• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

03-安全命令参考

目录

21-uRPF命令

本章节下载 21-uRPF命令  (224.33 KB)

21-uRPF命令


1 IPv4 uRPF

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

设备型号

业务板类型

说明

M9006

M9010

M9014

Blade IV防火墙业务板

支持

Blade V防火墙业务板

支持

NAT业务板

支持

应用交付业务板

支持

异常流量清洗业务板

不支持

M9010-GM

加密业务板

支持

M9016-V

Blade V防火墙业务板

支持

M9008-S

M9012-S

Blade IV防火墙业务板

支持

应用交付业务板

支持

入侵防御业务板

支持

视频网关业务板

支持

异常流量清洗业务板

不支持

M9008-S-6GW

IPv6业务板

支持

M9008-S-V

Blade IV防火墙业务板

支持

M9000-AI-E8

Blade V防火墙业务板

支持

应用交付业务板

支持

M9000-AI-E16

Blade V防火墙业务板

支持

 

1.1  IPv4 uRPF配置命令

1.1.1  display ip urpf

display ip urpf命令用来显示uRPF的配置应用情况。

【命令】

(独立运行模式)

display ip urpf [ security-zone zone-name ] [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

display ip urpf [ security-zone zone-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

security-zone zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定单板上的uRPF配置应用情况。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的uRPF配置应用情况。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的uRPF配置应用情况。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的uRPF配置应用情况。(IRF模式)

cpu cpu-number:显示指定CPU上的uRPF配置应用情况。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【举例】

# 显示指定安全域上已经应用的uRPF的配置情况。

<Sysname> display ip urpf security-zone Untrust

uRPF configuration information of security-zone Untrust(failed):

   Check type: strict

   Allow default route

   Link check

   Suppress drop ACL: 3000

表1-1 display ip urpf命令显示信息描述表

字段

描述

uRPF configuration information of security-zone

安全域uRPF配置应用情况

(failed)

当前uRPF配置下发转发芯片失败,原因可能为芯片资源不足。没有该字段时表示下发成功

Check type

uRPF检查类型,包括:

·     loose:松散型检查

·     strict:严格型检查

Allow default route

允许缺省路由

Link check

允许对链路信息进行检查

Suppress drop ACL

配置了抑制丢弃,显示配置的ACL编号

 

1.1.2  display ip urpf statistics security-zone

display ip urpf statistics security-zone命令用来显示安全域的uRPF统计信息。

【命令】

(独立运行模式)

display ip urpf statistics security-zone zone-name [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

display ip urpf statistics security-zone zone-name [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定单板上的uRPF统计信息。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的uRPF统计信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的uRPF统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的uRPF统计信息。(IRF模式)

cpu cpu-number:显示指定CPU上的uRPF统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【举例】

# 显示安全域Untrust的uRPF统计信息。(独立运行模式)

<Sysname> display ip urpf statistics security-zone Untrust slot 1

uRPF information:

  Drops           : 390712

  Suppressed drops: 0

表1-2 display ip urpf statistics security-zone命令显示信息描述表

字段

描述

uRPF information

uRPF统计信息

Drops

显示丢弃报文的数目

Suppressed drops

配置了抑制丢弃时,显示匹配到ACL未丢弃报文的数目

 

【相关命令】

·     reset ip urpf statistics security-zone

1.1.3  ip urpf

ip urpf命令用来开启uRPF功能。

undo ip urpf命令用来关闭uRPF功能。

【命令】

ip urpf { loose [ allow-default-route ] [ acl acl-number ] | strict [ allow-default-route ] [ acl acl-number ] [ link-check ] }

undo ip urpf

【缺省情况】

uRPF功能处于关闭状态。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【参数】

loose:松散型检查。仅检查报文的源地址是否在转发表中存在,而不再检查报文的入接口与转发表是否匹配。

strict:严格型检查。不仅检查报文的源地址是否在转发表中存在,而且检查报文的入接口与转发表是否匹配。仅VLAN接口视图下可使用该检查方式。

allow-default-route:允许源地址查转发表时匹配缺省路由表项。

acl acl-number:访问控制列表,用来抑制报文丢弃。acl-number表示指定的ACL编号,取值范围为2000~3999。其中:

·     基本ACL编号的取值范围为2000~2999。

·     高级ACL编号的取值范围为3000~3999。

link-check:允许对链路信息进行检查。目前仅支持以太网链路。

【使用指导】

uRPF功能一般部署在运营商网络接入客户侧设备的边缘位置,也可以部署在运营商网络对接其他运营商设备的边缘位置设备或部署在客户侧边缘位置设备。

选择严格或松散uRPF取决于当前组网中是否存在非对称路径,如果运营商设备上行流量的入接口和下行流量的出接口相同则是对称路径,此时建议在运营商网络接入客户侧设备的边缘位置的接口所在的安全域下配置严格uRPF。一般运营商接入客户侧的组网中都是对称路径。运营商对接其他运营商的边缘位置可能出现非对称路径,此时建议在运营商网络对接其他运营商网络的边缘位置的接口所在的安全域下配置松散uRPF。

运营商网络边缘位置一般不会有缺省路由指向客户侧设备,所以一般不需要配置allow-default-route。如果在客户侧边缘设备接口所在安全域上面启用uRPF,这时往往会有缺省路由指向运营商,此时需要配置allow-default-route

如果一个特定的数据包与ACL匹配,即使它没有通过uRPF的检查,也会被转发。

配置link-check后,设备会根据源地址查转发表得到的下一跳后进一步查ARP表项来确定源MAC地址是否正确。如果运营商是用以太网接口接入客户,此时一个接口同时接多个不同客户,因此建议接口下配置link-check功能。

【举例】

# 在安全域Untrust上配置严格型uRPF检查。

<Sysname> system-view

[Sysname] security-zone name Untrust

[Sysname-security-zone-Untrust] ip urpf strict

【相关命令】

·     display ip urpf

1.1.4  reset ip urpf statistics security-zone

reset ip urpf statistics security-zone命令用来清除安全域的uRPF统计信息。

【命令】

reset ip urpf statistics security-zone zone-name

【视图】

用户视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

【举例】

# 清除安全域Untrust的urpf统计信息。

<Sysname> reset ip urpf statistics security-zone Untrust

【相关命令】

·     display ip urpf statistics security-zone


2 IPv6 uRPF

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

设备型号

业务板类型

说明

M9006

M9010

M9014

Blade IV防火墙业务板

支持

Blade V防火墙业务板

支持

NAT业务板

支持

应用交付业务板

支持

异常流量清洗业务板

不支持

M9010-GM

加密业务板

支持

M9016-V

Blade V防火墙业务板

支持

M9008-S

M9012-S

Blade IV防火墙业务板

支持

应用交付业务板

支持

入侵防御业务板

支持

视频网关业务板

支持

异常流量清洗业务板

不支持

M9008-S-6GW

IPv6业务板

支持

M9008-S-V

Blade IV防火墙业务板

支持

M9000-AI-E8

Blade V防火墙业务板

支持

应用交付业务板

不支持

M9000-AI-E16

Blade V防火墙业务板

支持

 

2.1  IPv6 uRPF配置命令

2.1.1  display ipv6 urpf

display ipv6 urpf命令用来显示IPv6 uRPF的配置应用情况。

【命令】

(独立运行模式)

display ipv6 urpf [ security-zone zone-name ] [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

display ipv6 urpf [ security-zone zone-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

security-zone zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定单板IPv6 uRPF配置应用情况。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的IPv6 uRPF配置应用情况。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的IPv6 uRPF配置应用情况。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的IPv6 uRPF配置应用情况。(IRF模式)

cpu cpu-number:显示指定CPU的IPv6 uRPF配置应用情况。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【举例】

# 显示指定安全域上的已经应用的IPv6 uRPF的配置情况。

<Sysname> display ipv6 urpf security-zone Untrust

IPv6 uRPF configuration information of security-zone Untrust(failed):

   Check type: loose

   Allow default route

   Suppress drop ACL: 2000

表2-1 display ipv6 urpf命令显示信息描述表

字段

描述

IPv6 uRPF configuration information of security-zone

安全域IPv6 uRPF配置应用情况

(failed)

当前IPv6 uRPF配置下发转发芯片失败,原因可能为芯片资源不足。没有该字段时表示下发成功

Check type

IPv6 uRPF检查类型,包括:

·     loose:松散型检查

·     strict:严格型检查

Allow default route

允许缺省路由

Suppress drop ACL

配置了抑制丢弃,显示配置的IPv6 ACL编号

 

