• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

12-安全命令参考

目录

18-SAVA-P命令

本章节下载 18-SAVA-P命令  (205.76 KB)

18-SAVA-P命令


1 SAVA-P命令

1.1.1  display ipv6 sava protocol entry

display ipv6 sava protocol entry命令用来显示SAVA-P表项信息。

【命令】

(独立运行模式)

display ipv6 sava protocol entry [ interface interface-type interface-number | vpn-instance vpn-instance-name | slot slot-number ]

(IRF模式)

display ipv6 sava protocol entry [ interface interface-type interface-number | vpn-instance vpn-instance-name | chassis chassis-number slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number显示指定接口的SAVA-P的表项信息。interface-type interface-number表示接口的类型和编号。如果不指定本参数,则显示所有接口的SAVA-P的表项。

vpn-instance vpn-instance-name:指定接口绑定的VPN实例vpn-instance-name表示MPLS L3VPNVPN实例名称,为131个字符的字符串,区分大小写。如果不指定本参数,则表示指定公网。

slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。(独立运行模式)

chassis chassis-number slot slot-number:指定单板。chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果不指定本参数,则表示指定Master设备主用主控板。(IRF模式)

【举例】

# 显示SAVA-P表项信息。

<Sysname> display ipv6 sava protocol entry

IPv6 SAVA protocol entry count: 4

Destination/Prefix length           Interface     VPN instance

2::9/128                            XGE3/1/1       --

11:12::/64                          XGE3/1/2       vpn1

2002::/64                           XGE3/1/2       vpn1

2003::2/128                         XGE3/1/3       vpn2

表1-1 display ipv6 sava protocol entry命令显示信息描述表

字段

描述

IPv6 SAVA protocol entry count

SAVA-P表项个数

Destination/Prefix length

目的IPv6地址/IPv6地址前缀长度

Interface

接口名称

VPN instance

SAVA-P表项所属的VPN实例,如果位于公网,则显示为“--”

 

 

1.1.2  display ipv6 sava protocol packet-drop statistics

display ipv6 sava protocol packet-drop statistics命令用来显示SAVA-P丢弃报文计数信息。

【命令】

display ipv6 sava protocol packet-drop statistics [ interface interface-type interface-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

interface interface-type interface-number显示指定接口的SAVA-P丢弃报文计数信息。interface-type interface-number表示接口的类型和编号。如果不指定本参数,则显示所有接口的SAVA-P丢弃报文计数信息。

【举例】

# 显示SAVA-P丢弃报文计数信息。

<Sysname> display ipv6 sava protocol packet-drop statistics

Ten-GigabitEthernet3/1/1:

  Packets:0             Bytes: 0

 

Ten-GigabitEthernet3/1/2:

  Packets:10            Bytes: 1500

表1-2 display ipv6 sava protocol packet-drop statistics命令显示信息描述表

字段

描述

Packets

SAVA-P丢弃报文个数

Bytes

SAVA-P丢弃报文字节数

 

【相关命令】

l     reset ipv6 sava protocol packet-drop statistics

1.1.3  ipv6 sava protocol enable

ipv6 sava protocol enable命令用来开启SAVA-P功能。

undo ipv6 sava protocol enable命令用来关闭SAVA-P功能。

【命令】

ipv6 sava protocol enable

undo ipv6 sava protocol enable

【缺省情况】

SAVA-P功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【使用指导】

SAVA-P(Source Address Validation Architecture Protocol,源地址源地址验证架构协议)是一种防范伪造IPv6源地址网络攻击的技术,它基于SAVA-P的协议报文生成SAVA-P表项,用于验证IPv6源前缀的合法性。当设备的接口收到IPv6报文后,如果存在该报文的源IPv6地址对应前缀的SAVA-P表项,则报文会被接收;反之报文会被丢弃。

【举例】

# 开启SAVA-P功能。

<Sysname> system-view

[Sysname] ipv6 sava protocol enable

【相关命令】

·     ipv6 sava protocol id

·     ipv6 sava protocol port-type

1.1.4  ipv6 sava protocol id

ipv6 sava protocol id命令用来配置SAVA-P设备的Router ID以及传输IPv6地址。

undo ipv6 sava protocol id命令用来恢复缺省情况。

【命令】

ipv6 sava protocol id router-id transport-address ipv6-address

undo ipv6 sava protocol id

【缺省情况】

未配置SAVA-P设备的Router ID以及传输IPv6地址。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

router-id:全局Router ID,点分十进制形式,取值范围为0.0.0.1~255.255.255.254。

transport-address ipv6-address:SAVA-P设备的传输IPv6地址。

【使用指导】

Router ID用来唯一标识一台SAVA-P设备,携带在SPA和DPP报文中,分别用来标识源前缀和目的前缀信息来源的SAVA-P设备。

SAVA-P邻居设备之间互发携带本端Transport address的Hello报文,SAVA-P设备通过比较本端和对端的传输地址,将传输地址较小的那台设备选举为TCP server,然后在两台设备之间建立TCP连接。

