- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
16-AFT命令
本章节下载: 16-AFT命令 (374.07 KB)
目 录
1.1.8 aft log port-block-assign
1.1.9 aft log port-block-withdraw
1.1.10 aft port-block flow-trigger enable
1.1.15 aft turn-off traffic-class
1.1.21 display aft address-group
1.1.22 display aft address-mapping
1.1.23 display aft configuration
address命令用来添加地址组成员。
undo address命令用来删除地址组成员。
【命令】
address start-address end-address
undo address start-address end-address
【缺省情况】
地址组内不存在地址组成员。
【视图】
AFT地址组视图
【缺省用户角色】
network-admin
【参数】
start-address end-address:地址组成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。start-address和end-address之间的IP地址数量不能超过256个。
【使用指导】
一个地址组是多个地址组成员的集合。当需要对从IPv6网络到达IPv4网络的数据报文进行源地址转换时,IPv6报文的源地址将被转换为地址组成员中的某个IPv4地址。
各地址组成员的IP地址段不能相互重叠。所有AFT地址组中能够添加的地址成员总数为65536个。
在转发与控制分离组网中,通过address命令向AFT地址组中添加地址成员后,不允许将该AFT地址组与DHCP服务器上的IP地址池绑定。反之,如果将AFT地址组与DHCP服务器上的IP地址池绑定,不允许通过address命令向该AFT地址组中添加地址成员。
【举例】
# 在地址组2下添加两个地址组成员。
<Sysname> system-view
[Sysname] aft address-group 2
[Sysname-aft-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-aft-address-group-2] address 10.1.1.20 10.1.1.30
【相关命令】
· aft address-group
aft address-group命令用来创建AFT地址组,并进入AFT地址组视图。如果指定的地址组已经存在,则直接进入地址组视图。
undo aft address-group命令用来删除指定的地址组。
【命令】
aft address-group group-id
undo aft address-group group-id
【缺省情况】
不存在AFT地址组。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
group-id:地址组的编号,取值范围为0~65535。
【使用指导】
一个地址组是多个地址组成员的集合,各个地址组成员通过address命令配置。地址组用于动态地址转换。当需要对从IPv6网络到达IPv4网络的数据报文进行源地址转换时,IPv6报文的源地址将被转换为地址组成员中的某个IPv4地址。
【举例】
# 创建编号为1的AFT地址组,并进入AFT地址组视图。
<Sysname> system-view
[Sysname] aft address-group 1
[Sysname-aft-address-group-1]
【相关命令】
· address
· aft v6tov4 source
· display aft address-group
· display aft configuration
aft enable命令用来开启接口的AFT功能。
undo aft enable命令用来关闭接口的AFT功能。
【命令】
aft enable
undo aft enable
【缺省情况】
接口的AFT功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
【使用指导】
所有参与IPv4网络与IPv6网络通信的接口均需开启AFT功能。
【举例】
# 开启接口的AFT功能。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 3/1/1
[Sysname-Ten-GigabitEthernet3/1/1] aft enable
【相关命令】
· display aft configuration
aft log enable命令用来开启AFT日志功能。
undo aft log enable命令用来关闭AFT日志功能。
【命令】
aft log enable
undo aft log enable
【缺省情况】
AFT日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
为了满足网络管理员安全审计的需要,可以开启AFT日志功能,以便对AFT连接(AFT连接是指报文经过设备时,源或目的地址进行过AFT转换的连接)信息进行记录。
在以下情况下会触发记录AFT日志:
· AFT端口块分配,需要同时配置aft log port-block-assign命令。
· AFT端口块回收,需要同时配置aft log port-block-withdraw命令。
· AFT端口分配失败,即动态方式的AFT地址转换发生端口分配失败的日志,需要配置aft log port-alloc-fail命令。
· AFT流创建,即AFT会话创建时输出日志,需要同时配置aft log flow-begin命令。
· AFT流删除,即AFT会话释放时输出日志,需要同时配置aft log flow-end命令。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启AFT日志功能。
<Sysname> system-view
[Sysname] aft log enable
【相关命令】
· aft log flow-begin
· aft log flow-end
· aft log port-alloc-fail
· aft log port-block-assign
· aft log port-block-withdraw
· display aft configuration
aft log flow-begin命令用来开启AFT新建流的日志功能。
undo aft log flow-begin命令用来关闭AFT新建流的日志功能。
【命令】
aft log flow-begin
undo aft log flow-begin
【缺省情况】
AFT新建流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启AFT新建流的日志功能后,新建AFT会话时,会输出AFT日志。
只有开启AFT日志功能(aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT新建流的日志功能。
<Sysname> system-view
[Sysname] aft log flow-begin
【相关命令】
· aft log enable
· aft log flow-end
· display aft configuration
aft log flow-end命令用来开启AFT删除流的日志功能。
undo aft log flow-end命令用来关闭AFT删除流的日志功能。
【命令】
aft log flow-end
undo aft log flow-end
【缺省情况】
AFT删除流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启AFT删除流的日志功能后,释放AFT会话时,会输出AFT日志。
只有开启AFT日志功能(aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT删除流的日志功能。
<Sysname> system-view
[Sysname] aft log flow-end
【相关命令】
