- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-ADVPN命令
本章节下载: 01-ADVPN命令 (428.57 KB)
目 录
1.1.1 authentication-algorithm
1.1.3 display vam server address-map
1.1.4 display vam server ipv6 address-map
1.1.5 display vam server ipv6 private-network
1.1.6 display vam server private-network
1.1.7 display vam server statistics
1.1.9 hub ipv6 private-address
1.1.13 pre-shared-key (ADVPN domain view)
1.1.14 reset vam server address-map
1.1.15 reset vam server ipv6 address-map
1.1.16 reset vam server statistics
1.1.21 spoke ipv6 private-address
1.1.23 vam server advpn-domain
authentication-algorithm命令用来设置VAM协议报文的验证算法。
undo authentication-algorithm命令用来恢复缺省情况。
【命令】
authentication-algorithm { aes-xcbc-mac | md5 | none | sha-1 | sha-256 } *
undo authentication-algorithm
【缺省情况】
VAM协议报文的验证算法为SHA-1。
【视图】
ADVPN域视图
【缺省用户角色】
network-admin
context-admin
【参数】
aes-xcbc-mac:表示采用AES-XCBC-MAC验证算法。
md5:表示采用MD5验证算法。
none:表示不对VAM协议报文进行验证。
sha-1:表示采用SHA-1验证算法。
sha-256:表示采用SHA-256验证算法。
【使用指导】
VAM Server与VAM Client固定使用SHA-1验证算法对连接初始化请求和响应报文进行完整性验证;使用协商出来的验证算法对其他VAM协议报文进行完整性验证。
验证算法在配置中的出现顺序决定其使用优先级。配置中越靠前的验证算法,其优先级越高。VAM Server在与VAM Client协商时,从VAM Client支持的验证算法列表中选择VAM Server上配置最靠前的算法作为协商结果。
修改本配置对已经注册的VAM Client没有影响,新注册的VAM Client将采用修改后的验证算法进行协商。
【举例】
# 设置在ADVPN域1中使用的验证算法优先级从高到低依次为MD5、SHA-1和SHA-256。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] authentication-algorithm md5 sha-1 sha-256
authentication-method命令用来配置VAM Server对VAM Client的身份认证方式。
undo authentication-method命令用来恢复缺省情况。
【命令】
authentication-method { none | { chap | pap } [ domain isp-name ] }
undo authentication-method
【缺省情况】
VAM Server使用CHAP方式对VAM Client进行身份认证,认证使用的ISP域为用户配置的系统默认域。
【视图】
ADVPN域视图
【缺省用户角色】
network-admin
context-admin
【参数】
none:表示不对VAM Client进行认证。
chap:表示使用CHAP认证方式。
pap:表示使用PAP认证方式。
domain isp-name:指定认证使用的ISP域。isp-name表示ISP域的名称,为1~24个字符的字符串,不区分大小写,不能包括“\”、“|”、“/”、“:”、“*”、“?”、“””、“<”、“>”以及“@”字符。如果未指定本参数,则认证使用的ISP域为用户配置的系统默认域。
【使用指导】
如果指定的ISP域不存在,则VAM Server对VAM Client的身份认证会失败。
修改本配置对已经注册的VAM Client没有影响,新注册的VAM Client将按照修改后的认证方式进行身份认证。
【举例】
# 配置ADVPN域1对VAM Client采用CHAP方式进行身份认证,认证使用的ISP域为用户配置的系统默认域。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] authentication-method chap
display vam server address-map命令用来显示注册到VAM Server上的VAM Client的IPv4私网地址和公网地址映射信息。
【命令】
display vam server address-map [ advpn-domain domain-name [ private-address private-ip-address ] ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
advpn-domain domain-name:显示指定ADVPN域中注册的VAM Client的IPv4私网地址和公网地址映射信息。domain-name为ADVPN域的名称,为1~31个字符的字符串,不区分大小写,只能包含字符A~Z、a~z、0~9和“.”。如果未指定本参数,则显示VAM Server上所有注册的VAM Client的IPv4私网地址和公网地址映射信息。
private-address private-ip-address:显示指定IPv4私网地址的映射信息。private-ip-address为VAM Client的IPv4私网地址。如果未指定本参数,则显示指定或所有ADVPN域中注册的VAM Client的IPv4私网地址和公网地址映射信息。
verbose:显示地址映射的详细信息。如果未指定本参数,则显示地址映射的摘要信息。
【举例】
# 显示所有ADVPN域中的IPv4私网地址和公网地址映射信息。
<Sysname> display vam server address-map
ADVPN domain name: 1
Total private address mappings: 2
Group Private address Public address Type NAT Holding time
1 10.0.0.1 2001::1 Hub No 0H 13M 34S
1 10.0.0.3 74.125.128.102 Spoke Yes 0H 4M 21S
ADVPN domain name: 2
Total private address mappings: 0
ADVPN domain name: 3
Total private address mappings: 1
Group Private address Public address Type NAT Holding time
1 30.0.0.1 113.124.136.1 Hub No 0H 0M 2S
ADVPN domain name: 4
Total private address mappings: 1
Group Private address Public address Type NAT Holding time
1 40.0.0.1 4001::1 Hub No 1H 8M 22S
ADVPN domain name: 5
Total private address mappings: 1
Group Private address Public address Type NAT Holding time
1 50.0.0.1 115.194.156.1 Hub No 132H 41M 29S
# 显示ADVPN域1中的IPv4私网地址和公网地址映射信息。
<Sysname> display vam server address-map advpn-domain 1
ADVPN domain name: 1
Total private address mappings: 2
Group Private address Public address Type NAT Holding time
1 10.0.0.1 2001::1 Hub No 0H 13M 34S
1 10.0.0.3 74.125.128.102 Spoke Yes 0H 4M 21S
# 显示ADVPN域1中私网地址10.0.0.1的地址映射信息。
<Sysname> display vam server address-map advpn-domain 1 private-address 10.0.0.1
Group Private address Public address Type NAT Holding time
1 10.0.0.1 2001::1 Hub No 0H 13M 34S
表1-1 display vam server address-map命令显示信息描述表
|
字段 |
描述 |
|
ADVPN domain name |
ADVPN域的名称 |
|
Total private address mappings |
IPv4私网地址和公网地址映射总数 |
|
Group |
VAM Client所属的Hub组 |
|
Private address |
VAM Client向VAM Server注册的私网地址 |
|
Public address |
VAM Client向VAM Server注册的公网地址 |
|
Type |
VAM Client类型,有Hub和Spoke两种类型 |
|
NAT |
VAM Client是否穿越NAT |
|
Holding time |
VAM Client的存活时间,为x小时y分钟z秒(xH yM zS) |
# 显示所有ADVPN域中的IPv4私网地址和公网地址映射的详细信息。
<Sysname> display vam server address-map verbose
ADVPN domain name : 1
Private address : 10.0.0.1
Type : Hub
Hub group : 1
Holding time : 0H 13M 34S
Link protocol : UDP
Public address : 2001::1
Public port : 10018
Registered address: 2001::1
Registered port : 10018
Behind NAT : No
ADVPN domain name : 1
Private address : 10.0.0.3
Type : Spoke
Hub group : 1
Holding time : 0H 4M 21S
Link protocol : UDP
Public address : 74.125.128.102
Public port : 11297
Registered address: 192.168.23.6
Registered port : 2158
Behind NAT : Yes
ADVPN domain name : 3
Private address : 30.0.0.1
Type : Hub
Hub group : 1
Holding time : 0H 0M 2S
Link protocol : GRE
Public address : 113.124.136.1
Registered address: 113.124.136.1
Behind NAT : No
