft turn-off traffic-class
undo aft turn-off traffic-class
【缺省情况】
IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段与转换前的IPv4报文的ToS字段值相同。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 配置IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0。
<Sysname> system-view
[Sysname] aft turn-off traffic-class
aft v4server命令用来配置IPv4侧服务器对应的IPv6地址及端口号。
undo aft v4server命令用来删除IPv4侧服务器对应的IPv6地址及端口号。
【命令】
aft v4server protocol protocol-type ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ] ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
undo aft v4server protocol protocol-type ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ]
【缺省情况】
未配置IPv4侧服务器对应的IPv6地址及端口号。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
protocol protocol-type:指定支持的协议类型。protocol-type取值及含义如下:
· tcp:表示TCP协议。
· udp:表示UDP协议。
ipv6-destination-address:IPv4地址映射的IPv6地址。
ipv6-port-number:IPv6端口号,取值范围为1~65535。
vpn-instance ipv6-vpn-instance-name:指定该IPv6地址所属VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
ipv4-destination-address:需要映射的IPv4目的地址。
ipv4-port-number:IPv4端口号,取值范围为1~65535。
vpn-instance ipv4-vpn-instance-name:指定该IPv4地址所属VPN实例。ipv4-vpn-instance-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址属于公网。
vrrp virtual-router-id:指定要绑定的IPv6网络侧的VRRP备份组。virtual-router-id表示VRRP备份组ID,取值范围为1~255。
【使用指导】
在IPv4向IPv6过渡前期,多数服务仍然位于IPv4网络中,IPv4侧服务器向IPv6网络提供服务时,通过配置本命令,可以将IPv4服务器的地址和端口映射到IPv6网络,IPv6网络中的主机通过映射后的IPv6地址和端口就可以访问IPv4网络中的服务器。
在RBM双机热备组网中,需要在远端备份组的主管理设备上将AFT IPv4侧服务器与VRRP备份组绑定,该VRRP备份组为IPv6网络侧与RBM关联的备份组。否则,对IPv4侧服务器映射后的IPv6地址进行地址解析时,无法保证响应报文中MAC地址的正确性。
同一个IPv4侧服务器只能与一个VRRP备份组绑定。可以通过重复执行本命令修改同一个IPv4侧服务器绑定的VRRP备份组。
不同的IPv4侧服务器配置的IPv6协议、地址、端口和VPN信息不能完全相同。
【举例】
# 配置IPv4服务器2.2.2.123对应IPv6地址3001::5及端口号1720,指定支持的协议为TCP。
<Sysname> system-view
[Sysname] aft v4server protocol tcp 3001::5 1720 2.2.2.123 1720
【相关命令】
· display aft configuration
aft v4tov6 destination命令用来配置从IPv4到IPv6的目的地址转换策略。
undo aft v4tov6 destination命令用来删除从IPv4到IPv6的目的地址转换策略。
【命令】
aft v4tov6 destination acl { name ipv4-acl-name prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] } }
undo aft v4tov6 destination acl { name ipv4-acl-name | number ipv4-acl-number }
【缺省情况】
不存在从IPv4到IPv6的目的地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl:指定用来匹配IPv4报文的IPv4 ACL。对于IPv4网络到IPv6网络的报文,如果IPv4报文匹配该IPv4 ACL,则根据本命令转换目的IPv4地址。
name ipv4-acl-name:IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,ACL的名称不允许使用英文单词all。
number ipv4-acl-number:IPv4 ACL的编号,取值范围为2000~3999。
prefix-general prefix-general prefix-length:指定引用的General前缀。对于IPv4网络到IPv6网络的报文,如果匹配该IPv4 ACL,则根据General前缀将目的IPv4地址转换为IPv6地址。prefix-general为General前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
prefix-ivi prefix-ivi:指定引用的IVI前缀。对于IPv4网络到IPv6网络的报文,如果匹配该IPv4 ACL,则根据IVI前缀将目的IPv4地址转换为IVI格式的IPv6地址。
vpn-instance ipv6-vpn-instance-name:指定IPv6地址所属VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
【使用指导】
不同的IPv4到IPv6目的地址转换策略引用的ACL不能相同。
引用IVI前缀或General前缀之前,需要先进行IVI前缀或General前缀的配置,转换策略才能生效。
【举例】
# 配置引用IVI前缀的IPv4到IPv6目的地址转换策略,将匹配ACL 2000的IPv4报文目的地址使用IVI前缀3000:db8e::转换为IPv6地址。
<Sysname> system-view
[Sysname] aft prefix-ivi 3000:db8e::
[Sysname] aft v4tov6 destination acl number 2000 prefix-ivi 3000:db8e::
