• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

12-安全命令参考

目录

17-SAVA命令

本章节下载 17-SAVA命令  (208.10 KB)

17-SAVA命令


1 SAVA

1.1  SAVA配置命令

1.1.1  display ipv6 sava

display ipv6 sava命令用来显示SAVA表项信息。

【命令】

(独立运行模式)

display ipv6 sava [ interface interface-type interface-number | slot slot-number ]

(IRF模式)

display ipv6 sava [ interface interface-type interface-number | chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number:显示指定接口的SAVA表项信息。interface-type interface-number表示接口的类型和编号。如果不指定本参数,则显示所有接口的SAVA表项信息。

slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)

【举例】

# 显示SAVA表项信息。

<Sysname> display ipv6 sava

IPv6 SAVA entry count: 2

Destination: 2011::                    Prefix length: 64

Interface: XGE3/1/1                    Flags: L

VPN instance: --

 

Destination: 2012::                    Prefix length: 64

Interface: XGE3/1/2                    Flags: L

VPN instance: vpn1

表1-1 display ipv6 sava命令显示信息描述表

字段

描述

IPv6 SAVA entry count

IPv6 SAVA表项个数

Destination

目的IPv6地址

Prefix length

IPv6地址前缀长度

Interface

接口名称

Flag

IPv6 SAVA表项标识,取值包括:

·     L:本地表项

·     R:远端表项

·     G:同接入组表项

VPN instance

VPN实例名称,“--”表示该表项对应的接口未关联VPN实例

 

1.1.2  display ipv6 sava packet-drop statistics

display ipv6 sava packet-drop statistics命令用来显示SAVA丢弃报文计数信息。

【命令】

display ipv6 sava packet-drop statistics [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number显示指定接口的SAVA丢弃报文计数信息。interface-type interface-number表示接口的类型和编号。如果不指定本参数,则显示所有接口的SAVA丢弃报文计数信息。

【举例】

# 显示SAVA丢弃报文计数信息。

<Sysname> display ipv6 sava packet-drop statistics

Ten-GigabitEthernet3/1/1:

  Packets:0 Bytes: 0

 

Ten-GigabitEthernet3/1/2:

  Packets:10              Bytes: 1500

表1-2 display ipv6 sava statistics命令显示信息描述表

字段

描述

Packets

SAVA丢弃报文个数

Bytes

SAVA丢弃报文字节数

 

1.1.3  ipv6 sava access-group

ipv6 sava access-group命令用来配置接口加入SAVA接入组。

undo ipv6 sava access-group命令用来将接口从SAVA接入组中删除。

【命令】

ipv6 sava access-group group-name

undo ipv6 sava access-group

【缺省情况】

接口未加入任何SAVA接入组。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

group-name:SAVA接入组名称,为1~255个字符的字符串,区分大小写。

【使用指导】

当一个局域网在同一台接入设备存在多个接入接口时,则接入设备可能从不同的接入接口收到局域网中用户发送的报文。此时,同一个接口通过本地路由获取合法用户前缀后生成SAVA表项不完整,可能会导致合法用户的报文被误丢弃。为了解决这个问题,可以将接入设备连接同一个局域网的所有接口加入到同一个SAVA接入组中。配置完成后,同一个SAVA接入组中所有接口会互相同步通过本地路由获取合法用户前缀后生成的SAVA表项,保证每一个接口上都有本设备上所有通过本地路由获取合法用户前缀后生成的SAVA表项信息,从而使合法用户的报文不会被误丢弃。

加入同一个SAVA接入组的所有接口需要在公网或同一个VPN中。

一个接口只能加入一个SAVA接入组,多次执行本命令,最后一次执行的命令生效。

一个SAVA接入组最多添加8个接口。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1加入的SAVA接入组为aaa。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ipv6 sava access-group aaa

【相关命令】

·     ipv6 sava enable

1.1.4  ipv6 sava enable

ipv6 sava enable命令用来开启SAVA功能。

undo ipv6 sava enable命令用来关闭SAVA功能。

【命令】

ipv6 sava enable

undo ipv6 sava enable

【缺省情况】

SAVA功能处于关闭状态。

【视图】

接口视图

【缺省用户角色】

network-admin

【使用指导】

SAVA是一种根据设备的路由信息检查攻击报文,用来防范基于源IPv6地址欺骗的攻击的技术。在设备的某个接口上开启SAVA功能后,设备会为所有出接口为该接口的路由条目会都生成对应的SAVA表项。当该接口收到IPv6报文后,如果存在该报文的源IPv6地址对应的SAVA表项,则报文会被接收;反之报文会被丢弃。

对于同一台设备,本功能与uRPF和微分段功能互斥,无法同时配置。

本功能根据设备的路由条目生成对应的SAVA表项,如果设备上的路由条目过多,在刚开启本功能时,可能会出现设备上存在路由条目却没有对应的SAVA表项的情况,这会暂时导致合法IPv6报文被丢弃。等待各接口完成所有SAVA表项的学习后,合法报文会被正常接收,不会被丢弃。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上开启SAVA功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ipv6 sava enable