ADVPN domain name : 4
Private address : 40.0.0.1
Hub group : 1
Holding time : 1H 8M 22S
Link protocol : IPsec-UDP
Public address : 4001::1
Registered address: 4001::1
Registered port : 4072
Behind NAT : No
ADVPN domain name : 5
Private address : 50.0.0.1
Type : Hub
Hub group : 1
Holding time : 132H 41M 29S
Link protocol : IPsec-GRE
Public address : 115.194.156.1
Registered address: 115.194.156.1
Behind NAT : No
# 显示ADVPN域1中的IPv4私网地址和公网地址映射的详细信息。
<Sysname> display vam server address-map advpn-domain 1 verbose
ADVPN domain name : 1
Private address : 10.0.0.1
Type : Hub
Hub group : 1
Holding time : 0H 13M 34S
Link protocol : UDP
Public address : 2001::1
Public port : 10018
Registered address: 2001::1
Registered port : 10018
Behind NAT : No
ADVPN domain name : 1
Private address : 10.0.0.3
Type : Spoke
Hub group : 1
Holding time : 0H 4M 21S
Link protocol : UDP
Public address : 74.125.128.102
Public port : 11297
Registered address: 192.168.23.6
Registered port : 2158
Behind NAT : Yes
# 显示ADVPN域1中私网地址10.0.0.1的地址映射详细信息。
<Sysname> display vam server address-map advpn-domain 1 private-address 10.0.0.1 verbose
ADVPN domain name : 1
Private address : 10.0.0.1
Type : Hub
Hub group : 1
Holding time : 0H 13M 34S
Link protocol : UDP
Public address : 2001::1
Public port : 10018
Registered address: 2001::1
Registered port : 10018
Behind NAT : No
表1-2 display vam server address-map verbose命令显示信息描述表
|
字段 |
描述 |
|
ADVPN domain name |
ADVPN域的名称 |
|
Private address |
VAM Client向VAM Server注册的私网地址 |
|
Type |
VAM Client类型,有Hub和Spoke两种类型 |
|
Hub group |
VAM Client所属的Hub组 |
|
Holding time |
VAM Client的存活时间,为x小时y分钟z秒(xH yM zS) |
|
Link protocol |
VAM Client建立ADVPN隧道使用的链路层协议,包括: · UDP · GRE · IPsec-UDP · IPsec-GRE |
|
Public address |
NAT转换后的VAM Client的公网地址 |
|
Public port |
NAT转换后的VAM Client的ADVPN端口号 本字段仅在Link protocol为UDP或IPsec-UDP时显示 |
|
Registered address |
VAM Client向VAM Server注册的公网地址 |
|
Registered port |
VAM Client向VAM Server注册的ADVPN端口号 本字段仅在Link protocol为UDP或IPsec-UDP时显示 |
|
IPsec address |
建立IPsec隧道时,本VAM Client使用的IP地址 本字段仅在Link protocol为IPsec-UDP或IPsec-GRE时显示 |
|
IPsec port |
建立IPsec隧道时,本VAM Client使用的UDP端口号 本字段仅在Link protocol为IPsec-UDP或IPsec-GRE时显示 |
|
Behind NAT |
VAM Client是否穿越NAT |
【相关命令】
· reset vam server address-map
display vam server ipv6 address-map命令用来显示注册到VAM Server上的VAM Client的IPv6私网地址和公网地址映射信息。
【命令】
display vam server ipv6 address-map [ advpn-domain domain-name [ private-address private-ipv6-address ] ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
advpn-domain domain-name:显示指定ADVPN域中注册的VAM Client的IPv6私网地址和公网地址映射信息。domain-name为ADVPN域的名称,为1~31个字符的字符串,不区分大小写,只能包含字符A~Z、a~z、0~9和“.”。如果未指定本参数,则显示VAM Server上所有注册的VAM Client的IPv6私网地址和公网地址映射信息。
private-address private-ipv6-address:显示指定IPv6私网地址的映射信息。private-ipv6-address为VAM Client的IPv6私网地址。如果未指定本参数,则显示指定或所有ADVPN域中注册的VAM Client的IPv6私网地址和公网地址映射信息。
verbose:显示地址映射的详细信息。如果未指定本参数,则显示地址映射的摘要信息。
【举例】
# 显示所有ADVPN域中的IPv6私网地址和公网地址映射信息。
<Sysname> display vam server ipv6 address-map
ADVPN domain name: 1
Total private address mappings: 2
Group Private address Public address Type NAT Holding time
1 1000::1:0:0:1 2001::1 Hub No 0H 13M 34S
2 1000::2:0:0:1 220.181.111.85 Spoke Yes 0H 4M 21S
ADVPN domain name: 2
Total private address mappings: 0
ADVPN domain name: 3
Total private address mappings: 1
Group Private address Public address Type NAT Holding time
1 1003::1:0:0:1 3001::1 Hub No 0H 0M 2S
ADVPN domain name: 4
Total private address mappings: 1
Group Private address Public address Type NAT Holding time
1 1004::1:0:0:1 202.108.231.125 Hub No 1H 8M 22S
ADVPN domain name: 5
Total private address mappings: 1
Group Private address Public address Type NAT Holding time
1 1005::1:0:0:1 5001::1 Hub No 132H 41M 29S
# 显示ADVPN域1中的IPv6私网地址和公网地址映射信息。
<Sysname> display vam server ipv6 address-map advpn-domain 1
ADVPN domain name: 1
Total private address mappings: 2
Group Private address Public address Type NAT Holding time
1 1000::1:0:0:1 2001::1 Hub No 0H 13M 34S
2 1000::2:0:0:1 220.181.111.85 Spoke Yes 0H 4M 21S
# 显示ADVPN域1中私网地址1000::1:0:0:1的地址映射信息。
<Sysname> display vam server ipv6 address-map advpn-domain 1 private-address 1000::1:0:0:1
Group Private address Public address Type NAT Holding time
1 1000::1:0:0:1 2001::1 Hub No 0H 13M 34S
表1-3 display vam server ipv6 address-map命令显示信息描述表
|
字段 |
描述 |
|
ADVPN domain name |
ADVPN域的名称 |
|
Total private address mappings |
IPv6私网地址和公网地址映射总数 |
|
Group |
VAM Client所属的Hub组 |
|
Private address |
VAM Client向VAM Server注册的私网地址 |
|
Public address |
VAM Client向VAM Server注册的公网地址 |
|
Type |
VAM Client类型,有Hub和Spoke两种类型 |
|
NAT |
VAM Client是否穿越NAT |
|
Holding time |
VAM Client的存活时间,为x小时y分钟z秒(xH yM zS) |
# 显示所有ADVPN域中IPv6私网地址和公网地址映射的详细信息。
<Sysname> display vam server ipv6 address-map verbose
ADVPN domain name : 1
Private address : 1000::1:0:0:1
Link local address: FE80::50:4
Type : Hub
Hub group : 1
Holding time : 0H 13M 34S
Link protocol : UDP
Public address : 2001::1
Public port : 2098
Registered address: 2001::1
Registered port : 2098
Behind NAT : No
ADVPN domain name : 1
Private address : 1000::2:0:0:1
Link local address: FE80::60:4
Type : Spoke
Hub group : 2
Holding time : 0H 4M 21S
Link protocol : UDP
Public address : 220.181.111.85
Public port : 10018
Registered address: 10.158.26.14
Registered port : 2694
