21-uRPF命令
本章节下载: 21-uRPF命令 (224.33 KB)
1.1.2 display ip urpf statistics security-zone
1.1.4 reset ip urpf statistics security-zone
2.1.2 display ipv6 urpf statistics security-zone
2.1.4 reset ipv6 urpf statistics security-zone
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
设备型号 |
业务板类型 |
说明 |
M9006 M9010 M9014 |
Blade IV防火墙业务板 |
支持 |
Blade V防火墙业务板 |
支持 |
|
NAT业务板 |
支持 |
|
应用交付业务板 |
支持 |
|
异常流量清洗业务板 |
不支持 |
|
M9010-GM |
加密业务板 |
支持 |
M9016-V |
Blade V防火墙业务板 |
支持 |
M9008-S M9012-S |
Blade IV防火墙业务板 |
支持 |
应用交付业务板 |
支持 |
|
入侵防御业务板 |
支持 |
|
视频网关业务板 |
支持 |
|
异常流量清洗业务板 |
不支持 |
|
M9008-S-6GW |
IPv6业务板 |
支持 |
M9008-S-V |
Blade IV防火墙业务板 |
支持 |
M9000-AI-E8 |
Blade V防火墙业务板 |
支持 |
应用交付业务板 |
支持 |
|
M9000-AI-E16 |
Blade V防火墙业务板 |
支持 |
display ip urpf命令用来显示uRPF的配置应用情况。
【命令】
(独立运行模式)
display ip urpf [ security-zone zone-name ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display ip urpf [ security-zone zone-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
security-zone zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。
slot slot-number:显示指定单板上的uRPF配置应用情况。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的uRPF配置应用情况。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的uRPF配置应用情况。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的uRPF配置应用情况。(IRF模式)
cpu cpu-number:显示指定CPU上的uRPF配置应用情况。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示指定安全域上已经应用的uRPF的配置情况。
<Sysname> display ip urpf security-zone Untrust
uRPF configuration information of security-zone Untrust(failed):
Check type: strict
Allow default route
Link check
Suppress drop ACL: 3000
表1-1 display ip urpf命令显示信息描述表
字段 |
描述 |
uRPF configuration information of security-zone |
安全域uRPF配置应用情况 |
(failed) |
当前uRPF配置下发转发芯片失败,原因可能为芯片资源不足。没有该字段时表示下发成功 |
Check type |
uRPF检查类型,包括: · loose:松散型检查 · strict:严格型检查 |
Allow default route |
允许缺省路由 |
Link check |
允许对链路信息进行检查 |
Suppress drop ACL |
配置了抑制丢弃,显示配置的ACL编号 |
display ip urpf statistics security-zone命令用来显示安全域的uRPF统计信息。
【命令】
(独立运行模式)
display ip urpf statistics security-zone zone-name [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display ip urpf statistics security-zone zone-name [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。
slot slot-number:显示指定单板上的uRPF统计信息。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的uRPF统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的uRPF统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的uRPF统计信息。(IRF模式)
cpu cpu-number:显示指定CPU上的uRPF统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示安全域Untrust的uRPF统计信息。(独立运行模式)
<Sysname> display ip urpf statistics security-zone Untrust slot 1
uRPF information:
Drops : 390712
Suppressed drops: 0
表1-2 display ip urpf statistics security-zone命令显示信息描述表
字段 |
描述 |
uRPF information |
uRPF统计信息 |
Drops |
显示丢弃报文的数目 |
Suppressed drops |
配置了抑制丢弃时,显示匹配到ACL未丢弃报文的数目 |
【相关命令】
· reset ip urpf statistics security-zone
ip urpf命令用来开启uRPF功能。
undo ip urpf命令用来关闭uRPF功能。
【命令】
