• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

09-安全命令参考

目录

27-SAVI命令

本章节下载 27-SAVI命令  (143.41 KB)

27-SAVI命令


1 SAVI

1.1  SAVI配置命令

说明

仅Release 6635及以上版本支持SAVI功能。

 

1.1.1  ipv6 savi down-delay

ipv6 savi down-delay命令用来配置动态绑定表项的延迟删除时间。

undo ipv6 savi down-delay命令用来恢复缺省情况。

【命令】

ipv6 savi down-delay delay-time

undo ipv6 savi down-delay

【缺省情况】

动态绑定表项的延迟删除时间为30秒。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

delay-time:动态绑定表项的延迟删除时间,取值范围为0~21474836,单位为秒。

【使用指导】

开启SAVI功能后,如果端口在down状态的持续时间超过所配置的延迟删除时间,系统将会删除该端口上相关的DHCPv6 Snooping表项和ND Snooping表项。

【举例】

# 配置端口状态为down后动态绑定表项的延迟删除时间为100秒。

<Sysname> system-view

[Sysname] ipv6 savi down-delay 100

1.1.2  ipv6 savi log enable

ipv6 savi log enable命令用来开启SAVI仿冒报文或SAVI过滤表项的日志功能。

undo ipv6 savi log enable命令用来关闭SAVI仿冒报文或SAVI过滤表项的日志功能。

【命令】

ipv6 savi log enable { spoofing-packet [ interval interval | total-number number ] * | filter-entry }

undo ipv6 savi log enable { spoofing-packet | filter-entry }

【缺省情况】

SAVI仿冒报文或SAVI过滤表项的日志功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

spoofing-packet [ interval interval | total-number number ]:开启SAVI仿冒报文的日志功能。

·     interval interval:设置SAVI仿冒报文日志信息输出周期,interval的取值范围为0、5~3600,单位为秒,缺省值为60。当interval取值为0时,表示检测到仿冒报文后,立即输出日志信息。

·     total-number number:设置每个输出周期允许输出的SAVI仿冒报文日志最大数量,number的取值范围为1~128,缺省值为128。

filter-entry:开启SAVI过滤表项的日志功能。

【使用指导】

开启SAVI仿冒报文的日志功能后,当SAVI检测到仿冒报文时,设备会生成SAVI仿冒报文日志信息,以方便管理员定位和解决问题。

SAVI过滤表项是指已生效的用于过滤IPv6报文源地址的绑定表项。SAVI过滤表项日志信息中记录了过滤表项的IPv6地址和MAC地址以及过滤表项所属的VLAN和接口,以方便管理员定位和解决问题。

生成的SAVI仿冒报文和SAVI过滤表项的日志信息会交给信息中心模块处理,信息中心模块的配置将决定日志信息的发送规则和发送方向。关于信息中心的详细描述,请参见“网络管理和监控配置指导”中的“信息中心”。

在较短时间内输出大量的SAVI仿冒报文的日志信息,不仅会降低设备性能,还会影响管理员查看日志信息。通过合理设置日志信息的输出周期及每个周期允许输出的日志最大数量,可以解决上述问题。一个周期内,超过最大数量的日志信息将不会被输出到信息中心。

对于单个成员设备,最多支持同时输出128条SAVI仿冒报文日志信息。

【举例】

# 开启SAVI仿冒报文日志功能。

<Sysname> system-view

[Sysname] ipv6 savi log enable spoofing-packet

1.1.3  ipv6 savi strict

ipv6 savi strict命令用来开启SAVI功能。

undo ipv6 savi strict命令用来关闭SAVI功能。

【命令】

ipv6 savi strict

undo ipv6 savi strict

【缺省情况】

SAVI功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

【举例】

# 开启SAVI功能。

<Sysname> system-view

[Sysname] ipv6 savi strict

【相关命令】

·     ipv6 verify source(安全命令参考/IP Source Guard)

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们