Behind NAT : Yes
ADVPN domain name : 3
Private address : 1003::1:0:0:1
Link local address: FE80::70:4
Type : Hub
Hub group : 1
Holding time : 0H 0M 2S
Link protocol : GRE
Public address : 3001::1
Registered address: 3001::1
Behind NAT : No
ADVPN domain name : 4
Private address : 1004::1:0:0:1
Link local address: FE80::80:4
Hub group : 1
Holding time : 1H 8M 22S
Link protocol : IPsec-UDP
Public address : 202.108.231.125
Registered address: 202.108.231.125
Registered port : 4072
Behind NAT : No
ADVPN domain name : 5
Private address : 1005::1:0:0:1
Link local address: FE80::90:4
Type : Hub
Hub group : 1
Holding time : 132H 41M 29S
Link protocol : IPsec-GRE
Public address : 5001::1
Registered address: 5001::1
Behind NAT : No
# 显示ADVPN域1中的IPv6私网地址和公网地址映射的详细信息。
<Sysname> display vam server ipv6 address-map advpn-domain 1 verbose
ADVPN domain name : 1
Private address : 1000::1:0:0:1
Link local address: FE80::50:4
Type : Hub
Hub group : 1
Holding time : 0H 13M 34S
Link protocol : UDP
Public address : 2001::1
Public port : 2098
Registered address: 2001::1
Registered port : 2098
Behind NAT : No
ADVPN domain name : 1
Private address : 1000::2:0:0:1
Link local address: FE80::60:4
Type : Spoke
Hub group : 2
Holding time : 0H 4M 21S
Link protocol : UDP
Public address : 220.181.111.85
Public port : 10018
Registered address: 10.158.26.14
Registered port : 2694
Behind NAT : Yes
# 显示ADVPN域1中私网地址1000::1:0:0:1的地址映射详细信息。
<Sysname> display vam server ipv6 address-map advpn-domain 1 ipv6 private-address 1000::1:0:0:1 verbose
ADVPN domain name : 1
Private address : 1000::1:0:0:1
Link local address: FE80::50:4
Type : Hub
Hub group : 1
Holding time : 0H 13M 34S
Link protocol : UDP
Public address : 2001::1
Public port : 2098
Registered address: 2001::1
Registered port : 2098
Behind NAT : No
表1-4 display vam server ipv6 address-map verbose命令显示信息描述表
|
字段 |
描述 |
|
ADVPN domain name |
ADVPN域的名称 |
|
Private address |
VAM Client向VAM Server注册的私网地址 |
|
Link local address |
VAM Client向VAM Server注册的私网链路本地地址 |
|
Type |
VAM Client类型,有Hub和Spoke两种类型 |
|
Hub group |
VAM Client所属的Hub组 |
|
Holding time |
VAM Client的存活时间,为x小时y分钟z秒(xH yM zS) |
|
Link protocol |
VAM Client建立ADVPN隧道使用的链路层协议,包括: · UDP · GRE · IPsec-UDP · IPsec-GRE |
|
Public address |
VAM Client的真实公网地址 |
|
Public port |
VAM Client的真实ADVPN端口号 本字段仅在Link protocol为UDP或IPsec-UDP时显示 |
|
Registered address |
VAM Client向VAM Server注册的公网地址 |
|
Registered port |
VAM Client向VAM Server注册的ADVPN端口号 本字段仅在Link protocol为UDP或IPsec-UDP时显示 |
|
IPsec address |
IPsec链路使用的IP地址 本字段仅在Link protocol为IPsec-UDP或IPsec-GRE时显示 |
|
IPsec port |
IPsec链路使用的UDP端口号 本字段仅在Link protocol为IPsec-UDP或IPsec-GRE时显示 |
|
Behind NAT |
VAM Client是否穿越NAT |
【相关命令】
· reset vam server ipv6 address-map
display vam server ipv6 private-network命令用来显示注册到VAM Server上的VAM Client的IPv6私网信息。
【命令】
display vam server ipv6 private-network [ advpn-domain domain-name [ private-address private-ipv6-address ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
advpn-domain domain-name:显示指定ADVPN域中VAM Client的IPv6私网信息。domain-name为ADVPN域的名称,为1~31个字符的字符串,不区分大小写,只能包含字符A~Z、a~z、0~9和“.”。如果未指定本参数,则显示VAM Server上所有注册的VAM Client的IPv6私网信息。
private-address private-ipv6-address:显示指定IPv6私网地址的私网信息。private-ipv6-address为VAM Client的IPv6私网地址。如果未指定本参数,则显示指定或所有ADVPN域中注册的VAM Client的IPv6私网信息。
【举例】
# 显示所有ADVPN域中VAM Client的IPv6私网信息。
<Sysname> display vam server ipv6 private-network
ADVPN domain name: 1
Total private networks: 5
Network/Prefix Private address Preference
1000::1:0:0:0/96 1000::1:0:0:2 80
1000::1:0:0:0/100 1000::1:0:0:1 80
1000::1:1:0:0/96 1000::1:0:0:1 80
1000::2:0:0:0/96 1000::1:0:0:2 80
1000::2:0:0:0/96 1000::2:0:0:2 80
ADVPN domain name: 2
Total private networks: 0
ADVPN domain name: 3
Total private networks: 1
Network/Prefix Private address Preference
1001::1:0:0:0/100 1001::1:0:0:1 80
# 显示ADVPN域1中的IPv6私网信息。
<Sysname> display vam server ipv6 private-network advpn-domain 1
ADVPN domain name: 1
Total private networks: 5
Network/Prefix Private address Preference
1000::1:0:0:0/96 1000::1:0:0:2 80
1000::1:0:0:0/100 1000::1:0:0:1 80
1000::1:1:0:0/96 1000::1:0:0:1 80
1000::2:0:0:0/96 1000::1:0:0:2 80
1000::2:0:0:0/96 1000::2:0:0:2 80
# 显示ADVPN域1中私网地址1000::1:0:0:1的私网信息。
<Sysname> display vam server ipv6 private-network advpn-domain 1 private-address 1000::1:0:0:1
Total private networks: 2
Network/Prefix Private address Preference
1000::1:0:0:0/100 1000::1:0:0:1 80
1000::1:1:0:0/96 1000::1:0:0:1 80
表1-5 display vam server ipv6 address-map命令显示信息描述表
|
字段 |
描述 |
|
ADVPN domain name |
ADVPN域的名称 |
|
Total private networks |
IPv6私网总数 |
|
Network/Prefix |
Tunnel接口下配置的ADVPN隧道的私网网络地址/前缀长度 |
|
Private address |
VAM Client向VAM Server注册的私网地址 |
|
Preference |
VAM Client向VAM Server注册的私网路由优先级 |
display vam server private-network命令用来显示注册到VAM Server上的VAM Client的IPv4私网信息。
【命令】
display vam server private-network [ advpn-domain domain-name [ private-address private-ip-address ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
advpn-domain domain-name:显示指定ADVPN域中VAM Client的IPv4私网信息。domain-name为ADVPN域的名称,为1~31个字符的字符串,不区分大小写,只能包含字符A~Z、a~z、0~9和“.”。如果未指定本参数,则显示VAM Server上所有注册VAM Client的IPv4私网信息。
private-address private-ip-address:显示指定IPv4私网地址的私网信息。private-ip-address为VAM Client的IPv4私网地址。如果未指定本参数,则显示指定或所有ADVPN域中注册的VAM Client的IPv4私网信息。