· aft log enable
· aft log flow-begin
· display aft configuration
aft log port-alloc-fail命令用来开启AFT端口分配失败的日志功能。
undo aft log port-alloc-fail命令用来关闭AFT端口分配失败的日志功能。
【命令】
aft log port-alloc-fail
undo aft log port-alloc-fail
【缺省情况】
AFT端口分配失败的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启本功能后,当动态方式的AFT地址转换发生端口分配失败的情况时,系统会输出端口分配失败的日志。通常,端口块中所有的端口资源都被占用时会导致端口分配失败。
只有开启AFT日志功能(通过aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT端口分配失败的日志功能。
<Sysname> system-view
[Sysname] aft log port-alloc-fail
【相关命令】
· aft log enable
· display aft configuration
aft log port-block-assign命令用来开启AFT端口块分配的日志功能。
undo aft log port-block-assign命令用来关闭AFT端口块分配的日志功能。
【命令】
aft log port-block-assign
undo aft log port-block-assign
【缺省情况】
AFT端口块分配的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启AFT端口块分配的日志功能后,当端口块被分配时,会输出AFT分配端口块的日志。
只有开启AFT日志功能(通过aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT分配端口块的日志功能。
<Sysname> system-view
[Sysname] aft log port-block-assign
【相关命令】
· aft log enable
· display aft configuration
aft log port-block-withdraw命令用来开启AFT端口块回收的日志功能。
undo aft log port-block-withdraw命令用来关闭AFT端口块回收的日志功能。
【命令】
aft log port-block-withdraw
undo aft log port-block-withdraw
【缺省情况】
AFT端口块回收的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
开启AFT端口块回收的日志功能后,当释放端口块资源时,会输出该AFT端口块回收的日志。
只有开启AFT日志功能(通过aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT端口块回收的日志功能。
<Sysname> system-view
[Sysname] aft log port-block-withdraw
【相关命令】
· aft log enable
· display aft configuration
aft port-block flow-trigger enable命令用来开启AFT流量触发分配端口块功能。
undo aft port-block flow-trigger enable命令用来关闭AFT流量触发分配端口块功能。
【命令】
aft port-block flow-trigger enable
undo aft port-block flow-trigger enable
【缺省情况】
AFT流量触发分配端口块功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
【使用指导】
对于端口块方式的动态AFT转换,在非AFT与BRAS联动的场景中,只有开启本功能后设备才能为用户分配地址和端口块资源。IPv6主机首次发起连接时,设备为该连接分配一个用于转换的IPv4地址,以及该IPv4地址的一个端口块。后续从该IPv6主机发起的连接都使用这个IPv4地址和端口块里面的端口进行转换,直到端口块里面的端口用尽。
以下情况下,无法更改流量触发分配端口块功能的开启或关闭状态:
· 存在在线用户。
· 存在AFT进行地址转换创建的表项。
【举例】
# 开启AFT流量触发分配端口块功能。
<Sysname> system-view
[Sysname] aft port-block flow-trigger enable
aft prefix-general命令用来配置General前缀。
undo aft prefix-general命令用来删除指定的General前缀。
【命令】
aft prefix-general prefix-general prefix-length
undo aft prefix-general prefix-general prefix-length
【缺省情况】
不存在General前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
prefix-general:General前缀。
prefix-length:前缀长度,取值为32、40、48、56、64或96。
【使用指导】
General前缀是长度为32、40、48、56、64或96位的IPv6地址前缀,用来将IPv6地址和IPv4地址互相转换。General前缀既可以用于转换源地址,也可以用于转换目的地址。
General前缀用于前缀方式,可以进行IPv6到IPv4的源或目的地址转换。如果报文的源或目的IPv6地址匹配General前缀,则取出IPv6源或目的地址中内嵌的IPv4地址,作为转换后的源或目的IPv4地址。
General前缀被aft v4tov6 source或aft v4tov6 destination命令引用,可以进行IPv4到IPv6的源或目的地址转换。如果报文匹配指定的ACL,则使用报文中的IPv4源或目的地址与General前缀组合成IPv6地址,作为转换后的IPv6源或目的地址。
General前缀不能与设备上的接口地址同网段,并且,General前缀、NAT64前缀和IVI前缀三者不能相同。
【举例】
# 配置General前缀为2000:db8e::,前缀长度为32。
<Sysname> system-view
[Sysname] aft prefix-general 2000:db8e:: 32
【相关命令】
· aft v4tov6 destination
· aft v4tov6 source
· display aft configuration
aft prefix-ivi命令用来配置IVI前缀。
undo aft prefix-ivi命令用来删除指定的IVI前缀。
【命令】
aft prefix-ivi prefix-ivi
undo aft prefix-ivi prefix-ivi
【缺省情况】
不存在IVI前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
prefix-ivi:IVI前缀。
【使用指导】
IVI前缀长度固定为32位,该前缀用于检查IPv6地址是否符合IVI格式或用于把IPv4地址转换为IPv6地址。
IVI前缀用于前缀方式,可以进行IPv6到IPv4的源地址转换。如果报文的源IPv6地址匹配IVI前缀,则取出IPv6源地址中内嵌的IPv4地址,作为转换后的源IPv4地址。
IVI前缀被aft v4tov6 destination命令引用,可以进行IPv4到IPv6的目的地址转换。如果报文匹配指定的ACL,则使用报文中的IPv4目的地址与IVI前缀组合成IPv6地址,作为转换后的IPv6目的地址。
IVI前缀、NAT64前缀和General前缀三者不能相同。
【举例】
# 配置IVI前缀为3000:db8e::。
<Sysname> system-view
[Sysname] aft prefix-ivi 3000:db8e::
【相关命令】
· aft v4tov6 destination
· display aft configuration
