02-二层转发命令
本章节下载: 02-二层转发命令 (350.77 KB)
目 录
1.1.1 display mac-forwarding statistics
1.1.2 reset mac-forwarding statistics
1.2.1 display mac-forwarding cache ip
1.2.2 display mac-forwarding cache ip fragment
1.2.3 display mac-forwarding cache ipv6
1.2.4 mac fast-forwarding check-vlan-id
1.4.4 bridge mac-address timer aging
1.4.5 bridge tunnel-encapsulation skip
1.4.8 display bridge bypass status
1.4.9 display bridge mac-address
1.4.10 mac-address max-mac-count
1.5.1 bridge fast-forwarding check-vlan-id
1.5.3 display bridge cache ip fragment
1.5.4 display bridge cache ipv6
display mac-forwarding statistics命令用来显示二层转发统计信息。
【命令】
display mac-forwarding statistics [ interface interface-type interface-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
interface interface-type interface-number:显示指定接口的二层转发统计信息。其中,interface-type interface-number为指定接口类型和接口编号。如果未指定该参数,将显示二层转发全局统计信息。
【举例】
# 显示二层转发全局统计信息。
<Sysname> display mac-forwarding statistics
Input:
Sum: 888 Unknown Unicast: 0
Broadcast: 0 Multicast: 0
Filtered: 0 STP discarded: 0
Service dropped: 0 Source dropped: 0
Unknown dropped: 0 Learning dropped: 0
Blackhole dropped: 0 Suppress dropped: 0
Source MAC dropped:0
Deliver:
Sum: 111 L2 protocol: 11
Local MAC address: 100
Output:
Sum: 666 Filtered: 0
Blackhole dropped: 0 STP discarded: 0
Service dropped: 0 Dest MAC dropped: 0
# 显示接口GigabitEthernet1/0/1的二层转发统计信息。
<Sysname> display mac-forwarding statistics interface gigabitethernet 1/0/1
GigabitEthernet1/0/1:
Input frames: 100 Output frames:100
Filtered: 0
表1-1 display mac-forwarding statistics命令显示信息描述表
字段 |
描述 |
Input |
接收报文的统计信息,包括: · Sum:接收的以太帧总数 · Filtered:按照802.1Q Tagged VLAN入接口过滤规则过滤掉的以太帧数量 · STP discarded:由于生成树协议阻塞而丢弃的入报文数量 · Service dropped:入方向业务丢弃的以太帧数量 · Source dropped:因源MAC地址为全零、组播或广播而丢弃的以太帧数量 · Unknown dropped:因设置源未知丢弃而丢弃的以太帧数量 · Learning dropped:因设置学满禁止转发而丢弃的以太帧数量 · Suppress dropped:未知单播、广播或组播报文抑止丢弃的以太帧数量 · Broadcast:接收到的广播目的MAC地址以太帧数量 · Multicast:接收到的组播目的MAC地址以太帧数量 · Unknown unicast:接收到的未知单播MAC地址以太帧数量 · Blackhole dropped:源MAC地址为黑洞MAC地址时丢弃的以太帧数量 · Source MAC dropped:源MAC地址为丢弃类型MAC地址时丢弃的以太帧数量 |
Deliver |
发送报文的统计信息,包括: · Sum:上送CPU处理的以太帧总数量 · L2 protocol:上送CPU的二层协议以太帧数量 · Local MAC address:目的地址为本地三层VLAN接口MAC地址的以太帧数量 |
Output |
丢弃报文的统计信息,包括: · Sum:发出的以太帧总数 · Filtered:按照802.1Q Tagged VLAN出接口过滤规则过滤掉的以太帧数量 · Blackhole dropped:目的MAC地址为黑洞MAC地址时丢弃的以太帧数量 · STP discarded由于生成树协议阻塞而丢弃的出报文数量 · Service dropped:出方向业务丢弃的以太帧数量 · Dest MAC dropped:因设置目的MAC地址丢弃而丢弃的以太帧数量 |
GigabitEthernet1/0/1 |
接口GigabitEthernet1/0/1的二层转发统计信息: · Input frames:接口接收以太帧数量 · Output frames:接口发送以太帧数量 · Filtered:接口过滤掉的其他VLAN的以太帧数量 |
reset mac-forwarding statistics命令用来清除二层转发统计信息。
【命令】
reset mac-forwarding statistics
【视图】
用户视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 清除二层转发统计信息。
<Sysname> reset mac-forwarding statistics
display mac-forwarding cache ip命令用来显示IP快速转发表信息。
