- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
20-SMA命令
本章节下载: 20-SMA命令 (218.99 KB)
目 录
1.1.1 display sma-anti-spoof ipv6 address-prefix
1.1.2 display sma-anti-spoof ipv6 packet-tag
1.1.3 sma-anti-spoof ipv6 address-domain
1.1.4 sma-anti-spoof ipv6 enable
1.1.5 sma-anti-spoof ipv6 filter enable
1.1.6 sma-anti-spoof ipv6 port-type
1.1.7 sma-anti-spoof ipv6 server
1.1.8 sma-anti-spoof ipv6 sub-alliance
display sma-anti-spoof ipv6 address-prefix命令用来显示IPv6地址前缀信息。
【命令】
(独立运行模式)
display sma-anti-spoof ipv6 address-prefix [ acs address-domain-level level-value ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display sma-anti-spoof ipv6 address-prefix [ acs address-domain-level level-value ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
acs address-domain-level level-value:显示来自指定地址域级别ACS的IPv6地址前缀信息。level-value表示地址域级别,取值范围为0~3。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示所有IPv6地址前缀信息。
<Sysname> display sma-anti-spoof ipv6 address-prefix
Alliance number: 1
ACS address-domain level: 1
Address-domain ID: 1023
IPv6 prefix: AA:AA::/64
Effective at: May 1 14:12:49 2021
Address-domain level: 3
Common level: 0
Address-domain cnt: 4
Address-domain list: 12 34 56 78
表1-1 display sma-anti-spoof ipv6 address-prefix命令显示信息描述表
|
字段 |
描述 |
|
Alliance number |
信任联盟号 |
|
ACS address-domain level |
ACS所属的地址域级别 |
|
Address-domain ID |
IPv6前缀所属的地址域编号 |
|
IPv6 prefix |
当前地址域下的IPv6前缀 |
|
Effective at |
IPv6前缀生效的起始时间,表示格式如:May 1 14:12:49 2021或May 1 14:02:49 2021(i),其中(i)表示立即生效 |
|
Address-domain level |
IPv6前缀所属的地址域级别 |
|
Common level |
AER与IPv6前缀所属的公共地址域最高级别 |
|
Address-domain cnt |
该IPv6前缀SMA报文经过的地址域编号个数 |
|
Address-domain list |
该IPv6前缀SMA报文经过的地址域编号列表 |
display sma-anti-spoof ipv6 packet-tag命令用来显示所有AS对的标签信息。
【命令】
(独立运行模式)
display sma-anti-spoof ipv6 packet-tag [ acs address-domain-level level-value ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display sma-anti-spoof ipv6 packet-tag [ acs address-domain-level level-value ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
acs address-domain-level level-value:显示来自指定地址域级别ACS的地址域对的标签信息。level-value表示地址域级别,取值范围为0~3。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)
cpu cpu-number:指定CPU。cpu-number表示单板上CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示所有地址域对的标签信息。
<Sysname> display sma-anti-spoof ipv6 packet-tag
Alliance number: 1
ACS address-domain level: 1
Source address-domain ID: 10
Destination address-domain ID: 11
Tag: 0xABCD
Transition interval: 10s
表1-2 display sma-anti-spoof ipv6 packet-tag命令显示信息描述表
