所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

CloudEngine 8800, 7800, 6800, 5800 V200R002C50 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
IPv6基础配置命令

IPv6基础配置命令

说明:

CE6810LI设备不支持IPv6的三层转发,接口使能了IPv6功能后,配置的IPv6地址只能用来管理设备。

assign forward ipv6 longer-mask resource

命令功能

assign forward ipv6 longer-mask resource命令用来指定设备上可以支持的带超长前缀(前缀长度大于64)的IPv6地址/IPv6路由的具体数目

undo assign forward ipv6 longer-mask resource命令用来删除已指定的设备上可以支持的带超长前缀的IPv6地址/IPv6路由的具体数目

缺省情况下,未指定设备上可以支持的带超长前缀的IPv6地址/IPv6路由的具体数目

说明:

CE5810EI、CE5850HI、CE6810EI、CE6810LI、CE6850EI、CE6870EI、CE6880EI不支持此命令。

命令格式

assign forward ipv6 longer-mask resource ipv6-address-number

undo assign forward ipv6 longer-mask resource [ ipv6-address-number ]

参数说明

参数 参数说明 取值
ipv6-address-number

指定可以支持的前缀长度大于64的IPv6地址/IPv6路由的具体数目。

整数形式,取值为256、512、1024或2048。

说明:

当系统资源模式为大路由模式(通过命令system resource配置)时,ipv6-address-number取值只能为1024。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当用户需要配置前缀长度大于64的IPv6地址/IPv6路由时,需要先执行命令assign forward ipv6 longer-mask resource,指定设备上可以支持的前缀长度大于64的IPv6地址/IPv6路由的具体数目。

注意事项

执行命令assign forward ipv6 longer-mask resource,指定设备上可以支持的前缀长度大于64的IPv6地址/IPv6路由的具体数目后,会减少IPv6网段路由规格和IPv4网段路由规格。

后续任务

执行命令assign forward ipv6 longer-mask resource指定设备上可以支持的带超长前缀的IPv6地址/IPv6路由的具体数目后,需要执行命令save保存配置并执行命令reboot重新启动设备使配置生效。

使用实例

# 指定设备上可以支持的前缀长度大于64的IPv6地址/IPv6路由的具体数目为256。

<HUAWEI> system
[~HUAWEI] assign forward ipv6 longer-mask resource 256

display icmpv6 statistics

命令功能

display icmpv6 statistics命令用来查看ICMPv6流量统计信息。

命令格式

display icmpv6 statistics [ interface interface-type interface-number ]

参数说明

参数 参数说明 取值
interface interface-type interface-number 指定接口类型和接口编号。显示指定接口的ICMPv6流量统计信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过查看display icmpv6 statistics命令的显示信息,可以查看到接收和发送的ICMPv6错误报文和邻居发现机制的四种ICMPv6报文(RS、RA、NS、NA)的统计信息。

在进行Ping ipv6操作时,可以通过在设备上查看display icmpv6 statistics命令的显示信息,判断本设备发送和接收的报文总数是否正确。

注意事项

设备收到的报文数指的是接收的报文总数,包括被转发的报文、传入上层的报文和被丢弃的报文。

使用实例

# 查看设备的ICMPv6报文流量统计信息。

<HUAWEI> display icmpv6 statistics
  Sent packets:
    Total              : 0
    Unreached          : 0              Prohibited         : 0
    Hop count exceeded : 0              Parameter problem  : 0
    Too big            : 0              Echoed             : 0
    Echo replied       : 0              Router solicit     : 0
    Router advert      : 0              Neighbor solicit   : 2
    Neighbor advert    : 0              Redirected         : 0
    Rate limited       : 0                             
  Received packets:
    Total              : 0              Format error       : 0
    Checksum error     : 0              Too short          : 0
    Bad code           : 0              Bad length         : 0
    Unknown info type  : 0              Unknown error type : 0 
    Unreached          : 0              Prohibited         : 0
    Hop count exceeded : 0              Parameter problem  : 0
    Too big            : 0              Echoed             : 0 
    Echo replied       : 0              Router solicit     : 0
    Router advert      : 0              Neighbor solicit   : 0
    Neighbor advert    : 0              Redirected         : 0
    Rate limited       : 0
表8-61  display icmpv6 statistics命令输出信息描述项目描述
项目 描述

Sent packets

ICMPv6发送报文的统计信息

Total

发送报文总数

Unreached

发送目的不可达ICMPv6消息报文总数

Prohibited

发送管理受限不可达ICMPv6消息报文总数

Hop count exceeded

发送跳数超出限制ICMPv6消息报文总数

Parameter problem

发送参数错误ICMPv6消息报文总数

Too big

发送超大报文ICMPv6消息报文总数

Echoed

发送ICMPv6请求报文总数

Echo replied

发送ICMPv6响应报文总数

Router solicit

发送RS报文总数

Router advert

发送RA报文总数

Neighbor solicit

发送NS报文总数

Neighbor advert

发送NA报文总数

Redirected

发送重定向ICMPv6消息报文总数

Rate limited

因ICMPv6错误产生速率限制而未发送的报文总数

Received packets

ICMPv6接收报文的统计信息

Total

接收报文总数

Format error

接收ICMPv6格式错误报文总数

Checksum error

接收到的校验和错误的ICMPv6报文总数

Too short

接收到的过短ICMPv6报文总数

Bad code

接收到的编码字段值非法的ICMPv6报文总数

Bad length

接收到的长度错误的ICMPv6报文总数

Unknown info type

接收到的未知信息类型ICMPv6报文总数

Unknown error type

接收到的未知错误类型ICMPv6报文总数

Unreached

接收到的目的不可达ICMPv6消息报文总数

Prohibited

接收到的管理受限不可达ICMPv6消息报文总数

Hop count exceeded

接收到的跳数超出限制ICMPv6消息报文总数

Parameter problem

接收到的参数错误ICMPv6消息报文总数

Too big

接收到的超大报文ICMPv6消息报文总数

Echoed

接收到的ICMPv6请求报文总数

Echo replied

接收到的ICMPv6响应报文总数

Router solicit

接收到的RS报文总数

Router advert

接收到的RA报文总数

Neighbor solicit

接收到的NS报文总数

Neighbor advert

接收到的NA报文总数

Redirected

接收重定向ICMPv6消息报文总数

Rate limited

因ICMPv6错误处理速率限制而未接收的报文总数

display ipv6 address-policy

命令功能

display ipv6 address-policy命令用来查看地址选择策略表项信息。

命令格式

display ipv6 address-policy [ vpn-instance vpn-instance-name ] { all | ipv6-address prefix-length }

参数说明

参数 参数说明 取值
vpn-instance vpn-instance-name 指定VPN实例的名称。显示指定VPN实例的地址选择策略表项信息。 字符串形式,区分大小写,不支持空格,长度范围是1~31。不能以“_public_”作为VPN实例名称。当输入的字符串两端使用双引号时,可在字符串中输入空格。
all 显示所有地址选择策略表项信息。 -
ipv6-address 指定IPv6地址前缀。 32位16进制数,格式为X:X:X:X:X:X:X:X。
prefix-length 指定IPv6地址的前缀长度。 整数形式,取值范围是0~128。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

使用该命令时:

  • 如果指定参数vpn-instance vpn-instance-name,则显示该VPN中的所有策略表项。

  • 如果指定参数all,则显示所有策略表项,包含缺省策略表项。

  • 如果指定参数ipv6-address prefix-length,则显示指定前缀的策略表项。

注意事项

如果用户没有配置任何地址选择策略表项,执行该命令时系统将显示缺省策略表项,即显示::1、::、2002::、FC00::、::ffff:0.0.0.0地址前缀的址选择策略表项信息。

使用实例

# 查看VPN实例R1_VPN6的地址策略表项信息。

<HUAWEI> display ipv6 address-policy vpn-instance R1_VPN6 all
Policy Table :
Total:5
-------------------------------------------------------------------------------
Prefix     : ::                                      PrefixLength  : 0
Precedence : 40                                      Label         : 1
Default    : Yes

Prefix     : ::1                                     PrefixLength  : 128
Precedence : 50                                      Label         : 0
Default    : Yes

Prefix     : ::FFFF:0.0.0.0                          PrefixLength  : 96
Precedence : 10                                      Label         : 4
Default    : Yes

Prefix     : 2002::                                  PrefixLength  : 16
Precedence : 30                                      Label         : 2
Default    : Yes

Prefix     : FC00::                                  PrefixLength  : 7
Precedence : 20                                      Label         : 3
Default    : Yes
-------------------------------------------------------------------------------
表8-62  display ipv6 address-policy命令输出信息描述

项目

描述

Policy Table

地址选择策略表项信息。

Total

地址选择策略表项的个数。

Prefix

IPv6地址前缀。

PrefixLength

IPv6地址前缀长度。

Precedence

目的地址选择时,策略表项的优先级。

Label

源地址选择时,用来匹配可用策略表项的标签。

Default

是否是缺省策略表项。

  • YES:是缺省策略表项。
  • NO:不是缺省策略表项。

display ipv6 interface

命令功能

display ipv6 interface命令用来查看接口的IPv6信息。

命令格式

display ipv6 interface [ interface-type interface-number | brief ]

参数说明

参数 参数说明 取值
interface-type 指定接口类型。 -
interface-number 指定接口编号。 -
brief 显示接口的摘要信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

若接口上配置了IPv6类型的IP地址,用户可以使用display ipv6 interface命令来查看接口的IPv6状态信息和配置信息。

注意事项

在执行该命令前请确保已在相应的接口下配置IPv6地址,否则查看不到接口显示信息。

后续任务

接口的描述信息可以通过命令display interface description查看。

接口的详细运行信息和统计信息可以通过命令display interface查看。

使用实例

# 查看接口10GE 1/0/1上的IPv6信息。

<HUAWEI> display ipv6 interface 10GE 1/0/1
10GE1/0/1 current state : UP 
IPv6 protocol current state : UP
IPv6 is enabled, link-local address is FE80::200:1FF:FE04:5D00
  Global unicast address(es):
    2001:db8::1, subnet is 2001:db8::/64
  Joined group address(es):
    FF02::1:FF00:1
    FF02::1:FF04:5D00
    FF02::2
    FF02::1
  MTU is 1500 bytes
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds
  ND retransmit interval is 1000 milliseconds
  Hosts use stateless autoconfig for addresses
表8-63  display ipv6 interface命令输出信息描述

项目

描述

10GE1/0/1 current state

接口10GE1/0/1当前的物理状态
  • UP

  • DOWN

  • Administratively DOWN

IPv6 protocol current state

接口当前的协议状态
  • UP

  • DOWN

link-local address

接口上配置的链路本地地址

Global unicast address(es)

接口上配置的全球单播地址

  • 当显示[DUPLICATED],表明IPv6地址状态冲突。具体原因和处理方法请参考《CE8800, CE7800, CE6800, CE5800系列交换机 故障处理-IP转发与路由类-IPv6转发故障处理》中“接口IPv6地址冲突的定位思路”。
  • 当没有对应的ND表项,则表明ND表项创建失败。具体原因和处理方法请参考《CE8800, CE7800, CE6800, CE5800系列交换机 故障处理-IP转发与路由类-IPv6转发故障处理》中“无法学习到ND表项的定位思路”。

Joined group address(es)

接口加入的所有组播地址

MTU

接口的最大传输单元

number of DAD attempts

重复地址探测的次数

ND reachable time

邻居可达时间

ND retransmit interval

重传时间间隔

Hosts use stateless autoconfig for addresses

主机使用无状态自动配置获取地址

# 查看所有接口的IPv6简要信息。

<HUAWEI> display ipv6 interface brief
*down: administratively down
!down: FIB overload down
(l): loopback
(s): spoofing
(d): Dampening Suppressed

Interface                    Physical              Protocol VPN
10GE1/0/1         up                    up       ifm_abcdefghijklmn
[IPv6 Address] 2001:db8::1
10GE1/0/2         up                    up       --
[IPv6 Address] 2001:db8::2
表8-64  display ipv6 interface brief命令输出信息描述