【命令】
display mac-forwarding cache ip [ ip-address ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip-address:显示指定IP地址的快速转发表信息。如果不指定ip-address,将显示所有快速转发表信息。
slot slot-number:显示指定成员设备的快速转发表信息。slot-number表示设备在IRF中的成员编号。如果不指定slot slot-number,将显示所有成员设备的快速转发表信息。
【举例】
# 显示IP快速转发表信息。
<Sysname> display mac-forwarding cache ip
Total number of mac-forwarding entries: 2
SIP SPort DIP DPort Pro Input_If Output_If VLAN
1.1.1.2 99 1.1.1.1 2048 1 GE1/0/1 GE1/0/2 2
1.1.1.1 98 1.1.1.2 2012 1 GE1/0/2 GE1/0/1 2
表1-2 display mac-forwarding cache ip命令显示信息描述表
字段 |
描述 |
Total number of mac-forwarding entries |
快速转发表项数目 |
SIP |
源IP地址 |
SPort |
源端口号 |
DIP |
目的IP地址 |
DPort |
目的端口号 |
Pro |
协议号 |
Input_If |
报文入接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及入接口,“-”表示接口不存在) |
Output_If |
报文出接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及出接口,“-”表示接口不存在) |
VLAN |
VLAN ID |
display mac-forwarding cache ip fragment命令用来显示分片报文快速转发表信息。
【命令】
display mac-forwarding cache ip fragment [ ip-address ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ip-address:显示指定IP地址的分片报文快速转发表信息。如果不指定ip-address,将显示所有分片报文快速转发表信息。
slot slot-number:显示指定成员设备的分片报文快速转发表信息。slot-number表示设备在IRF中的成员编号。如果不指定本参数,将显示所有成员设备的分片报文快速转发表信息。
【举例】
# 显示分片报文快速转发表信息。
<Sysname> display mac-forwarding cache ip fragment
Total number of fragment mac-forwarding entries: 2
SIP SPort DIP DPort Pro Input_If ID VLAN
1.1.1.1 117 1.1.1.2 0 1 GE1/0/1 2828 1
1.1.1.2 110 1.1.1.1 67 17 GE1/0/2 2322 1
表1-3 display mac-forwarding cache ip fragment 命令显示信息描述表
字段 |
描述 |
Total number of fragment mac-forwarding entries |
分片报文快速转发表项数目 |
SIP |
源IP地址 |
SPort |
源端口号 |
DIP |
目的IP地址 |
DPort |
目的端口号 |
Pro |
协议号 |
Input_If |
报文入接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及入接口,“-”表示接口不存在) |
ID |
分片IP报文ID |
VLAN |
VLAN ID |
display mac-forwarding cache ipv6命令用来显示IPv6快速转发表信息。
【命令】
display mac-forwarding cache ipv6 [ ipv6-address ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ipv6-address:显示指定IPv6地址的IPv6快速转发表信息。如果不指定ipv6-address,将显示所有IPv6地址的IPv6快速转发表信息。
slot slot-number:显示指定成员设备的IPv6快速转发表信息。slot-number表示设备在IRF中的成员编号。如果不指定本参数,将显示所有成员设备的IPv6快速转发表信息。
【举例】
# 显示IPv6快速转发表信息。
<Sysname> display mac-forwarding cache ipv6
Total number of IPv6 mac-forwarding items: 1
Src IP: 2002::1 Src port: 129
Dst IP: 2001::1 Dst port: 65535
VLAN ID: 2
Protocol: 2
Input interface: GE1/0/2
Output interface: GE1/0/1
表1-4 display mac-forwarding cache ipv6命令显示信息描述表
字段 |
描述 |
Total number of IPv6 mac-forwarding items |
IPv6快速转发表项数目 |
Src IP |
源IPv6地址 |
Src port |
源端口号 |
Dst IP |
目的IPv6地址 |
Dst Port |
目的端口号 |
VLAN ID |
VLAN ID |
Protocol |
协议号 |
Input interface |
报文入接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及入接口,“-”表示接口不存在) |
Output interface |
报文出接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及出接口,“-”表示接口不存在) |
mac fast-forwarding check-vlan-id命令用来开启快速二层转发时对VLAN ID字段的检查功能。