|
字段 |
描述 |
|
Alliance number |
信任联盟号 |
|
ACS address-domain level |
ACS所属的地址域级别 |
|
Source address-domain ID |
源地址域编号 |
|
Destination address-domain ID |
目的地址域编号 |
|
Tag |
标签,0~128位的二进制数,以十六进制数的形式显示,如:0xABCD |
|
Transition interval |
标签有效时间,单位为秒,超时后标签失效 |
sma-anti-spoof ipv6 address-domain命令用来配置AER设备所属的地址域。
undo sma-anti-spoof ipv6 address-domain命令用来删除AER所属的地址域。
【命令】
sma-anti-spoof ipv6 address-domain domain-id
undo sma-anti-spoof ipv6 address-domain
【缺省情况】
AER设备未加入地址域。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
domain-id:AER设备所属的地址域编号,取值范围为1~2147483647。
【使用指导】
为了配合信任联盟分层(子信任联盟),提出了地址域概念。地址域用于在子信任联盟中构建多级IP地址管理结构。例如,首先以县市为单位划分多个一级地址域,再以机构为单位划分多个二级地址域(比如学校、企事业单位),以楼宇或部门为单位划分三级地址域。
每个层级的地址域都有相应的ACS,用于和同层级的其它地址域内的ACS交互信息,并向本地址域内的AER宣告与更新注册信息、前缀信息以及状态机信息。地址域范围内的成员由管理员通过ACS来配置,并更新地址前缀信息和状态机信息。
同一个子信任联盟不同地址域层次中,配置的地址域编号必须唯一且不能与子联盟编号相同。
每一个地址域编号都有属于的地址域层级,具体属于哪个地址域层次,由管理员通过ACS来配置。
【举例】
# 配置AER设备所属的地址域编号为1。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 address-domain 1
sma-anti-spoof ipv6 enable命令用来开启SMA功能。
undo sma-anti-spoof ipv6 enable命令用来关闭SMA功能。
【命令】
sma-anti-spoof ipv6 enable
undo sma-anti-spoof ipv6 enable
【缺省情况】
SMA功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
只有开启SMA功能后,SMA的相关配置才会生效。
【举例】
# 开启SMA功能。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 enable
【相关命令】
· sma-anti-spoof ipv6 filter enable
· sma-anti-spoof ipv6 server
sma-anti-spoof ipv6 filter enable命令用来开启AER设备报文过滤功能。
undo sma-anti-spoof ipv6 filter enable命令用来来关闭AER设备报文过滤功能。
【命令】
sma-anti-spoof ipv6 filter enable
undo sma-anti-spoof ipv6 filter enable
【缺省情况】
AER设备报文过滤功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
在SMA组网中,ACS与ACS之间的通信是属于跨AS的通信,因此,当目的AS的AER出现问题时,可能会阻断ACS之间的通信,进而使得问题无法恢复。为解决这一问题,目的AS内的AER对发往本AS中的ACS的报文不检查标签的正确性,而只是去除SMA-Option后将报文直接转发给ACS。
当网络环境比较安全时,建议关闭本功能,确保ACS通信不受AER功能影响。
当网络环境不安全时,建议开启本功能,AER会对发往本AS中的ACS的报文进行标签检验,并且丢弃校验失败的报文,提高网络的安全性。
只有配置了sma-anti-spoof ipv6 enable命令,本功能才生效。
【举例】
# 开启AER设备报文过滤功能。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 filter enable
【相关命令】
· sma-anti-spoof ipv6 enable
sma-anti-spoof ipv6 port-type命令用来配置SMA的接口类型。
undo sma-anti-spoof ipv6 port-type命令用来恢复缺省情况。
【命令】
sma-anti-spoof ipv6 port-type { egress level level-value | ingress }
undo sma-anti-spoof ipv6 port-type
【缺省情况】
未配置SMA接口类型,不对报文进行SMA处理。
【视图】
三层以太网接口视图/三层以太网子接口视图
三层聚合接口视图/三层聚合子接口视图
VLAN接口视图
FlexE业务接口视图
【缺省用户角色】
network-admin
【参数】
egress:设置SMA的接口类型为Egress类型。
level level-value:设置SMA的出接口所属地址域最高级别,取值范围为0~3。其中,0为最高级别,3为最低级别。