项目

描述

*down

显示接口的物理状态为Down的原因。

Administratively DOWN:如果网络管理员在该接口执行命令shutdown,将显示状态为Administratively DOWN。

!down

由于接口板的FIB路由前缀容量超限,接口处于Down状态。

(l): loopback

l:标识接口上设置了环回功能。

(s): spoofing

s:标识该接口的链路协议状态有spoofing特性,也就是该接口的链路协议状态永远是Up。

spoofing是接口的固有属性,即使该接口上配置了IP地址仍然会显示(s)。

(d): Dampening Suppressed

d:标识该接口上设置了震荡抑制功能。

Interface

显示的接口名称

Physical

显示接口的物理状态,有以下三种状态:
  • up

  • down

  • 管理性down

Protocol

显示链路协议的状态,有以下两种状态:
  • up

  • down

VPN

当前接口所配置的VPN。可能的状态有:
  • –:没有配置VPN。
  • ifm_abcdefghijklmn:VPN实例名称。

IPv6 Address

配置的接口地址

display ipv6 nd security nonce

命令功能

display ipv6 nd security nonce命令用来查看当前SEND交互中的随机数(Nonce)值。

命令格式

display ipv6 nd security nonce interface-type interface-number

参数说明

参数 参数说明 取值
interface-type interface-number 显示指定接口上ND安全报文的随机数(Nonce)值。 -

视图

所有视图

缺省级别

1:监控级

使用指南

随机数选项包含了由请求消息的发送者所生成的一个随机数,用来在请求和回应交互中防止重放攻击。比如在NS和NA报文的交互中,NS报文中携带Nonce选项,回应的NA报文中也携带此选项,发送者根据收到的选项判断是否为合法的回应报文。

当用户需要了解ND报文的随机数选项值时,可以通过该命令查看指定接口下所有ND报文的对端IPv6地址以及对应的随机数值。

使用实例

# 显示接口10GE1/0/1上ND安全报文的随机数(Nonce)值。

<HUAWEI> display ipv6 nd security nonce 10ge 1/0/1
Total Number of Nonce Entries : 1
--------------------------------------------------------------
Peer Address                                  Nonce Value
--------------------------------------------------------------
FE80::1CA1:5572:34D5:632F                  0x57 22 da 69 01 b3
表8-65  display ipv6 nd security nonce命令输出信息描述
项目

描述

Total Number of Nonce Entries

随机数(Nonce)表项总数。

Peer Address

与之交互ND安全报文的对端IPv6地址。

Nonce Value

ND安全报文中的随机数值。

display ipv6 nd security statistics

命令功能

display ipv6 nd security statistics命令用来查看接口ND安全相关的报文统计信息。

命令格式

display ipv6 nd security statistics interface-type interface-number

参数说明

参数 参数说明 取值
interface-type interface-number 显示指定接口上ND安全相关的报文统计信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

通过查看该命令的显示信息可以分析和验证ND安全功能是否正常。

使用实例

#显示接口10GE1/0/1的ND安全相关的报文统计信息。

<HUAWEI> display ipv6 nd security statistics 10ge 1/0/1
Received Packet Statistics:
------------------------------------------------------------------------------
Type                      NA         NS         RA         RS         Redirect
------------------------------------------------------------------------------
Total                     0          0          0          0          0
Secured                   0          0          0          0          0
Unsec: No CGA             0          0          0          0          0
Unsec: No RSA             0          0          0          0          0
Unsec: KeyLen Mismatch    0          0          0          0          0
Unsec: Others             0          0          0          0          0

Sent Packet Statistics:
------------------------------------------------------------------------------
Type                      NA         NS         RA         RS         Redirect
------------------------------------------------------------------------------
Sent                      0          0          0          0          0
Aborted                   0          0          0          0          0

Dropped Packet Statistics:
------------------------------------------------------------------------------
Type                      NA         NS         RA         RS         Redirect
------------------------------------------------------------------------------
No Nonce                  0          0          0          0          0
No TS                     0          0          0          0          0
CGA Verify Fail           0          0          0          0          0
RSA Verify Fail           0          0          0          0          0
Nonce Verify Fail         0          0          0          0          0
TS Verify Fail            0          0          0          0          0
RateLimit                 0          0          0          0          0
Fully Secured Mode        0          0          0          0          0
表8-66  display ipv6 nd security statistics命令输出信息描述

项目

描述

Received Packet Statistics

接收的报文统计信息。

Type

报文的类型。包括NA、NS、RA、RS、Redirect报文的统计信息。

Total

接收的ND报文总数,包括安全与非安全报文。

Secured

接收到的安全ND报文(通过了Nonce、Timestamp、CGA和RSA校验)的总数。

Unsec: No CGA

在非严格安全模式下,接收到的ND报文携带了部分安全选项的情况下,由于以下两种原因被视为非安全ND报文的总数:
  • 接收到的RS报文的源地址不是未指定地址且没有携带CGA选项。
  • NS/NA/RA报文没有携带CGA选项。

Unsec: NO RSA

在非严格安全模式下,接收到的ND报文携带了部分安全选项的情况下,由于以下两种原因被视为非安全ND报文的总数:
  • 接收到的RS报文的源地址不是未指定地址且没有携带RSA选项。
  • NS/NA/RA报文没有携带RSA选项。

Unsec: KeyLen Mismatch

在非严格安全模式下,接收到的ND报文携带了Nonce、Timestamp、CGA和RSA选项,并且Nonce、Timestamp、CGA校验通过的情况下,由于密钥长度超出可以接受的长度范围而被视为非安全ND报文的总数。

Unsec: Others

在非严格安全模式下,由于其他原因被视为非安全ND报文的总数,包含但不限于以下原因:
  1. 接收到的ND报文未携带任何安全选项(Nonce、Timestamp、CGA和RSA选项)。
  2. 接收到的ND报文携带了部分安全选项,但没有携带Nonce及Timestamp选项。
  3. 接收到的ND报文携带了RSA选项,但没有携带Timestamp选项。
  4. 接收到的RS/NS报文携带了RSA选项,但没有携带Nonce选项。
以上四种情况,有先后顺序,不重复统计。

Sent Packet Statistics

发送报文的统计信息。

Sent

发送的ND安全报文总数。

Aborted

发送前被丢弃的报文总数。

Dropped Packet Statistics

在严格安全模式下,丢弃的报文统计信息。

No Nonce

在严格安全模式下,接收到的RS/NS报文携带了RSA选项,但是没有携带Nonce选项的报文总数。

No TS

在严格安全模式下,接收到ND报文携带了RSA选项,但是没有携带Timestamp选项的报文总数。

CGA Verify Fail

在严格安全模式下,CGA认证失败的报文总数。

RSA Verify Fail

在严格安全模式下,RSA签名认证失败和RSA密钥长度超出可以接受的长度范围的报文总数。

Nonce Verify Fail

在严格安全模式下,Nonce选项认证失败的报文总数。

TS Verify

在严格安全模式下,Timestamp选项认证失败的报文总数。

RateLimit

在严格安全模式下,由于RSA签名的计算和认证速率超过上限值而被丢弃的报文总数。

Fully Secured Mode

在严格安全模式下,由于以下情况被认定为非安全报文而丢弃的报文总数:
  • 接收到的RS报文的源地址不是未指定地址且没有携带CGA或者RSA选项。
  • 接收到的RS报文的源地址是未指定地址。
  • NS/NA/RA报文没有携带CGA或者RSA选项。
  • 接收到的ND报文携带了安全选项,但没有携带Nonce及Timestamp选项。

display ipv6 nd security timestamp

命令功能

display ipv6 nd security timestamp命令用来查看收到最后一个SEND报文的时间(RDlast)以及该报文中的时间戳值(TSlast),接收端收到SEND报文后记录以上两个时间值。

命令格式

display ipv6 nd security timestamp interface-type interface-number

参数说明

参数 参数说明 取值
interface-type interface-number 显示指定接口上收到的SEND报文的时间值(RDlast和TSlast)。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过该命令查看接口上ND安全报文的时间值(RDlast和TSlast),进而可以通过以下公式判断报文的接收时刻与发送时刻的差值是否超出本接口可以接受的时间范围。

  • 首次从对端接收到ND报文时:

    -delta-value < (RDnew - TSnew) < delta-value

  • 再次从对端接收到ND报文时:

    TSnew + fuzz-value > TSlast + (RDnew - RDlast) x (1 - drift-value) - fuzz-value

说明:
  • delta-valuedrift-valuefuzz-valueipv6 nd security timestamp命令中的参数
  • RDnew:接收端收到最新SEND报文的时间
  • RDlast:接收端从同一个对端收到并接受上一个SEND报文的时间
  • TSnew:接收端收到最新SEND报文中的时间戳值,该时间值由发送端记录在SEND报文的时间戳选项中
  • TSlast:接收端收到并接受的上一个SEND报文中的时间戳值,该时间值由发送端记录在SEND报文的时间戳选项中

注意事项

如果本接口没有和对端建立邻居关系或者没有与对端交互ND报文,则执行本命令后无显示信息。

使用实例

#显示ND安全报文的时间值(RDlast和TSlast)。

<HUAWEI> display ipv6 nd security timestamp 10ge 1/0/1
Total Number of Timestamp Entries : 2
Peer Address : FE80::1812:16D1:319F:B44F
TSlast       : 4c209e350000
RDlast       : 4c209e350000
                             
Peer Address : FE80::3066:6FC:B4D7:5891
TSlast       : 4c209e360000
RDlast       : 4c209e360000
表8-67  display ipv6 nd security timestamp命令输出信息描述
项目

描述

Total Number of Timestamp Entries

时间戳表项总数。

Peer Address

与本端交互ND安全报文的对端IP地址。

RDlast

接收端从同一个对端收到并接受上一个SEND报文的时间。该时间是从1970年1月1号零时(UTC)以来的秒数。

TSlast

接收端收到并接受的上一个SEND报文中的时间戳值。

display ipv6 neighbors

命令功能

display ipv6 neighbors命令用来查看邻居表项信息。

命令格式

display ipv6 neighbors [ ipv6–address | interface-type interface-number | vpn-instance vpn-instance-name ]

display ipv6 neighbors vlan vlan-id interface-type interface-number

display ipv6 neighbors brief

参数说明

参数 参数说明 取值
interface-type interface-number 显示指定接口上的邻居表项信息。 -
ipv6-address 显示指定IPv6地址的邻居表项信息。

32位16进制数,格式为X:X:X:X:X:X:X:X。

vpn-instance vpn-instance-name 显示指定IPv6 VPN实例的邻居表项信息。 字符串形式,区分大小写,不支持空格,长度范围是1~31。不能以“_public_”作为VPN实例名称。当输入的字符串两端使用双引号时,可在字符串中输入空格。
vlan vlan-id 指定VLANIF接口所属的VLAN ID。 整数形式,取值范围是1~4094。
brief 显示邻居表项信息的概要信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过查看display ipv6 neighbors命令的显示信息可以得到动态和静态邻居表项信息,进而可以:

  • 判断本路由设备是否学习到邻居的MAC地址。
  • 查看本路由设备的邻居的状态(邻居不可达、邻居可达、邻居是否可达未知)。

注意事项

执行display ipv6 neighbors命令时,如果不指定任何参数,表示查看所有邻居表项信息。

使用实例

# 查看指定接口VLANIF 1的邻居表项信息。

<HUAWEI> display ipv6 neighbors Vlanif 1
-----------------------------------------------------------------------------
IPv6 Address : 2001:DB8::1                                                          
Link-layer   : 00fe-00e0-0089                     State     : INCMP               
Interface    : 10GE1/0/1                          Age       : -                   
VLAN         : 1                                  CEVLAN    : -                   
VPN name     : -                                  Is Router : TRUE               
Secure FLAG  : SECURE                             Nickname  : -
Destination IP: -                                 Source IP : -          
VNI          : -                                  BD        : -
-----------------------------------------------------------------------------
Total: 1        Dynamic: 0      Static: 1

# 查看指定接口10GE1/0/1的邻居表项信息。

<HUAWEI> display ipv6 neighbors 10ge 1/0/1
-----------------------------------------------------------------------------
IPv6 Address : FE80::2E0:FCFF:FE89:FE6E                                         
Link-layer   : 00e0-fc89-fe6e                     State     : INCMP               
Interface    : 10GE1/0/1                          Age       : -                   
VLAN         : -                                  CEVLAN    : -                   
VPN name     : vpn1                               Is Router : TRUE               
Secure FLAG  : SECURE                             Nickname  : -
Destination IP: -                                 Source IP : -          
VNI          : -                                  BD        : -
-----------------------------------------------------------------------------
Total: 1        Dynamic: 0      Static: 1 