建议Router ID使用某个Loopback接口的IPv4地址,不要求路由协议可达。

建议传输地址使用某个Loopback接口的IPv6地址,要求路由协议可达,否则TCP连接无法建立。

多次执行本命令,最后一次执行的命令生效。

【举例】

# 配置SAVA-P设备的Router ID10.1.1.3,传输IPv6地址为2001::1/64。

<Sysname> system-view

[Sysname] ipv6 sava protocol id 10.1.1.3 transport-address 2001::1/64

【相关命令】

·     ipv6 sava protocol enable

1.1.5  ipv6 sava protocol log enable spoofing-packet

ipv6 sava protocol log enable spoofing-packet命令用来开启SAVA-P检测仿冒报文日志功能。

undo ipv6 sava protocol log enable spoofing-packet命令用来关闭SAVA-P检测仿冒报文日志功能。

【命令】

ipv6 sava protocol log enable spoofing-packet [ interval interval | number number ] *

undo ipv6 sava protocol log enable spoofing-packet

【缺省情况】

SAVA-P检测仿冒报文日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

interval interval:SAVA-P仿冒报文日志信息输出周期,interval的取值范围为0、5~3600,单位为秒,缺省值为60。当interval取值为0时,表示检测到仿冒报文后,立即输出日志信息。

number number:每个输出周期输出的SAVA-P仿冒报文日志最大数量,number的取值范围为1~128,缺省值为128。

【使用指导】

SAVA-P检测仿冒报文日志可以方便管理员定位问题和解决问题。当SAVA-P检测到仿冒报文时,设备就会生成SAVA-P检测仿冒报文日志信息。生成的检测仿冒报文日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述请参见“网络管理和监控配置指导”中的“信息中心”。

当设备输出大量SAVA-P检测仿冒报文日志信息时,会降低设备性能。这时用户可以关闭SAVA-P检测仿冒报文日志功能,使设备不再输出SAVA-P检测仿冒报文日志信息。

大量的日志信息不仅影响设备性能,还影响管理员查看日志和定位问题。用户可以设置每个输出周期输出的SAVA-P检测仿冒报文日志数量,超过指定的日志数量的日志信息不会被显示。

对于单块单板,最多支持同时输出128条SAVA-P检测仿冒报文日志信息。(独立运行模式)(IRF模式)

【举例】

# 开启SAVA-P检测仿冒报文日志功能。

<Sysname> system-view

[Sysname] ipv6 sava protocol log enable spoofing-packet interval 10 number 20

【相关命令】

l     ipv6 sava protocol enable

l     ipv6 sava protocol type

1.1.6  ipv6 sava protocol port-type

ipv6 sava protocol port-type命令用来配置SAVA-P接口类型。

undo ipv6 sava protocol port-type命令用来恢复缺省情况。

【命令】

ipv6 sava protocol port-type { nni | uni }

undo ipv6 sava protocol port-type

【缺省情况】

未配置SAVA-P接口类型。

【视图】

接口视图

【缺省用户角色】

network-admin

【参数】

nni:设置SAVA-P接口类型为网络侧接口。

uni:设置SAVA-P接口类型为用户侧接口。

【使用指导】

开启了SAVA-P功能的设备上,若将两台设备相连的接口均配置为nni,那么这两台设备便成为了SAVA-P邻居。同时,需要在两台设备上均配置Router ID和Transport address:

(1)     两台设备互发携带本端Transport address的Hello报文。

(2)     通过比较本端和对端的Transport address,Transport address较小的那台设备将被选举为TCP server。

(3)     两台设备之间建立TCP连接。

(4)     两台设备之间通过发送SPA(Source Prefix Advertisement,源前缀通告)报文交互本地学到所有直连路由和到达用户接入网络的非直连路由,根据对端传输过来的路由信息生成SAVA-P表项。

将设备连接用户网络的接口配置为uni,设备根据该接口学习到达用户接入网络的非直连路由生成用户侧前缀表项信息,并将前缀信息通过nni口传递给SAVA-P邻居,邻居设备根据前缀信息生成SAVA-P表项。

接口的SAVA-P的接口类型配置为nni后,不允许在该接口上开启SAVA功能,有关SAVA的详细介绍,请参见“安全配置指导”中的“SAVA”。

【举例】

# 配置接口Ten-GigabitEthernet3/1/1的SAVA-P接口类型为网络侧接口。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 3/1/1

[Sysname-Ten-GigabitEthernet3/1/1] ipv6 sava protocol port-type nni

【相关命令】

·     display ipv6 sava protocol entry

·     ipv6 sava protocol enable

1.1.7  reset ipv6 sava protocol packet-drop statistics

reset ipv6 sava protocol packet-drop statistics命令用来清除SAVA-P丢包统计信息。

【命令】

reset ipv6 sava protocol packet-drop statistics [ interface interface-type interface-number ]

【视图】

用户视图

【缺省用户角色】

network-admin

【参数】

interface interface-type interface-number清除指定接口的SAVA-P丢弃报文计数信息。interface-type interface-number表示接口的类型和编号。如果不指定本参数,则清除所有接口的SAVA-P丢弃报文计数信息。

【举例】

# 清除所有接口的SAVA-P丢弃报文计数信息。

<Sysname> reset ipv6 sava protocol packet-drop statistics

【相关命令】

l     display ipv6 sava protocol packet-drop statistics

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们