aft prefix-nat64命令用来配置NAT64前缀。
undo aft prefix-nat64命令用来删除指定的NAT64前缀。
【命令】
aft prefix-nat64 prefix-nat64 prefix-length
undo aft prefix-nat64 prefix-nat64 prefix-length
【缺省情况】
不存在NAT64前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
prefix-nat64:NAT64前缀。
prefix-length:前缀长度,取值为32、40、48、56、64或96。
【使用指导】
NAT64前缀是长度为32、40、48、56、64或96位的IPv6地址前缀。
NAT64前缀用于前缀方式,可以进行IPv6到IPv4的目的地址转换。如果报文的目的IPv6地址匹配NAT64前缀,则取出IPv6目的地址中内嵌的IPv4地址,作为转换后的IPv4目的地址。
NAT64前缀用于前缀方式或被aft v4tov6 source命令引用,可以进行IPv4到IPv6的源地址转换,即使用报文中的IPv4源地址与NAT64前缀组合成IPv6地址,作为转换后的IPv6源地址。如果是被aft v4tov6 source命令引用,只有匹配指定ACL的报文才会被转换。
使用96位的NAT64前缀时,必须保证该前缀的64~71位全部为0,否则配置下发失败。
NAT64前缀不能与设备上的接口地址同网段,并且,NAT64前缀、IVI前缀和General前缀三者不能相同。
【举例】
# 配置NAT64前缀为2000:db8e::,前缀长度为32。
<Sysname> system-view
[Sysname] aft prefix-nat64 2000:db8e:: 32
【相关命令】
· aft v4tov6 source
· display aft configuration
aft turn-off tos命令用来配置IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0。
undo aft turn-off tos命令用来恢复缺省情况。
【命令】
aft turn-off tos
undo aft turn-off tos
【缺省情况】
IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段与转换前的IPv6报文的Traffic Class字段值相同。
【视图】
系统视图
【缺省用户角色】
network-admin
【举例】
# 配置IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0。
<Sysname> system-view
[Sysname] aft turn-off tos
aft turn-off traffic-class命令用来配置IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0。
undo aft turn-off traffic-class命令用来恢复缺省情况。
【命令】
aft turn-off traffic-class
undo aft turn-off traffic-class
【缺省情况】
IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段与转换前的IPv4报文的ToS字段值相同。
【视图】
系统视图
【缺省用户角色】
network-admin
【举例】
# 配置IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0。
<Sysname> system-view
[Sysname] aft turn-off traffic-class
aft v4tov6 destination命令用来配置从IPv4到IPv6的目的地址转换策略。
undo aft v4tov6 destination命令用来删除从IPv4到IPv6的目的地址转换策略。
【命令】
aft v4tov6 destination acl { name ipv4-acl-name prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-ivi prefix-ivi [ vpn-instance ipv6-vpn-instance-name ] } }
undo aft v4tov6 destination acl { name ipv4-acl-name | number ipv4-acl-number }
【缺省情况】
不存在从IPv4到IPv6的目的地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
acl:指定用来匹配IPv4报文的IPv4 ACL。对于IPv4网络到IPv6网络的报文,如果IPv4报文匹配该IPv4 ACL,则根据本命令转换目的IPv4地址。
name ipv4-acl-name:IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,ACL的名称不允许使用英文单词all。
number ipv4-acl-number:IPv4 ACL的编号,取值范围为2000~3999。
prefix-general prefix-general prefix-length:指定引用的General前缀。对于IPv4网络到IPv6网络的报文,如果匹配该IPv4 ACL,则根据General前缀将目的IPv4地址转换为IPv6地址。prefix-general为General前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
prefix-ivi prefix-ivi:指定引用的IVI前缀。对于IPv4网络到IPv6网络的报文,如果匹配该IPv4 ACL,则根据IVI前缀将目的IPv4地址转换为IVI格式的IPv6地址。
vpn-instance ipv6-vpn-instance-name:指定IPv6地址所属VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
【使用指导】
不同的IPv4到IPv6目的地址转换策略引用的ACL不能相同。
【举例】
# 配置引用IVI前缀的IPv4到IPv6目的地址转换策略,将匹配ACL 2000的IPv4报文目的地址使用IVI前缀3000:db8e::转换为IPv6地址。
<Sysname> system-view
[Sysname] aft prefix-ivi 3000:db8e::
[Sysname] aft v4tov6 destination acl number 2000 prefix-ivi 3000:db8e::
# 配置引用General前缀的IPv4到IPv6目的地址转换策略,将匹配ACL 2000的IPv4报文目的地址使用General前缀2000:db8e::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft v4tov6 destination acl number 2000 prefix-general 2000:db8e:: 32
【相关命令】
· aft prefix-general
· aft prefix-ivi
· display aft configuration
aft v4tov6 source命令用来配置从IPv4到IPv6的源地址转换策略。
undo aft v4tov6 source命令用来删除从IPv4到IPv6的源地址转换策略。
【命令】
IPv4到IPv6的源地址静态转换策略:
aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ] ipv6-address [ vpn-instance ipv6-vpn-instance-name ]
undo aft v4tov6 source ipv4-address [ vpn-instance ipv4-vpn-instance-name ]
引用NAT64前缀或General前缀的IPv4到IPv6源地址转换策略:
aft v4tov6 source acl { name ipv4-acl-name prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } }
undo aft v4tov6 source acl { name ipv4-acl-name | number ipv4-acl-number }
【缺省情况】
不存在从IPv4到IPv6的源地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv4-address:指定源IPv4地址。
vpn-instance ipv4-vpn-instance-name:指定该IPv4地址所属VPN实例。ipv4-vpn-instance-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址属于公网。
ipv6-address:指定转换后的源IPv6地址。静态转换策略中指定的IPv6地址不能与设备上的接口地址同网段。
vpn-instance ipv6-vpn-instance-name:指定该IPv6地址所属VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
acl:指定用来匹配IPv4报文的IPv4 ACL。对于从IPv4网络到IPv6网络的报文,如果IPv4报文匹配该IPv4 ACL,则根据本命令转换源IPv4地址。
name ipv4-acl-name:IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,ACL的名称不允许使用英文单词all。
number ipv4-acl-number:IPv4 ACL的编号,取值范围为2000~3999。
prefix-general prefix-general prefix-length:指定引用的General前缀,对于匹配IPv4 ACL的报文,根据此General前缀,将源IPv4地址转换为IPv6地址。prefix-general为General前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
prefix-nat64 prefix-nat64 prefix-length:指定引用的NAT64前缀,对于匹配IPv4 ACL的报文,根据此NAT64前缀,将源IPv4地址转换为IPv6地址。prefix-nat64为NAT64前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
【使用指导】
不同的IPv4到IPv6源地址静态转换策略指定的IPv4地址和IPv6地址均不能相同。
不同的引用NAT64前缀或General前缀的IPv4到IPv6的源地址转换策略指定的ACL不能相同。
【举例】
# 配置IPv4到IPv6的源地址静态转换策略,将源IPv4地址2.2.2.123转换为源IPv6地址3001::5。
<Sysname> system-view
[Sysname] aft v4tov6 source 2.2.2.123 3001::5
# 配置引用NAT64前缀的IPv4到IPv6源地址转换策略,将匹配ACL 2000的IPv4报文源地址使用NAT64前缀2000::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft prefix-nat64 2000:: 32
[Sysname] aft v4tov6 source acl number 2000 prefix-nat64 2000:: 32
# 配置引用General前缀的IPv4到IPv6源地址转换策略,将匹配ACL 2000的IPv4报文源地址使用General前缀3000::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft v4tov6 source acl number 2000 prefix-general 3000:: 32
【相关命令】
· aft prefix-general
· aft prefix-nat64
· display aft configuration
aft v6server命令用来配置IPv6侧服务器对应的IPv4地址及端口号。
undo aft v6server命令用来删除IPv6侧服务器对应的IPv4地址及端口号。
【命令】
aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ] ipv6-destination-address ipv6-port-number [ vpn-instance ipv6-vpn-instance-name ]
undo aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number [ vpn-instance ipv4-vpn-instance-name ]
【缺省情况】
不存在IPv6侧服务器对应的IPv4地址及端口号。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
protocol protocol-type:指定支持的协议类型。protocol-type取值及含义如下:
· tcp:表示TCP协议。
· udp:表示UDP协议。
ipv4-destination-address:IPv6地址映射的IPv4地址。
ipv4-port-number:IPv4端口号,取值范围为1~65535。
vpn-instance ipv4-vpn-instance-name:指定该IPv4地址所属VPN实例。ipv4-vpn-instance-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址属于公网。
ipv6-destination-address:需要映射的IPv6目的地址。
ipv6-port-number:IPv6端口号,取值范围为1~65535。
vpn-instance ipv6-vpn-instance-name:指定该IPv6地址所属VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
【使用指导】
不同的IPv6侧服务器配置的IPv4协议、地址、端口和VPN信息不能完全相同。
【举例】
# 配置IPv6服务器3001::5对应IPv4地址2.2.2.123及端口号1720,指定支持的协议为TCP。
<Sysname> system-view
[Sysname] aft v6server protocol tcp 2.2.2.123 1720 3001::5 1720
【相关命令】
· display aft configuration
aft v6tov4 source命令用来配置从IPv6到IPv4的源地址转换策略。
undo aft v6tov4 source命令用来删除从IPv6到IPv4的源地址转换策略。
【命令】
IPv6到IPv4的源地址静态转换策略:
aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ] ipv4-address [ vpn-instance ipv4-vpn-instance-name ] [ failover-group group-name ]
undo aft v6tov4 source ipv6-address [ vpn-instance ipv6-vpn-instance-name ]
IPv6到IPv4的源地址动态转换策略:
aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] } { address-group group-id [ no-pat | port-block-size blocksize ] | interface interface-type interface-number } [ vpn-instance ipv4-vpn-instance-name ]
undo aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length [ vpn-instance ipv6-vpn-instance-name ] }
【缺省情况】
不存在从IPv6到IPv4的源地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ipv6-address:指定源IPv6地址。