# 查看指定IPv6地址2001:db8::2的邻居表项信息。

<HUAWEI> display ipv6 neighbors 2001:db8::2
-----------------------------------------------------------------------------
IPv6 Address : 2001:DB8::2                                         
Link-layer   : 00e0-fc89-fe6e                     State     : STALE               
Interface    : 10GE1/0/1                            Age       : -                   
VLAN         : -                                  CEVLAN    : -                   
VPN name     : -                                  Is Router : TRUE               
Secure FLAG  : SECURE                             Nickname  : -
Destination IP: -                                 Source IP : -          
VNI          : -                                  BD        : -
-----------------------------------------------------------------------------
Total: 1        Dynamic: 0      Static: 1 

# 查看IPv6 VPN实例为vpnA的邻居表项信息。

<HUAWEI> display ipv6 neighbors vpn-instance vpnA
-----------------------------------------------------------------------------
IPv6 Address : FE80::2E0:FCFF:FE89:FE6E                                         
Link-layer   : 00e0-fc89-fe6e                     State     : INCMP               
Interface    : 10GE1/0/1                          Age       : -
VLAN         : -                                  CEVLAN    : -                   
VPN name     : vpnA                               Is Router : TRUE               
Secure FLAG  : SECURE                             Nickname  : -
Destination IP: -                                 Source IP : -          
VNI          : -                                  BD        : -
-----------------------------------------------------------------------------
Total: 1        Dynamic: 0      Static: 1 

# 查看指定接口Vbdif1的邻居表项信息。

<HUAWEI> display ipv6 neighbors Vbdif1
-----------------------------------------------------------------------------
IPv6 Address : 2001:DB8::2                                                      
Link-layer   : 386f-da21-1200                     State     : STALE             
Interface    : Vbdif1                             Age       : 32                
VLAN         : -                                  CEVLAN    : -                 
VPN name     : -                                  Is Router : TRUE              
Secure FLAG  : UN-SECURE                          Nickname  : -                 
Destination IP: 2.2.2.2                           Source IP : 2.2.2.1           
VNI          : 20                                 BD        : 1                 

-----------------------------------------------------------------------------
Total: 1        Dynamic: 1      Static: 0  

# 查看简要的邻居表项信息。

<HUAWEI> display ipv6 neighbors brief
D-Dynamic,S-Static
I-INCMP,R-REACH,S-STALE,D-DELAY,P-PROBE
-----------------------------------------------------------------
IPv6 Address         Link-layer       State Type Interface 
-----------------------------------------------------------------
2001:DB8::3                                                                            
                     0001-0002-0003   I     S    10GE1/0/1                                     
2001:DB8::4                                                                            
                     0001-0002-0004   I     S    10GE1/0/2                                     
-----------------------------------------------------------------
Total: 2        Dynamic: 0      Static: 2
表8-68  display ipv6 neighbors命令输出信息描述

项目

描述

IPv6 Address

邻居的IPv6地址。

Link-layer

邻居的链路层地址(邻居的MAC地址)。

State

邻居项的状态,有以下5种状态:

  • INCMP:邻居不可达。正在进行地址解析,邻居的链路层地址未探测到,如果解析成功,则进入REACH状态。
  • REACH:邻居可达。如果超过邻居可达时间(缺省情况下是20分钟),该表项没有被使用,则表项进入STALE状态。
  • STALE:邻居是否可达未知。在STALE状态下如果要发送报文,需要先验证邻居可达性,否则不对邻居是否可达进行探测。如果发送了探测邻居是否可达的NS报文,则进入DELAY状态;如果超过老化时间(缺省情况下是20分钟),该表项没有被使用,也进入到DELAY状态。
  • DELAY:邻居是否可达未知。已向邻居发送NS报文,如果在指定时间内(缺省情况下是5秒)没有收到响应,则进入PROBE状态;若收到NA应答,则变为REACH状态。
  • PROBE:邻居是否可达未知。按照RA报文发布的时间间隔Retrans Timer(或者主机配置值)发送单播邻居请求报文NS,无应答则删除表项;如果有应答,则进入REACH状态。

Type

邻居表项的类型:
  • Dynamic:动态邻居表项。
  • Static:静态邻居表项。

Interface

邻居项所属的接口名称。

Age

建立邻居项后经过的时间,分为静态和动态两种情况:

  • 静态项显示“–”;
  • 动态项显示分主动创建的表项和被动学习到的表项两种情况:

    • 主动创建的动态表项显示为上次可达以来经过的时间(单位是分钟);
    • 被动学习的动态表项状态是STALE时,显示为表项创建以来经过的时间(单位是分钟),状态变为REACH后显示为上次可达以来经过的时间(单位是分钟)。

VLAN

邻居所属的VLAN编号。

CEVLAN

CE的VLAN ID。

VPN name

邻居所属的VPN实例名称。

Is Router

是否为路由设备。

Secure FLAG

邻居表项的安全标志。包括:
  • UN-SECURE:非安全的邻居表项。
  • SECURE:安全的邻居表项。

Nickname

TRILL场景下生成的ND表项的Nickname标识。

Destination IP

VXLAN隧道目的IP地址。

Source IP

VXLAN隧道源IP地址。

VNI

VXLAN网络ID。

BD

桥域广播域ID。

Total

邻居表项总数。

Dynamic

动态邻居表项个数。

Static

静态邻居表项个数。

相关主题

display ipv6 pathmtu

命令功能

display ipv6 pathmtu命令用来查看PMTU项信息。

命令格式

display ipv6 pathmtu [ vpn-instance vpn-instance-name ] { ipv6-address | all | dynamic | static }

参数说明

参数 参数说明 取值
vpn-instance vpn-instance-name 显示指定IPv6 VPN实例的PMTU项信息。 字符串形式,区分大小写,长度范围是1~31。
ipv6-address 显示指定IPv6地址的PMTU项信息。

32位16进制数,格式为X:X:X:X:X:X:X:X。

all 显示所有PMTU项信息。 -
dynamic 显示所有动态PMTU项信息。 -
static 显示所有静态PMTU项信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

当中间路由设备出接口的MTU值小于源端主机的MTU值时,通过PMTU发现机制可以确定一个可在路径上传输的报文的长度最大值,即PMTU的值。

通过查看display ipv6 pathmtu命令的显示信息可以得到动态和静态PMTU项信息,进而将报文的分片大小设置为小于PMTU的值,指导报文的转发。

注意事项

如果没有使用ipv6 pathmtu命令对指定的IPv6地址配置PMTU,则执行display ipv6 pathmtu命令时没有任何静态PMTU显示信息。

使用实例

# 查看所有PMTU项信息。

<HUAWEI> display ipv6 pathmtu all
Total: 2        Dynamic: 1      Static: 1
-----------------------------------------------------------------------------

IPv6 Destination Address                 ZoneID  PathMTU  LifeTime(M)  Type     Fragment Flag
2001:DB8::2                                   0     1300           9   Dynamic  NO
2001:DB8::1                                   0     1500  -            Static   NO

# 查看VPN实例名字是vpn1的PMTU项信息。

<HUAWEI> display ipv6 pathmtu vpn-instance vpn1 all
Total: 2        Dynamic: 1      Static: 1
-----------------------------------------------------------------------------

IPv6 Destination Address                 ZoneID  PathMTU  LifeTime(M)  Type     Fragment Flag
2001:DB8::4                                   1     1500           10  Dynamic  NO
2001:DB8::3                                   1     1600  -            Static   NO
表8-69  display ipv6 pathmtu命令输出信息描述

项目

描述

Total

PMTU表项的总数

Dynamic

动态PMTU表项的总数

Static

静态PMTU表项的总数

IPv6 Destination Address

IPv6目的地址

ZoneID

地址区域号

PathMTU

IPv6地址的PMTU值

LifeTime(M)

动态PMTU项的剩余生存时间,单位是分钟。对于静态PMTU项,显示为“-”。

Type

该表项的类型,可能的取值如下:

  • Dynamic:动态PMTU项信息
  • Static:静态PMTU项信息

Fragment Flag

分片标记,可能的取值如下:

  • YES:报文添加分片头
  • NO:报文不添加分片头

display ipv6 security interface

命令功能

display ipv6 security interface命令用查看接口IPv6安全邻居发现功能的配置信息。

命令格式

display ipv6 security interface interface-type interface-number

参数说明

参数 参数说明 取值
interface-type interface-number 显示指定接口上IPv6安全邻居发现功能的配置信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过本命令可以查看接口IPv6安全邻居发现功能的配置信息,包括CGA类型IPv6地址的信息、与接口绑定的RSA密钥的信息、ND报文的时间戳参数以及接口是否使能严格安全模式功能。

使用实例

# 显示10GE1/0/1接口的IPv6安全邻居发现功能的配置信息。

<HUAWEI> display ipv6 security interface 10ge 1/0/1
 (L) : Link local address
 SEND: Security ND
 SEND information for the interface : 10GE1/0/1
----------------------------------------------------------------------------
 IPv6 address                                   PrefixLength Collision Count
----------------------------------------------------------------------------
 FE80::18A8:19F0:C5A4:7A52 (L)                  10           0
 1::18F5:E2FA:63CF:31DE                         64           0
----------------------------------------------------------------------------
 Send sec value                     : 0
 Send security modifier value       : 1::1
 Send RSA key label bound           : huawei  
 Send ND minimum key length value   : 1280
 Send ND maximum key length value   : 2000
 Send ND Timestamp delta value      : 100
 Send ND Timestamp fuzz value       : 2
 Send ND Timestamp drift value      : 2
 Send ND fully secured mode         : enabled
表8-70  display ipv6 security interface命令输出信息描述

项目

描述

SEND information for the interface

接口的ND安全相关的配置信息。

IPv6 address

CGA类型的IPv6地址。

PrefixLength

CGA类型的IPv6地址的前缀长度。

Collision Count

CGA类型的IPv6地址的冲突次数。

Send sec value

CGA地址的安全级别。

Send security modifier value

CGA地址的修正值。

Send RSA key label bound

与接口绑定的RSA密钥名称。

Send ND minimum key length value

本接口可以接受的密钥长度的最小值。

Send ND maximum key length value

本接口可以接受的密钥长度的最大值。

Send ND Timestamp delta value

ND报文的时间戳参数的delta值。

Send ND Timestamp fuzz value

ND报文的时间戳参数的fuzz-factor值。

Send ND Timestamp drift value

ND报文的时间戳参数的drift值。

Send ND fully secured mode

接口是否使能严格安全模式功能。

display ipv6 socket

命令功能

display ipv6 socket命令用来查看指定套接字类型、套接字号和对应任务ID的套接字相关信息,包括:

  • 发送缓冲区

  • 接收缓冲区

  • 为特定套接字设置的套接字选项

  • 套接字对

如果不指定可选参数,该命令显示所有类型的Socket信息。

命令格式

display ipv6 socket [ socket-type socket-type ] [ cid cid ] [ socket-id socket-id ]

参数说明

参数 参数说明 取值
socket-type socket-type 指定需要显示的Socket类型。 整数形式,取值范围是1 ~ 4。
socket-id socket-id 指定需要查看的套接字ID。 取值范围是0 ~ 2147418111。
cid cid APP组件ID 。

十六进制整数形式,取值范围是0~ffffffff。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

用户可以通过这个命令查看当前所有或单一性质类型的Socket的详细信息。

注意事项

如果没有任何Socket信息,则显示信息为空

使用实例

# 查看指定套接字类型、套接字号和对应任务ID的套接字相关信息。

<HUAWEI> display ipv6 socket
Total: 2



Cid = 0x8035272E, socketid = 1, Proto = 17,
LA=:::1024, FA=:::0,
sndbuf = 0, rcvbuf = 0, sb_cc = 0, rb_cc = 0,
socket option = SO_REUSEADDR ,
socket state = SS_NBIO SS_ASYNC

Cid = 0x80C8272D, socketid = 3, Proto = 6,
LA = ::->23, FA = ::->0,
sndbuf = 0, rcvbuf = 0, sb_cc = 0, rb_cc = 0,
socket option = SO_REUSEADDR SO_ACCEPTCONN SO_REUSEADDR ,
socket state = SS_NBIO SS_ASYNC SS_NBIO SS_ASYNC
表8-71  display ipv6 socket命令输出信息描述