【举例】
# 显示所有ADVPN域中VAM Client的IPv4私网信息。
<Sysname> display vam server private-network
ADVPN domain name: 1
Total private networks: 5
Network/Mask Private address Preference
192.168.0.0/24 10.0.0.2 80
192.168.0.0/28 10.0.0.1 80
192.168.1.0/24 10.0.0.1 80
192.168.100.0/24 10.0.0.2 80
192.168.100.0/24 10.0.0.3 80
ADVPN domain name: 2
Total private networks: 0
ADVPN domain name: 3
Total private networks: 1
Network/Mask Private address Preference
192.168.200.0/24 20.0.0.1 80
# 显示ADVPN域1中的IPv4私网信息。
<Sysname> display vam server private-network advpn-domain 1
ADVPN domain name: 1
Total private networks: 5
Network/Mask Private address Preference
192.168.0.0/24 10.0.0.2 80
192.168.0.0/28 10.0.0.1 80
192.168.1.0/24 10.0.0.1 80
192.168.100.0/24 10.0.0.2 80
192.168.100.0/24 10.0.0.3 80
# 显示ADVPN域1中私网地址10.0.0.1的私网信息。
<Sysname> display vam server private-network advpn-domain 1 private-address 10.0.0.1
Total private networks: 5
Network/Mask Private address Preference
192.168.0.0/28 10.0.0.1 80
192.168.1.0/24 10.0.0.1 80
表1-6 display vam server address-map命令显示信息描述表
|
字段 |
描述 |
|
ADVPN domain name |
ADVPN域的名称 |
|
Total private network number |
IPv4私网总数 |
|
Network/Mask |
Tunnel接口下配置的ADVPN隧道的私网网络地址/子网掩码长度 |
|
Private address |
VAM Client向VAM Server注册的私网地址 |
|
Preference |
VAM Client向VAM Server注册的私网路由优先级 |
display vam server statistic命令用来显示VAM Server上ADVPN域的统计信息。
【命令】
display vam server statistics [ advpn-domain domain-name ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
advpn-domain domain-name:显示指定ADVPN域的统计信息。domain-name为ADVPN域的名称,为1~31个字符的字符串,不区分大小写,只能包含字符A~Z、a~z、0~9和“.”。如果未指定本参数,则显示VAM Server上所有ADVPN域的统计信息。
【举例】
# 显示VAM Server上所有ADVPN域的统计信息。
<Sysname> display vam server statistics
Total ADVPN number: 3
Total spoke number: 121
Total hub number : 3
ADVPN domain name : 1
Server status : Enabled
Holding time : 0H 1M 47S
Registered spoke number: 98
Registered hub number : 2
Packets received:
Initialization request : 100
Initialization complete : 100
Register request : 100
Authentication information : 100
Address resolution request : 203
Network registration request : 59
Update request : 196
Logout request : 0
Hub information response : 2
Data flow information response: 0
Keepalive : 642
Error notification : 0
Unknown : 0
Packets sent:
Initialization response : 100
Initialization complete : 100
Authentication request : 100
Register response : 100
Address resolution response : 203
Network registration response: 59
Update response : 196
Hub information request : 2
Data flow information request: 0
Logout response : 0
Keepalive : 642
Error notification : 0
ADVPN domain name : 2
Server status : Disabled
ADVPN domain name : 3
Server status : Enabled
Holding time : 0H 33M 53S
Registered spoke number: 23
Registered hub number : 1
Packets received:
Initialization request : 24
Initialization complete : 24
Register request : 24
Authentication information : 24
Address resolution request : 23
Network registration request : 0
Update request : 5
Logout request : 0
Hub information response : 2
Data flow information response: 0
Keepalive : 362
Error notification : 0
Unknown : 0
Packets sent:
Initialization response : 24
Initialization complete : 24
Authentication request : 24
Register response : 24
Address resolution response : 23
Network registration response: 0
Update response : 0
Hub information request : 2
Data flow information request: 0
Logout response : 0
Keepalive : 362
Error notification : 0
# 显示VAM Server上ADVPN域1的统计信息。
<Sysname> display vam server statistics advpn-domain 1
ADVPN domain name : 1
Server status : Enabled
Holding time : 0H 1M 47S
Registered spoke number: 98
Registered hub number : 2
Packets received:
Initialization request : 100
Initialization complete : 100
Register request : 100
Authentication information : 100
Address resolution request : 203
Network registration request : 59
Update request : 196
Logout request : 0
Hub information response : 2
Data flow information response: 0
Keepalive : 642
Error notification : 0
Unknown : 0
Packets sent:
Initialization response : 100
Initialization complete : 100
Authentication request : 100
Register response : 100
Address resolution response : 203
Network registration response: 59
Update response : 196
Hub information request : 2
Data flow information request: 0
Logout response : 0
Keepalive : 642
Error notification : 0
表1-7 display vam server statistics命令显示信息描述表
|
字段 |
描述 |
|
Total ADVPN number |
VAM Server上ADVPN域的数目 |
|
Total spoke number |
VAM Server上所有ADVPN域中Spoke类型客户端数目 |
|
Total hub number |
VAM Server上所有ADVPN域中Hub类型客户端数目 |
|
ADVPN domain name |
ADVPN域的名称 |
|
Server status |
ADVPN域中VAM Server功能的启用情况: · Enabled:表示开启VAM Server功能 · Disabled:表示关闭VAM Server功能 |
|
Holding time |
ADVPN域的存活时间,为x小时y分钟z秒(xH yM zS) |
|
Registered spoke number |
ADVPN域中注册的Spoke数目 |
|
Registered hub number |
ADVPN域中注册的Hub数目 |
|
Packets received |
ADVPN域中接收的报文数目 |
|
Initialization request |
ADVPN域中接收的初始化请求报文数目 |
|
Initialization complete |
ADVPN域中接收的初始化完成报文数目 |
|
Register request |
ADVPN域中接收的注册请求报文数目 |
|
Authentication information |
ADVPN域中接收的认证信息报文数目 |
|
Address resolution request |
ADVPN域中接收的地址解析请求报文数目 |
|
Network registration request |
ADVPN域中接收的私网注册请求报文数目 |
|
Update request |
ADVPN域中接收的节点更新请求报文数目 |
|
Logout request |
ADVPN域中接收的清除请求报文数目 |
|