undo mac fast-forwarding check-vlan-id命令用来关闭快速二层转发时对VLAN ID字段的检查功能。
【命令】
mac fast-forwarding check-vlan-id
undo mac fast-forwarding check-vlan-id
【缺省情况】
快速二层转发时对VLAN ID字段的检查功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本功能处于开启状态时,二层转发在查找快速转发表时将检查VLAN ID是否匹配,数据流的VLAN ID与快速转发表中不一致时则判定为与表项不匹配。
报文携带的VLAN ID是设备判断其所属TCP会话的依据之一。在防火墙双机热备的组网环境下,有时需要报文在主备设备间传递后仍可以匹配到同一个会话中,而主备设备上报文入接口所属VLAN可能不同,此时可以关闭对VLAN ID的检查以保证报文在主备设备之间传递之后能够匹配到同一会话。
【举例】
# 开启快速二层转发时对VLAN ID字段的检查功能。
<Sysname> system-view
[Sysname] mac fast-forwarding check-vlan-id
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
系列 |
型号 |
说明 |
F50X0系列 |
F5010、F5020、F5020-GM、F5030-6GW-G、F5040、F5000-C、F5000-S |
不支持 |
F5030、F5030-6GW、F5060、F5080、F5000-A、F5000-M |
支持 |
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
不支持 |
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
支持 |
F5000-V系列 |
F5000-V30 |
支持 |
F1000-AI系列 |
F1000-AI-10、F1000-AI-15、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
不支持 |
F1000-AI-03、F1000-AI-05、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55 |
支持 |
|
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
支持 |
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080 |
支持 |
F1090 |
不支持 |
|
F1000-V系列 |
F1000-V50、F1000-V70 |
支持 |
F1000-V60、F1000-V90 |
不支持 |
|
F1000-SASE系列 |
F1000-SASE100 |
支持 |
F1000-SASE200 |
不支持 |
|
F1000-AK系列 |
F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1205、F1000-AK1212、F1000-AK1222、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1232、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK9109、F1000-AK9120、F1000-AK9160、F1000-AK9180、 |
支持 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1025、F1000-AK1115、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1215、F1000-AK1305、F1000-AK1315、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9110、F1000-AK9210、F1000-AK9190、F1000-AK9150 |
不支持 |
|
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
cut-through enable命令用来开启设备的直通转发功能。
undo cut-through enable命令用来关闭设备的直通转发功能。
【命令】
cut-through enable
undo cut-through enable
【缺省情况】
设备直通转发功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
直通转发是设备接收到报文的前64个字节后立即转发。该功能可以节省报文在设备中消耗的时间,提高转发性能。
报文在CRC(Cyclic Redundancy Code,循环冗余校验码)接收前已经转发,因此设备也将转发CRC校验错误的报文。
【举例】
# 开启设备的直通转发功能。
<Sysname> system-view
[Sysname] cut-through enable
add interface命令用来向反射/透传/黑洞模式Bridge转发实例添加接口。
undo add interface命令用来删除反射/透传/黑洞模式Bridge转发实例中的接口。
【命令】
add interface interface-type interface-number
undo add interface interface-type interface-number
【缺省情况】
手工创建的反射/透传/黑洞模式Bridge转发实例中没有添加任何接口。
【视图】
反射模式Bridge视图
透传模式Bridge视图
黑洞模式Bridge视图
【缺省用户角色】
network-admin
context-admin
【参数】
interface-type interface-number:表示接口类型和编号。
【使用指导】
仅支持添加二层或者三层物理接口以及二层聚合接口到反射/透传/黑洞模式Bridge转发实例。
每个反射/黑洞模式Bridge转发实例只能添加一个接口。
每个手工创建的透传模式Bridge转发实例只能添加两个接口,且这两个接口的类型必须保持一致。同一个接口不能添加到不同的Bridge转发实例。对于自动创建的透传模式Bridge转发实例,设备在自动创建Bridge转发实例后,会自动将子卡上的一对接口添加到此Bridge转发实例中,且自动创建的透传模式Bridge转发实例不支持手工添加或删除接口。