项目

描述

Total

Socket实例总数

Cid

APP组件CID

Task = VTYD(14)

调用Socket的任务类型和任务ID。如任务VTYD调用了Socket,该任务的ID是14。

socketid = 4

Socket ID

Proto = 6

协议号

LA = ::->22, FA = ::->0

  • LA:本端地址与本端端口号

  • FA:远端地址与远端端口号

sndbuf = 8192,rcvbuf = 8192,sb_cc = 0,rb_cc = 0,

  • sndbuf:发送缓存的上限

  • rcvbuf:接收缓存的上限

  • sb_cc:实际发送的数据量

  • rb_cc:实际接收的数据量

socket option

显示当前已被置位的Socket选项。

socket state

Socket的状态。

display ipv6 statistics

命令功能

display ipv6 statistics命令用来查看IPv6流量统计信息。

命令格式

display ipv6 statistics [ interface interface-type interface-number ]

参数说明

参数 参数说明 取值
interface interface-type interface-number 指定接口类型和接口编号。显示指定接口的IPv6流量统计信息。 -

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

通过display ipv6 statistics命令的显示信息,可以查看到接收和发送的IPv6报文的统计信息。

在传输报文的过程中,当源端对报文进行了分片,可以通过该命令查看分片成功的IPv6报文总数和发送的分片报文总数,然后再在目的端查看接收到的分片报文数是否正确。

注意事项

该命令显示的收到报文数是指主机接收的报文总数,具体包括主机接收后转发的报文、主机接收后上送业务处理的报文和主机接收后丢弃的报文。

使用实例

# 查看路由设备的IPv6流量统计信息。

<HUAWEI> display ipv6 statistics
  Sent packets:
    Total                : 2
    Local sent out       : 2           Forwarded            : 0
    Raw packets          : 0           Discarded            : 0
    Fragmented           : 0           Fragments            : 0
    Fragments failed     : 0           Multicast            : 2
  Received packets:
    Total                : 0           Local host           : 0
    Hop count exceeded   : 0           Header error         : 0
    Too big              : 0           Routing failed       : 0
    Address error        : 0           Protocol error       : 0
    Truncated            : 0           Option error         : 0
    Fragments            : 0           Reassembled          : 0
    Reassembly timeout   : 0           Multicast            : 0
    Extension header:
     Hop-by-hop options    : 1            Mobility header        : 0
     Destination options   : 0            Routing header         : 0
     Fragment header       : 0            Authentication header  : 0
     Encapsulation header  : 0            No header              : 0
     TLV length error      : 0            Header length error    : 0
     Unknown header type   : 0            Unknown TLV type       : 0
表8-72  display ipv6 statistics命令输出信息描述项目描述
项目 描述

Sent packets

发送报文的统计信息

Total

发送报文总数

Local sent out

本地发送报文总数

Forwarded

转发报文数

Raw packets

使用raw socket发送的报文,如ping或者tracert

Discarded

丢弃报文总数

Fragmented

分片成功的IPv6报文总数

Fragments

发送分片报文总数

Fragments failed

分片失败的IPv6报文总数

Multicast

发送的组播报文总数

Received packets

接收报文的统计信息

Total

接收报文总数

Local host

本地主机接收报文总数,即单播目的地址是本机地址或组播目的地址与本机属于相同的组播组。

IPv6基本头错误,报文长度未超过40字节,或扩展头长度累加和大于报文长度的情况都不做统计。

Hop count exceeded

跳数超出限制报文总数

Header error

报头格式错误的报文总数

Too big

收到的超大而导致不能转发的报文总数

Routing failed

路由失败报文总数

Address error

地址错误报文总数

Protocol error

协议错误报文总数

Truncated

实际长度小于报文长度而丢弃的报文总数

Option error

选项错误报文总数

Fragments

收到的分片报文总数

Reassembled

重组成功报文总数

Reassembled timeout

重组超时报文总数

Extension header

接收报文的扩展头统计信息

Hop-by-hop options

逐跳选项头总数

Mobility header

移动头总数

Destination options

目的选项头总数

Routing header

路由选项头总数

Fragment header

分片头总数

Authentication header

认证头总数

Encapsulation header

封装安全载荷头总数

No header

扩展头后面没有其他的上层协议的头的总数

TLV length error

扩展头TLV长度字段错误总数

Header length error

扩展头长度字段错误总数

Unknown header type

不识别的扩展头类型总数

Unknown TLV type

不识别的TLV类型总数

display rawip ipv6 statistics

命令功能

display rawip ipv6 statistics命令用来查看IPv6 RawIP连接流量统计信息。

命令格式

display rawip ipv6 statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

RawIP IPv6报文的流量统计信息主要分为发送和接收两大部分。

像RSVP、OSPF、ICMP报文封装在RawIP报文中进行发送。因此,例如当进行IPv6的ping操作时,可以通过查看本机收发IPv6 RawIP报文的数量,判断是否由于RawIP报文收发不正常而导致网络异常。

注意事项

路由设备收到的报文数是指接收的报文总数,包括被转发的报文、传入上层的报文和被丢弃的报文。

使用实例

# 查看IPv6 RawIP流量统计信息。

<HUAWEI> display rawip ipv6 statistics
------------------------ Display Rawip Statistics -------------------
Received packets:
    Total: 0
    Input packets missing pcb cache: 0
Send packets:
    Total: 0
-----------------------------------------------------------------------
表8-73  display rawip ipv6 statistics命令输出信息描述项目描述

项目

描述

Received packets

接收报文统计

Total

接收报文总数

Input packets missing pcb cache

因没有对应的协议控制块(PCB)而丢失的分组数

Send packets

发送报文统计

Total

发送报文总数

display snmp-agent trap feature-name ipv6 all

命令功能

display snmp-agent trap feature-name ipv6 all命令用来查看IPv6模块的所有告警开关信息。

命令格式

display snmp-agent trap feature-name ipv6 all

参数说明

视图

所有视图

缺省级别

3:管理级

使用指南

简单网络管理协议SNMP(Simple Network Management Protocol)是广泛用于TCP/IP网络的网络管理标准协议。SNMP提供了一种通过运行网络管理软件的中心计算机(即网络管理工作站)来管理网元的方法。网元上运行的管理代理可以主动上报告警给管理工作站,可使管理工作站及时获取网络状态,从而使网络管理员能够及时采取相应措施。

前置条件

已经使能网元的SNMP功能,使能命令可以参考snmp-agent

应用场景

在打开了指定特性告警的功能后,执行命令display snmp-agent trap feature-name ipv6 all可以查看IPv6特性所有告警的开关状态信息。用户可使用snmp-agent trap enable feature-name ipv6命令打开IPv6特性告警开关。

使用实例

# 查看IPv6模块的所有告警信息。

<HUAWEI> display snmp-agent trap feature-name ipv6 all
------------------------------------------------------------------------------
Feature name: IPV6
Trap number : 1
------------------------------------------------------------------------------
Trap name                      Default switch status   Current switch status  
ipv6IfStateChange              off                     off                    
表8-74  display snmp-agent trap feature-name ipv6 all命令输出信息描述

项目

描述

Feature name

告警所属的模块名称。

Trap number

告警的数量。

Trap name

告警的名称,IPv6模块的告警包括:

  • ipv6IfStateChange:接口的IPv6协议状态发生变更。

Default switch status

缺省告警开关的状态:

  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

Current switch status

当前告警开关的状态:

  • on:表示告警处于开启状态。
  • off:表示告警处于关闭状态。

display tcp ipv6 statistics

命令功能

display tcp ipv6 statistics命令用来查看IPv6 TCP连接流量统计信息。

命令格式

display tcp ipv6 statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

可以通过显示信息中以下几项判断网络的连接状态:
  • 通过查看Established connections项信息, 判断是否超过设备所允许的连接数上限,进而决定是否在本设备继续部署业务(例如BGP),或者进行负载调整。

  • 通过查看Duplicate ACK packets项信息,简单判断是否受到针对ACK报文的网络攻击。即如果收到大量未知ACK报文时,此时有可能受到了网络攻击。

  • 通过查看Out-of-order packets项信息,可以作为参考,判断网络的质量。因为网络质量不好时,会产生大量的乱序报文。

注意事项

  • 路由设备收到的报文数是指接收的报文总数,包括被转发的报文、传入上层的报文和被丢弃的报文。

  • 如果需要查看特定时间段内的IPv6 TCP报文的流量统计信息,建议用户现在此特定时间段之前,使用reset tcp ipv6 statistics命令清除IPv6 TCP报文的流量统计信息。

使用实例

# 查看发送和接收报文的IPv6 TCP报文流量统计信息。

<HUAWEI> display tcp ipv6 statistics
Received packets:
    Total packets                    : 0
    SYN packets                      : 0
    FIN packets                      : 0
    Packets bytes in sequence        : 0
    Window probe packets             : 0
    Window update packets            : 0
    Checksum error                   : 0
    Offset error                     : 0
    Short error                      : 0
    Duplicate packets bytes          : 0
    Partially duplicate packets bytes: 0
    Out-of-order packets bytes       : 0
    Packets with data after window   : 0
    Packets after close              : 0
    ACK packets bytes                : 0
    Duplicate ACK packets            : 0
Sent packets:
    Total packets             : 0
    Urgent packets            : 0
    Control packets RST       : 0
    Window probe packets      : 0
    Window update packets     : 0
    Data packets              : 0
    Data packets retransmitted: 0
    ACK only packets          : 0

Retransmitted timeout                                 : 0
Connection dropped in retransmitted timeout           : 0
Keepalive timeout                                     : 0
Keepalive probe                                       : 0
Keepalive timeout, so connections disconnected        : 0
Initiated connections                                 : 0
Accepted connections                                  : 0
Established connections                               : 0
Closed connections                                    : 0
Packets dropped with MD5 authentication               : 0
Packets permitted with MD5 authentication             : 0
Send Packets permitted with Keychain authentication   : 0
Receive Packets permitted with Keychain authentication: 0
Receive Packets Dropped with Keychain authentication  : 0
Receive Packets permitted with TCP-AO authentication  : 0
Receive Packets Dropped with TCP-AO authentication    : 0
表8-75  display tcp ipv6 statistics命令输出信息描述项目描述

项目

描述

Received packets

接收报文的统计信息

Total packets

接收报文总数

SYN packets

总计收到的SYN报文数

FIN packets

总计收到的FIN报文数

Packets bytes in sequence

顺序接收报文数(共计字节数)

Window probe packets

接收的窗口探测报文数

Window update packets

接收的窗口更新报文数

Checksum error

检验出错报文数

Offset error

长度出错报文数

Short error

接收报文的总长度短于报文头中的设置值的报文数

Duplicate packets bytes

完全重复报文数(共计字节数)

Partially duplicate packets bytes

部分重复报文数(共计字节数)

Out-of-order packets bytes

乱序报文数(共计字节数)

Packets with data after window

落在接收窗口外的报文数

Packets after close

在连接关闭后到达的报文数

ACK packets

确认报文数(共计字节数)

Duplicate ACK packets

重复的确认报文数

Sent packets

发送报文的统计信息

Total packets

发送报文总数

Urgent packets

紧急数据报文数

Control packets RST

控制报文数(RST报文数)

Window probe packets

发送的窗口探测报文数

Window update packets

发送的窗口更新报文数

Data packets

数据报文数

Data packets retransmitted

重发的数据报文数(共计字节数)

ACK only packets

确认报文数

Retransmitted timeout

重传定时器超时次数

Connection dropped in retransmitted timeout

重传次数超过限制而丢弃的连接数

Keepalive timeout

保活定时器超时次数

Keepalive probe

发送保活探测报文数

Keepalive timeout, so connections disconnected

保活探测失败丢弃连接数

Initiated connections

发起的连接数

Accepted connections

接受的连接数

Established connections

建立的连接数

Closed connections

关闭的连接数

Packets dropped with MD5 authentication

MD5认证丢弃报文数

Packets permitted with MD5 authentication

MD5认证通过的报文数

Send Packets permitted with Keychain authentication

Keychain选项认证通过的发送报文数

Receive Packets permitted with Keychain authentication

Keychain选项认证通过的接收报文数

Receive Packets Dropped with Keychain authentication

Keychain选项认证拒绝的接收报文数

Receive Packets permitted with TCP-AO authentication

TCP-AO选项认证通过的接收报文数

Receive Packets Dropped with TCP-AO authentication

TCP-AO选项认证拒绝的接收报文数

display tcp ipv6 status

命令功能

display tcp ipv6 status命令用来查看所有基于IPv6的TCP连接状态信息。

命令格式

display tcp ipv6 status [ local-ip local-ip | local-port local-port | remote-ip remote-ip | remote-port remote-port ] * [ cid cid ] [ socket-id socket-id ]

