- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
23-uRPF命令
本章節下載: 23-uRPF命令 (204.27 KB)
1.1.2 display ip urpf statistics security-zone
1.1.4 reset ip urpf statistics security-zone
2.1.2 display ipv6 urpf statistics security-zone
2.1.4 reset ipv6 urpf statistics security-zone
display ip urpf命令用來顯示uRPF的配置應用情況。
【命令】
display ip urpf [ security-zone zone-name ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
security-zone zone-name:安全域的名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備uRPF配置應用情況。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示所有成員設備上的uRPF配置應用情況。
【舉例】
# 顯示指定安全域上已經應用的uRPF的配置情況。
<Sysname> display ip urpf security-zone Untrust
uRPF configuration information of security-zone Untrust(failed):
Check type: strict
Allow default route
Link check
Suppress drop ACL: 3000
表1-1 display ip urpf命令顯示信息描述表
|
字段 |
描述 |
|
uRPF configuration information of security-zone |
安全域uRPF配置應用情況 |
|
(failed) |
當前uRPF配置下發轉發芯片失敗,原因可能為芯片資源不足。沒有該字段時表示下發成功 |
|
Check type |
uRPF檢查類型,包括: · loose:鬆散型檢查 · strict:嚴格型檢查 |
|
Allow default route |
允許缺省路由 |
|
Link check |
允許對鏈路信息進行檢查 |
|
Suppress drop ACL |
配置了抑製丟棄,顯示配置的ACL編號 |
display ip urpf statistics security-zone命令用來顯示安全域的uRPF統計信息。
【命令】
display ip urpf statistics security-zone zone-name [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
zone-name:安全域的名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備上的uRPF統計信息。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示所有成員設備上的uRPF統計信息。
【舉例】
# 顯示安全域Untrust的uRPF統計信息。
<Sysname> display ip urpf statistics security-zone Untrust slot 1
uRPF information:
Drops : 390712
Suppressed drops: 0
表1-2 display ip urpf statistics security-zone命令顯示信息描述表
|
字段 |
描述 |
|
uRPF information |
uRPF統計信息 |
|
Drops |
顯示丟棄報文的數目 |
|
Suppressed drops |
配置了抑製丟棄時,顯示匹配到ACL未丟棄報文的數目 |
【相關命令】
· reset ip urpf statistics security-zone
ip urpf命令用來開啟uRPF功能。
undo ip urpf命令用來關閉uRPF功能。
【命令】
ip urpf { loose [ allow-default-route ] [ acl acl-number ] | strict [ allow-default-route ] [ acl acl-number ] [ link-check ] }
undo ip urpf
【缺省情況】
uRPF功能處於關閉狀態。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
loose:鬆散型檢查。僅檢查報文的源地址是否在轉發表中存在,而不再檢查報文的入接口與轉發表是否匹配。
strict:嚴格型檢查。不僅檢查報文的源地址是否在轉發表中存在,而且檢查報文的入接口與轉發表是否匹配。僅VLAN接口視圖下可使用該檢查方式。
allow-default-route:允許源地址查轉發表時匹配缺省路由表項。
acl acl-number:訪問控製列表,用來抑製報文丟棄。acl-number表示指定的ACL編號,取值範圍為2000~3999。其中:
· 基本ACL編號的取值範圍為2000~2999。
· 高級ACL編號的取值範圍為3000~3999。
link-check:允許對鏈路信息進行檢查。目前僅支持以太網鏈路。
【使用指導】
uRPF功能一般部署在運營商網絡接入客戶側設備的邊緣位置,也可以部署在運營商網絡對接其他運營商設備的邊緣位置設備或部署在客戶側邊緣位置設備。
選擇嚴格或鬆散uRPF取決於當前組網中是否存在非對稱路徑,如果運營商設備上行流量的入接口和下行流量的出接口相同則是對稱路徑,此時建議在運營商網絡接入客戶側設備的邊緣位置的接口所在的安全域下配置嚴格uRPF。一般運營商接入客戶側的組網中都是對稱路徑。運營商對接其他運營商的邊緣位置可能出現非對稱路徑,此時建議在運營商網絡對接其他運營商網絡的邊緣位置的接口所在的安全域下配置鬆散uRPF。
運營商網絡邊緣位置一般不會有缺省路由指向客戶側設備,所以一般不需要配置allow-default-route。如果在客戶側邊緣設備接口所在安全域上麵啟用uRPF,這時往往會有缺省路由指向運營商,此時需要配置allow-default-route。
如果一個特定的數據包與ACL匹配,即使它沒有通過uRPF的檢查,也會被轉發。
配置link-check後,設備會根據源地址查轉發表得到的下一跳後進一步查ARP表項來確定源MAC地址是否正確。如果運營商是用以太網接口接入客戶,此時一個接口同時接多個不同客戶,因此建議接口下配置link-check功能。
引用ACL時,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中沒有配置規則,則表示ACL匹配不生效。
· 在引用的ACL中,若某規則指定了vpn-instance參數,則表示該規則僅對VPN報文有效;若規則未指定vpn-instance參數,則表示該規則僅對公網報文有效。
【舉例】
# 在安全域Untrust上配置嚴格型uRPF檢查。
<Sysname> system-view
[Sysname] security-zone name Untrust
[Sysname-security-zone-Untrust] ip urpf strict
【相關命令】
· display ip urpf
reset ip urpf statistics security-zone命令用來清除安全域的uRPF統計信息。
【命令】
reset ip urpf statistics security-zone zone-name
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
zone-name:安全域的名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