vpn-instance ipv6-vpn-instance-name:指定该IPv6地址所属的VPN实例。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv6地址属于公网。
ipv4-address:指定转换后的源IPv4地址。
vpn-instance ipv4-vpn-instance-name:指定该IPv4地址所属的VPN实例。ipv4-vpn-instance-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定本参数,则表示该IPv4地址属于公网。
failover-group group-name:指定该地址转换映射绑定的备份组。group-name表示备份组的名称,为1~63个字符的字符串,区分大小写。关于备份组的详细介绍,请参见“可靠性配置指导”中的“备份组”。
acl ipv6:指定用来匹配IPv6报文的IPv6 ACL。对于IPv6网络到IPv4网络的报文,如果IPv6报文匹配该IPv6 ACL,则根据本命令转换源IPv6地址。
name ipv6-acl-name:IPv6 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,IPv6 ACL的名称不允许使用英文单词all。
number ipv6-acl-number:IPv6 ACL的编号,取值范围为2000~3999。
prefix-nat64 prefix-nat64 prefix-length:指定用来匹配IPv6报文目的地址的NAT64前缀。对于从IPv6网络到IPv4网络的报文,如果目的IPv6地址符合配置的NAT64前缀格式,则根据本命令转换源IPv6地址。prefix-nat64为NAT64前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96。
address-group group-id:指定将源IPv6地址转换为该地址组中的IPv4地址。group-id为AFT地址组的编号,取值范围为0~65535。
no-pat:指定该地址转换策略不进行端口转换。如果不指定该参数,则表示进行端口转换。
port-block-size blocksize:端口块大小,取值范围为100~65535。如果不指定该参数,则表示PAT方式进行端口转换时不做端口块限制。
interface interface-type interface-number:指定将源IPv6地址转换为该接口的主IPv4地址。interface-type interface-number表示接口类型和接口编号。如果指定该参数,则表示接口将一定采用PAT方式进行端口转换,不做端口块限制。
【使用指导】
如果指定了port-block-size blocksize参数,则进行PAT转换时,可用的端口范围为1024~65535或port-range命令指定的端口范围。该端口范围被划分成多个端口块,每个端口块的大小由port-block-size blocksize参数决定。例如,blocksize为1000、端口范围为1024~65535时,第一个端口块的端口号范围为1024~2023,第二个端口块的端口号范围为2024~3023,以此类推。
IPv6到IPv4源地址静态转换策略的使用限制如下:
· 对于同一个转换策略,不能通过重复执行本命令修改该策略中指定的IPv6地址或IPv4地址。
· 使用CGN单板处理AFT业务的环境中,需要将IPv6到IPv4源地址静态转换策略与主节点为该CGN单板的备份组绑定,否则会导致反向报文地址转换失败。
AFT地址组与DHCP服务器上的IP地址池绑定后,动态方式的从IPv6到IPv4源地址转换策略引用的该AFT地址组时必须对端口块大小进行限制,否则配置失败。
不同的IPv6到IPv4源地址静态转换策略中指定的IPv6地址和IPv4地址均不能相同。
不同的IPv6到IPv4源地址动态转换策略中指定的地址组、ACL和NAT64前缀均不能相同。
【举例】
# 配置IPv6到IPv4源地址静态转换策略,将源IPv6地址3001::5转换为源IPv4地址2.2.2.123。
<Sysname> system-view
[Sysname] aft v6tov4 source 3001::5 2.2.2.123
# 配置IPv6到IPv4源地址动态转换策略,将匹配ACL 2000的IPv6报文源地址转换为地址组0中的地址,并指定PAT方式进行端口转换时的端口块大小为100。
<Sysname> system-view
[Sysname] aft v6tov4 source acl ipv6 number 2000 address-group 0 port-block-size 100
【相关命令】
· display aft configuration
· display aft port-block
· port-range
bind dhcp-server-pool命令用来将AFT地址组与DHCP服务器上的IP地址池绑定。
undo bind dhcp-server-pool命令用来恢复缺省情况。
【命令】
bind dhcp-server-pool server-pool-name
undo bind dhcp-server-pool
【缺省情况】
AFT地址组未绑定任何DHCP服务器上的IP地址池。
【视图】
AFT地址组视图
【缺省用户角色】
network-admin
【参数】
server-pool-name:DHCP服务器上的IP地址池名称,为1~63个字符的字符串,不区分大小写。
【使用指导】
在转发与控制分离组网中,请在UP上配置本命令。如果在非UP设备上配置本命令,相应的功能将无法生效。
将AFT地址组与DHCP服务器上的IP地址池绑定后,UP设备进行地址转换操作前,会向CP设备申请子网段地址空间。具体工作机制如下:
(1) 管理员需要在CP设备创建一个为AFT分配子网段的IP地址池,该地址池向DHCP服务器申请子网段。
(2) 当CP上的IP地址池获得DHCP服务器分配的子网段后,将该子网段分配给UP设备上的AFT地址组进行地址转换。
(3) 当UP设备不需要进行地址转换时,CP设备上的IP地址池回收为UP设备分配的子网段,并将该子网段释放给DHCP服务器。关于DHCP服务器的详细介绍,请参见“三层技术-IP业务”中的“DHCP服务器”。
以下情况无法修改AFT地址组的配置:
· 使用该地址组内IP地址的用户在线。
· 存在使用AFT地址组进行地址转换创建的端口块表项或者会话表项。
将AFT地址组与DHCP服务器上的IP地址池绑定或修改绑定关系时,需要注意:
· 一个AFT地址组只能绑定一个DHCP地址池,不同的AFT地址组不可以引用相同的DHCP地址池。不同的AFT地址组引用的DHCP地址池中的地址不能重叠。
· 通过address命令向AFT地址组中添加地址成员后,不允许将该AFT地址组与DHCP服务器上的IP地址池绑定。反之,如果将AFT地址组与DHCP服务器上的IP地址池绑定,不允许通过address命令向该AFT地址组中添加地址成员。
· 不能通过重复执行本命令修改AFT地址组绑定的DHCP地址池。如需修改,请先通过undo bind dhcp-server-pool命令删除AFT地址组已经绑定的DHCP地址池,再执行bind dhcp-server-pool命令绑定新的DHCP地址池。
【举例】
# 配置AFT地址组1绑定名称为pool1的DHCP地址池。
<Sysname> system-view
[Sysname] aft address-group 1
[Sysname-aft-address-group-1] bind dhcp-server-pool pool1
【相关命令】
· aft address-group
· display aft configuration
display aft address-group命令用来显示地址组信息。
【命令】
display aft address-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
group-id:地址组的编号,取值范围为0~65535。如果不指定本参数,则显示所有地址组的信息。
【举例】
<Sysname> display aft address-group
There are 3 AFT address groups.