【相关命令】

·     display ipv6 sava

·     ipv6 sava access-group

1.1.5  ipv6 sava log enable spoofing-packet

ipv6 sava log enable spoofing-packet命令用来开启SAVA检测仿冒报文日志功能。

undo ipv6 sava log enable spoofing-packet命令用来关闭SAVA检测仿冒报文日志功能。

【命令】

ipv6 sava log enable spoofing-packet [ interval interval | number number ]*

undo ipv6 sava log enable spoofing-packet

【缺省情况】

SAVA检测仿冒报文日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval intervalSAVA仿冒报文日志信息输出周期,interval的取值范围为0、5~3600,单位为秒,缺省值为60。当interval取值为0时,表示检测到仿冒报文后,立即输出日志信息。

number number:每个输出周期输出的SAVA仿冒报文日志最大数量,number的取值范围为1~128,缺省值为128。

【使用指导】

SAVA检测仿冒报文日志可以方便管理员定位问题和解决问题。当SAVA检测到仿冒报文时,设备就会生成SAVA检测仿冒报文日志信息。生成的检测仿冒报文日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

当设备输出大量SAVA检测仿冒报文日志信息时,会降低设备性能。这时用户可以关闭SAVA检测仿冒报文日志功能,使设备不再输出SAVA检测仿冒报文日志信息。

由于设备硬件性能关系,在关闭SAVA检测仿冒报文日志功能后,设备仍会在短暂的时间内打印仿冒报文日志。

大量的日志信息不仅影响设备性能,还影响管理员查看日志和定位问题。用户可以设置每个输出周期输出的SAVA检测仿冒报文日志数量,超过指定的日志数量的日志信息不会被显示。

                                                                                                                                                     

对于单块单板,最多支持同时输出128条SAVA检测仿冒报文日志信息。(独立运行模式)(IRF模式)

【举例】

# 开启SAVA检测仿冒报文日志功能。

<Sysname> system-view

[Sysname] ipv6 sava log enable spoofing-packet

1.1.6  ipv6 sava import remote-route-tag

ipv6 sava import remote-route-tag命令用来配置SAVA根据远端同步的路由条目生成SAVA表项。

undo ipv6 sava import remote-route-tag命令用来恢复缺省情况。

【命令】

ipv6 sava import remote-route-tag tag

undo ipv6 sava import remote-route-tag

【缺省情况】

SAVA不会根据远端同步的路由条目生成SAVA表项。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

tag:远端同步的路由条目的tag值,取值范围为1~4294967295。

【使用指导】

当一个局域网通过多台接入设备接入到骨干网,局域网内具有多个前缀的合法用户,边界接入设备上的局域网侧接口地址前缀只有部分与骨干网内合法用户前缀相同,此时为了使得边界设备上都能获取到局域网内所有合法的前缀,需要在边界设备局域网侧的接口上开启SAVA功能,并将每台设备生成的SAVA表项同步给其余边界接入设备。各边界设备将根据本地路由生成的SAVA表项对应的路由条目指定路由Tag值,并将路由条目通过路由协议进行发布。在需要接收远端同步路由条目的设备上通过本命令配置与路由Tag相同的Tag值,设备收到对应Tag值的远端同步路由条目后,会根据这些路由条目生成对应的SAVA表项。

在同一个接口上多次执行本命令,最后一次执行的命令生效。

【举例】

# 在接口Ten-GigabitEthernet3/1/1上配置SAVA根据远端同步的tag值为100的路由条目生成SAVA表项。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ipv6 sava import remote-route-tag 100

1.1.7  ipv6 sava packet-drop enable

ipv6 sava packet-drop enable命令用来开启SAVA丢弃仿冒报文功能。

undo ipv6 sava packet-drop enable命令用来关闭SAVA丢弃仿冒报文功能。

【命令】

ipv6 sava packet-drop enable

undo ipv6 sava packet-drop enable

【缺省情况】

SAVA丢弃仿冒报文功能处于开启状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

缺省情况下,在设备的某个接口上开启SAVA功能后,当该接口收到IPv6报文后,如果设备上不能存在该报文的源IPv6地址对应的SAVA表项,该报文会直接被丢弃。由于SAVA是根据路由条目生成对应的SAVA表项,若设备上的路由条目过多,在刚开启SAVA功能时,可能会出现设备上存在路由条目却没有对应的SAVA表项的情况,这会暂时导致合法IPv6报文被丢弃。此时,可以通过执行undo ipv6 sava packet-drop enable命令关闭SAVA丢弃仿冒报文功能,用户可以通过输出的仿冒报文日志的具体内容,分析调整网络配置后再开启SAVA丢弃仿冒报文功能。

【举例】

# 关闭SAVA丢弃仿冒报文功能。

<Sysname> system-view

[Sysname] undo ipv6 sava packet-drop enable

【相关命令】

·     ipv6 sava log enable spoofing-packet

1.1.8  reset ipv6 sava packet-drop statistics

reset ipv6 sava packet-drop statistics命令用来清除SAVA丢弃报文计数信息。

【命令】

reset ipv6 sava packet-drop statistics [ interface interface-type interface-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number清除指定接口的SAVA丢弃报文计数信息。interface-type interface-number表示接口的类型和编号。如果不指定本参数,则清除所有接口的SAVA丢弃报文计数信息。

【举例】

# 清除SAVA丢弃报文计数信息。

<Sysname> reset ipv6 sava packet-drop statistics

【相关命令】

·     display ipv6 sava packet-drop statistics

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们