18-uRPF命令
本章节下载: 18-uRPF命令 (163.97 KB)
display ip urpf命令用来显示uRPF的配置应用情况。
【命令】
(独立运行模式)
display ip urpf [ interface interface-type interface-number ] [ slot slot-number ]
(IRF模式)
display ip urpf [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:接口类型和接口编号。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)
【举例】
# 显示指定Slot上uRPF的应用情况。(独立运行模式)
<Sysname> display ip urpf slot 1
Global uRPF configuration information(failed):
Check type: strict
Allow default route
# 显示指定接口上的已经应用的uRPF的配置情况。(独立运行模式)
<Sysname> display ip urpf interface vlan-interface 10 slot 1
uRPF configuration information of interface Vlan-interface10(failed):
Check type: loose
Allow default route
表1-1 display ip urpf命令显示信息描述表
字段 |
描述 |
Global uRPF configuration information |
全局uRPF配置应用情况 |
uRPF configuration information of interface |
接口uRPF配置应用情况 |
(failed) |
当前uRPF配置下发转发芯片失败,原因可能为芯片资源不足。没有该字段时表示下发成功 |
Check type |
uRPF检查类型,包括: · loose:松散型检查 · strict:严格型检查 |
Allow default route |
允许缺省路由 |
ip urpf命令用来开启uRPF功能。
undo ip urpf命令用来关闭uRPF功能。
【命令】
ip urpf { loose [ allow-default-route ] | strict [ allow-default-route ] }
undo ip urpf
【缺省情况】
uRPF功能处于关闭状态。
【视图】
系统视图
三层接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
loose:松散型检查。仅检查报文的源地址是否在转发表中存在,而不再检查报文的入接口与转发表是否匹配。
strict:严格型检查。不仅检查报文的源地址是否在转发表中存在,而且检查报文的入接口与转发表是否匹配。
allow-default-route:允许源地址查转发表时匹配缺省路由表项。
【使用指导】
uRPF功能一般部署在运营商网络接入客户侧设备的边缘位置,也可以部署在运营商网络对接其他运营商设备的边缘位置设备或部署在客户侧边缘位置设备。
选择严格或松散uRPF取决于当前组网中是否存在非对称路径,如果运营商设备上行流量的入接口和下行流量的出接口相同则是对称路径,此时建议在运营商网络接入客户侧设备的边缘位置的接口下配置严格uRPF。一般运营商接入客户侧的组网中都是对称路径。运营商对接其他运营商的边缘位置可能出现非对称路径,此时建议在运营商网络对接其他运营商网络的边缘位置的接口下配置松散uRPF。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示ACL匹配不生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 在全局下配置严格型uRPF检查。
<Sysname> system-view
[Sysname] ip urpf strict
# 在接口Vlan-interface10上配置松散型uRPF检查。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ip urpf loose
【相关命令】
· display ip urpf
display ipv6 urpf命令用来显示IPv6 uRPF的配置应用情况。
【命令】
(独立运行模式)
display ipv6 urpf [ interface interface-type interface-number ] [ slot slot-number ]
(IRF模式)
display ipv6 urpf [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
mdc-admin
mdc-operator
【参数】
interface interface-type interface-number:接口类型和接口编号。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)
【举例】
# 显示指定Slot上IPv6 uRPF的应用情况。(独立运行模式)
<Sysname> display ipv6 urpf slot 1
Global IPv6 uRPF configuration information(failed):
Check type: strict
Allow default route
# 显示指定接口上的已经应用的IPv6 uRPF的配置情况。(独立运行模式)
<Sysname> display ipv6 urpf interface vlan-interface 10 slot 1
IPv6 uRPF configuration information of interface Vlan-interface10(failed):
Check type: loose
Allow default route
表2-1 display ipv6 urpf命令显示信息描述表
字段 |
描述 |
Global IPv6 uRPF configuration information |
全局IPv6 uRPF配置应用情况 |
IPv6 uRPF configuration information of interface |
接口IPv6 uRPF配置应用情况 |
(failed) |
当前IPv6 uRPF配置下发转发芯片失败,原因可能为芯片资源不足。没有该字段时表示下发成功 |
Check type |
IPv6 uRPF检查类型,包括: · loose:松散型检查 · strict:严格型检查 |
Allow default route |
允许缺省路由 |
ipv6 urpf命令用来开启IPv6 uRPF功能。
undo ipv6 urpf命令用来关闭IPv6 uRPF功能。
【命令】
ipv6 urpf { loose | strict } [ allow-default-route ]
undo ipv6 urpf
【缺省情况】
IPv6 uRPF功能处于关闭状态。
【视图】
系统视图
三层接口视图
【缺省用户角色】
network-admin
mdc-admin
【参数】
loose:松散型检查。仅检查报文的源地址是否在IPv6转发表中存在,而不再检查报文的入接口与IPv6转发表是否匹配。
strict:严格型检查。不仅检查报文的源地址是否在IPv6转发表中存在,而且检查报文的入接口与IPv6转发表是否匹配。
allow-default-route:允许源地址查IPv6转发时匹配缺省路由表项。
【使用指导】
IPv6 uRPF功能一般部署在运营商网络接入客户侧设备的边缘位置,也可以部署在运营商网络对接其他运营商设备的边缘位置设备或部署在客户侧边缘位置设备。
选择严格或松散IPv6 uRPF取决于当前组网中是否存在非对称路径,如果运营商设备上行流量的入接口和下行流量的出接口相同则是对称路径,此时建议在运营商网络接入客户侧设备的边缘位置的接口配置严格IPv6 uRPF。一般运营商接入客户侧的组网中都是对称路径。运营商对接其他运营商的边缘位置可能出现非对称路径,此时建议在运营商网络对接其他运营商网络的边缘位置的接口下配置松散IPv6 uRPF。
引用ACL时,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中没有配置规则,则表示ACL匹配不生效。
· 在引用的ACL中,若某规则指定了vpn-instance参数,则表示该规则仅对VPN报文有效;若规则未指定vpn-instance参数,则表示该规则仅对公网报文有效。
【举例】
# 在全局下配置严格型IPv6 uRPF检查。
<Sysname> system-view
[Sysname] ipv6 urpf strict
# 在接口Vlan-interface10上配置松散IPv6 uRPF检查。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ipv6 urpf loose
【相关命令】
· display ipv6 urpf
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!