# 配置引用General前缀的IPv4到IPv6目的地址转换策略,将匹配ACL 2000的IPv4报文目的地址使用General前缀2000:db8e::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft v4tov6 destination acl number 2000 prefix-general 2000:db8e:: 32
【相关命令】
· aft prefix-general
· aft prefix-ivi
· display aft configuration
aft v4tov6 source命令用来配置从IPv4到IPv6的源地址转换策略。
undo aft v4tov6 source命令用来删除从IPv4到IPv6的源地址转换策略。
【命令】
IPv4到IPv6的源地址静态转换策略:
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ]
undo aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ]
引用NAT64前缀或General前缀的IPv4到IPv6源地址转换策略:
aft v4tov6 source acl { name ipv4-acl-name prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } }
undo aft v4tov6 source acl { name ipv4-acl-name | number ipv4-acl-number }
【缺省情况】
不存在从IPv4到IPv6的源地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定源IPv4地址。
vpn-instance ipv4-vpn-instance-name:指定该IPv4地址所属VPN实例。ipv4-vpn-instance-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址属于公网。
ipv6-address:指定转换后的源IPv6地址。静态转换策略中指定的IPv6地址不能与设备上的接口地址同网段。
vpn-instance ipv6-vpn-instance-name:指定该IPv6地址所属VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
acl:指定用来匹配IPv4报文的IPv4 ACL。对于从IPv4网络到IPv6网络的报文,如果IPv4报文匹配该IPv4 ACL,则根据本命令转换源IPv4地址。
name ipv4-acl-name:IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,ACL的名称不允许使用英文单词all。
number ipv4-acl-number:IPv4 ACL的编号,取值范围为2000~3999。
prefix-general prefix-general prefix-length:指定引用的General前缀,对于匹配IPv4 ACL的报文,根据此General前缀,将源IPv4地址转换为IPv6地址。prefix-general为General前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
prefix-nat64 prefix-nat64 prefix-length:指定引用的NAT64前缀,对于匹配IPv4 ACL的报文,根据此NAT64前缀,将源IPv4地址转换为IPv6地址。prefix-nat64为NAT64前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
vrrp virtual-router-id:指定要绑定的IPv6网络侧的VRRP备份组。virtual-router-id表示VRRP备份组ID,取值范围为1~255。
【使用指导】
不同的IPv4到IPv6源地址静态转换策略指定的IPv4地址和IPv6地址均不能相同。
不同的引用NAT64前缀或General前缀的IPv4到IPv6源地址转换策略指定的ACL不能相同。
引用NAT64前缀或General前缀之前,需要先进行NAT64前缀或General前缀的配置,转换策略才能生效。
在RBM双机热备组网中,需要在远端备份组的主管理设备上将IPv4到IPv6的源地址静态转换策略与VRRP备份组绑定,该VRRP备份组为IPv6网络侧与RBM关联的备份组。否则,对转换后的IPv6地址进行地址解析时,无法保证响应报文中MAC地址的正确性。
同一个IPv4到IPv6的源地址静态转换策略只能与一个VRRP备份组绑定。可以通过重复执行本命令修改同一个IPv4到IPv6的源地址静态转换策略绑定的VRRP备份组。
【举例】
# 配置IPv4到IPv6的源地址静态转换策略,将源IPv4地址2.2.2.123转换为源IPv6地址3001::5。
<Sysname> system-view
[Sysname] aft v4tov6 source 2.2.2.123 3001::5
# 配置引用NAT64前缀的IPv4到IPv6源地址转换策略,将匹配ACL 2000的IPv4报文源地址使用NAT64前缀2000::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft prefix-nat64 2000:: 32
[Sysname] aft v4tov6 source acl number 2000 prefix-nat64 2000:: 32
# 配置引用General前缀的IPv4到IPv6源地址转换策略,将匹配ACL 2000的IPv4报文源地址使用General前缀3000::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft v4tov6 source acl number 2000 prefix-general 3000:: 32
【相关命令】
· aft prefix-general
· aft prefix-nat64
· display aft configuration
aft v6server命令用来配置IPv6侧服务器对应的IPv4地址及端口号。
undo aft v6server命令用来删除IPv6侧服务器对应的IPv4地址及端口号。
【命令】
aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ] [ vrrp virtual-router-id ]
undo aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ]
【缺省情况】
不存在IPv6侧服务器对应的IPv4地址及端口号。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
protocol protocol-type:指定支持的协议类型。protocol-type取值及含义如下:
· tcp:表示TCP协议。
· udp:表示UDP协议。
ipv4-destination-address:IPv6地址映射的IPv4地址。