Hub information response |
ADVPN域中接收的Hub信息响应报文数目 |
|
Data flow information response |
ADVPN域中接收的数据流信息响应报文数目 |
|
Keepalive |
ADVPN域中接收的Keepalive报文数目 |
|
Error notification |
ADVPN域中接收的错误通知报文数目 |
|
Unknown |
ADVPN域中接收的未知报文或错误报文数目 |
|
Packets sent |
ADVPN域中发送的报文数目 |
|
Initialization response |
ADVPN域中发送的初始化响应报文数目 |
|
Initialization complete |
ADVPN域中发送的初始化完成报文数目 |
|
Authentication request |
ADVPN域中发送的认证请求报文数目 |
|
Register response |
ADVPN域中发送的注册响应报文数目 |
|
Address resolution response |
ADVPN域中发送的地址解析响应报文数目 |
|
Network registration response |
ADVPN域中发送的子网注册响应报文数目 |
|
Update response |
ADVPN域中发送的节点更新响应报文数目 |
|
Hub information request |
ADVPN域中发送的Hub信息请求报文数目 |
|
Data flow information request |
ADVPN域中发送的数据流信息请求报文数目 |
|
Logout response |
ADVPN域中发送的清除响应报文数目 |
|
Keepalive |
ADVPN域中发送的Keepalive报文数目 |
|
Error notification |
ADVPN域中发送的错误通知报文数目 |
【相关命令】
· reset vam server statistics
encryption-algorithm命令用来配置VAM协议报文的加密算法。
undo encryption-algorithm命令用来恢复缺省情况。
【命令】
encryption-algorithm { 3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256 | aes-ctr-128 | aes-ctr-192 | aes-ctr-256 | des-cbc | none } *
undo encryption-algorithm
【缺省情况】
按照优先级由高到低依次使用AES-CBC-256、AES-CBC-192、AES-CBC-128、AES-CTR-256、AES-CTR-192、AES-CTR-128、3DES-CBC、DES-CBC算法。
【视图】
ADVPN域视图
【缺省用户角色】
network-admin
context-admin
【参数】
3des-cbc:表示采用3DES-CBC加密算法。
aes-cbc-128:表示采用AES-CBC加密算法,密钥长度128位。
aes-cbc-192:表示采用AES-CBC加密算法,密钥长度192位。
aes-cbc-256:表示采用AES-CBC加密算法,密钥长度256位。
aes-ctr-128:表示采用AES-CTR加密算法,密钥长度128位。
aes-ctr-192:表示采用AES-CTR加密算法,密钥长度192位。
aes-ctr-256:表示采用AES-CTR加密算法,密钥长度256位。
des-cbc:表示采用DES-CBC加密算法。
none:表示不对VAM协议报文进行加密。
【使用指导】
VAM Server与VAM Client固定使用AES-CBC-128加密算法对连接初始化请求和响应报文进行加密;使用协商出来的加密算法对其他VAM协议报文进行加密。
加密算法在配置中的出现顺序决定其使用优先级。配置中越靠前的加密算法,其优先级越高。VAM Server在与VAM Client协商时,从VAM Client支持的加密算法列表中选择配置最靠前的算法作为协商结果。
修改本配置对已经注册的VAM Client没有影响,新注册的VAM Client将采用修改后的加密算法进行协商。
【举例】
# 配置在ADVPN域1中按照优先级由高到低的顺序使用AES-CBC-128和3DES-CBC加密算法。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] encryption-algorithm aes-cbc-128 3des-cbc
hub ipv6 private-address命令用来添加Hub组内的Hub IPv6私网地址。
undo hub ipv6 private-address命令用来删除Hub组内的Hub IPv6私网地址。
【命令】
hub ipv6 private-address private-ipv6-address [ advpn-port port-number | public-address { public-ipv4-address | public-ipv6-address } [ advpn-port port-number ] [ link-protocol { gre | ipsec-gre | ipsec-udp [ registered-address { registered-ipv4-address | registered-ipv6-address } [ registered-advpn-port port-number ] ] | udp } link-local-address link-local-address ] ]
undo hub ipv6 private-address private-ipv6-address
【缺省情况】
Hub组内未配置Hub IPv6私网地址。
【视图】
Hub组视图
【缺省用户角色】
network-admin
context-admin
【参数】
private-ipv6-address:Hub的IPv6私网地址,该地址必须是全球单播地址。
public-address:指定Hub的公网地址。如果未指定本参数,VAM Server使用该Hub注册的公网地址。
public-ipv4-address:Hub的IPv4公网地址,该地址必须是单播地址。
public-ipv6-address:Hub的IPv6公网地址,该地址必须是全球单播地址。
advpn-port port-number:Hub的ADVPN端口号,取值范围为1025~65535。如果未指定本参数,VAM Server使用该Hub注册的ADVPN端口号。
link-protocol:指定Hub使用的链路协议。
· gre:Hub使用的链路协议为GRE。
· ipsec-gre:Hub使用的链路协议为IPsec保护的GRE。
· ipsec-udp:Hub使用的链路协议为IPsec保护的UDP。
· udp:Hub使用的链路协议为UDP。
registered-address:Hub的注册公网地址,即NAT转换前的公网地址。仅在Hub使用的链路协议为IPsec保护的UDP,且需要穿越NAT时需要配置本参数。
registered-ipv4-address:Hub的IPv4注册公网地址,该地址必须是单播地址。
registered-ipv6-address:Hub的IPv6注册公网地址,该地址必须是全球单播地址。
registered-advpn-port port-number:Hub的注册ADVPN端口号,即NAT转换前的ADVPN端口号。如果未指定本参数,则使用缺省ADVPN端口号,取值为18001。
link-local-address link-local-address:Hub的IPv6链路本地地址,用于保证IPv6网络互通。
【使用指导】
一般情况下,仅需要指定Hub的私网地址,其他参数均不需要指定。以下场景中,需要在指定Hub的私网地址的同时,指定其它参数:
· 场景一(Hub信息可以自动获取,且Hub位于NAT网关之后):在该场景中,由于Hub注册的公网地址和ADVPN端口号是经过NAT转换前的,需要在NAT网关上为Hub配置一个固定的地址和端口号的转换关系。此时,需要指定Hub的公网地址和ADVPN端口号为NAT网关上配置的转换后的地址和端口号。
· 场景二(Hub信息需要手工配置,且Hub不位于NAT网关之后):在该场景中,VAM Server重启之后,在Hub未重新上线之前,若有新的Spoke请求上线,需要通过本命令在VAM Server上手工配置Hub的详细信息(包括Hub的公网地址、ADVPN端口号、Hub使用的链路协议和Hub的IPv6链路本地地址)。当VAM Server重启之后,Spoke才能通过获取VAM Server上手工配置的Hub信息和Hub建立ADVPN隧道。
· 场景三(Hub信息需要手工配置,且Hub位于NAT网关之后):在该场景中,若Hub使用的链路类型为IPsec保护的UDP,则需要配置public-address地址为Hub经NAT转换后的公网地址,advpn-port为IPsec的4500端口经过NAT转换后的端口号。registered-address和registered-advpn-port为Hub经过NAT转换前的公网地址和ADVPN端口号。若Hub使用的链路类型为UDP,则仅需要指定Hub的公网地址和ADVPN端口号为NAT网关上配置的转换后的地址和端口号。
若VAM Server上手工配置的Hub信息与自动注册的Hub信息不一致时,以自动注册的Hub信息为准。
每个Hub组内可以配置多个IPv6私网地址不同的Hub。
如果指定IPv6私网地址的Hub已经存在,多次执行本命令,最后一次执行的命令生效。
【举例】
# 向ADVPN域1的Hub组1中添加Hub,其IPv6私网地址为1000::1:0:0:1,公网地址为2001::1,ADVPN端口号为8000。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] hub-group 1
[Sysname-vam-server-domain-1-hub-group-1] hub ipv6 private-address 1000::1:0:0:1 public-address 2001::1 advpn-port 8000
# 向ADVPN域2的Hub组0中添加Hub,其IPv6私网地址为192:168::1,NAT转换后的公网地址为2001:dc8:1::100,IPsec使用的4500端口经过NAT转换后的端口号为8650,Hub使用的链路协议为IPsec保护的UDP,NAT转换前的公网地址为fd01:203:405::1,ADVPN端口号为18001,链路本地地址为fe80::1。
<Sysname> system-view
[Sysname] vam server advpn-domain 2
[Sysname-vam-server-domain-2] hub-group 0
[Sysname-vam-server-domain-2-hub-group-0] hub ipv6 private-address 192:168::1 public-address 2001:dc8:1::100 advpn-port 8650 link-protocol ipsec-udp registered-address fd01:203:405::1 registered-advpn-port 18001 link-local-address fe80::1
hub private-address命令用来添加Hub组内的Hub IPv4私网地址。
undo hub private-address命令用来删除Hub组内的Hub IPv4私网地址。
【命令】