Group ID Failover group Start address End address
1 group1 202.110.10.10 202.110.10.15
2 group1 202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
6 --- --- ---
# 显示指定地址组的信息。
<Sysname> display aft address-group 1
Group ID Failover group Start address End address
1 group1 202.110.10.10 202.110.10.15
表1-1 display aft address-group命令显示信息描述表
|
字段 |
描述 |
|
There are n AFT address groups |
当前有n个AFT地址组 |
|
Group ID |
地址组编号 |
|
Failover group |
备份组的名称。如果未配置,则显示为“---” |
|
Start address |
地址组成员的起始地址。如果未配置,则显示为“---” |
|
End address |
地址组成员的结束地址。如果未配置,则显示为“---” |
display aft address-mapping命令用来显示AFT地址映射信息。
【命令】
(独立运行模式)
display aft address-mapping [ slot slot-number ]
(IRF模式)
display aft address-mapping [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
【举例】
# 显示AFT地址映射表的信息。(独立运行模式)
<Sysname> display aft address-mapping
Slot 1:
IPv6: Source IP/port: 2000:0:FF01:101:100::8/1024
Destination IP/port: 5000::1717:1714/1025
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
IPv4: Source IP/port: 1.1.1.1/1031
Destination IP/port: 23.23.23.20/1025
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Total address mapping found: 1
表1-2 display aft address-mapping命令显示信息描述表
|
字段 |
描述 |
|
IPv4 |
IPv4地址信息 |
|
IPv6 |
IPv6地址信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
VPN instance/VLAN ID/VLL ID |
会话所属的VPN实例/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
协议类型,包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
display aft configuration命令用来显示AFT配置信息。
【命令】
display aft configuration
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【举例】
# 显示AFT的配置信息。
<Sysname> display aft configuration
aft address-group 1
port-range 1 65535
failover-group group1
dhcp-server-pool pool1
ip-usage-threshold upper-limit 80 lower-limit 20
aft address-group 2
failover-group group2
address 202.110.10.10 202.110.10.15
address 101.1.1.100 101.1.1.200
aft port-block flow-trigger enable
aft prefix-nat64 2000:: 32
aft prefix-ivi 3000:DB8E::
aft prefix-general 2000:DB8E:: 32
aft v6tov4 source acl ipv6 number 2000 address-group 0 port-block-size 100
aft v4tov6 source acl number 2000 prefix-nat64 2000:: 32
aft v4tov6 destination acl number 2000 prefix-ivi 3000:DB8E::
aft v6server protocol tcp 2.2.2.123 1720 3001::5 1720
aft turn-off tos
aft turn-off traffic-class
aft log enable
aft log flow-begin
aft log flow-end
aft log port-block-assign
aft log port-block-withdraw
aft log port-alloc-fail
interface Ten-GigabitEthernet3/1/1
aft enable
表1-3 display aft configuration命令显示信息描述表
|
字段 |
描述 |
|
aft address-group XX |
AFT地址组,其编号为XX · port-range:AFT地址组公网IPv4地址使用的端口范围 · failover-group XX:AFT地址组绑定的备份组,其名称为XX · address:AFT地址组中地址成员的地址范围 · dhcp-server-pool XX:AFT地址组绑定的DHCP服务器上的IP地址池,其名称为XX |
|
ip-usage-threshold upper-limit XX lower-limit XX |
AFT地址组的地址段申请阈值和释放阈值,upper-limit XX表示申请阈值为XX,lower-limit XX表示释放阈值为XX |
|
aft port-block flow-trigger enable |
开启了AFT流触发分配端口块功能 |
|
aft prefix-nat64 X:X::X:X |
NAT64前缀地址为X:X::X:X |
|
aft prefix-ivi X:X::X:X |
IVI前缀为X:X::X:X |
|
aft prefix-general X:X::X:X |
General前缀为X:X::X:X |
|
aft v6tov4 source acl ipv6 |
IPv6到IPv4的源地址转换策略: · number XX:用于匹配IPv6报文源地址的IPv6 ACL编号为XX · name XX:用于匹配IPv6报文源地址的IPv6 ACL名称为XX · address-group XX:用于地址转换的地址组,其编号为XX · port-block-size XX:端口块大小为XX |
|
aft v4tov6 source acl |
IPv4到IPv6的源地址转换策略: · number XX:用于匹配IPv4报文源地址IPv4 ACL编号为XX · name XX:用于匹配IPv4报文源地址的IPv4 ACL名称为XX · prefix-nat64 X:X::X:X XX:NAT64前缀为X:X::X:X,前缀长度为XX |
|
aft v4tov6 destination acl |
IPv4到IPv6的目的地址转换策略: · number XX:用于匹配IPv4报文目的地址IPv4 ACL编号为XX · name XX:用于匹配IPv4报文目的地址的IPv4 ACL名称为XX · prefix-ivi X:X::X:X:IVI前缀为X:X::X:X |
|
aft v6server protocol |
IPv6侧服务器对应的IPv4地址及端口号 |
|
aft turn-off tos |
IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0 |
|
aft turn-off traffic-class |
IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0 |
|
aft log enable |
AFT日志功能已开启 |
|
aft log flow-begin |
AFT新建流的日志功能已开启 |
|
aft log flow-end |
AFT删除流的日志功能已开启 |
|
aft log port-block-assign |
AFT端口块分配的日志功能已开启 |
|
aft log port-block-withdraw |
AFT端口块回收的日志功能已开启 |