ipv4-port-number:IPv4端口号,取值范围为1~65535。
vpn-instance ipv4-vpn-instance-name:指定该IPv4地址所属VPN实例。ipv4-vpn-instance-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址属于公网。
ipv6-destination-address:需要映射的IPv6目的地址。
ipv6-port-number:IPv6端口号,取值范围为1~65535。
vpn-instance ipv6-vpn-instance-name:指定该IPv6地址所属VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
vrrp virtual-router-id:指定要绑定的IPv4网络侧的VRRP备份组。virtual-router-id表示VRRP备份组ID,取值范围为1~255。
【使用指导】
在RBM双机热备组网中,需要在远端备份组的主管理设备上将AFT IPv6侧服务器与VRRP备份组绑定,该VRRP备份组为IPv4网络侧与RBM关联的备份组。否则,对IPv6侧服务器映射后的IPv4地址进行地址解析时,无法保证响应报文中MAC地址的正确性。
同一个IPv6侧服务器只能与一个VRRP备份组绑定。可以通过重复执行本命令修改同一个IPv6侧服务器绑定的VRRP备份组。
不同的IPv6侧服务器配置的IPv4协议、地址、端口和VPN信息不能完全相同。
【举例】
# 配置IPv6服务器3001::5对应IPv4地址2.2.2.123及端口号1720,指定支持的协议为TCP。
<Sysname> system-view
[Sysname] aft v6server protocol tcp 2.2.2.123 1720 3001::5 1720
【相关命令】
· display aft configuration
aft v6tov4 source命令用来配置从IPv6到IPv4的源地址转换策略。
undo aft v6tov4 source命令用来删除从IPv6到IPv4的源地址转换策略。
【命令】
IPv6到IPv4的源地址静态转换策略:
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ vrrp virtual-router-id ]
undo aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ]
IPv6到IPv4的源地址动态转换策略:
aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } { address-group group-id [ no-pat | port-block-size blocksize [ extended-block-number extended-block-number ] [ port-range start-port-number end-port-number ] ] | interface interface-type interface-number } [ vpn-instance ipv4-vpn-instance-name ]
undo aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] }
【缺省情况】
不存在从IPv6到IPv4的源地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:指定源IPv6地址。
vpn-instance ipv6-vpn-instance-name:指定该IPv6地址所属的VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
ipv4-address:指定转换后的源IPv4地址。
vpn-instance ipv4-vpn-instance-name:指定该IPv4地址所属的VPN实例。ipv4-vpn-instance-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址属于公网。
acl ipv6:指定用来匹配IPv6报文的IPv6 ACL。对于IPv6网络到IPv4网络的报文,如果IPv6报文匹配该IPv6 ACL,则根据本命令转换源IPv6地址。
name ipv6-acl-name:IPv6 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,IPv6 ACL的名称不允许使用英文单词all。
number ipv6-acl-number:IPv6 ACL的编号,取值范围为2000~3999。
prefix-nat64 prefix-nat64 prefix-length:指定用来匹配IPv6报文目的地址的NAT64前缀。对于从IPv6网络到IPv4网络的报文,如果目的IPv6地址符合配置的NAT64前缀格式,则根据本命令转换源IPv6地址。prefix-nat64为NAT64前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96。
address-group group-id:指定将源IPv6地址转换为该地址组中的IPv4地址。group-id为AFT地址组的编号,取值范围为0~65535。
no-pat:指定该地址转换策略不进行端口转换。如果不指定该参数,则表示进行端口转换。
port-block-size blocksize:端口块大小,取值范围为100~64512。如果不指定该参数,则表示PAT方式进行端口转换时不做端口块限制。
interface interface-type interface-number:指定将源IPv6地址转换为该接口的主IPv4地址。 interface-type interface-number表示接口类型和接口编号。如果指定该参数,则表示接口将一定采用PAT方式进行端口转换,不做端口块限制。
extended-block-number extend-block-number:增量端口块个数,取值范围为1~5。当分配的端口块中的端口资源耗尽(所有端口都被使用)时,如果IPv6网络主动向IPv4网络发起新的连接,则无法从分配的端口块中获取端口。此时,如果配置了增量端口块,则可以为对应的地址进行增量端口块分配。一个地址最多同时占有1+extended-block-number个端口块。
port-range start-port-number end-port-number:指定IPv4地址的端口范围,start-port-number表示端口范围的起始端口号,取值范围为1024~65535,缺省值为1024,end-port-number表示端口范围的结束端口号,取值范围为1024~65535,缺省值为65535。结束端口号必须大于或等于起始端口号。
vrrp virtual-router-id:指定要绑定的IPv4网络侧的VRRP备份组。virtual-router-id表示VRRP备份组ID,取值范围为1~255。
【使用指导】