hub private-address private-ip-address [ advpn-port port-number | public-address { public-ipv4-address | public-ipv6-address } [ advpn-port port-number ] [ link-protocol { gre | ipsec-gre | ipsec-udp [ registered-address { registered-ipv4-address | registered-ipv6-address } [ registered-advpn-port port-number ] ] | udp } ] ]
undo hub private-address private-ip-address
【缺省情况】
Hub组内未配置Hub IPv4私网地址。
【视图】
Hub组视图
【缺省用户角色】
network-admin
context-admin
【参数】
private-ip-address:Hub的IPv4私网地址,该地址必须是单播地址。
public-address:指定Hub的公网地址。如果未指定本参数,VAM Server使用该Hub注册的公网地址。
public-ipv4-address:Hub的IPv4公网地址,该地址必须是单播地址。
public-ipv6-address:Hub的IPv6公网地址,该地址必须是全球单播地址。
advpn-port port-number:Hub的ADVPN端口号,取值范围为1025~65535。如果未指定本参数,VAM Server使用该Hub注册的ADVPN端口号。
link-protocol:指定Hub使用的链路协议。
gre:Hub使用的链路协议为GRE。
ipsec-gre:Hub使用的链路协议为IPsec保护的GRE。
ipsec-udp:Hub使用的链路协议为IPsec保护的UDP。
udp:Hub使用的链路协议为UDP。
registered-address:Hub的注册公网地址,即NAT转换前的公网地址。仅在Hub使用的链路协议为IPsec保护的UDP,且需要穿越NAT时需要配置本参数。
registered-ipv4-address:Hub的IPv4注册公网地址,该地址必须是单播地址。
registered-ipv6-address:Hub的IPv6注册公网地址,该地址必须是全球单播地址。
registered-advpn-port port-number:Hub的注册ADVPN端口号,即NAT转换前的ADVPN端口号。如果未指定本参数,则使用缺省ADVPN端口号,取值为18001。
【使用指导】
一般情况下,仅需要指定Hub的私网地址,其他参数均不需要指定。以下场景中,需要在指定Hub的私网地址的同时,指定其它参数:
· 场景一(Hub信息可以自动获取,且Hub位于NAT网关之后):在该场景中,由于Hub注册的公网地址和ADVPN端口号是经过NAT转换前的,需要在NAT网关上为Hub配置一个固定的地址和端口号的转换关系。此时,需要指定Hub的公网地址和ADVPN端口号为NAT网关上配置的转换后的地址和端口号。
· 场景二(Hub信息需要手工配置,且Hub不位于NAT网关之后):在该场景中,VAM Server重启之后,在Hub未重新上线之前,若有新的Spoke请求上线,需要通过本命令在VAM Server上手工配置Hub的详细信息(包括Hub的公网地址、ADVPN端口号、Hub使用的链路协议和Hub的IPv6链路本地地址)。当VAM Server重启之后,Spoke才能通过获取VAM Server上手工配置的Hub信息和Hub建立ADVPN隧道。
· 场景三(Hub信息需要手工配置,且Hub位于NAT网关之后):在该场景中,若Hub使用的链路类型为IPsec保护的UDP,则需要配置public-address地址为Hub经NAT转换后的公网地址,advpn-port为IPsec的4500端口经过NAT转换后的端口号。registered-address和registered-advpn-port为Hub经过NAT转换前的公网地址和ADVPN端口号。若Hub使用的链路类型为UDP,则仅需要指定Hub的公网地址和ADVPN端口号为NAT网关上配置的转换后的地址和端口号。
若VAM Server上手工配置的Hub信息与自动注册的Hub信息不一致时,以自动注册的Hub信息为准。
每个Hub组内可以配置多个IPv4私网地址不同的Hub。
如果指定IPv4私网地址的Hub已经存在,多次执行本命令,最后一次执行的命令生效。
【举例】
# 向ADVPN域1的Hub组1中添加Hub,其IPv4私网地址为10.1.1.1,公网地址为123.0.0.1,ADVPN端口号为8000。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] hub-group 1
[Sysname-vam-server-domain-1-hub-group-1] hub private-address 10.1.1.1 public-address 123.0.0.1 advpn-port 8000
# 向ADVPN域2的Hub组0中添加Hub,其IPv4私网地址为192.168.0.1,NAT转换后的公网地址为45.0.1.5,IPsec使用的4500端口经过NAT转换后端口号为7650,Hub使用的链路协议为IPsec保护的UDP,NAT转换前的公网地址为3.3.0.2,ADVPN端口号为18001。
<Sysname> system-view
[Sysname] vam server advpn-domain 2
[Sysname-vam-server-domain-2] hub-group 0
[Sysname-vam-server-domain-2-hub-group-0] hub private-address 192.168.0.1 public-address 45.0.1.5 advpn-port 7650 link-protocol ipsec-udp registered-address 3.3.0.2 registered-advpn-port 18001
hub-group命令用来创建Hub组,并进入Hub组视图。如果指定的Hub组已经存在,则直接进入Hub组视图。
undo hub-group命令用来删除指定Hub组。
【命令】
hub-group group-name
undo hub-group group-name
【缺省情况】
不存在Hub组。
【视图】
ADVPN域视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-name:Hub组的名称,为1~31个字符的字符串,不区分大小写,只能包含字符A~Z、a~z、0~9和“.”。
【使用指导】
在大规模组网情况下,将ADVPN域划分为多个Hub组可以方便管理。创建Hub组后,可以按照Spoke的私网地址网段或地址范围,将Spoke划分到不同的Hub组中,并为每个Hub组指定一个或多个Hub。
当VAM Client向VAM Server注册时,VAM Server根据VAM Client的私网地址将VAM Client划分到对应的ADVPN域Hub组中:
(1) 根据Hub组名称字典序依次匹配各Hub组内配置的Hub私网地址。
(2) 如果匹配上,则VAM Client为Hub,并被划分到该Hub组;如果VAM Client不是Hub,再根据Hub组名称字典序依次匹配各Hub组内配置的Spoke私网地址范围。
(3) 如果匹配上,则VAM Client为Spoke,并被划分到该Hub组;否则,VAM Client既不是Hub也不是Spoke,注册失败。
VAM Server只向VAM Client下发其所属的Hub组内的Hub信息。VAM Client只与本Hub组内的Hub建立永久ADVPN隧道。
【举例】
# 在ADVPN域1内创建Hub组1,并进入Hub组视图。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] hub-group 1
[Sysname-vam-server-domain-1-hub-group-1]
keepalive命令用来配置VAM Client发送Keepalive报文的时间间隔和重发次数。
undo keepalive命令用来恢复缺省情况。
【命令】
keepalive interval interval retry retries
undo keepalive
【缺省情况】
VAM Client发送Keepalive报文的时间间隔为180秒,重发次数为3次。
【视图】
ADVPN域视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval interval:VAM Client发送Keepalive报文的时间间隔,取值范围为5~65535,单位为秒。
retry retries:VAM Client发送Keepalive报文的重发次数,取值范围为1~6。
【使用指导】
配置的时间间隔和重发次数值由VAM Server在注册响应报文中下发给VAM Client,同一个ADVPN域中所有VAM Client的Keepalive报文参数都是相同的。但是,如果VAM Server改变Keepalive报文参数,则修改后的参数只对新注册的VAM Client生效,已经注册的VAM Client不受影响。
VAM Client和VAM Server之间通过Keepalive报文保持联系。VAM Client按照VAM Server指定的时间间隔向VAM Server发送Keepalive报文,VAM Server收到Keepalive报文后回复响应报文。当Keepalive报文的重发次数达到指定的值仍没有收到VAM Server的响应时,VAM Client认为与VAM Server的连接中断,不再发送Keepalive报文。当VAM Server在时间间隔×重发次数的时间内没有收到VAM Client的Keepalive报文,则认为与VAM Client的连接中断,会删除该VAM Client的信息并将其下线。
如果VAM Server与VAM Client间存在配置了动态NAT的设备,则Keepalive报文的发送时间间隔应小于NAT表项的老化时间,从而保证NAT表项不会老化。
请根据实际组网情况,合理配置VAM Client发送Keepalive报文的时间间隔和重发次数。
【举例】
# 配置ADVPN域1中VAM Client发送Keepalive报文的时间间隔为30秒,重发次数为5次。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] keepalive interval 30 retry 5
pre-shared-key命令用来配置VAM Server的预共享密钥。
undo pre-shared-key命令用来删除配置的预共享密钥。
【命令】
pre-shared-key { cipher | simple } string
undo pre-shared-key
【缺省情况】
未配置VAM Server的预共享密钥。
【视图】
ADVPN域视图
【缺省用户角色】
network-admin
context-admin
【参数】
cipher:以密文方式设置预共享密钥。
simple:以明文方式设置预共享密钥,该密钥将以密文形式存储。
string:密钥字符串,区分大小写。明文密钥为1~31个字符的字符串,密文密钥为1~73个字符的字符串。
【使用指导】
预共享密钥是VAM Server用来和VAM Client建立安全通道的公共密钥材料。在连接初始化阶段预共享密钥用来生成验证和加密连接请求、连接响应报文的初始密钥;如果选择对后续的报文进行加密和验证,则预共享密钥还用来生成验证和加密后续报文的连接密钥。
同一个ADVPN域内的VAM Client和VAM Server上配置的预共享密钥必须一致。
【举例】
# 以明文方式配置ADVPN域1中VAM Server的预共享密钥为123。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] pre-shared-key simple 123
【相关命令】