|
aft log port-alloc-fail |
AFT端口分配失败的日志功能已开启 |
|
aft v6tov4 source XX::XX |
从IPv6到IPv4的源地址转换策略中的源IPv6地址为XX::XX |
|
interface Ten-GigabitEthernet3/1/1 |
开启AFT功能的接口 |
|
aft enable |
AFT功能已开启 |
display aft no-pat命令用来显示AFT NO-PAT表项信息。
【命令】
(独立运行模式)
display aft no-pat [ slot slot-number ]
(IRF模式)
display aft no-pat [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板(IRF模式)
【使用指导】
NO-PAT是指IPv6地址与IPv4地址存在一一对应的转换关系,不存在端口转换关系。
【举例】
# 显示AFT NO-PAT表项信息。(独立运行模式)
<Sysname> display aft no-pat
Slot 1:
IPv6 address: 3006::0002
IPv4 address: 200.100.1.100
IPv4 VPN : vpn2
IPv6 VPN : vpn1
IPv6 address: 4016::1102
IPv4 address: 202.120.12.110
IPv4 VPN : vpn2
IPv6 VPN : vpn1
Total entries found: 2
表1-4 display aft no-pat命令显示信息描述表
|
字段 |
描述 |
|
IPv6 address |
转换前的IPv6地址 |
|
IPv4 address |
转换后的IPv4地址 |
|
IPv4 VPN |
转换后的IPv4地址所属VPN实例。如果不属于任何VPN实例,则该行不显示 |
|
IPv6 VPN |
转换前的IPv6地址所属VPN实例。如果不属于任何VPN实例,则该行不显示 |
|
Total entries found |
AFT NO-PAT表项的总数 |
display aft port-block命令用来显示端口块映射表项信息。
【命令】
(独立运行模式)
display aft port-block [ translated-ip ipv4-address ] [ slot slot-number ]
(IRF模式)
display aft port-block [ translated-ip ipv4-address ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
translated-ip ipv4-addres:显示指定转换后的IPv4地址的端口块映射表项信息。ipv4-address表示转换后的IPv4地址。如果不指定本参数,则显示所有转换后的IPv4地址的端口块映射表项信息。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
【举例】
# 显示端口块映射表项信息。(独立运行模式)
<Sysname> display aft port-block
Slot 1:
IPv6 address: 3006::0002
IPv4 address: 200.100.1.100
Port block : [1024 – 1123]
IPv4 VPN : vpn2
IPv6 VPN : vpn1
IPv6 address: 4016::1102
IPv4 address: 202.120.12.110
Port block : [1024 – 1200]
IPv4 VPN : vpn2
IPv6 VPN : vpn1
Total entries found: 2
表1-5 display aft port-block命令显示信息描述表
|
字段 |
描述 |
|
IPv6 address |
转换前的IPv6地址 |
|
IPv4 address |
转换后的IPv4地址 |
|
Port block |
转换后的IPv4端口范围 |
|
IPv4 VPN |
转换后的IPv4地址所属VPN实例。如果不属于任何VPN实例,则该行不显示 |
|
IPv6 VPN |
转换前的IPv6地址所属VPN实例。如果不属于任何VPN实例,则该行不显示 |
|
Total entries found |
AFT端口映射表项的总数 |
display aft session命令用来显示AFT会话(即进行过AFT地址转换的会话)的信息。
【命令】
(独立运行模式)
display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ slot slot-number ] [ verbose ]
display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ slot slot-number ] [ verbose ]
(IRF模式)
display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * [ vpn-instance ipv4-vpn-instance-name ] ] [ chassis chassis-number slot slot-number ] [ verbose ]
display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * [ vpn-instance ipv6-vpn-instance-name ] ] [ chassis chassis-number slot slot-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
ipv4:显示AFT创建的IPv4会话信息。
source-ip source-ip-address:显示指定源地址的会话。source-ip-address表示源IPv4地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ip-address:显示指定目的地址的会话。destination-ip-address表示目的IPv4地址,该地址必须是创建会话的报文的目的地址。
vpn-instance ipv4-vpn-instance-name:显示指定VPN实例的会话。ipv4-vpn-instance-name表示IPv4 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则显示属于公网的IPv4会话信息。
ipv6:显示AFT创建的IPv6会话信息。
source-ip source-ipv6-address:显示指定源地址的会话。source-ipv6-addrsss表示源IPv6地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ipv6-address:显示指定目的地址的会话。destination-ipv6-address表示目的IPv6地址,该地址必须是创建会话的报文的目的地址。
vpn-instance ipv6-vpn-instance-name:显示指定VPN实例的会话。ipv6-vpn-instance-name表示IPv6 MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果不指定该参数,则显示属于公网的IPv6会话信息。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
verbose:显示AFT会话的详细信息。不指定此参数时,显示会话的概要信息。
【使用指导】
如果不指定任何参数,则显示所有AFT会话的信息。
【举例】
# 显示指定slot上的AFT会话的详细信息。(独立运行模式)
<Sysname> display aft session ipv4 slot 1 verbose
Slot 0:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 102.128.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/1
Responder:
Source IP/port: 102.128.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Ten-GigabitEthernet3/1/2
State: TCP_SYN_SENT
Application: SSH
Role: -
Failover group ID: -
Start time: 2011-07-29 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
表1-6 display aft session命令显示信息描述表
|
字段 |
描述 |
|
Initiator |