ip urpf { loose [ allow-default-route ] [ acl acl-number ] | strict [ allow-default-route ] [ acl acl-number ] [ link-check ] }
undo ip urpf
【缺省情况】
uRPF功能处于关闭状态。
【视图】
安全域视图
【缺省用户角色】
network-admin
context-admin
【参数】
loose:松散型检查。仅检查报文的源地址是否在转发表中存在,而不再检查报文的入接口与转发表是否匹配。
strict:严格型检查。不仅检查报文的源地址是否在转发表中存在,而且检查报文的入接口与转发表是否匹配。仅VLAN接口视图下可使用该检查方式。
allow-default-route:允许源地址查转发表时匹配缺省路由表项。
acl acl-number:访问控制列表,用来抑制报文丢弃。acl-number表示指定的ACL编号,取值范围为2000~3999。其中:
· 基本ACL编号的取值范围为2000~2999。
· 高级ACL编号的取值范围为3000~3999。
link-check:允许对链路信息进行检查。目前仅支持以太网链路。
【使用指导】
uRPF功能一般部署在运营商网络接入客户侧设备的边缘位置,也可以部署在运营商网络对接其他运营商设备的边缘位置设备或部署在客户侧边缘位置设备。
选择严格或松散uRPF取决于当前组网中是否存在非对称路径,如果运营商设备上行流量的入接口和下行流量的出接口相同则是对称路径,此时建议在运营商网络接入客户侧设备的边缘位置的接口所在的安全域下配置严格uRPF。一般运营商接入客户侧的组网中都是对称路径。运营商对接其他运营商的边缘位置可能出现非对称路径,此时建议在运营商网络对接其他运营商网络的边缘位置的接口所在的安全域下配置松散uRPF。
运营商网络边缘位置一般不会有缺省路由指向客户侧设备,所以一般不需要配置allow-default-route。如果在客户侧边缘设备接口所在安全域上面启用uRPF,这时往往会有缺省路由指向运营商,此时需要配置allow-default-route。
如果一个特定的数据包与ACL匹配,即使它没有通过uRPF的检查,也会被转发。
配置link-check后,设备会根据源地址查转发表得到的下一跳后进一步查ARP表项来确定源MAC地址是否正确。如果运营商是用以太网接口接入客户,此时一个接口同时接多个不同客户,因此建议接口下配置link-check功能。
【举例】
# 在安全域Untrust上配置严格型uRPF检查。
<Sysname> system-view
[Sysname] security-zone name Untrust
[Sysname-security-zone-Untrust] ip urpf strict
【相关命令】
· display ip urpf
reset ip urpf statistics security-zone命令用来清除安全域的uRPF统计信息。
【命令】
reset ip urpf statistics security-zone zone-name
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。
【举例】
# 清除安全域Untrust的urpf统计信息。
<Sysname> reset ip urpf statistics security-zone Untrust
【相关命令】
· display ip urpf statistics security-zone
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
设备型号 |
业务板类型 |
说明 |
M9006 M9010 M9014 |
Blade IV防火墙业务板 |
支持 |
Blade V防火墙业务板 |
支持 |
|
NAT业务板 |
支持 |
|
应用交付业务板 |
支持 |
|
异常流量清洗业务板 |
不支持 |
|
M9010-GM |
加密业务板 |
支持 |
M9016-V |
Blade V防火墙业务板 |
支持 |
M9008-S M9012-S |
Blade IV防火墙业务板 |
支持 |
应用交付业务板 |
支持 |
|
入侵防御业务板 |
支持 |
|
视频网关业务板 |
支持 |
|
异常流量清洗业务板 |
不支持 |
|
M9008-S-6GW |
IPv6业务板 |
支持 |
M9008-S-V |
Blade IV防火墙业务板 |
支持 |
M9000-AI-E8 |
Blade V防火墙业务板 |
支持 |
应用交付业务板 |
不支持 |
|
M9000-AI-E16 |
Blade V防火墙业务板 |
支持 |
display ipv6 urpf命令用来显示IPv6 uRPF的配置应用情况。
【命令】
(独立运行模式)
display ipv6 urpf [ security-zone zone-name ] [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display ipv6 urpf [ security-zone zone-name ] [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
security-zone zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。
slot slot-number:显示指定单板IPv6 uRPF配置应用情况。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的IPv6 uRPF配置应用情况。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的IPv6 uRPF配置应用情况。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的IPv6 uRPF配置应用情况。(IRF模式)
cpu cpu-number:显示指定CPU的IPv6 uRPF配置应用情况。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示指定安全域上的已经应用的IPv6 uRPF的配置情况。
<Sysname> display ipv6 urpf security-zone Untrust
IPv6 uRPF configuration information of security-zone Untrust(failed):
Check type: loose
Allow default route
Suppress drop ACL: 2000