ingress:设置SMA的接口类型为Ingress类型。
【使用指导】
在SMA组网环境中,为了正确地对报文进行分类,并完成标签的添加、检查以及报文转发,需要手动指定AER上的接口类型。
· egress接口:连接其他地址域的AER的Egress接口。
· ingress接口:连接到本地址域内部未使能SMA特性的路由器的接口。
【举例】
# 配置接口Ten-GigabitEthernet3/1/1的SMA接口类型为地址域级别为0的egress类型。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] sma-anti-spoof ipv6 port-type egress level 0
【相关命令】
· sma-anti-spoof ipv6 enable
sma-anti-spoof ipv6 server命令用来配置AER与ACS之间建立连接。
undo sma-anti-spoof ipv6 server命令用来恢复缺省情况。
【命令】
sma-anti-spoof ipv6 server ipv6-address client client-ipv6-address [ ssl-client-policy policy-name ] address-domain-level level-value
undo sma-anti-spoof ipv6 server address-domain-level level-value
【缺省情况】
AER与ACS之间未建立连接。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:指定与AER相连的ACS服务器的IPv6地址。
client client-ipv6-address:指定与ACS相连的AER客户端的IPv6地址。
ssl-client-policy policy-name:指定SSL客户端策略名称,为1~31个字符的字符串,不区分大小写。如果未指定本参数,则AER与ACS之间建立的是TCP连接。
address-domain-level level-value:指定与AER相连的ACS服务器所属的地址域级别,取值范围为0~3。
【使用指导】
配置此命令前需要先通过sma-anti-spoof ipv6 enable命令开启SMA功能。如果指定的SSL客户端策略不存在,则AER与ACS无法建立连接。
如果网络环境安全,则不需要指定SSL客户端策略。
网络管理员根据ACS所在网络拓扑获取到ACS服务器的地址域级别后,必须通过本命令在AER上将与AER相连的ACS服务器所属的地址域级别设置成事先获取到的地址域级别。如果地址域级别设置为不一致,会导致AER与ACS通信失败。
对于同一个地址域级别的ACS,AER只能与其中一台相连。
同一台ACS服务器只能指定一个地址域级别。
【举例】
# 指定ACS的IPv6地址为1::1,并指定与ACS建立SSL连接时使用的SSL客户端策略为ssl,客户端连接地址为1::2,ACS的地址域级别为1,使AER与ACS之间建立SSL连接。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 server 1::1 client 1::2 ssl-client-policy ssl address-domain-level 1
# 指定ACS的IPv6地址为1::1,客户端连接地址为1::2,ACS的地址域级别为1,使AER与ACS之间建立TCP连接。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 server 1::1 client 1::2 address-domain-level 1
【相关命令】
· sma-anti-spoof ipv6 enable
sma-anti-spoof ipv6 sub-alliance命令用来配置AER设备所属的子信任联盟编号。
undo sma-anti-spoof ipv6 sub-alliance命令用来删除AER设备所属的子信任联盟编号。
【命令】
sma-anti-spoof ipv6 sub-alliance sub-alli-number
undo sma-anti-spoof ipv6 sub-alliance
【缺省情况】
AER设备未加入子信任联盟。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
sub-alli-number:AER设备所属的子信任联盟编号,取值范围为1~255。
【使用指导】
一个信任联盟内有n个AS时,需要建立的一对一状态机维护关系数量为n(n-1)/2,单个AER需要维护的状态机数量为2(n-1)。当n较大时,对于状态机维护和存储开销都是巨大的挑战。
此时可以将大的信任联盟拆分成多个子信任联盟,称为层次化的信任联盟。子联盟中与其他子联盟中的AER通过inter-alli-egress接口相连的AER所在的AS,称为子联盟中的边界AS。每个子联盟在边界AS中推选出一个主边界AS,主边界AS代表子联盟向大信任联盟进行注册,并且代表该子联盟与其它子联盟的主边界AS维护状态机,将产生的子联盟级别的标签下发到子联盟内的各个边界AS的ACS,并由其下发给所在AS的AER。
【举例】
# 配置AER设备所属的子信任联盟编号为1。
<Sysname> system-view
[Sysname] sma-anti-spoof ipv6 sub-alliance 1
【相关命令】
· sma-anti-spoof ipv6 enable
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