若在反射/黑洞模式Bridge视图下多次配置本命令,则最后一次执行的命令生效;若在手工创建的透传模式Bridge转发实例对应的Bridge视图下多次配置本命令,则最近两次执行的命令生效。
【举例】
# 配置接口GigabitEthernet1/0/1加入Bridge 1。
<Sysname> system-view
[Sysname] bridge 1 reflect
[Sysname-bridge1-reflect] add interface gigabitethernet 1/0/1
add vlan命令用来向跨VLAN模式Bridge转发实例中添加VLAN。
undo add vlan命令用来删除跨VLAN模式Bridge转发实例中添加的VLAN。
【命令】
add vlan vlan-id-list
undo add vlan [ vlan-id-list ]
【缺省情况】
跨VLAN模式Bridge转发实例下不存在VLAN。
【视图】
跨VLAN模式Bridge视图
【缺省用户角色】
network-admin
context-admin
【参数】
vlan-id-list:VLAN列表。表示方式为vlan-id-list = { vlan-id1 [ to vlan-id2 ] }&<1-10>,vlan-id取值范围为1~4094,vlan-id2的值要大于或等于vlan-id1的值,&<1-10>表示前面的参数最多可以重复输入10次。
【使用指导】
不论VLAN是否被创建,都可以加入到Bridge转发实例中。
如果多次配置add vlan命令,那么加入到Bridge转发实例中的VLAN是多次配置的合集。
同一个VLAN不能加入到不同Bridge转发实例中。
执行undo add vlan命令的时候,如果没有指定vlan-id-list参数,则表示删除跨VLAN模式Bridge转发实例中的所有VLAN。
【举例】
# 向Bridge 2添加VLAN 2、3、5、50~70。
<Sysname> system-view
[Sysname] bridge 2 inter-vlan
[Sysname-bridge2-inter-vlan] add vlan 2 3 5 50 to 70
bridge命令用来手工创建指定转发模式的Bridge转发实例,并进入Bridge视图。如果指定的Bridge转发实例已通过手工或自动方式创建,则直接进入该Bridge转发实例对应的视图。
undo bridge命令用来删除手工创建的Bridge转发实例的配置。
【命令】
bridge bridge-index [ blackhole | forward | inter-vlan | reflect ]
undo bridge { bridge-index | all }
【缺省情况】
不存在Bridge转发实例。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
bridge-index:Bridge转发实例索引信息。自动创建的透传模式Bridge转发实例中bridge-index的取值范围为32768~1082400。
手工创建的Bridge转发实例中本参数的取值范围与设备型号有关,请以设备实际情况为准。
系列 |
型号 |
说明 |
F50X0系列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S |
取值范围1~2048 |
F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-A、F5000-M |
取值范围1~128 |
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
取值范围1~128 |
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
取值范围1~128 |
F5000-V系列 |
F5000-V30 |
取值范围1~128 |
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
取值范围1~128 |
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
取值范围1~128 |
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
取值范围1~128 |
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
取值范围1~128 |
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
取值范围1~128 |
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1315、F1000-AK1312、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
取值范围1~128 |
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
取值范围1~2048 |
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
取值范围1~128 |
blackhole:指定Bridge转发实例的转发模式为黑洞模式。
forward:指定Bridge转发实例的转发模式为透传模式。
inter-vlan:指定Bridge转发实例的转发模式为跨VLAN模式。
reflect:指定Bridge转发实例的转发模式为反射模式。
all:删除全部Bridge转发实例。
【使用指导】
本命令用来手工创建Bridge转发实例。创建时,必须指定其工作模式,且一个Bridge转发实例只能配置一种工作模式。
透传模式的Bridge转发实例既可以通过本命令手工创建,也可以通过插入硬件Bypass子卡后由设备自动生成。设备在自动创建透传模式Bridge转发实例后,会自动将子卡上的一对接口添加到此Bridge转发实例中。自动创建的透传模式Bridge转发实例及其包含的接口不支持手工删除。
【举例】
# 创建Bridge 1,配置其转发模式为黑洞模式。
<Sysname> system-view