表2-1 display ipv6 urpf命令显示信息描述表
字段 |
描述 |
IPv6 uRPF configuration information of security-zone |
安全域IPv6 uRPF配置应用情况 |
(failed) |
当前IPv6 uRPF配置下发转发芯片失败,原因可能为芯片资源不足。没有该字段时表示下发成功 |
Check type |
IPv6 uRPF检查类型,包括: · loose:松散型检查 · strict:严格型检查 |
Allow default route |
允许缺省路由 |
Suppress drop ACL |
配置了抑制丢弃,显示配置的IPv6 ACL编号 |
display ipv6 urpf statistics security-zone命令用来显示安全域的IPv6 uRPF统计信息。
【命令】
(独立运行模式)
display ipv6 urpf statistics security-zone zone-name [ slot slot-number [ cpu cpu-number ] ]
(IRF模式)
display ipv6 urpf statistics security-zone zone-name [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。
slot slot-number:显示指定单板上的IPv6 uRPF统计信息。slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的IPv6 uRPF统计信息。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板上的IPv6 uRPF统计信息。chassis-number表示设备在IRF中的成员编号,slot-number表示单板的槽位号。如果未指定本参数,则显示所有单板上的IPv6 uRPF统计信息。(IRF模式)
cpu cpu-number:显示指定CPU上的IPv6 uRPF统计信息。cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。
【举例】
# 显示安全域Untrust的IPv6 uRPF统计信息。(独立运行模式)
<Sysname> display ipv6 urpf statistics security-zone Untrust slot 1
IPv6 uRPF information:
Drops : 390712
Suppressed drops: 0
表2-2 display ip urpf statistics security-zone命令显示信息描述表
字段 |
描述 |
IPv6 uRPF information |
IPv6 uRPF统计信息 |
Drops |
显示丢弃报文的数目 |
Suppressed drops |
配置了抑制丢弃时,显示匹配到ACL未丢弃报文的数目 |
【相关命令】
· reset ipv6 urpf statistics security-zone
ipv6 urpf命令用来开启IPv6 uRPF功能。
undo ipv6 urpf命令用来关闭IPv6 uRPF功能。
【命令】
ipv6 urpf { loose | strict } [ allow-default-route ] [ acl acl-number ]
undo ipv6 urpf
【缺省情况】
IPv6 uRPF功能处于关闭状态。
【视图】
安全域视图
【缺省用户角色】
network-admin
context-admin
【参数】
loose:松散型检查。仅检查报文的源地址是否在IPv6转发表中存在,而不再检查报文的入接口与IPv6转发表是否匹配。
strict:严格型检查。不仅检查报文的源地址是否在IPv6转发表中存在,而且检查报文的入接口与IPv6转发表是否匹配。
allow-default-route:允许源地址查IPv6转发时匹配缺省路由表项。
acl acl-number:访问控制列表,用来抑制报文丢弃。acl-number表示指定的ACL编号,取值范围为2000~3999。其中:
· 基本ACL编号的取值范围为2000~2999。
· 高级ACL编号的取值范围为3000~3999。
【使用指导】
IPv6 uRPF功能一般部署在运营商网络接入客户侧设备的边缘位置,也可以部署在运营商网络对接其他运营商设备的边缘位置设备或部署在客户侧边缘位置设备。
选择严格或松散IPv6 uRPF取决于当前组网中是否存在非对称路径,如果运营商设备上行流量的入接口和下行流量的出接口相同则是对称路径,此时建议在运营商网络接入客户侧设备的边缘位置的接口所在的安全域下配置严格IPv6 uRPF。一般运营商接入客户侧的组网中都是对称路径。运营商对接其他运营商的边缘位置可能出现非对称路径,此时建议在运营商网络对接其他运营商网络的边缘位置的接口所在的安全域下配置松散IPv6 uRPF。
如果一个特定的数据包与ACL匹配,即使它没有通过IPv6 uRPF的检查,也会被转发。
运营商网络边缘位置一般不会有缺省路由指向客户侧设备,所以一般不需要配置allow-default-route。如果在客户侧边缘设备接口所在安全域上面启用IPv6 uRPF,这时往往会有缺省路由指向运营商,此时需要配置allow-default-route。
【举例】
# 在安全域Untrust上配置松散IPv6 uRPF检查。
<Sysname> system-view
[Sysname] security-zone name Untrust
[Sysname-security-zone-Untrust] ipv6 urpf loose
【相关命令】
· display ipv6 urpf
reset ipv6 urpf statistics security-zone命令用来清除安全域的IPv6 uRPF统计信息。
【命令】
reset ipv6 urpf statistics security-zone zone-name
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
zone-name:安全域的名称,为1~31个字符的字符串,不区分大小写,不能包含字符“-”。
【举例】
# 清除安全域Untrust的IPv6 uRPF统计信息
<Sysname> reset ipv6 urpf statistics security-zone Untrust
【相关命令】
· display ipv6 urpf statistics security-zone
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!