2.1.2  display ipv6 urpf statistics security-zone

display ipv6 urpf statistics security-zone命令用来显示安全域的IPv6 uRPF统计信息。

【命令】

(独立运行模式)

display ipv6 urpf statistics security-zone zone-name [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

display ipv6 urpf statistics security-zone zone-name [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

slot slot-number:显示指定单板上的IPv6 uRPF统计信息。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的IPv6 uRPF统计信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的IPv6 uRPF统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的IPv6 uRPF统计信息。(IRF模式)

cpu cpu-number:显示指定CPU上的IPv6 uRPF统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【举例】

# 显示安全域Untrust的IPv6 uRPF统计信息。(独立运行模式)

<Sysname> display ipv6 urpf statistics security-zone Untrust slot 1

IPv6 uRPF information:

  Drops           : 390712

  Suppressed drops: 0

表2-2 display ip urpf statistics security-zone命令显示信息描述表

字段

描述

IPv6 uRPF information

IPv6 uRPF统计信息

Drops

显示丢弃报文的数目

Suppressed drops

配置了抑制丢弃时,显示匹配到ACL未丢弃报文的数目

 

【相关命令】

·     reset ipv6 urpf statistics security-zone

2.1.3  ipv6 urpf

ipv6 urpf命令用来开启IPv6 uRPF功能。

undo ipv6 urpf命令用来关闭IPv6 uRPF功能。

【命令】

ipv6 urpf { loose | strict } [ allow-default-route ] [ acl acl-number ]

undo ipv6 urpf

【缺省情况】

IPv6 uRPF功能处于关闭状态。

【视图】

安全域视图

【缺省用户角色】

network-admin

context-admin

【参数】

loose:松散型检查。仅检查报文的源地址是否在IPv6转发表中存在,而不再检查报文的入接口与IPv6转发表是否匹配。

strict:严格型检查。不仅检查报文的源地址是否在IPv6转发表中存在,而且检查报文的入接口与IPv6转发表是否匹配。

allow-default-route:允许源地址查IPv6转发时匹配缺省路由表项。

acl acl-number:访问控制列表,用来抑制报文丢弃。acl-number表示指定的ACL编号,取值范围为2000~3999。其中:

·     基本ACL编号的取值范围为2000~2999。

·     高级ACL编号的取值范围为3000~3999。

【使用指导】

IPv6 uRPF功能一般部署在运营商网络接入客户侧设备的边缘位置,也可以部署在运营商网络对接其他运营商设备的边缘位置设备或部署在客户侧边缘位置设备。

选择严格或松散IPv6 uRPF取决于当前组网中是否存在非对称路径,如果运营商设备上行流量的入接口和下行流量的出接口相同则是对称路径,此时建议在运营商网络接入客户侧设备的边缘位置的接口所在的安全域下配置严格IPv6 uRPF。一般运营商接入客户侧的组网中都是对称路径。运营商对接其他运营商的边缘位置可能出现非对称路径,此时建议在运营商网络对接其他运营商网络的边缘位置的接口所在的安全域下配置松散IPv6 uRPF。

如果一个特定的数据包与ACL匹配,即使它没有通过IPv6 uRPF的检查,也会被转发。

运营商网络边缘位置一般不会有缺省路由指向客户侧设备,所以一般不需要配置allow-default-route。如果在客户侧边缘设备接口所在安全域上面启用IPv6 uRPF,这时往往会有缺省路由指向运营商,此时需要配置allow-default-route

【举例】

# 在安全域Untrust上配置松散IPv6 uRPF检查。

<Sysname> system-view

[Sysname] security-zone name Untrust

[Sysname-security-zone-Untrust] ipv6 urpf loose

【相关命令】

·     display ipv6 urpf

2.1.4  reset ipv6 urpf statistics security-zone

reset ipv6 urpf statistics security-zone命令用来清除安全域的IPv6 uRPF统计信息。

【命令】

reset ipv6 urpf statistics security-zone zone-name

【视图】

用户视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。

【举例】

# 清除安全域Untrust的IPv6 uRPF统计信息

<Sysname> reset ipv6 urpf statistics security-zone Untrust

【相关命令】

·     display ipv6 urpf statistics security-zone

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们