[Sysname] bridge 1 blackhole
[Sysname-bridge1-blackhole]
# 创建Bridge 2,配置其转发模式为透传模式。
<Sysname> system-view
[Sysname] bridge 2 forward
[Sysname-bridge2-forward]
# 创建Bridge 3,配置其转发模式为跨VLAN模式。
<Sysname> system-view
[Sysname] bridge 3 inter-vlan
[Sysname-bridge3-inter-vlan]
# 创建Bridge 4,配置其转发模式为反射模式。
<Sysname> system-view
[Sysname] bridge 4 reflect
[Sysname-bridge4-reflect]
bridge mac-address timer aging命令用来设置Bridge转发的MAC地址的老化时间。
undo bridge mac-address timer aging命令用来恢复缺省情况。
【命令】
bridge mac-address timer aging seconds
undo bridge mac-address timer aging
【缺省情况】
Bridge转发的MAC的老化时间为300秒。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
seconds:设置MAC地址老化时间,单位为秒,取值范围为60~1440。
【使用指导】
当网络拓扑改变后,动态MAC地址表项不会及时自动更新。这样,由于设备学习不到新的MAC地址,会导致用户流量不能正常转发。因此,需要配置动态MAC地址表项老化时间。超出设定的老化时间,动态MAC地址表项被自动删除,设备重新进行MAC地址学习,构建新的动态MAC地址表项。
用户配置的MAC地址老化时间过长或者过短,都可能影响设备的运行性能:
· 如果用户配置的老化时间过长,设备可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致设备无法根据网络的变化更新MAC地址表。
· 如果用户配置的老化时间太短,设备可能会删除有效的MAC地址表项,可能导致设备广播大量的数据报文,影响设备的运行性能。
所以用户需要根据实际情况,配置合适的老化时间来有效的实现MAC地址老化功能。
【举例】
# 设置Bridge转发的MAC地址老化时间500秒。
<Sysname> system-view
[Sysname] bridge mac-address timer aging 500
bridge tunnel-encapsulation skip命令用来在Inline转发时忽略报文的隧道封装。
undo bridge tunnel-encapsulation skip命令用来恢复缺省情况。
【命令】
bridge tunnel-encapsulation skip
undo bridge tunnel-encapsulation skip
【缺省情况】
Inline转发时未忽略报文的隧道封装。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
缺省情况下,设备对隧道报文进行Inline转发时,根据封装后的报文头信息进行转发。开启Inline转发时报文的隧道封装忽略功能后,则根据封装前的原始报文信息进行转发。
本命令仅在Inline透传模式下生效。
【举例】
# 配置Inline转发时忽略报文的隧道封装。
<Sysname> system-view
[Sysname] bridge tunnel-encapsulation skip
bypass enable命令用来开启内部Bypass功能。
undo bypass enable命令用来关闭Bypass功能。
【命令】
bypass enable
undo bypass enable
【缺省情况】
Bypass功能处于关闭状态。
【视图】
反射模式Bridge视图/透传模式Bridge视图/黑洞模式Bridge视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
Inline转发可以根据接口指导报文的转发,开启Bypass功能后,设备会根据配置的Inline转发模式,选择对应的接口将报文直接转发或者丢弃,不再进行安全业务处理。
多次执行bypass enable命令和bypass enable external命令,最后一次执行的命令生效。
【举例】
# 开启内部Bypass功能。
<Sysname> system-view
[Sysname] bridge 1 forward
[Sysname-bridge-1-forward] bypass enable
bypass enable external命令用来开启外部Bypass功能。
undo bypass enable命令用来关闭Bypass功能。
【命令】
bypass enable external [ auto [ check-interval interval ] ]
undo bypass enable
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
系列 |
型号 |
说明 |
F50X0系列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S |
支持 |
F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-A、F5000-M |
不支持 |
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
不支持 |
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
不支持 |
F5000-V系列 |
F5000-V30 |
不支持 |
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
不支持 |
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
不支持 |
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
不支持 |