发起方的会话信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
DS-Lite tunnel peer |
DS-Lite B4端隧道地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
|
VPN instance/VLAN ID/Inline ID |
会话所属的VPN实例/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
协议类型,包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
|
Inbound interface |
入接口 |
|
Responder |
响应方的会话信息 |
|
State |
会话状态 |
|
Application |
应用层协议类型,包括:FTP、DNS等,unknown表示非知名端口并且也未使用用户自定义的协议类型 |
|
Role |
slot在备份组中的角色: · Master:备份组的主节点 · Standby:备份组的备节点 |
|
Failover group ID |
备份组ID |
|
Start time |
会话创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
Total sessions found |
AFT会话总数 |
【相关命令】
· reset aft session
display aft statistics显示AFT统计信息。
【命令】
(独立运行模式)
display aft statistics [ slot slot-number ]
(IRF模式)
display aft statistics [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
【使用指导】
如果不指定任何参数,则显示所有AFT统计信息。
【举例】
# 显示所有AFT统计信息。(独立运行模式)
<Sysname> display aft statistics
Slot 1:
Total NO-PAT entries found: 0
Total port-block entries found: 0
Total IPv4 sessions: 0
Total IPv6 sessions: 0
表1-7 display aft statistics命令显示信息描述表
|
字段 |
描述 |
|
Total NO-PAT entries found |
AFT创建的NO-PAT表项个数 |
|
Total port-block entries found |
AFT创建的端口块映射表项个数 |
|
Total IPv4 sessions |
AFT创建的IPv4会话总数 |
|
Total IPv6 sessions |
AFT创建的IPv6会话总数 |
failover-group命令用来配置AFT地址组与备份组绑定。
undo failover-group命令用来恢复缺省情况。
【命令】
failover-group group-name
undo failover-group
【缺省情况】
AFT地址组未绑定任何备份组。
【视图】
AFT地址组视图
【缺省用户角色】
network-admin
【参数】
group-name:备份组的名称,为1~63个字符的字符串,区分大小写。
【使用指导】
配置该命令后,设备会将需要进行动态AFT的流量引到指定的备份组进行处理。
绑定的备份组可以不存在,但要使配置生效,必须通过failover group命令创建备份组。
如果设备上创建了手动备份组,则只能为AFT地址组指定手动备份组,不允许再指定自动备份组。
【举例】
# 为AFT地址组指定名称为nat-failover的备份组。
<Sysname> system-view
[Sysname] aft address-group 1
[Sysname-nat-address-group-1] failover-group nat-failover
【相关命令】
· failover group(可靠性命令参考/备份组)
ip-usage-threshold命令用来在UP设备上配置AFT地址组的地址段申请阈值和释放阈值。
undo ip-usage-threshold命令用来恢复缺省情况。
【命令】
ip-usage-threshold upper-limit upper-value lower-limit lower-value
undo ip-usage-threshold
【缺省情况】
AFT地址组的地址段申请阈值为80%,释放阈值为20%。
【视图】
AFT地址组视图
【缺省用户角色】
network-admin
【参数】
upper-limit upper-value:指定AFT地址组的地址段申请阈值。upper-value表示申请阈值,取值范围为1~100,单位为百分比。
lower-limit lower-value:指定AFT地址组的地址段释放阈值。lower-value表示释放阈值,取值范围为0~99,单位为百分比。lower-value配置值不允许大于等于upper-value配置值。
【使用指导】
本命令仅在满足如下条件的场景中使用:
· 转发与控制分离组网中。
· UP设备上AFT与BRAS联动的情况下。
AFT设备周期性统计AFT地址组的地址使用率,当地址使用率大于等于申请阈值时,向DHCP地址池服务器申请扩展地址段;当地址使用率小于释放阈值时,向DHCP地址池服务器释放空闲的扩展地址段。
建议采用缺省的AFT地址组的地址段申请和释放阈值。如需设置AFT地址组的地址段申请和释放阈值,请将upper-value和lower-value的差值设置在60%以上。
【举例】
# 配置AFT地址组1的地址段申请阈值为90%,释放阈值为20%。
<Sysname> system-view
[Sysname] aft address-group 1
[Sysname-aft-address-group-1] ip-usage-threshold upper-limit 90 lower-limit 20
【相关命令】
· aft address-group
· display aft configuration
port-range命令用来配置公网IPv4地址使用的端口范围。
undo port-range命令用来恢复缺省情况。
【命令】
port-range start-port-number end-port-number
undo port-range
【缺省情况】
公网IPv4地址使用的端口范围为1024~65535。
【视图】
AFT地址组视图
【缺省用户角色】
network-admin
【参数】
start-port-number end-port-number:端口范围的起始端口号和结束端口号。start-port-number和end-port-number的取值范围均为1~65535。end-port-number必须大于或等于start-port-number。建议将start-port-number配置为大于或等于1024的数值,避免出现应用协议识别错误的问题。
【使用指导】
在AFT地址组视图下配置端口范围后,该AFT地址组内的所有公网IPv4地址可用于地址转换的端口为本命令设置的端口范围内的端口。
对于端口块方式的IPv6到IPv4的源地址动态转换策略,该策略引用AFT地址组时,该地址组中设置的端口范围必须大于或等于端口块大小。
用户在线时,不允许修改端口范围。
【举例】
# 配置AFT地址组1的公网IPv4地址使用的端口范围为2000~65535。
<Sysname> system-view
[Sysname] aft address-group 1
[Sysname-address-group-1] port-range 2000 65535
【相关命令】
· aft address-group
· aft v6tov4 source
reset aft session命令用来删除AFT会话。
【命令】
(独立运行模式)
reset aft session [ slot slot-number ]
(IRF模式)
reset aft session [ chassis chassis-number slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
【参数】
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(独立运行模式)
chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定所有单板。(IRF模式)
【使用指导】
执行本命令删除AFT会话后,该会话对应的AFT NO-PAT表项和端口块映射表信息也会同时被删除。
【举例】
# 删除指定slot的AFT会话。(独立运行模式)
<Sysname> reset aft session slot 2
【相关命令】
· display aft session
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