【舉例】
# 清除安全域Untrust的urpf統計信息。
<Sysname> reset ip urpf statistics security-zone Untrust
【相關命令】
· display ip urpf statistics security-zone
display ipv6 urpf命令用來顯示IPv6 uRPF的配置應用情況。
【命令】
display ipv6 urpf [ security-zone zone-name ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
security-zone zone-name:安全域的名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備IPv6 uRPF配置應用情況。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示所有成員設備上的IPv6 uRPF配置應用情況。
【舉例】
# 顯示指定安全域上的已經應用的IPv6 uRPF的配置情況。
<Sysname> display ipv6 urpf security-zone Untrust
IPv6 uRPF configuration information of security-zone Untrust(failed):
Check type: loose
Allow default route
Suppress drop ACL: 2000
表2-1 display ipv6 urpf命令顯示信息描述表
|
字段 |
描述 |
|
IPv6 uRPF configuration information of security-zone |
安全域IPv6 uRPF配置應用情況 |
|
(failed) |
當前IPv6 uRPF配置下發轉發芯片失敗,原因可能為芯片資源不足。沒有該字段時表示下發成功 |
|
Check type |
IPv6 uRPF檢查類型,包括: · loose:鬆散型檢查 · strict:嚴格型檢查 |
|
Allow default route |
允許缺省路由 |
|
Suppress drop ACL |
配置了抑製丟棄,顯示配置的IPv6 ACL編號 |
display ipv6 urpf statistics security-zone命令用來顯示安全域的IPv6 uRPF統計信息。
【命令】
display ipv6 urpf statistics security-zone zone-name [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
zone-name:安全域的名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
slot slot-number:顯示指定成員設備上的IPv6 uRPF統計信息。slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示所有成員設備上的IPv6 uRPF統計信息。
【舉例】
# 顯示安全域Untrust的IPv6 uRPF統計信息。
<Sysname> display ipv6 urpf statistics security-zone Untrust slot 1
IPv6 uRPF information:
Drops : 390712
Suppressed drops: 0
表2-2 display ip urpf statistics security-zone命令顯示信息描述表
|
字段 |
描述 |
|
IPv6 uRPF information |
IPv6 uRPF統計信息 |
|
Drops |
顯示丟棄報文的數目 |
|
Suppressed drops |
配置了抑製丟棄時,顯示匹配到ACL未丟棄報文的數目 |
【相關命令】
· reset ipv6 urpf statistics security-zone
ipv6 urpf命令用來開啟IPv6 uRPF功能。
undo ipv6 urpf命令用來關閉IPv6 uRPF功能。
【命令】
ipv6 urpf { loose | strict } [ allow-default-route ] [ acl acl-number ]
undo ipv6 urpf
【缺省情況】
IPv6 uRPF功能處於關閉狀態。
【視圖】
安全域視圖
【缺省用戶角色】
network-admin
context-admin
【參數】
loose:鬆散型檢查。僅檢查報文的源地址是否在IPv6轉發表中存在,而不再檢查報文的入接口與IPv6轉發表是否匹配。
strict:嚴格型檢查。不僅檢查報文的源地址是否在IPv6轉發表中存在,而且檢查報文的入接口與IPv6轉發表是否匹配。
allow-default-route:允許源地址查IPv6轉發時匹配缺省路由表項。
acl acl-number:訪問控製列表,用來抑製報文丟棄。acl-number表示指定的ACL編號,取值範圍為2000~3999。其中:
· 基本ACL編號的取值範圍為2000~2999。
· 高級ACL編號的取值範圍為3000~3999。
【使用指導】
IPv6 uRPF功能一般部署在運營商網絡接入客戶側設備的邊緣位置,也可以部署在運營商網絡對接其他運營商設備的邊緣位置設備或部署在客戶側邊緣位置設備。
選擇嚴格或鬆散IPv6 uRPF取決於當前組網中是否存在非對稱路徑,如果運營商設備上行流量的入接口和下行流量的出接口相同則是對稱路徑,此時建議在運營商網絡接入客戶側設備的邊緣位置的接口所在的安全域下配置嚴格IPv6 uRPF。一般運營商接入客戶側的組網中都是對稱路徑。運營商對接其他運營商的邊緣位置可能出現非對稱路徑,此時建議在運營商網絡對接其他運營商網絡的邊緣位置的接口所在的安全域下配置鬆散IPv6 uRPF。
如果一個特定的數據包與ACL匹配,即使它沒有通過IPv6 uRPF的檢查,也會被轉發。
運營商網絡邊緣位置一般不會有缺省路由指向客戶側設備,所以一般不需要配置allow-default-route。如果在客戶側邊緣設備接口所在安全域上麵啟用IPv6 uRPF,這時往往會有缺省路由指向運營商,此時需要配置allow-default-route。
引用ACL時,需要注意的是:
· 若引用的ACL不存在,或者引用的ACL中沒有配置規則,則表示ACL匹配不生效。
· 在引用的ACL中,若某規則指定了vpn-instance參數,則表示該規則僅對VPN報文有效;若規則未指定vpn-instance參數,則表示該規則僅對公網報文有效。
【舉例】
# 在安全域Untrust上配置鬆散IPv6 uRPF檢查。
<Sysname> system-view
[Sysname] security-zone name Untrust
[Sysname-security-zone-Untrust] ipv6 urpf loose
【相關命令】
· display ipv6 urpf
reset ipv6 urpf statistics security-zone命令用來清除安全域的IPv6 uRPF統計信息。
【命令】
reset ipv6 urpf statistics security-zone zone-name
【視圖】
用戶視圖
【缺省用戶角色】
network-admin
network-operator
context-admin
context-operator
【參數】
zone-name:安全域的名稱,為1~31個字符的字符串,不區分大小寫,不能包含字符“-”。
【舉例】
# 清除安全域Untrust的IPv6 uRPF統計信息
<Sysname> reset ipv6 urpf statistics security-zone Untrust
【相關命令】
· display ipv6 urpf statistics security-zone
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