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1109、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【缺省情况】
Bypass功能处于关闭状态。
【视图】
透传模式Bridge视图
【缺省用户角色】
network-admin
context-admin
【参数】
auto:开启自动外部Bypass功能。
check-interval interval:接口状态检查定时器。interval表示检查时间间隔,取值范围为0~3600,单位为秒。缺省值为15秒,0表示关闭接口状态检查。
【使用指导】
多次执行本命令,最后一次执行的命令生效。
多次执行bypass enable命令和bypass enable external命令,最后一次执行的命令生效。
开启外部Bypass功能后,用户流量不再经过安全设备处理,直接通过PFC设备转发。
开启外部Bypass功能时:
· 如果不指定auto参数,则表示开启静态外部Bypass功能,用户流量直接通过PFC转发,不经过安全设备处理。
· 如果指定auto参数,则表示开启动态外部Bypass功能。在安全设备上将与PFC相连的两个接口加入Bridge转发实例。安全设备通过检查这两个接口的状态,决定自动启用外部Bypass功能。当透传模式Bridge实例中的某一接口状态变为DOWN时,开启外部Bypass功能,用户流量不经过安全设备,直接通过PFC转发。同时,设备会按周期interval检查接口状态,如果检查到两个接口都变为UP状态,则自动关闭外部Bypass功能,恢复由安全设备处理用户流量。
· 如果指定auto参数,开启动态外部Bypass功能的同时将check-interval interval参数指定为0,则表示关闭接口状态检查。当透传模式Bridge实例中的某一接口状态变为DOWN时,开启外部Bypass功能,用户流量不经过安全设备,直接通过PFC转发。但当两个接口状态都变为UP状态时,用户流量仍会通过PFC转发,不会恢复为由安全设备处理用户流量。
多台设备组成IRF时不支持外部Bypass功能。
配置外部Bypass功能时,有如下限制:
· 仅管理Context支持配置。对于以共享方式分配的二层以太网接口,在管理Context内配置外部bypass功能时:
¡ 如果外部Bypass功能生效,用户流量通过PFC转发,用户Context中该二层以太网接口上存在影响流量转发的配置,则该配置不生效,流量仍会通过PFC转发。
¡ 如果外部Bypass功能不生效,用户流量不通过PFC转发,用户Context中该二层以太网接口上存在影响流量转发的配置,则该配置生效,流量按照配置的转发规则转发。
· 仅支持在手工创建的透传模式Bridge转发实例中配置,对于插入硬件Bypass子卡后设备自动创建的透传模式Bridge转发实例,仅支持内部Bypass功能。
· 仅支持在一个手工创建的透传模式Bridge视图下配置。加入透传模式Bridge实例的两个接口,必须在同一slot上。
· 外部Bypass功能与接口联动组不能同时使用。有关接口联动组的详细介绍,请参见“高可靠性配置指导”中的“接口联动组”。
【举例】
# 开启外部Bypass功能。
<Sysname> system-view
[Sysname] bridge 1 forward
[Sysname-bridge-1-forward] bypass enable external
display bridge bypass status命令用来显示Bypass功能状态。
【命令】
display bridge bridge-index bypass status
本命令的支持情况与设备型号有关,请以设备的实际情况为准。
系列 |
型号 |
说明 |
F50X0系列 |
F5010、F5020、F5020-GM、F5040、F5000-C、F5000-S |
支持 |
F5030、F5030-6GW、F5030-6GW-G、F5060、F5080、F5000-A、F5000-M |
不支持 |
|
F5000-CN系列 |
F5000-CN30、F5000-CN60 |
不支持 |
F5000-AI系列 |
F5000-AI-15、F5000-AI-20、F5000-AI-40 |
不支持 |
F5000-V系列 |
F5000-V30 |
不支持 |
F1000-AI系列 |
F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90 |
不支持 |
F1000-L系列 |
F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L |
不支持 |
F10X0系列 |
F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM、F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090 |
不支持 |
F1000-V系列 |
F1000-V50、F1000-V60、F1000-V70、F1000-V90 |
不支持 |
F1000-SASE系列 |
F1000-SASE100、F1000-SASE200 |
不支持 |
F1000-AK系列 |
F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK710、F1000-AK711、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1125、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190 |
不支持 |
插卡 |
IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1 |
不支持 |
vFW系列 |
vFW1000、vFW2000、vFW-E-Cloud |
不支持 |
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
bridge-index:显示指定Bridge转发实例的Bypass功能状态。
【使用指导】
只在缺省Context内支持本命令。
【举例】
# 显示Bridge 1的Bypass功能状态。
<Sysname> display bridge 1 bypass status
Current external bypass status: Disable
The bypass device is faulty.