参数说明

参数 参数说明 取值
local-ip local-ip 本地IP地址作为过滤条件对查询结果进行过滤。

32位16进制数,格式为X:X:X:X:X:X:X:X。

local-port local-port 本地端口号作为过滤条件对查询结果进行过滤。 取值范围0~65535。
remote-ip remote-ip 远端IP地址作为过滤条件对查询结果进行过滤。

32位16进制数,格式为X:X:X:X:X:X:X:X。

remote-port remote-port 远端端口号作为过滤条件对查询结果进行过滤。 取值范围是0~65535。
cid cid App组件Cid作为过滤条件对查询结果进行过滤。 十六进制整数形式,取值范围是0~ffffffff。
socket-id socket-id socket编号作为过滤条件对查询结果进行过滤。 整数形式,取值范围是0~2147418111。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

display tcp ipv6 status命令用来查看所有的有效的IPv6 TCP控制块列表,并给出每个有效IPv6 TCP控制块的如下信息:

  • IPv6 TCP socket编号
  • APP组件CID
  • 本地IPv6地址及端口号
  • 远端IPv6地址及端口号
  • IPv6 TCP连接状态
  • VPNID

注意事项

如果没有TCP链接,则显示信息为空。

使用实例

# 查看IPv6的TCP连接状态。

<HUAWEI> display tcp ipv6 status
* - MD5 Authentication is enabled.
# - Keychain Authentication is enabled.
--------------------------------------------------------------------------------
Cid/SocketID         Local Address                Foreign Address              VPNID      State        
--------------------------------------------------------------------------------
0x80C82720/2         ::->23                       ::->0                   4294967295      LISTEN       
--------------------------------------------------------------------------------
表8-76  display tcp ipv6 status命令输出信息描述

项目

描述

Cid/SocketID

指定需要查看的套接字ID。

Local Address

本端IPv6地址

Foreign Address

对端IPv6地址

VPNID

VPN接口ID

State

IPv6 TCP的连接状态。具体情况如下:
  • Established:表示已经建立连接

  • LISTEN:表示正在侦听 。

display this ipv6 interface

命令功能

display this ipv6 interface命令用来显示当前接口的IPv6信息。

命令格式

display this ipv6 interface

参数说明

视图

接口视图

缺省级别

1:监控级

使用指南

应用场景

在接口视图下,如果希望快速看到该接口的IPv6信息,可以使用display this ipv6 interface命令。

注意事项

在当前接口视图下执行display this ipv6 interface命令与任意视图下执行display ipv6 interface查看到的显示信息一致。

使用实例

# 以10GE1/0/1接口为例,查看当前接口IPv6信息。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] display this ipv6 interface
10GE1/0/1 current state : UP
IPv6 protocol current state : UP
IPv6 is enabled, link-local address is FE80::3ABA:1200:78A:6E02
  Global unicast address(es):
    2001:db8:1::1, subnet is 2001:db8:1::/64
  Joined group address(es):
    FF02::1:FF00:1
    FF02::1:FF8A:6E02
    FF02::2
    FF02::1
  MTU is 1500 bytes
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 1200000 milliseconds
  ND retransmit interval is 1000 milliseconds
  Hosts use stateless autoconfig for addresses
表8-77  display this ipv6 interface命令输出信息描述

项目

描述

10GE1/0/1 current state

接口10GE1/0/1当前的物理状态
  • UP

  • DOWN

  • Administratively DOWN

IPv6 protocol current state

接口当前的协议状态
  • UP

  • DOWN

IPv6 is enabled

标识该接口已使能IPv6功能。

link-local address

接口上配置的链路本地地址。

Global unicast address(es)

接口上配置的全球单播地址。

Joined group address(es)

接口加入的所有组播地址

MTU

接口的最大传输单元。

number of DAD attempts

重复地址探测的次数。

ND reachable time

邻居可达时间。

ND retransmit interval

重传时间间隔。

Hosts use stateless autoconfig for addresses

主机使用无状态自动配置获取地址。

display udp ipv6 statistics

命令功能

display udp ipv6 statistics命令用来查看IPv6 UDP协议的相关统计信息。

命令格式

display udp ipv6 statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

UDP(User Datagram Protocol)协议是用来在互连网络环境中提供包交换的计算机通信协议,提供了向另一用户程序发送信息的最简便的协议机制。当需要了解自上次重置后的IPv6 UDP报文流量时,可以执行display udp ipv6 statistics命令查看接收和发送的IPv6 UDP报文的统计信息。包括:
  • 接收和发送的报文总数

  • 被丢弃的报文总数

  • 重定位的报文总数

注意事项

设备收到的报文数是指接收的报文总数,包括被转发的报文、传入上层的报文和被丢弃的报文。

使用实例

# 显示IPv6 UDP的相关统计信息。

<HUAWEI> display udp ipv6 statistics
Received packets:
    Total: 0
    Checksum error: 0
    Shorter than header: 0
    Data length larger than packets: 0
    No socket on port :0
    Broadcast: 0
    Not delivered, input socket full: 0
    Input packets missing pcb cache: 0
Sent packets:
    Total: 0
-----------------------------------------------------------------------
表8-78  display udp ipv6 statistics命令输出信息描述

项目

描述

Received packets

接收的报文。

Total

接收报文总数。

Checksum error

含有无效校验和的报文总数。

Shorter than header

报文长度小于报文头长度的IPv6 UDP报文总数。

Data length larger than packets

报文数据长度超过了报文长的报文总数。

No socket on port

端口上无套接字的报文总数。

Broadcast

广播/组播报文总数。

Not delivered,input socket full

接收缓冲区满后,未处理报文总数。

Input packets missing pcb cache

没有找到PCB缓存的接收报文总数。

Sent packets

发送的报文。

Total

发送报文总数。

display udp ipv6 status

命令功能

display udp ipv6 status命令用来查看所有基于IPv6的UDP状态信息。

命令格式

display udp ipv6 status [ local-ip local-ip | local-port local-port | remote-ip remote-ip | remote-port remote-port ] * [ cid cid ] [ socket-id socket-id ]

参数说明

参数 参数说明 取值
local-ip local-ip 本地IPv6地址作为过滤条件对查询结果进行过滤。

32位16进制数,格式为X:X:X:X:X:X:X:X。

local-port local-port 本地端口号作为过滤条件对查询结果进行过滤。 取值范围0~65535。
remote-ip remote-ip 远端IPv6地址作为过滤条件对查询结果进行过滤。

32位16进制数,格式为X:X:X:X:X:X:X:X。

remote-port remote-port 远端端口号作为过滤条件对查询结果进行过滤。 取值范围是0~65535。
cid cid App组件Cid作为过滤条件对查询结果进行过滤。 十六进制整数形式,取值范围是0~ffffffff。
socket-id socket-id socket编号作为过滤条件对查询结果进行过滤。 整数形式,取值范围是0~2147418111。

视图

所有视图

缺省级别

1:监控级

使用指南

应用场景

display udp ipv6 status命令用来查看所有的UDP连接状态:

  • IPv6 UDP Socket编号
  • App组件Cid
  • 本地IPv6地址及端口号
  • 远端IPv6地址及端口号

通过设置参数(Socket ID、本端地址、本端端口号、远端地址、远端端口号),还可以只显示满足参数条件的信息,减少显示信息的输出数量,方便查看,提高问题定位的精确度和效率。

注意事项

如果当前没有UDP连接,则显示信息为空。

使用实例

# 查看IPv6的UDP连接状态。

<HUAWEI> display udp ipv6 status
--------------------------------------------------------------------------------
    SockId        Cid Local Address             Foreign Address           FeNode           
--------------------------------------------------------------------------------
         3 0x8053271E ::->546                   ::->0                        265              
         3 0x80532725 ::->546                   ::->0                        266              
         4 0x8053271E ::->547                   ::->0                        265              
         4 0x80532725 ::->547                   ::->0                        266              
         8 0x805303FF ::->546                   ::->0                          0                
         8 0x805303FF ::->546                   ::->0                 4294901761       
         9 0x805303FF ::->547                   ::->0                          0                
         9 0x805303FF ::->547                   ::->0                 4294901761       
--------------------------------------------------------------------------------
表8-79  display udp ipv6 status命令输出信息描述

项目

描述

SockId

IPv6 UDP Socket编号

Cid

App组件Cid

Local Address

UDP连接的本端IPv6地址和端口号

Foreign Address

UDP连接的对端IPv6地址和端口号

FeNode

单板节点号

ipv6 address

命令功能

ipv6 address命令用来配置接口的全球单播地址。

undo ipv6 address命令用来删除接口的全球单播地址。

缺省情况下,接口没有配置全球单播地址。

命令格式

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length }

undo ipv6 address [ ipv6-address prefix-length | ipv6-address/prefix-length ]

参数说明

参数 参数说明 取值
ipv6-address 指定接口的IPv6地址。 32位16进制数,格式为X:X:X:X:X:X:X:X。
prefix-length

指定IPv6地址的前缀长度。

前缀长度是128位的IPv6地址只能配置在Loopback接口上。

整数形式,取值范围是1~128。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

全球单播地址等同于IPv4公网地址。用于可以聚合的链路,最后提供给网络服务提供商。这种地址类型的结构允许路由前缀的聚合,从而满足全球路由表项的数量限制。这种地址包括运营商管理的48位路由前缀和本地管理的16位子网ID,以及64位接口ID。

配置127位掩码的IPv6地址具有以下优点:

  • 能够解决由于P2P链路上没有邻居发现机制而导致的转发环路问题。

  • 能够解决当设备受到网络攻击时的ND缓存耗尽问题。

  • 能够节省IPv6地址。

前置条件

执行ipv6 address命令配置接口的全球单播地址前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

执行ipv6 address命令为接口配置IPv6地址后,如果没有为该接口配置链路本地地址,系统会自动生成一个链路本地地址。

执行undo ipv6 address命令删除配置的全球单播地址时,如果未指定参数(IPv6地址和前缀长度),则删除该接口上的所有IPv6地址。

注意事项

在同一设备的不同接口上,不支持出现如下配置:
  • IPv6地址相同。
  • IPv6地址对应的网络前缀相同。例如,设备上A接口配置IPv6地址为2001:db8::1/12,对应的网络前缀为200::,B接口若配置IPv6地址为2001:db8::1/127,对应的网络前缀为2001:db8::,此时A、B接口的网络前缀不同,则配置成功;若B接口配置IPv6地址为2002:db8::1/12,对应的网络前缀为200::,此时A、B接口的网络前缀相同,则配置失败。

接口上最多可配置16个全球单播地址。

对于6to4地址,只能配置在6to4隧道下,对于6in4手动隧道的不建议配置这样的地址。

不能配置在接口上的IPv6地址有:
  • 环回地址(::1/128)

  • 未指定地址(::/128)

  • 组播地址

  • 任播地址

在公网下支持配置映射IPv4的IPv6地址(0:0:0:0:0:FFFF:IPv4-address),在私网下不支持该类IPv6地址。

配置的全球单播地址不能与该地址对应的网络前缀相同,因为该类型的地址是设备预留的子网路由器任播地址。对于前缀长度是127位的IPv6地址,不受该规则限制。例如,用户通过ipv6 address命令配置IPv6地址为2001:db8:5::10,前缀长度为124,则该IPv6地址对应的网络前缀也为2001:db8:5::10,属于子网路由器任播地址类型,无法配置为全球单播地址。如果用户需要配置任播地址,请执行ipv6 address anycast命令。

当用户需要配置前缀长度大于64的IPv6地址时,需要先执行命令assign forward ipv6 longer-mask resource,指定设备上可以配置的前缀长度大于64的IPv6地址和IPv6路由的数目。