如果指定了port-block-size blocksize参数,则进行PAT转换时,可用的端口范围为1024~65535。该端口范围被划分成多个端口块,每个端口块的大小由port-block-size blocksize参数决定。例如,blocksize为1000时,第一个端口块的端口号范围为1024~2023,第二个端口块的端口号范围为2024~3023,以此类推。
不同的IPv6到IPv4源地址静态转换策略中指定的IPv6地址和IPv4地址均不能相同。
不同的IPv6到IPv4源地址动态转换策略中指定的地址组、ACL和NAT64前缀均不能相同。
引用NAT64前缀之前,需要先进行NAT64前缀的配置,转换策略才能生效。
在RBM双机热备组网中,需要在远端备份组的主管理设备上将IPv6到IPv4的源地址静态转换策略与VRRP备份组绑定,该VRRP备份组为IPv4网络侧与RBM关联的备份组。否则,对转换后的IPv4地址进行地址解析时,无法保证响应报文中MAC地址的正确性。
同一个IPv6到IPv4的源地址静态转换策略只能与一个VRRP备份组绑定。可以通过重复执行本命令修改同一个IPv6到IPv4的源地址静态转换策略绑定的VRRP备份组。
【举例】
# 配置静态地址转换策略,将源IPv6地址3001::5转换为源IPv4地址2.2.2.123。
<Sysname> system-view
[Sysname] aft v6tov4 source 3001::5 2.2.2.123
# 配置动态地址转换策略,将匹配ACL 2000的IPv6报文源地址转换为地址组0中的地址,并指定PAT方式进行端口转换时的端口块大小为100。
<Sysname> system-view
[Sysname] aft v6tov4 source acl ipv6 number 2000 address-group 0 port-block-size 100
【相关命令】
· display aft configuration
· display aft port-block
aft v6tov4 source命令用来配置从IPv6到IPv4端口块方式的静态AFT源地址转换策略。
undo aft v6tov4 source命令用来删除从IPv6到IPv4端口块方式的静态AFT源地址转换策略。
【命令】
aft v6tov4 source port-block-group group-id
undo aft v6tov4 source port-block-group group-id
【缺省情况】
未配置从IPv6到IPv4端口块方式的静态AFT源地址转换策略。
【视图】
系统视图
【缺省用户视图】
network-admin
context-admin
【参数】
group-id:从IPv6到IPv4端口块方式的静态AFT源地址转换策略引用的AFT端口块组编号,取值范围为0~65535。
【使用指导】
配置从IPv6到IPv4端口块方式的静态AFT源地址转换策略后,设备将根据AFT端口块组内的配置数据,按照固定的算法生成内网IPv6地址与外网IPv4地址和端口块的映射关系。AFT端口块组中可分配的端口块总数=端口范围÷端口块大小,假设可分配的端口块总数为n个,转换后的IPv4地址有m个,则可映射的IPv6前缀总数=n×m,超出此数目的IPv6前缀将无法转换。例如,转换后的IPv4地址为X1和Y1,可分配的端口块总数为n。设备取n个转换前的IPv6地址,映射同一个IPv4地址,并依次映射第一个到第n个端口块,生成的映射关系如下所示:
· IPv6前缀x1<-->IPv4地址X1+端口块1
· IPv6前缀x2<-->IPv4地址X1+端口块2
· ……
· IPv6前缀xn<-->IPv4地址X1+端口块n
· IPv6前缀y1<-->IPv4地址Y1+端口块1
· IPv6前缀y2<-->IPv4地址Y1+端口块2
· ……
· IPv6前缀yn<-->IPv4地址Y1+端口块n。
当IPv6侧发起连接时,设备通过报文的源IPv6地址匹配的IPv6前缀查找静态端口块表项,使用表项中记录的IPv4地址进行地址转换,并从对应的端口块中分配一个端口进行TCP/UDP端口转换。
【举例】
# 配置AFT端口块组1,转换后的源IPv4地址成员范围为10.1.1.1~10.1.1.15,转换前的源IPv6前缀成员范围为100::100~100::a00,前缀长度为120,端口块大小为1024,端口范围为1024~65535。
<Sysname> system-view
[Sysname] aft port-block-group 1
[Sysname-aft-port-block-group-1] address 10.1.1.1 10.1.1.15
[Sysname-aft-port-block-group-1] ipv6-prefix 100::100 100::a00 120
[Sysname-aft-port-block-group-1] block-size 1024
[Sysname-aft-port-block-group-1] port-range 1024 65535
[Sysname-aft-port-block-group-1] quit
# 配置基于AFT端口块组1的从IPv6到IPv4端口块方式的静态AFT源地址转换策略。
[Sysname] aft v6tov4 source port-block-group 1
【相关命令】
· aft port-block-group
· aft v6tov4 source
· display aft configuration
block-size命令用来设置AFT端口块大小。
undo block-size命令用来恢复缺省情况。
【命令】
block-size block-size-value
undo block-size
【缺省情况】
一个端口块中包含256个端口。
【视图】
AFT端口块组视图
【缺省用户视图】
network-admin
context-admin
【参数】
block-size-value:一个端口块中所包含的端口数,取值范围为1~65535。
【使用指导】
AFT端口块组中可分配的端口块总数=端口范围÷端口块大小,因此需要根据转换前的IPv6前缀个数,以及转换后的IPv4地址个数及其端口范围,确定一个合理的端口块大小值,同时确保端口块大小值不能超过端口范围值。
【举例】
# 设置AFT端口块组1的端口块大小为1024。
<Sysname> system-view
[Sysname] aft port-block-group 1
[Sysname-port-block-group-1] block-size 1024
【相关命令】
· aft v6tov4 source
· display aft configuration
· port-range
display aft address-group命令用来显示地址组信息。
【命令】
display aft address-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
group-id:地址组的编号,取值范围为0~65535。如果不指定本参数,则显示所有地址组的信息。
【举例】
<Sysname> display aft address-group
There are 3 AFT address groups.