表1-5 display bridge bypass status命令显示信息描述表
字段 |
描述 |
Current external bypass status |
外部Bypass功能当前工作状态: · Enable:外部Bypass功能处于开启状态 · Disable:外部Bypass功能处于关闭状态 |
The bypass device is faulty |
Bypass设备故障 |
display bridge mac-address命令用来显示Bridge转发学习的MAC地址信息。
【命令】
display bridge mac-address [ bridge-index [ vlan vlan-id ] ] [ count ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
bridge-index:显示指定Bridge转发实例的MAC地址。
vlan vlan-id:显示指定VLAN内的MAC地址。
count:显示MAC地址表项的数量。如果配置本参数,将仅显示符合条件的(由count前面的参数决定)MAC地址表项的数量,而不显示MAC地址表项的具体内容。如果不指定本参数,则显示符合条件的MAC地址表的具体内容。
slot slot-number:显示指定成员设备的MAC地址信息,slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主用设备的MAC地址信息。
【使用指导】
如果未指定任何参数,将显示所有Bridge转发实例的MAC地址信息。
Bridge转发中的MAC地址全部是学习的地址,使用本命令查看的MAC地址都是动态MAC地址。
【举例】
# 显示Bridge 100的MAC地址表项的信息。
<Sysname> display bridge mac-address 100
MAC Address BRIDGE ID State VLAN ID Port Aging
0033-0033-0033 100 Learned 44 GE1/0/1 Y
0000-0000-0002 100 Learned 66 GE1/0/2 Y
# 显示Bridge 100的MAC地址表项的数量。
<Sysname> display bridge mac-address 100 count
1 mac address(es) found.
表1-6 display bridge mac-address命令显示信息描述表
字段 |
描述 |
MAC Address |
MAC地址 |
BRIDGE ID |
MAC地址所属的Bridge索引 |
State |
MAC地址表项的状态,取值为Learned,动态MAC地址表项。 |
VLAN ID |
出端口所在的VLAN |
Port |
出端口 |
Aging |
老化时间,该表项有两种取值: · Y:表示该表项会被老化 · N:表示该表项不会被老化 |
1 mac address(es) found |
共有1个MAC地址表项 |
mac-address max-mac-count命令用来配置Bridge实例下MAC地址最大学习数。
undo mac-address max-mac-count命令用来恢复缺省情况。
【命令】
mac-address max-mac-count count
undo mac-address max-mac-count
【缺省情况】
Bridge转发实例的MAC地址最大学习数为4096。
【视图】
跨VLAN模式Bridge视图
【缺省用户角色】
network-admin
context-admin
【参数】
count:Bridge转发实例的MAC地址数学习上限,取值范围为0~4096,0即表示不允许该Bridge转发实例学习MAC地址。
【使用指导】
通过配置Bridge转发实例的MAC地址数学习上限,用户可以控制设备维护的Bridge的MAC地址表的表项数量。当Bridge实例学习到的MAC地址数达到上限时,该Bridge转发实例将不再对MAC地址进行学习。
【举例】
# 配置Bridge 2的最大MAC学习数
<Sysname> system-view
[Sysname] bridge 2 inter-vlan
[Sysname-bridge2-inter-vlan] mac-address max-mac-count 10
bridge fast-forwarding check-vlan-id命令用来开启Bridge转发时对VLAN ID字段的检查功能。
undo bridge fast-forwarding check-vlan-id命令关闭Bridge转发时对VLAN ID字段的检查功能。
【命令】
bridge fast-forwarding check-vlan-id
undo bridge fast-forwarding check-vlan-id
【缺省情况】
Bridge转发时对VLAN ID字段的检查功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
本功能处于开启状态时,Bridge转发在查找快速转发表时将检查VLAN ID是否匹配,数据流的VLAN ID与快速转发表中不一致时则判定为与表项不匹配。
报文携带的VLAN ID是设备判断其所属TCP会话的依据之一。在防火墙双机热备的组网环境下,有时需要报文在主备设备间传递后仍可以匹配到同一个会话中,而主备设备上报文入接口所属VLAN可能不同,此时可以关闭对VLAN ID的检查以保证报文在主备设备之间传递之后能够匹配到同一会话。
在防火墙双机热备的组网环境下,无论是否配置本命令,使用跨VLAN模式Bridge进行快速转发时,报文在主备设备间传递后仍可以匹配到同一个会话中,这是因为设备使用跨VLAN模式Bridge进行转发时,不对VLAN ID进行检查,本命令对跨VLAN模式Bridge转发不生效。
【举例】
# 开启Bridge转发时对VLAN ID字段的检查功能。
<Sysname> system-view
[Sysname] bridge fast-forwarding check-vlan-id
display bridge cache ip命令用来显示Bridge转发创建的IP快速转发表信息。
【命令】