使用实例

# 配置接口10GE1/0/1的全球单播地址2001:db8::1/64。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 address 2001:db8::1 64

ipv6 address anycast

命令功能

ipv6 address anycast命令用来配置IPv6任播地址。

undo ipv6 address anycast命令用来删除IPv6任播地址。

缺省情况下,系统没有配置IPv6任播地址。

命令格式

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } anycast

undo ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } anycast

参数说明

参数 参数说明 取值
ipv6-address

指定IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。
prefix-length

指定IPv6地址前缀长度。

前缀长度是128位的IPv6地址只能配置在Loopback接口上。

整数形式,取值范围是1~128。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

任播地址用来标识一组接口,通常这组接口属于不同的节点。发送到任播地址的数据包被传输给此地址所标识的一组接口中距离源节点最近的一个接口(最“近”的一个,是指根据路由协议的距离度量)。

当需要使用6to4隧道实现6to4网络与本地(Native)IPv6网络通信时,可以在6to4中继路由设备的Tunnel接口上配置前缀为2002:c058:6301/48的任播地址。通过使用任播地址,只需在每个设备的Tunnel接口上配置同一个地址,减少了地址个数。

前置条件

执行本命令前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

执行undo命令时,如果不指定任何参数,会删除系统自动配置的链路本地地址外的所有IPv6地址,包括任播地址。

注意事项

任播地址不能作为源地址,因此当设备需要发送报文时,需要配置全球单播地址。

任播地址不局限于子网路由器任播地址,全球单播地址可以通过ipv6 address anycast命令配置为任播地址。

当用户需要配置前缀长度大于64的IPv6地址时,需要先执行命令assign forward ipv6 longer-mask resource,指定设备上可以配置的前缀长度大于64的IPv6地址和IPv6路由的数目。

使用实例

# 在6to4隧道的Tunnel1接口下配置2001:db8:1::1/64任播地址。

<HUAWEI> system-view
[~HUAWEI] interface tunnel 1
[*HUAWEI-Tunnel1] tunnel-protocol ipv6-ipv4 6to4
[*HUAWEI-Tunnel1] ipv6 enable
[*HUAWEI-Tunnel1] ipv6 address 2001:db8:1::1 64 anycast

ipv6 address cga

命令功能

ipv6 address cga命令用来配置CGA类型的全球单播地址。

undo ipv6 address cga命令用来删除CGA类型的全球单播地址。

缺省情况下,未配置CGA类型的全球单播地址。

命令格式

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } cga

undo ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } cga

参数说明

参数 参数说明 取值
ipv6-address 指定IPv6地址的前缀。 32位16进制数,格式为X:X:X:X:X:X:X:X。
prefix-length 指定IPv6地址的前缀长度。 整数形式,取值范围是1~64。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

当需要实现IPv6安全邻居发现功能,保护ND报文时,需要先在接口上配置CGA地址。执行该命令后生成一个CGA类型的IPv6全球单播地址。

前置条件

执行该命令前,需要先完成以下配置:

  1. 在系统视图下执行rsa key-pair label命令,创建RSA密钥对。

  2. 在接口视图下执行ipv6 enable命令,使能接口的IPv6功能。

  3. 在接口视图下执行ipv6 security rsakey-pair命令,将创建的RSA密钥对与接口绑定。

  4. 在接口视图下执行ipv6 security modifier命令,配置CGA地址的修正值和安全等级。

配置影响

如果接口配置了CGA类型的IPv6地址,从该接口发送的ND报文就会携带CGA和RSA选项。对端收到报文后,通过CGA和RSA选项判断发送者的合法性、报文的完整性。此时,如果本端设备使能了接口的严格安全模式功能,则本端口只会处理对端设备发送的安全报文,丢弃非安全报文。

后续任务

在接口视图下执行ipv6 nd security strict命令使能接口的严格安全模式功能。

注意事项

接口上最多可配置16个全球单播地址,其中包含CGA类型的地址。

执行undo ip address命令时,如果不指定任何参数,会删除系统自动配置的链路本地地址外的所有IPv6地址,包括CGA类型的全球单播地址。

使用实例

# 在10GE1/0/1接口配置CGA类型的全球单播地址。

<HUAWEI> system-view
[~HUAWEI] rsa key-pair label huawei modulus 2048
[*HUAWEI] interface 10ge 1/0/0
[*HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 security rsakey-pair huawei
[*HUAWEI-10GE1/0/1] ipv6 security modifier sec-level 1
[*HUAWEI-10GE1/0/1] ipv6 address 2001:db8::1/64 cga

ipv6 address eui-64

命令功能

ipv6 address eui-64命令用来配置接口的EUI-64格式的全球单播地址。

undo ipv6 address eui-64命令用来删除接口的EUI-64格式的全球单播地址。

缺省情况下,接口没有EUI-64格式的全球单播地址。

命令格式

ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } eui-64

undo ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } eui-64

参数说明

参数 参数说明 取值
ipv6-address 指定接口的IPv6地址。 32位16进制数,格式为X:X:X:X:X:X:X:X。
prefix-length 指定IPv6地址的前缀长度。 整数形式,取值范围是1~128。在配置EUI-64地址时其取值不能大于64。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

在IPv6寻址体系结构中,任何IPv6单播地址都需要一个接口标识符。接口标识符非常像48位的介质访问控制(MAC)地址,具有全球唯一性。

IPv6主机地址的接口标识符基于IEEE EUI-64格式。该格式基于已存在的MAC地址来创建64位接口标识符,这样的标识符在本地和全球范围是唯一的。这些64位接口标识符能在全球范围内逐个编址,并唯一地标识每个网络接口。

前置条件

执行ipv6 address eui-64命令配置接口EUI-64格式的全球单播地址前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

执行ipv6 address eui-64命令为接口配置EUI-64格式的IPv6地址后,如果没有为该接口配置链路本地地址,系统会自动生成一个链路本地地址。

注意事项

在同一设备的不同接口上,不支持出现如下配置:
  • EUI-64格式的IPv6地址相同。
  • EUI-64格式的IPv6地址对应的网络前缀相同。例如,设备上A接口配置IPv6地址为2001:db8:1::1/64,对应的网络前缀为2001:db8:1::,B接口若配置IPv6地址为2001:db8:2::1/64,对应的网络前缀为2001:db8::2::,此时A、B接口的网络前缀不同,则配置成功;若B接口配置IPv6地址为2002:db8:1::2/64,对应的网络前缀为2001:db8:1::,此时A、B接口的网络前缀相同,则配置失败。

接口上最多可配置16个全球单播地址。

不能配置在接口上的EUI-64格式的IPv6地址有:
  • 环回地址(::1/128)

  • 未指定地址(::/128)

  • 组播地址

  • 任播地址

在公网下支持配置映射IPv4的IPv6地址(0:0:0:0:0:FFFF:IPv4-address),在私网下不支持该类IPv6地址。

ipv6 address命令配置的IP地址的128位均为手工指定的,而ipv6 address eui-64命令只需要也只能指定高64位,低64位即使指定了也会被自动生成的EUI-64格式覆盖。

使用实例

# 配置接口10GE1/0/1的EUI-64格式的IPv6地址2001:db8:1::1/64。

<HUAWEI> system-view
[~HUAWEI] interface 10ge1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 address 2001:db8:1::1 64 eui-64

ipv6 address-policy

命令功能

ipv6 address-policy命令用来配置源/目的地址选择策略规则。

undo ipv6 address-policy命令用来删除地址选择策略规则。

缺省情况下,系统中只有缺省地址选择策略表项,即包含::1、::、2002::、FC00::、::ffff:0.0.0.0地址前缀的表项信息。

命令格式

ipv6 address-policy [ vpn-instance vpn-instance-name ] ipv6-address prefix-length precedence label

undo ipv6 address-policy [ vpn-instance vpn-instance-name ] ipv6-address prefix-length

参数说明

参数 参数说明 取值
vpn-instance vpn-instance-name 指定VPN实例的名称。 字符串形式,区分大小写,不支持空格,长度范围是1~31。不能以“_public_”作为VPN实例名称。当输入的字符串两端使用双引号时,可在字符串中输入空格。
ipv6-address 指定IPv6地址。 32位16进制数,格式为X:X:X:X:X:X:X:X。
prefix-length 指定IPv6地址的前缀长度。 整数形式,取值范围是0~128。
precedence 指定IPv6地址前缀作为目的地址时该表项的优先级。 整数形式,取值范围是0~4294967295。
label 指定IPv6地址前缀作为源地址时该表项的优先级。 整数形式,取值范围是0~4294967295。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当网络管理者需要指定和预知系统发送报文的源/目的地址时,可以通过该命令定义一组地址选择规则,这些规则构成地址选择策略表。该表类似于路由表,使用最长匹配原则查找规则。地址选择的结果是由源地址和目的地址共同决定的。

配置影响

  • 源地址选择时,参数label决定选择结果。系统优先选择label值和目的地址的label相同的地址作为源地址。
  • 目的地址选择时,参数labelprecedence共同决定选择结果。当候选地址的label值相同时,系统优先选择precedence值最大的地址作为目的地址。

注意事项

在缺省情况下,系统有缺省策略表项,它包含前缀为:::1、::、2002::、FC00::、:ffff:0.0.0.0的策略表项。

缺省策略表项不能用命令创建。

使用实例

# 在系统视图下配置IPv6地址2001::1/64作为目的地址和源地址时的优先级分别为15和20。

<HUAWEI> system-view
[~HUAWEI] ipv6 address-policy vpn-instance one 2001::1 64 15 20

ipv6 blacklist packet permit

命令功能

ipv6 blacklist packet permit命令用来使能系统向源端回应TCP/UDP报文的功能。

undo ipv6 blacklist packet permit命令用来去使能系统向源端回应TCP/UDP报文的功能。

缺省情况下,系统不具有向源端回应报文功能。

命令格式

ipv6 blacklist packet permit

undo ipv6 blacklist packet permit

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

配置ACL6后,如果TCP6(或UDP6)报文被ACL规则拒绝,利用该命令控制是否向源端回应报文。

  • 应用ipv6 blacklist packet permit命令,使系统能够向源端回应报文。

  • 应用undo ipv6 blacklist packet permit命令,使系统不能够向源端回应报文。

配置影响

配置该命令后,根据被拒绝的报文形式不同,系统将向源端回应相应形式的报文:

  • 当被拒绝的为TCP6报文时,系统回应TCP-RST报文到源端。

  • 当被拒绝的为UDP6报文时,系统回应PORT-UNREACHABLE报文到源端。

使用实例

# 使系统向源端回应报文。

<HUAWEI> system-view
[~HUAWEI] ipv6 blacklist packet permit

# 使系统不向源端回应报文。

<HUAWEI> system-view
[~HUAWEI] undo ipv6 blacklist packet permit

ipv6 enable (接口视图)

命令功能

ipv6 enable命令用来在接口上使能IPv6功能。

undo ipv6 enable命令用来在接口上去使能IPv6功能。

缺省情况下,接口上不使能IPv6功能。

命令格式

ipv6 enable

undo ipv6 enable

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

只有在接口视图下使能了IPv6功能,才能在接口下进行其他IPv6相关的配置。

配置影响

接口去使能IPv6功能后,接口下的IPv6地址被删除,接口不可以配置IPv6相关命令。

后续任务

配置IPv6相关命令,IPv6相关配置包括IPv6地址、ND相关参数(M标志、O标志、RA halt标志、RA报文的发布时间间隔、RA报文的存活时间、发送邻居请求报文的时间间隔、DAD探测次数、IPv6邻居节点的可达时间、RA报文中的前缀信息、静态邻居表项)、绑定IPv6 VPN等。

注意事项

如果在接口下去使能IPv6功能,则IPv6的相关配置也同时会被删除。同时也会去使能接口上的IS-IS IPv6和RIPng路由协议,也就是isis ipv6 enableripng enable命令会失效。

使用实例

# 在接口10GE1/0/1下使能IPv6功能。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable

ipv6 icmp hop-limit-exceeded send

命令功能

ipv6 icmp hop-limit-exceeded send disable命令用来关闭接口的ICMPv6 hop-limit超时报文的发送功能。

undo ipv6 icmp hop-limit-exceeded send disable命令用来使能接口的ICMPv6 hop-limit超时报文的发送功能。