· pre-shared-key (VAM client view)
reset vam server address-map命令用来清除注册到VAM Server上的IPv4私网地址和公网地址映射信息。
【命令】
reset vam server address-map [ advpn-domain domain-name [ private-address private-ip-address ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
advpn-domain domain-name:清除指定ADVPN域中注册的IPv4私网地址和公网地址映射信息。domain-name为ADVPN域的名称,为1~31个字符的字符串,不区分大小写,只能包含字符A~Z、a~z、0~9和“.”。如果未指定本参数,则清除VAM Server上注册的所有IPv4私网地址和公网地址映射信息。
private-address private-ip-address:清除指定IPv4私网地址的映射信息。private-ip-address为VAM Client的IPv4私网地址。如果未指定本参数,则清除指定ADVPN域或所有ADVPN域中的IPv4私网地址和公网地址映射信息。
【使用指导】
执行本命令清除注册到VAM Server上的IPv4私网地址和公网地址映射信息时,设备会向注册该IPv4私网地址的VAM Client发送错误通知报文,要求VAM Client下线。
执行本命令除了会清除VAM Server上注册的IPv4私网地址和公网地址映射信息外,还会清除该IPv4私网地址相关的私网信息。
【举例】
# 清除VAM Server上注册的所有IPv4私网地址和公网地址映射信息。
<Sysname> reset vam server address-map
# 清除ADVPN域1中注册的所有IPv4私网地址和公网地址映射信息。
<Sysname> reset vam server address-map advpn-domain 1
# 清除ADVPN域1中私网地址10.0.0.1的地址映射信息。
<Sysname> reset vam server address-map advpn-domain 1 private-address 10.0.0.1
【相关命令】
· display vam server address-map
reset vam server ipv6 address-map命令用来清除注册到VAM Server上的IPv6私网地址和公网地址映射信息。
【命令】
reset vam server ipv6 address-map [ advpn-domain domain-name [ private-address private-ipv6-address ] ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
advpn-domain domain-name:清除指定ADVPN域中注册的IPv6私网地址和公网地址映射信息。domain-name为ADVPN域的名称,为1~31个字符的字符串,不区分大小写,只能包含字符A~Z、a~z、0~9和“.”。如果未指定本参数,则清除VAM Server上注册的所有IPv6私网地址和公网地址映射信息。
private-address private-ipv6-address:清除指定IPv6私网地址的映射信息。private-ipv6-address为VAM Client的IPv6私网地址。如果未指定本参数,则清除指定ADVPN域或所有ADVPN域中的IPv6私网地址和公网地址映射信息。
【使用指导】
执行本命令清除注册到VAM Server上的IPv6私网地址和公网地址映射信息时,设备会向注册该IPv6私网地址的VAM Client发送错误通知报文,要求VAM Client下线。
执行本命令除了会清除VAM Server上注册的IPv6私网地址和公网地址映射信息外,还会清除该IPv6私网地址相关的私网信息。
【举例】
# 清除VAM Server上注册的所有IPv6私网地址和公网地址映射信息。
<Sysname> reset vam server ipv6 address-map
# 清除ADVPN域1中注册的所有IPv6私网地址和公网地址映射信息。
<Sysname> reset vam server ipv6 address-map advpn-domain 1
# 清除ADVPN域1中私网地址1000::1:0:0:1的地址映射信息。
<Sysname> reset vam server ipv6 address-map advpn-domain 1 private-address 1000::1:0:0:1
【相关命令】
· display vam server ipv6 address-map
reset vam server statistics命令用来清除VAM Server上ADVPN域的统计信息。
【命令】
reset vam server statistics [ advpn-domain domain-name ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
advpn-domain domain-name:清除VAM Server上指定ADVPN域的统计信息。domain-name为ADVPN域的名称,为1~31个字符的字符串,不区分大小写,只能包含字符为A~Z、a~z、0~9和“.”。如果未指定本参数,则清除VAM Server上所有ADVPN域的统计信息。
【举例】
# 清除名为abc的ADVPN域的统计信息。
<Sysname> reset vam server statistics advpn-domain abc
# 清除所有ADVPN域的统计信息。
<Sysname> reset vam server statistics
【相关命令】
· display vam server statistics
retry interval命令用来设置VAM Server重发请求报文的时间间隔。
undo retry interval命令用来恢复缺省情况。
【命令】
retry interval interval
undo retry interval
【缺省情况】
VAM Server重发请求报文的时间间隔为5秒。
【视图】
ADVPN域视图
【缺省用户角色】
network-admin
context-admin
【参数】
interval:VAM Server重发请求报文的时间间隔,取值范围为3~30,单位为秒。
【使用指导】
VAM Server向VAM Client发送请求报文后,如果在指定的时间间隔内没有收到响应报文,VAM Server将重新发送请求报文,直到收到响应报文或者VAM Client Keepalive超时(即VAM Server在Keepalive报文发送时间间隔×重发次数的时间内没有收到VAM Client的Keepalive报文)为止。
【举例】
# 设置ADVPN域1中VAM Server向VAM Client重发请求报文的时间间隔为20秒。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] retry interval 20
server enable命令用来开启ADVPN域的VAM Server功能。
undo server enable命令用来关闭ADVPN域的VAM Server功能。
【命令】
server enable
undo server enable
【缺省情况】
ADVPN域的VAM Server功能处于关闭状态。
【视图】
ADVPN域视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
除了执行本命令外,还可以在系统视图下通过vam server enable命令来开启所有或指定ADVPN域的VAM Server功能。
【举例】
# 开启ADVPN域1的VAM Server功能。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] server enable
【相关命令】
· vam server enable
shortcut interest命令用来配置跨Hub组建立IPv4 Spoke-Spoke直连隧道的规则。
undo shortcut interest命令用来恢复缺省情况。
【命令】
shortcut interest { acl { acl-number | name acl-name } | all }
undo shortcut interest
【缺省情况】
未配置跨Hub组建立IPv4 Spoke-Spoke直连隧道的规则,不允许跨Hub组建立IPv4 Spoke-Spoke直连隧道。
【视图】
Hub组视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl:表示只允许匹配指定IPv4 ACL的Spoke之间建立跨Hub组的IPv4 Spoke-Spoke直连隧道。
acl-number:IPv4 ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示IPv4基本ACL。
· 3000~3999:表示IPv4高级ACL。
name acl-name:指定IPv4 ACL的名称。acl-name为ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
all:表示所有跨Hub组的Spoke之间均可建立IPv4 Spoke-Spoke直连隧道。
【使用指导】
如果配置了跨Hub组建立IPv4 Spoke-Spoke直连隧道的规则,则在Hub上线后,VAM Server将指定的规则下发到Hub。
· 如果规则指定为all,则Hub在转发任意跨Hub组的IPv4 Spoke-Spoke私网数据报文的同时,会向相应Spoke发送重定向报文。
· 如果规则指定为匹配ACL,则Hub在转发跨Hub组的IPv4 Spoke-Spoke私网数据报文的同时,会将报文与指定的ACL进行匹配。如果匹配成功,Hub会向相应的Spoke发送重定向报文;否则,不会发送重定向报文。
Spoke收到重定向报文后,将被重定向的数据报文的目的地址发送给VAM Server,向VAM Server查询连接该目的地址所在私网网段的Spoke节点的信息,并与该Spoke建立直连隧道。
跨Hub组Spoke-Spoke直连隧道建立前,数据报文仍由Hub进行转发。直连隧道建立后,数据报文将直接发送到直连路由下一跳所对应的Spoke,而不再经过Hub中转。
指定IPv4 ACL时,需要注意的是:
· 如果指定的ACL不存在,则配置不生效。任何私网数据报文都不会触发Hub向Spoke发送重定向报文。
· 如果指定的是IPv4基本ACL,本命令仅支持匹配源地址信息的规则。
· 如果指定的是IPv4高级ACL,仅支持匹配协议类型、源地址、目的地址、源端口和目的端口信息的规则,并且不支持排除某个源/目的端口号的规则。
· 如果本命令指定的ACL中包含不支持的规则,则该条ACL规则将不生效。
【举例】
# 配置如果Spoke之间的报文匹配ACL 3000,则允许建立跨Hub组的IPv4 Spoke-Spoke直连隧道。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] hub-group 1
[Sysname-vam-server-domain-1-hub-group-1] shortcut interest acl 3000
shortcut ipv6 interest命令用来配置跨Hub组建立IPv6 Spoke-Spoke直连隧道的规则。
undo shortcut ipv6 interest命令用来恢复缺省情况。
【命令】
shortcut ipv6 interest { acl { ipv6-acl-number | name ipv6-acl-name } | all }