Group number VRID Start address End address
1 1 202.110.10.10 202.110.10.15
2 2 202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
6 --- --- ---
# 显示指定地址组的信息。
<Sysname> display aft address-group 1
Group number Start address End address
1 202.110.10.10 202.110.10.15
表1-1 display aft address-group命令显示信息描述表
|
字段 |
描述 |
|
There are n AFT address groups |
当前有n个AFT地址组 |
|
Group number |
地址组编号 |
|
Start address |
地址组成员的起始地址。如果未配置,则显示为“---” |
|
End address |
地址组成员的结束地址。如果未配置,则显示为“---” |
|
VRID |
VRRP备份组ID。如果未配置,则显示为“---” |
display aft address-mapping命令用来显示AFT地址映射信息。
【命令】
display aft address-mapping [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的AFT地址映射表项信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的AFT地址映射表项信息。
【举例】
# 显示AFT地址映射表的信息。
<Sysname> display aft address-mapping
Slot 1:
IPv6: Source IP/port: 2000:0:FF01:101:100::8/1024
Destination IP/port: 5000::1717:1714/1025
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
IPv4: Source IP/port: 1.1.1.1/1031
Destination IP/port: 23.23.23.20/1025
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Total address mappings found: 1
表1-2 display aft address-group命令显示信息描述表
|
字段 |
描述 |
|
IPv4 |
IPv4地址信息 |
|
IPv6 |
IPv6地址信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
VPN instance/VLAN ID/Inline ID |
会话所属的VPN实例/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
协议类型,包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
display aft configuration命令用来显示AFT配置信息。
【命令】
display aft configuration
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【使用指导】
除AFT ALG的配置信息外,其他的配置信息仅在执行相关配置命令后才能通过本命令查看到。
【举例】
# 显示AFT的配置信息。
<Sysname> display aft configuration
aft address-group 1
VRID: 1
address 202.110.10.10 202.110.10.15
address 101.1.1.100 101.1.1.200
aft port-block-group 1
ip-address 20.1.1.20 20.1.1.30
ipv6-prefix 100::100 100::110 128
block-size 100
port-range 1024 2000
aft port-load-balance enable slot 1
aft prefix-ivi 2013::
aft prefix-ivi 1111::
aft v6tov4 source acl ipv6 number 2000 address-group 0 port-block-size 100 extended-block-number 5 port-range 2000 5000
aft v6tov4 source 1::1 1.1.1.1
aft v6tov4 source 1::2 1.1.1.2
aft v4server protocol tcp 3001::5 1720 2.2.2.123 1720
interface GigabitEthernet1/0/1
aft enable
AFT ALG:
DNS : Enabled
FTP : Enabled
HTTP : Enabled
ICMP-ERROR : Enabled
RTSP : Enabled
SIP : Enabled
表1-3 display aft configuration命令显示信息描述表
|
字段 |
描述 |
|
aft address-group XX |
AFT地址组,其编号为XX |
|
VRID |
VRRP备份组ID |
|
address |
AFT地址组中地址成员的地址范围 |
|
aft port-block-group XX |
AFT端口块组,其编号为XX |
|
ip-address |
IPv4地址范围 |
|
ipv6-prefix |
IPv6前缀范围 |
|
block-size |
AFT端口块的大小 |
|
port-range |
AFT端口块组的端口范围 |
|
aft port-load-balance enable XX |
AFT端口负载分担功能已开启,XX的具体含义请参见aft port-load-balance enable命令 |
|
aft remote-backup port-alloc XX |
指定远端备份组中主备设备可以使用的AFT端口块范围,XX的具体含义请参见aft remote-backup port-alloc命令 |
|
aft prefix-nat64 X:X::X:X |
NAT64前缀地址为X:X::X:X |
|
aft prefix-ivi X:X::X:X |
IVI前缀为X:X::X:X |
|
aft prefix-general X:X::X:X |
General前缀为X:X::X:X |
|
aft v6tov4 source XX |
IPv6到IPv4的源地址转换策略,XX的具体含义请参见aft v6tov4 source命令 |
|
aft v4tov6 source XX |
IPv4到IPv6的源地址转换策略,XX的具体含义请参见aft v4tov6 source命令 |
|
aft v4tov6 destination XX |
IPv4到IPv6的目的地址转换策略,XX的具体含义请参见aft v4tov6 destination命令 |
|
aft v6server protocol |
IPv6侧服务器对应的IPv4地址及端口号 |
|
aft v4server protocol |
IPv4侧服务器对应的IPv6地址及端口号 |
|
aft turn-off tos |
IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0 |
|
aft turn-off traffic-class |
IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0 |
|
aft log enable |
AFT日志功能已开启 |
|
aft log flow-begin |
AFT新建流的日志功能已开启 |
|
aft log flow-end |
AFT删除流的日志功能已开启 |
|
aft log port-block-assign |
AFT端口块分配的日志功能已开启 |
|
aft log port-block-withdraw |
AFT端口块回收的日志功能已开启 |
|
aft log port-alloc-fail |