缺省情况下,接口ICMPv6 hop-limit超时报文发送功能与全局ICMPv6 hop-limit超时报文发送功能保持一致。

命令格式

ipv6 icmp hop-limit-exceeded send disable

undo ipv6 icmp hop-limit-exceeded send disable

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

当设备接收到hop-limit值为1的报文会回应ICMPv6 hop-limit超时报文,该报文将设备的IPv6地址作为ICMPv6差错报文的源IPv6地址,相当于暴露出设备的IPv6地址,存在网络安全问题。同时当设备遇到报文泛洪攻击时,不断回应ICMPv6 hop-limit超时报文,会导致CPU占用率过高,影响设备性能。通过ipv6 icmp hop-limit-exceeded send disable命令在ICMPv6报文的入接口关闭系统ICMPv6 hop-limit报文发送功能可以解决该问题。

使用实例

# 去使能接口上发送ICMPv6 hop-limit超时报文的功能。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 icmp hop-limit-exceeded send disable

ipv6 icmp host-unreachable send

命令功能

ipv6 icmp host-unreachable send disable命令用来在接口上去使能发送ICMPv6主机不可达报文功能。

undo ipv6 icmp host-unreachable send disable命令用来在接口上使能发送ICMPv6主机不可达报文功能。

缺省情况下,接口ICMPv6主机不可达报文发送功能与全局ICMPv6主机不可达报文发送功能保持一致。

命令格式

ipv6 icmp host-unreachable send disable

undo ipv6 icmp host-unreachable send disable

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

在网络流量较大时,例如,频繁的发送ICMPv6主机不可达报文,会增加设备处理报文的负担,明显降低设备性能。为提高网络性能增强网络安全性,可以通过ipv6 icmp host-unreachable send disable命令去使能接口发送ICMPv6主机不可达报文的功能。

使用实例

# 在Vlanif 100接口上去使能发送ICMPv6主机不可达报文。

<HUAWEI> system-view
[~HUAWEI] interface Vlanif 100
[~HUAWEI-Vlanif100] ipv6 icmp host-unreachable send disable

ipv6 icmp port-unreachable send

命令功能

ipv6 icmp port-unreachable send disable命令用来去使能接口的ICMPv6端口不可达报文的发送功能。

undo ipv6 icmp port-unreachable send disable命令用来使能接口的ICMPv6端口不可达报文的发送功能。

缺省情况下,接口ICMPv6端口不可达报文发送功能与全局ICMPv6端口不可达报文发送功能保持一致。

命令格式

ipv6 icmp port-unreachable send disable

undo ipv6 icmp port-unreachable send disable

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

当设备接收到TCP6/UDP6报文后,如果查找不到对应的侦听SOCKET,就会回应ICMPv6端口不可达报文,该报文将设备的IPv6地址作为ICMPv6差错报文的源IP地址,相当于暴露出设备的IP地址,存在网络安全问题。同时当设备遇到报文泛洪攻击时,不断回应ICMPv6端口不可达报文,会导致CPU占用率过高,影响设备性能。通过ipv6 icmp port-unreachable send disable命令在ICMPv6报文的入接口关闭ICMPv6端口不可达报文发送功能可以解决该问题。

使用实例

# 在10GE1/0/1接口使能接口ICMPv6端口不可达报文发送功能。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] undo ipv6 icmp port-unreachable send disable

ipv6 icmp receive

命令功能

ipv6 icmp receive disable命令用于去使能系统接收ICMPv6报文的功能。

undo ipv6 icmp receive disable命令用于使能系统接收ICMPv6报文的功能。

缺省情况下,使能系统接收ICMPv6报文的功能。

命令格式

ipv6 icmp { icmpv6-type icmpv6-code | echo | echo-reply | err-header-field | frag-time-exceeded | hop-limit-exceeded | host-admin-prohib | host-unreachable | neighbor-advertisement | neighbor-solicitation | network-unreachable | packet-too-big | port-unreachable | redirect | router-advertisement | router-solicitation | unknown-ipv6-opt | unknown-next-hdr | all } receive disable

undo ipv6 icmp { icmpv6-type icmpv6-code | echo | echo-reply | err-header-field | frag-time-exceeded | hop-limit-exceeded | host-admin-prohib | host-unreachable | neighbor-advertisement | neighbor-solicitation | network-unreachable | packet-too-big | port-unreachable | redirect | router-advertisement | router-solicitation | unknown-ipv6-opt | unknown-next-hdr | all } receive disable

参数说明

参数 参数说明 取值
icmpv6-type 指定ICMP报文类型。

整数形式,取值范围是0~255。

icmpv6-code 指定ICMP报文编码。

整数形式,取值范围是0~255。

echo 指定ECHO报文。 -
echo-reply 指定ECHO回应报文。 -
err-header-field 指定错误报文头报文。 -
frag-time-exceeded 指定分片超时报文。 -
hop-limit-exceeded 指定跳数超大报文。 -
host-admin-prohib 指定主机拒绝报文。 -
host-unreachable 指定主机不可达报文。 -
neighbor-advertisement 指定邻居通告报文。 -
neighbor-solicitation 指定邻居请求报文。 -
network-unreachable 指定网络不可达报文。 -
packet-too-big 指定超大差错报文。 -
port-unreachable 指定端口不可达报文。 -
redirect 指定重定向报文。 -
router-advertisement 指定设备通告报文。 -
router-solicitation 指定设备请求报文。 -
unknown-ipv6-opt 指定未知选项差错报文。 -
unknown-next-hdr 指定未知下一跳头差错报文。 -
all 指定所有ICMPv6报文。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在网络正常的情况下,可以正确接收ICMPv6报文。但是,在网络流量较大时,如果频繁出现主机不可达、端口不可达的现象,则路由设备会接收大量的ICMPv6报文,这样会增大网络的流量负担,明显降低交换机的性能。同时,网络攻击者经常利用ICMPv6差错报文非法刺探网络内部结构。

因此为了提高网络的性能和增强网络的安全,可以使用ipv6 icmp receive disable命令去使能系统接收ICMPv6报文的功能,防止针对这些ICMPv6报文的安全攻击。

配置影响

当配置ipv6 icmp receive disable命令去使能系统接收ICMPv6报文的功能后,系统不会对接收的报文进行统计,只会统计被丢弃的报文总数。

注意事项

在网络状态良好的情况下,当需要恢复系统对ICMPv6报文的处理功能时,执行undo ipv6 icmp receive disable命令。

使用实例

# 使能系统接收ICMPv6报文的功能。

<HUAWEI> system-view
[~HUAWEI] undo ipv6 icmp all receive disable

# 去使能接收ICMPv6主机不可达报文的功能。

[*HUAWEI] ipv6 icmp host-unreachable receive disable

ipv6 icmp rate-limit packet-too-big disable

命令功能

ipv6 icmp rate-limit packet-too-big disable命令用来去使能ICMPv6超大差错报文接收抑制功能。

undo ipv6 icmp rate-limit packet-too-big disable命令用来使能ICMPv6超大差错报文接收抑制功能。

缺省情况下,使能ICMPv6超大差错报文接收抑制功能。

命令格式

ipv6 icmp rate-limit packet-too-big disable

undo ipv6 icmp rate-limit packet-too-big disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

在通信过程中如果源端发送的IPv6报文尺寸超过了网络中某节点出接口的链路MTU,那么这个网络节点必须回应一个ICMPv6的too big差错消息给源节点,该消息中包含了网络节点出接口的实际MTU值大小。

如果源端收到过多的ICMPv6 too big差错消息,会导致内存被大量占用,从而影响系统性能,所以在默认情况下系统使能了ICMPv6超大差错报文接收抑制功能,1s内只处理50个too big差错消息。如果在短时间内,用户有发现大量Path MTU的需求,则可以执行ipv6 icmp rate-limit packet-too-big disable命令,去使能ICMPv6超大差错报文接收抑制功能。

使用实例

# 使能ICMPv6超大差错报文接收抑制功能。

<HUAWEI> system-view
[~HUAWEI] undo ipv6 icmp rate-limit packet-too-big disable

ipv6 icmp send

命令功能

ipv6 icmp send disable命令用于去使能系统发送ICMPv6报文的功能。

undo ipv6 icmp send disable命令用于使能系统发送ICMPv6报文的功能。

缺省情况下,使能系统发送ICMPv6报文的功能。

命令格式

ipv6 icmp { icmpv6-type icmpv6-code | echo | echo-reply | err-header-field | frag-time-exceeded | hop-limit-exceeded | host-admin-prohib | host-unreachable | neighbor-advertisement | neighbor-solicitation | network-unreachable | packet-too-big | port-unreachable | redirect | router-advertisement | router-solicitation | unknown-ipv6-opt | unknown-next-hdr | all } send disable

undo ipv6 icmp { icmpv6-type icmpv6-code | echo | echo-reply | err-header-field | frag-time-exceeded | hop-limit-exceeded | host-admin-prohib | host-unreachable | neighbor-advertisement | neighbor-solicitation | network-unreachable | packet-too-big | port-unreachable | redirect | router-advertisement | router-solicitation | unknown-ipv6-opt | unknown-next-hdr | all } send disable

参数说明

参数 参数说明 取值
icmpv6-type 指定ICMPv6报文类型。

整数形式,取值范围是0~255。

icmpv6-code 指定ICMPv6报文编码。

整数形式,取值范围是0~255。

echo 指定ICMPv6报文名称为ECHO报文。 -
echo-reply 指定ICMPv6报文名称为ECHO回应报文。 -
err-header-field 指定ICMPv6报文名称为错误报文头报文。 -
frag-time-exceeded 指定ICMPv6报文名称为分片超时报文。 -
hop-limit-exceeded 指定ICMPv6报文名称为跳数超大报文。 -
host-admin-prohib 指定ICMPv6报文名称为主机拒绝报文。 -
host-unreachable 指定ICMPv6报文名称为主机不可达报文。 -
neighbor-advertisement 指定ICMPv6报文名称为邻居通告报文。 -
neighbor-solicitation 指定ICMPv6报文名称为邻居请求报文。 -
network-unreachable 指定ICMPv6报文名称为网络不可达报文。 -
packet-too-big 指定ICMPv6报文名称为超大差错报文。 -
port-unreachable 指定ICMPv6报文名称为端口不可达报文。 -
redirect 指定ICMPv6报文名称为重定向报文。 -
router-advertisement 指定ICMPv6报文名称为设备通告报文。 -
router-solicitation 指定ICMPv6报文名称为设备请求报文。 -
unknown-ipv6-opt 指定ICMPv6报文名称为未知选项差错报文。 -
unknown-next-hdr 指定ICMPv6报文名称为未知下一跳头差错报文。 -
all 指定所有ICMPv6报文。 -

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在网络正常的情况下,可以正确发送/接收ICMPv6报文。但是,在网络流量较大时,如果频繁出现主机不可达、端口不可达的现象,则路由设备会发送大量的ICMPv6报文,这样会增大网络的流量负担,明显降低交换机的性能。同时,网络攻击者经常利用ICMPv6差错报文非法刺探网络内部结构。

因此为了提高网络的性能和增强网络的安全,可以使用ipv6 icmp send disable命令去使能系统发送ICMPv6报文的功能,防止针对这些ICMPv6报文的安全攻击。

配置影响

去使能系统发送ICMPv6报文的功能后,系统不会对发送的报文进行统计,只会统计被丢弃的报文总数。

注意事项

在网络状态良好的情况下,当需要恢复系统对ICMPv6报文的处理功能时,执行undo ipv6 icmp send disable命令。

使用实例

# 使能系统发送ICMPv6报文的功能。

<HUAWEI> system-view
[~HUAWEI] undo ipv6 icmp all send disable

# 去使能发送ICMPv6主机不可达报文的功能。

[*HUAWEI] ipv6 icmp host-unreachable send disable

ipv6 icmp-error

命令功能

ipv6 icmp-error命令用来限制ICMPv6报文的发送速率。

undo ipv6 icmp-error命令用来恢复ICMPv6报文的发送速率为缺省值。

缺省情况下,令牌桶容量值为10,向令牌桶中放置令牌的间隔时间为100毫秒。

命令格式

ipv6 icmp-error { bucket bucket-size | ratelimit interval } *

undo ipv6 icmp-error

参数说明

参数 参数说明 取值
bucket bucket-size 指定令牌桶可容纳的令牌数。 整数形式,取值范围是1~200。
ratelimit interval 指定向令牌桶中放置令牌的间隔时间。 整数形式,取值范围是0~2147483647,单位是毫秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