undo shortcut ipv6 interest
【缺省情况】
未配置跨Hub组建立IPv6 Spoke-Spoke直连隧道的规则,不允许跨Hub组建立IPv6 Spoke-Spoke直连隧道。
【视图】
Hub组视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl:表示只允许匹配指定IPv6 ACL的Spoke之间建立跨Hub组的IPv6 Spoke-Spoke直连隧道。
ipv6-acl-number:IPv6 ACL的编号,取值范围及其代表的ACL类型如下:
· 2000~2999:表示IPv6基本ACL。
· 3000~3999:表示IPv6高级ACL。
name ipv6-acl-name:指定IPv6 ACL的名称。ipv6-acl-name为ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头。为避免混淆,ACL的名称不允许使用英文单词all。
all:表示所有跨Hub组的Spoke之间均可建立IPv6 Spoke-Spoke直连隧道。
【使用指导】
配置了跨Hub组建立IPv6 Spoke-Spoke直连隧道的规则,在Hub上线后,VAM Server通过数据流信息报文将指定的规则下发到Hub。
· 如果规则指定为all,则Hub在转发任意跨Hub组的IPv6 Spoke-Spoke私网数据报文的同时,会向相应Spoke发送重定向报文。
· 如果规则指定为匹配ACL,则Hub在转发跨Hub组的IPv6 Spoke-Spoke私网数据报文的同时,会将报文与指定的ACL进行匹配。如果匹配成功,Hub会向相应的Spoke发送重定向报文;否则,不会发送重定向报文。
Spoke收到重定向报文后,将被重定向的数据报文的目的地址发送给VAM Server,向VAM Server查询连接该目的地址所在私网网段的Spoke节点的信息,并与该Spoke建立直连隧道。
跨Hub组Spoke-Spoke直连隧道建立前,数据报文仍由Hub进行转发。直连隧道建立后,数据报文将直接发送到直连路由下一跳所对应的Spoke,而不再经过Hub中转。
指定IPv6 ACL时,需要注意的是:
· 如果指定的ACL不存在,则配置不生效。任何私网数据报文都不会触发Hub向Spoke发送重定向报文。
· 如果指定的是IPv6基本ACL,本命令仅支持匹配源地址信息的规则。
· 如果指定的是IPv6高级ACL,仅支持匹配协议类型、源地址、目的地址、源端口和目的端口信息的规则,并且不支持排除某个源/目的端口号的规则。
· 如果本命令指定的ACL中包含不支持的规则,则该条ACL规则将不生效。
【举例】
# 配置如果Spoke之间的报文匹配IPv6 ACL 3000,则允许建立跨Hub组的IPv6 Spoke-Spoke直连隧道。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] hub-group 1
[Sysname-vam-server-domain-1-hub-group-1] shortcut ipv6 interest acl 3000
spoke ipv6 private-address命令用来配置Hub组内Spoke的IPv6私网地址范围。
undo spoke ipv6 private-address命令用来删除Hub组内Spoke的IPv6私网地址范围。
【命令】
spoke ipv6 private-address { network prefix prefix-length | range start-ipv6-address end-ipv6-address }
undo spoke ipv6 private-address { network prefix prefix-length | range start-ipv6-address end-ipv6-address }
【缺省情况】
未配置Spoke的IPv6私网地址范围。
【视图】
Hub组视图
【缺省用户角色】
network-admin
context-admin
【参数】
network prefix prefix-length:指定子网网段形式的IPv6私网地址范围。prefix为IPv6地址前缀,prefix-length为IPv6地址前缀长度,取值范围为0~128。
range start-ipv6-address end-ipv6-address:指定地址段形式的IPv6私网地址范围。start-ipv6-address为地址段的起始IPv6地址,end-ipv6-address为地址段的结束IPv6地址。
【使用指导】
Hub组内Spoke的IPv6私网地址范围可以指定为地址段形式或子网网段形式。以子网网段形式指定的IPv6私网地址范围,系统会自动将其转换为地址段形式。
每个Hub组可以配置多个Spoke的IPv6私网地址范围,将按照地址从低到高的顺序排列。
删除的私网地址范围必须和配置时的一致。
【举例】
# 指定Hub组1内Spoke的IPv6私网地址范围为1000::/64。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] hub-group 1
[Sysname-vam-server-domain-1-hub-group-1] spoke ipv6 private-address network 1000:: 64
spoke private-address命令用来配置Hub组内Spoke的IPv4私网地址范围。
undo spoke private-address命令用来删除Hub组内Spoke的IPv4私网地址范围。
【命令】
spoke private-address { network ip-address { mask-length | mask } | range start-address end-address }
undo spoke private-address { network ip-address { mask-length | mask } | range start-address end-address }
【缺省情况】
未配置Spoke的IPv4私网地址范围。
【视图】
Hub组视图
【缺省用户角色】
network-admin
context-admin
【参数】
network ip-address { mask-length | mask }:指定子网网段形式的IPv4私网地址范围。ip-address为子网网段IPv4地址;mask-length为子网掩码长度,取值范围为0~32;mask为子网掩码。
range start-address end-address:指定地址段形式的IPv4私网地址范围。start-address为地址段的起始IPv4地址,end-address为地址段的结束IPv4地址。
【使用指导】
Hub组内Spoke的IPv4私网地址范围可以指定为地址段形式或子网网段形式。以子网网段形式指定的IPv4私网地址范围,系统会自动将其转换为地址段形式。
每个Hub组可以配置多个Spoke的IPv4私网地址范围,将按照地址从低到高的顺序排列。
删除的私网地址范围必须和配置时的一致。
【举例】
# 指定Hub组1内Spoke的IPv4私网地址范围为1.1.1.0/24。
<Sysname> system-view
[Sysname] vam server advpn-domain 1
[Sysname-vam-server-domain-1] hub-group 1
[Sysname-vam-server-domain-1-hub-group-1] spoke private-address network 1.1.1.0 255.255.255.0
vam server advpn-domain命令用来创建ADVPN域,并进入ADVPN域视图。如果指定的ADVPN域已经存在,则直接进入ADVPN域视图。
undo vam server advpn-domain命令用来删除指定的ADVPN域。
【命令】
vam server advpn-domain domain-name [ id domain-id ]
undo vam server advpn-domain domain-name
【缺省情况】
不存在ADVPN域。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
domain-name:ADVPN域的名称,为1~31个字符的字符串,不区分大小写,只能包含字符A~Z、a~z、0~9和“.”。
id domain-id:指定ADVPN域的ID。domain-id为ADVPN域的ID,取值范围为1~65535。
【使用指导】
创建ADVPN域时必须指定ADVPN域的ID。若要进入已存在的ADVPN域的视图,可以不指定其域ID。
不同的ADVPN域必须使用不同的域ID。
【举例】
# 创建ADVPN域1,ID为1,并进入其视图。
<Sysname> system-view
[Sysname] vam server advpn-domain 1 id 1
[Sysname-vam-server-domain-1]
vam server enable命令用来开启ADVPN域的VAM Server功能。
undo vam server enable命令用来关闭所有或指定ADVPN域的VAM Server功能。
【命令】
vam server enable [ advpn-domain domain-name ]
undo vam server enable [ advpn-domain domain-name ]
【缺省情况】
ADVPN域的VAM Server功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
advpn-domain domain-name:开启指定ADVPN域的VAM Server功能。domain-name为ADVPN域的名称,为1~31个字符的字符串,不区分大小写,只能包含字符A~Z、a~z、0~9和“.”。如果未指定本参数,则开启所有ADVPN域的VAM Server功能。
【使用指导】
除了执行本命令外,还可以在ADVPN域视图下通过server enable命令来开启相应ADVPN域的VAM Server功能。
【举例】
# 开启所有ADVPN域的VAM Server功能。
<Sysname> system-view
[Sysname] vam server enable
# 开启ADVPN域1的VAM Server功能。
<Sysname> system-view
[Sysname] vam server enable advpn-domain 1
【相关命令】
· server enable
vam server listen-port命令用来配置VAM Server的监听端口号。
undo vam server listen-port命令用来恢复缺省情况。
【命令】
vam server listen-port port-number
undo vam server listen-port
【缺省情况】
VAM Server的监听端口号为18000。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
port-number:VAM Server监听的端口号,取值范围为1025~65535。
【使用指导】
VAM Server的监听端口号与VAM Client上指定的VAM Server的端口号必须一致。
【举例】
# 配置VAM Server的监听端口号为10000。
<Sysname> system-view
[Sysname] vam server listen-port 10000
【相关命令】
· server primary
· server secondary
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