AFT端口分配失败的日志功能已开启 |
|
interface XXX |
开启AFT功能的接口 |
|
aft enable |
AFT功能已开启 |
|
AFT ALG |
各协议的AFT ALG功能开启状态 · Enabled:表示开启 · Disabled:表示关闭 |
display aft no-pat命令用来显示AFT NO-PAT表项信息。
【命令】
display aft no-pat [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的AFT NO-PAT表项信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的AFT NO-PAT表项信息。
【使用指导】
NO-PAT是指IPv6地址与IPv4地址存在一一对应的转换关系,不存在端口转换关系。
【举例】
# 显示AFT NO-PAT表项信息。
<Sysname> display aft no-pat
Slot 1:
IPv6 address: 3006::0002
IPv4 address: 200.100.1.100
IPv4 VPN : vpn2
IPv6 VPN : vpn1
IPv6 address: 4016::1102
IPv4 address: 202.120.12.110
IPv4 VPN : vpn2
IPv6 VPN : vpn1
Total entries found: 2
表1-4 display aft no-pat命令显示信息描述表
|
字段 |
描述 |
|
IPv6 address |
转换前的IPv6地址 |
|
IPv4 address |
转换后的IPv4地址 |
|
IPv4 VPN |
转换后的IPv4地址所属VPN实例。如果不属于任何VPN实例,则该行不显示 |
|
IPv6 VPN |
转换前的IPv6地址所属VPN实例。如果不属于任何VPN实例,则该行不显示 |
|
Total entries found |
AFT NO-PAT表项的总数 |
display aft port-block命令用来显示端口块映射表项信息。
【命令】
display aft port-block { dynamic | static } [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
dynamic:显示AFT动态端口块映射表项信息。
static:显示AFT静态端口块映射表项信息。
slot slot-number:显示指定成员设备上的AFT端口块映射表项信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的AFT端口块映射表项信息。
【举例】
# 显示端口块映射表项信息。
<Sysname> display aft port-block dynamic slot 1
Slot 1:
IPv6 address: 3006::0002
IPv4 address: 200.100.1.100
Port block : [1024 – 1123]
IPv4 VPN : vpn2
IPv6 VPN : vpn1
IPv6 address: 4016::1102
IPv4 address: 202.120.12.110
Port block : [1024 – 1200]
IPv4 VPN : vpn2
IPv6 VPN : vpn1
Total entries found: 2
# 显示指定slot上的AFT静态端口块映射表项信息。
<Sysname> display aft port-block static slot 1
Slot 1:
IPv6 Prefix: 3006::/16
IPv4 Address: 200.100.1.100
Port block : [1024 – 1123]
IPv4 VPN : vpn2
IPv6 VPN : vpn1
IPv6 Prefix: 4016::/16
IPv4 Address: 202.120.12.110
Port block : [1024 – 1200]
IPv4 VPN : vpn2
IPv6 VPN : vpn1
Total entries found: 2
表1-5 display aft port-block命令显示信息描述表
|
字段 |
描述 |
|
IPv6 address |
转换前的IPv6地址 |
|
IPv4 address |
转换后的IPv4地址 |
|
Port block |
转换后的IPv4端口范围 |
|
IPv4 VPN |
转换后的IPv4地址所属VPN实例。如果不属于任何VPN实例,则该行不显示 |
|
IPv6 VPN |
转换前的IPv6地址所属VPN实例。如果不属于任何VPN实例,则该行不显示 |
|
Total entries found |
AFT端口映射表项的总数 |
display aft session命令用来显示AFT会话(即进行过AFT地址转换的会话)的信息。
【命令】
display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ slot slot-number ] [ verbose ]
display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ slot slot-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ipv4:显示AFT创建的IPv4会话信息。
source-ip source-ip-address:显示指定源地址的会话。source-ip-address表示源IPv4地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ip-address:显示指定目的地址的会话。destination-ip-address表示目的IPv4地址,该地址必须是创建会话的报文的目的地址。
vpn-instance ipv4-vpn-instance-name:显示指定VPN实例的会话。ipv4-vpn-instance-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则显示属于公网的IPv4会话信息。
ipv6:显示AFT创建的IPv6会话信息。
source-ip source-ipv6-address:显示指定源地址的会话。source-ipv6-addrsss表示源IPv6地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ipv6-address:显示指定目的地址的会话。destination-ipv6-address表示目的IPv6地址,该地址必须是创建会话的报文的目的地址。
vpn-instance ipv6-vpn-instance-name:显示指定VPN实例的会话。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则显示属于公网的IPv6会话信息。
slot slot-number:显示指定成员设备上的AFT会话信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的AFT会话信息。
verbose:显示AFT会话的详细信息。不指定此参数时,显示会话的概要信息。
【使用指导】
如果不指定任何参数,则显示所有AFT会话的信息。
【举例】
# 显示指定slot上的AFT会话的详细信息。
<Sysname> display aft session ipv4 slot 1 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 102.128.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 102.128.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
App: SSH State: TCP_SYN_SENT
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
表1-6 display aft session命令显示信息描述表
|
字段 |
描述 |
|
Initiator |
发起方的会话信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