display bridge cache ip { inline | inter-vlan } [ ip-address ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
inline:显示Inline转发的快速转发表信息。
inter-vlan:显示跨VLAN转发的快速转发表信息。
ip-address:显示指定IP地址的快速转发表信息。如果不指定ip-address,将显示所有快速转发表信息。
slot slot-number:显示指定成员设备的快速转发表信息。slot-number表示设备在IRF中的成员编号。如果不指定本参数,将显示所有成员设备的快速转发表信息。
【举例】
# 显示Bridge转发创建的IP快速转发表信息。
<Sysname> display bridge cache ip inline
Total number of bridge-forwarding entries: 2
SIP SPort DIP DPort Pro InVLAN OutVLAN Output_If
1.1.1.3 470 1.1.1.2 0 1 3 2 GE1/0/1
1.1.1.2 470 1.1.1.3 2048 1 2 3 GE1/0/2
表1-7 display bridge cache ip命令显示信息描述表
字段 |
描述 |
Total number of bridge-forwarding entries |
快速转发表项数目 |
SIP |
源IP地址 |
SPort |
源端口号 |
DIP |
目的IP地址 |
DPort |
目的端口号 |
Pro |
协议号 |
InVLAN |
报文入VLAN |
OutVLAN |
报文出VLAN |
Output_If |
报文出接口 |
display bridge cache ip fragment命令用来显示Bridge转发创建的分片报文快速转发表信息。
【命令】
display bridge cache ip fragment { inline | inter-vlan } [ ip-address ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
inline:显示Inline转发的分片报文快速转发表信息。
inter-vlan:显示跨VLAN转发的分片报文快速转发表信息。
ip-address:显示指定IP地址的分片报文快速转发表信息。如果不指定ip-address,将显示所有分片报文快速转发表信息。
slot slot-number:显示指定成员设备的分片报文快速转发表信息。slot-number表示设备在IRF中的成员编号。如果不指定本参数,将显示所有成员设备的分片报文快速转发表信息。
【举例】
# 显示Bridge转发创建的分片报文快速转发表信息。
<Sysname> display bridge cache ip fragment inline
Total number of fragment bridge-forwarding entries: 2
SIP SPort DIP DPort Pro InVLAN ID
2.1.1.2 2320 2.1.1.1 2048 1 2 7298
2.1.1.1 2048 2.1.1.2 2320 1 3 6826
表1-8 display bridge cache ip fragment命令显示信息描述表
字段 |
描述 |
Total number of fragment bridge-forwarding entries |
分片报文快速转发表项数目 |
SIP |
源IP地址 |
SPort |
源端口号 |
DIP |
目的IP地址 |
DPort |
目的端口号 |
Pro |
协议号 |
InVLAN |
报文入VLAN |
ID |
分片IP报文ID |
display bridge cache ipv6命令用来显示Bridge转发创建的IPv6快速转发表信息。
【命令】
display bridge cache ipv6 { inline | inter-vlan } [ ipv6-address ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
inline:显示Inline转发的IPv6快速转发表信息。
inter-vlan:显示跨VLAN转发的IPv6快速转发表信息。
ipv6-address:显示指定IPv6地址的IPv6快速转发表信息。如果不指定ipv6-address,将显示所有IPv6地址的IPv6快速转发表信息。
slot slot-number:显示指定成员设备的IPv6快速转发表信息。slot-number表示设备在IRF中的成员编号。如果不指定本参数,将显示所有成员设备的IPv6快速转发表信息。
【举例】
# 显示Bridge转发创建的IPv6快速转发表信息。
<Sysname> display bridge cache ipv6 inline
Total number of IPv6 bridge-forwarding items: 1
Src IP: 10::12 Src Port: 427
Dst IP: 10::11 Dst Port: 32768
InVLAN: 2 OutVLAN: 3
Protocol: 58
Context ID: 257
Bridge ID: 10
Output interface: GE1/0/1
表1-9 display bridge cache ipv6命令显示信息描述表
字段 |
描述 |
Total number of IPv6 bridge-forwarding items |
IPv6快速转发表项数目 |
Src IP |
源IPv6地址 |
Src port |
源端口号 |
Dst IP |
目的IPv6地址 |
Dst Port |
目的端口号 |
InVLAN |
报文入VLAN |
OutVLAN |
报文出VLAN |
Protocol |
协议号 |
Context ID |
CONTEXT ID |
Bridge ID |
Bridge转发实例ID |
Output interface |
报文出接口类型和接口号(“N/A”表示接口存在但是该快速转发不涉及出接口,“-”表示接口不存在) |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!