VPN instance/VLAN ID/Inline ID |
会话所属的VPN实例/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
协议类型,包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
|
Inbound interface |
入接口 |
|
Responder |
响应方的会话信息 |
|
App |
应用层协议类型,包括:FTP、DNS等,unknown表示非知名端口并且也未使用用户自定义的协议类型 |
|
State |
会话状态 |
|
Start time |
会话创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
Total sessions found |
AFT会话总数 |
【相关命令】
· reset aft session
display aft statistics显示AFT统计信息。
【命令】
display aft statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:显示指定成员设备上的AFT统计信息,slot-number表示设备在IRF中的成员编号。若不指定该参数,则显示所有成员设备上的AFT统计信息。
【使用指导】
如果不指定任何参数,则显示所有AFT统计信息。
【举例】
# 显示所有AFT统计信息。
<Sysname> display aft statistics
Total NO-PAT entries found: 0
Total port-block entries found: 0
Total IPv4 sessions: 0
Total IPv6 sessions: 0
Dropped packets: 3006
Configuration sequence changed: 0
Failed to transfer payload: 0
Failed to transfer packet header: 0
Packet examination failed before packet sending: 0
Failed to translate destination address: 0
The translated destination address is invalid: 0
Failed to translate source address: 0
Failed to transfer FSBUF to MBUF: 0
Session ext-info is null: 0
Peer session is null: 0
Failed to get translation information from session: 0
Failed to create session: 0
Failed to fragment the MBUF: 0
Failed to create fast forwarding table: 0
Failed to formalize session: 0
Other reasons: 0
表1-7 display aft statistics命令显示信息描述表
|
字段 |
描述 |
|
Total NO-PAT entries found |
AFT创建的NO-PAT表项个数 |
|
Total port-block entries found |
AFT创建的端口块映射表项个数 |
|
Total IPv4 sessions |
AFT创建的IPv4会话个数 |
|
Total IPv6 sessions |
AFT创建的IPv6会话个数 |
|
Dropped packets |
AFT丢弃的报文个数 |
|
Configuration sequence changed |
配置序列变更丢包 |
|
Failed to transfer payload |
ALG处理失败丢包 |
|
Failed to transfer packet header |
报文头转换失败丢包 |
|
Packet examination failed before packet sending |
报文发送前检查失败丢包 |
|
Failed to translate destination address |
目的地址转换失败丢包 |
|
The translated destination address is invalid |
转换后的目的地址非法丢包 |
|
Failed to translate source address |
源地址转换失败丢包 |
|
Failed to transfer FSBUF to MBUF |
数据从FSBUF结构转换为MBUF结构失败丢包 |
|
Session ext-info is null |
未找到会话扩展信息丢包 |
|
Peer session is null |
未找到对端会话丢包 |
|
Failed to get translation information from session |
由会话获取转换信息失败丢包 |
|
Failed to create session |
创建会话失败丢包 |
|
Failed to fragment the MBUF |
分片失败丢包 |
|
Failed to create fast forwarding table |
创建快转表失败丢包 |
|
Failed to formalize session |
会话正式化失败丢包 |
|
Other reasons |
其他原因丢包 |
【相关命令】
· reset aft statistics
ip-address命令用来向AFT端口块组中添加源地址转换后的IPv4地址成员。
undo ip-address命令用来删除AFT端口块组中源地址转换后IPv4地址成员。
【命令】
ip-address start-address end-address [ vpn-instance vpn-name ]
undo ip-address start-address end-address [ vpn-instance vpn-name ]
【缺省情况】
AFT端口块组中不存在源地址转换后的IPv4地址成员。
【视图】
AFT端口块组视图
【缺省用户视图】
network-admin
context-admin
【参数】
start-address end-address:源地址转换后的IPv4地址成员的起始IPv4地址和结束IPv4地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个IPv4地址。
vpn-instance vpn-name:指定该IPv4地址所属的VPN实例。vpn-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址成员不属于任何一个VPN实例。
【使用指导】
在IPv6侧发起访问IPv4网络并对数据报文进行AFT端口块静态端口块方式源地址转换的场景中,IPv6报文的源地址将被转换为AFT端口块组中源地址转换后的IPv4地址成员中的某个IPv4地址。
向AFT端口块组中添加源地址转换后的IPv4地址成员时,需要注意:
· 同一个AFT地址组中多次执行本命令添加的IPv4地址成员不能互相重叠,且一次添加的地址成员数量不能超过256。
· 不同AFT端口块组之间,地址成员的IPv4地址可以重叠,但要保证在有地址重叠时端口范围不重叠。
【举例】
# 向AFT端口块组中添加源地址转换后的IPv4地址成员,其地址范围为10.1.1.1~10.1.1.15。
<Sysname> system-view
[Sysname] aft port-block-group 1
[Sysname-aft-port-block-group-1] ip-address 10.1.1.1 10.1.1.15
【相关命令】
· aft v6tov4 source
· display aft configuration
ipv6-prefix命令用来向AFT端口块组中添加源地址转换前的IPv6地址前缀。
undo ipv6-prefix命令用来删除AFT端口块组中源地址转换前的IPv6地址前缀。
【命令】
ipv6-prefix ipv6-start-prefix ipv6-end-prefix prefix-length [ vpn-instance vpn-name ]
undo ipv6-prefix ipv6-start-prefix ipv6-end-prefix prefix-length [ vpn-instance vpn-name ]
【缺省情况】
AFT端口块组中不存在源地址转换前的IPv6地址前缀。
【视图】
AFT端口块组视图
【缺省用户视图】
network-admin
context-admin
【参数】
ipv6-start-prefix:起始IPv6地址前缀。
ipv6-end-prefix:结束IPv6地址前缀。
prefix-length:前缀长度,取值范围为1~128。
vpn-instance vpn-name:指定该IPv6地址所属的VPN实例。vpn-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址成员不属于任何VPN实例。
【使用指导】
在IPv6侧发起访问IPv4网络并需要对数据报文进行端口块方式AFT静态源地址转换的场景中,AFT端口块组中的源地址转换前的IPv6地址前缀是AFT端口块的使用者。设备基于AFT端口块组配置的IPv4地址成员为其分配端口块。在一个端口块组内,一个IPv6前缀只分配一个端口块。如果一个端口块组中的IPv6地址总数超过可分配的端口块总数(可分配的端口块总数=端口范围÷端口块大小×转换后的IPv4地址个数),则在进行端口块静态映射时,超出部分的IPv6地址前缀将无法转换。
同一个端口块组内,配置多个IPv6地址前缀时,需要注意:
· 属于同一VPN实例的各IPv6地址前缀不能重叠。
· 不属于任何VPN实例的IPv6地址前缀不能重叠。
不同端口块组内,执行本命令时,需要注意:
· 如果指定相同的VPN实例,配置的IPv6地址前缀之间的IP地址不能重叠。
· 如果均不指定VPN实例,配置的IPv6地址前缀之间的IP地址不能重叠。
【举例】
# 向AFT端口块组中添加源地址转换前的IPv6地址前缀,包含240E:00D8:8200:0000::/64~240E:00D8:8200:0007::/64的IPv6地址前缀。
<Sysname> system-view
[Sysname] aft port-block-group 1
[Sysname-aft-port-block-group-1] ipv6-prefix 240E:00D8:8200:0000:: 240E:00D8:8200:0007:: 64
【相关命令】
· aft v6tov4 source
· display aft configuration
port-range命令用来配置AFT进行端口块分配的端口范围。
undo port-range命令用来恢复缺省情况。
【命令】
port-range start-port-number end-port-number
undo port-range
【缺省情况】
AFT进行端口块分配的端口范围为1~65535。
【视图】
AFT端口块组视图
【缺省用户视图】
network-admin
context-admin
【参数】
start-port-number end-port-number:起始端口号和结束端口号。end-port-number必须大于或等于start-port-number。建议将start-port-number配置为大于或等于1024的数值,避免出现应用协议识别错误的问题。
【使用指导】
AFT端口块组中可分配的端口块总数=端口范围÷端口块大小,要求端口范围值必须大于或等于端口块大小值。
【举例】
# 在AFT端口块组1中,配置AFT进行端口块分配的端口范围为1024~65535。
<Sysname> system-view
[Sysname] aft port-block-group 1
[Sysname-aft-port-block-group-1] port-range 1024 65535
【相关命令】
· aft port-block-group
· aft v6tov4 source
· block-size
· display aft configuration
reset aft session命令用来删除AFT会话。
【命令】
reset aft session [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:删除指定成员设备上的AFT会话,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示删除所有成员设备上的AFT会话。(
【使用指导】
执行本命令删除AFT会话后,该会话对应的AFT NO-PAT表项和端口块映射表信息也会同时被删除。
【举例】
# 删除所有AFT会话。
<Sysname> reset aft session
【相关命令】
· display aft session
reset aft statistics命令用来清除AFT统计信息。
【命令】
reset aft statistics [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:删除指定成员设备上的AFT统计信息,slot-number表示设备在IRF中的成员编号。如果不指定该参数,则表示删除所有成员设备上的AFT统计信息。
【使用指导】
AFT统计信息包括AFT丢弃的报文个数,NO-PAT表项个数和端口块映射表项个数。该命令仅会清除AFT丢弃的报文个数统计。
【举例】
# 清除AFT统计信息。
<Sysname> reset aft statistics
【相关命令】
· display aft statistics
vrrp vrid命令用来将AFT地址组与VRRP备份组绑定。
undo vrrp vrid命令用来恢复缺省情况。
【命令】
vrrp vrid virtual-router-id
undo vrrp vrid
【缺省情况】
AFT地址组未绑定任何VRRP备份组。
【视图】
AFT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
virtual-router-id:表示VRRP备份组ID,取值范围为1~255。
【使用指导】
本文中的“主设备”指的是远端备份组中的主设备,“Master设备”指的是VRRP备份组中的主设备。
在RBM双机热备组网中,当VRRP的虚拟IP地址与AFT地址组中公网地址成员处于同一网段时,远端备份组中的设备收到对AFT地址组中公网地址成员的ARP请求的时候无法判断是否需要回应ARP响应报文。如果两台设备都回应ARP响应报文,则无法保证响应报文中MAC地址的正确性,也无法保证与远端备份组相连的三层设备上ARP表项的正确性。为了避免上述情况的发生,需要将Master设备发送的ARP报文中携带的MAC地址改为VRRP备份组的虚拟MAC地址。当Master设备收到ARP请求时,回应的ARP响应报文中携带的MAC地址为此VRRP备份组的虚拟MAC地址。关于双机热备的详细介绍,请参见“可靠性配置指导”中的“远端备份组”。
在主备模式的双机热备组网中,请在远端备份组主管理设备的AFT地址组视图下配置本命令。
在双主模式的双机热备组网中,请根据不同的情况选择不同的配置方式:
· 当远端备份组中的两台设备共用同一个AFT地址组时,请在远端备份组的主管理设备上配置本命令。同时,为了防止不同的Master设备将不同主机的流量转换为同一个地址和端口号,需要使用PAT模式的地址转换,并配置aft remote-backup port-alloc命令,使得不同的Master设备使用不同范围的端口资源。
· 当远端备份组中的两台设备使用不同地址范围的AFT地址组时(AFT匹配不同的用户流量,实现不同源IPv6地址范围的用户流量使用不同的AFT地址组进行地址转换),不同的内网用户设置不同的网关地址,使得正向地址转换的流量由不同的Master设备进行处理。这种情况下,通过在主管理设备上配置本命令将不同的AFT地址组与不同的IPv4网络侧VRRP备份组绑定,从而引导反向地址转换的流量使用不同的Master设备进行地址转换,实现AFT业务的负载分担。
重复执行本命令,最后一次执行的命令生效。
【举例】
# 在AFT地址组2绑定VRRP备份组1。
<Sysname> system-view
[Sysname] aft address-group 2
[Sysname-aft-address-group-2] vrrp vrid 1
【相关命令】
· display aft address-group
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