在网络没有受到安全攻击的正常情况下,可以正确的发送ICMPv6错误报文,通告其他设备收发报文的异常情况。但如果攻击者频繁向网络设备发送ICMPv6报文,网络设备就会相应的回复ICMPv6报文。在这种情况下,会影响系统的吞吐量和CPU使用率。所以,为了保证系统不会发送大量的ICMPv6报文,可以使用ipv6 icmp-error命令限制ICMPv6报文的发送速率。

使用令牌桶算法,一个令牌代表一个ICMPv6报文。每隔一定的时间向虚拟的桶中放置令牌,直到达到令牌桶允许的最大数量。一旦ICMPv6报文个数超出了桶的容量,报文就会被丢弃。通过设置令牌桶大小和时间间隔来限制ICMPv6报文的发送速率。

配置影响

ipv6 icmp-error命令的执行结果是覆盖式的,即如果两次配置的令牌桶容量值和时间间隔不同,则第二次的配置生效。

当配置了向令牌桶中放置令牌的间隔时间为0时,表示不限制放置令牌的间隔。

使用实例

# 设置向令牌桶中放置令牌的间隔时间为100毫秒。

<HUAWEI> system-view
[~HUAWEI] ipv6 icmp-error ratelimit 100

# 设置ICMPv6的令牌桶容量为50。

<HUAWEI> system-view
[~HUAWEI] ipv6 icmp-error bucket 50

# 设置向令牌桶中放置令牌的间隔时间为100毫秒,令牌桶容量为50。

<HUAWEI> system-view
[~HUAWEI] ipv6 icmp-error bucket 50 ratelimit 100

ipv6 mtu

命令功能

ipv6 mtu命令用来配置接口发送IPv6报文时的最大传输单元(MTU)。

undo ipv6 mtu命令用来恢复接口发送IPv6报文时的最大传输单元到缺省值。

命令格式

ipv6 mtu mtu

undo ipv6 mtu

参数说明

参数 参数说明 取值
mtu 指定接口发送IPv6报文时的最大传输单元。

正常通信情况下,建议IPv6 MTU的值不要随意更改,采用缺省值。

  • Ethernet接口及其子接口:整数形式,取值范围是1280~1500,单位是字节。缺省值是1500。
  • GE接口及其子接口:整数形式,取值范围是1280~9600,单位是字节。缺省值是1500。
  • Tunnel接口:整数形式,取值范围是1280~9600,单位是字节。缺省值是1500。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

当源端到目的端之间的链路承受数据流量的能力发生变化时,可以使用本命令配置接口发送IPv6报文时的最大传输单元。此时如果报文长度大于接口的IPv6 MTU值,则系统会根据该MTU值合理对报文进行分片后向对端发送。

配置影响

  • 系统的动态PMTU值是根据接口的IPv6 MTU值设定的。

    PMTU(Path MTU Discovery)机制就是从源端到目的端的路径上所有接口的最小MTU值。

  • 如果本命令配置的接口IPv6 MTU值小于使用ipv6 pathmtu命令配置的静态PMTU值,接口发送报文时,会根据本命令配置的IPv6 MTU值对报文进行分片。

注意事项

使用本命令配置接口的IPv6 MTU值时,需要确保直连设备两端接口的IPv6 MTU值相同。

使用实例

# 设置接口10GE1/0/1接口发送IPv6报文时的最大传输单元为1400。

<HUAWEI> system-view
[~HUAWEI] interface 10ge1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 mtu 1400

# 设置Eth-Trunk接口发送IPv6报文时的最大传输单元为1400。

<HUAWEI> system-view
[~HUAWEI] interface eth-trunk 1
[*HUAWEI-Eth-Trunk1] undo portswitch
[*HUAWEI-Eth-Trunk1] ipv6 mtu 1400

ipv6 nd autoconfig managed-address-flag

命令功能

ipv6 nd autoconfig managed-address-flag命令用来设置RA报文中的有状态自动配置地址的标志位。

undo ipv6 nd autoconfig managed-address-flag命令用来清除RA报文中的有状态自动配置地址的标志位。

缺省情况下,没有设置有状态自动配置地址的标志位。

命令格式

ipv6 nd autoconfig managed-address-flag

undo ipv6 nd autoconfig managed-address-flag

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

  • 如果设置了该标志位,则主机通过有状态自动配置获得IPv6地址。
  • 如果清除了该标志位,则主机通过无状态自动配置获得IPv6地址,即通过RA报文向主机发布IPv6地址前缀信息。

前置条件

执行ipv6 nd autoconfig managed-address-flag命令设置有状态自动配置地址的标志位前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

如果已经执行ipv6 nd autoconfig managed-address-flag命令设置有状态自动配置地址的标志位,则即使没有执行ipv6 nd autoconfig other-flag命令,设备也会使主机通过有状态自动配置获得除IPv6地址外的其他配置信息,包括路由器生存时间、邻居可达时间、邻居的重传时间、链路的MTU信息。

使用display ipv6 interface命令可以查看到下挂的主机通过有状态自动配置或者无状态自动配置获得了IPv6地址。

注意事项

在本设备的同一接口上不可以同时使用有状态自动配置和无状态自动配置获得的IPv6地址。

使用实例

# 在VLANIF100上设置RA报文中的有状态自动配置地址的标志位。
<HUAWEI> system-view
[~HUAWEI] interface vlanif 100
[*HUAWEI-Vlanif100] ipv6 enable
[*HUAWEI-Vlanif100] ipv6 nd autoconfig managed-address-flag
# 在10GE1/0/1上设置RA报文中的有状态自动配置地址的标志位。
<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd autoconfig managed-address-flag

ipv6 nd autoconfig other-flag

命令功能

ipv6 nd autoconfig other-flag命令用来设置RA(Router Advertisement,路由器通告)报文中的有状态自动配置其他信息的标志位。

undo ipv6 nd autoconfig other-flag命令用来清除RA报文中的有状态自动配置其他信息的标志位。

缺省情况下,没有设置有状态自动配置其他信息的标志位。

命令格式

ipv6 nd autoconfig other-flag

undo ipv6 nd autoconfig other-flag

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

  • 如果设置了该标志位,则主机可通过有状态自动配置获得除IPv6地址外的其他配置信息,包括路由器生存时间、邻居可达时间、邻居的重传时间、链路的MTU信息。
  • 如果清除了该标志位,则主机进行无状态自动配置。即路由设备通过RA报文向主机发布除IPv6地址外的其他配置信息,包括路由器生存时间、邻居可达时间、邻居的重传时间、链路的MTU信息。

前置条件

执行ipv6 nd autoconfig other-flag命令设置有状态自动配置的其他信息标志位前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

如果已经执行ipv6 nd autoconfig managed-address-flag命令设置有状态自动配置地址的标志位,则即使没有执行ipv6 nd autoconfig other-flag命令,设备也会使主机通过有状态自动配置获得除IPv6地址外的其他配置信息。

注意事项

在本设备的同一接口上不可以同时使用有状态自动配置和无状态自动配置获得除IPv6地址外的其他配置信息。

使用实例

# 设置接口10GE1/0/1的有状态自动配置其他信息的标志位。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd autoconfig other-flag

ipv6 nd auto-detect disable

命令功能

ipv6 nd auto-detect disable命令用来去使能ND(Neighbor Discovery,邻居发现)表项自动探测功能。

undo ipv6 nd auto-detect disable命令用来使能ND表项自动探测功能。

缺省情况下,使能了ND表项自动探测功能。

命令格式

ipv6 nd auto-detect disable

undo ipv6 nd auto-detect disable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果希望在ND表项老化之前,系统主动发送NS(Neighbor Solicitation,邻居请求)报文,探测邻居是否可达来提高网络的可靠性,可以执行undo ipv6 nd auto-detect disable命令使能ND表项自动探测功能。

配置影响

系统主动发送NS报文后,如果收到邻居的回应的NA(Neighbor Advertisement,邻居通告)报文,则更新ND表项的老化时间。如果没有收到回应,则表项自动老化。

推荐使用该命令的缺省情况,即使能ND表项自动探测功能。

注意事项

如果不使能ND表项自动探测功能,系统会在ND表项的老化时间到达之后或者被动建立邻居表项时表项状态为delay超时后不再进行主动探测,则直接删除该ND表项。

使用实例

# 使能ND表项的自动探测功能。

<HUAWEI> system-view
[~HUAWEI] undo ipv6 nd auto-detect disable

ipv6 nd dad attempts

命令功能

ipv6 nd dad attempts命令用来配置系统进行重复地址检测(Duplicate Address Detect)时发送邻居请求报文的次数。

undo ipv6 nd dad attempts命令用来恢复系统进行重复地址检测时发送邻居请求报文次数的缺省值。

缺省情况下,系统进行重复地址检测(Duplicate Address Detect)时发送邻居请求报文的次数是1。

命令格式

ipv6 nd dad attempts value

undo ipv6 nd dad attempts

参数说明

参数 参数说明 取值
value 指定重复地址检测DAD时发送邻居请求报文的次数。 整数形式,取值范围是0~600。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

当为接口配置IPv6地址(包括IPv6全球单播地址和链路本地地址)时,需要在本地链路范围内检测将要使用的IPv6地址是否唯一,即系统需要检测与该接口相连的其他接口是否已经使用将要配置的IPv6地址,以免发生地址冲突。

前置条件

执行ipv6 nd dad attempts命令配置系统进行重复地址检测时发送邻居请求报文的次数前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

当重复地址检测时发送邻居请求报文的次数设置为0时,表示禁止重复地址检测。

注意事项

当接口的物理链路出现故障时,重复地址检测功能无法执行。

在设备业务量很大时,建议增加DAD报文的探测次数。

使用实例

# 配置系统进行重复地址检测时发送邻居请求报文的次数为20次。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd dad attempts 20

# 禁止系统进行重复地址检测。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd dad attempts 0

ipv6 nd hop-limit

命令功能

ipv6 nd hop-limit命令用来配置由路由设备初始发送的IPv6单播报文的跳数限制。

undo ipv6 nd hop-limit命令用来恢复由路由设备初始发送的IPv6单播报文的跳数限制为缺省值。

缺省情况下,由路由设备初始发送的IPv6单播报文的跳数限制是64。

命令格式

ipv6 nd hop-limit limit

undo ipv6 nd hop-limit

参数说明

参数 参数说明 取值
limit 指定跳数的取值。 整数形式,取值范围是1~255。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

配置路由设备的跳数限制可以:

  • 控制由路由设备初始发送的IPv6单播报文的跳数限制;

  • 作为RA报文中的参数,帮助主机自动配置跳数限制(即由主机初始发送的IPv6单播报文的跳数限制)。

前置条件

在接口视图下执行ipv6 nd hop-limit命令配置由路由设备初始发送的IPv6单播报文的跳数限制前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

系统发送单播报文的跳数限制值,只依赖于系统视图下执行ipv6 nd hop-limit命令的配置。

系统发送RA报文的跳数限制值,既依赖于系统视图下执行ipv6 nd hop-limit命令的配置,也依赖于接口视图下执行ipv6 nd ra hop-limit命令的配置,具体规则如下:
  • 若在接口视图和系统视图下都没有配置,则发送的RA报文的跳数限制值为缺省值64。
  • 若在接口视图下没有配置,则系统发送的RA报文的跳数限制值为在系统视图配置下执行ipv6 nd hop-limit命令配置的值。
  • 若在接口视图执行ipv6 nd ra hop-limit命令进行了配置,则接口视图下的配置值优先生效,无论在系统视图下是否执行该命令进行配置。

注意事项

一般情况下,由路由设备初始发送的IPv6单播报文的跳数限制与RA报文中的跳数限制取值相同。但在下述情况中,由路由设备初始发送的IPv6单播报文的跳数限制为缺省值64,RA报文中的跳数限制为0。

  • 没有设置由路由设备初始发送的IPv6单播报文的跳数限制,即缺省情况下。
  • 执行undo ipv6 nd hop-limit命令将由路由设备初始发送的IPv6单播报文的跳数限制恢复为缺省值。

主机收到跳数限制为0的RA报文后,将自身的跳数限制设置为缺省值64,与路由设备保持一致。

使用实例

# 在系统视图下配置由路由设备初始发送的IPv6单播报文的跳数限制为100。

<HUAWEI> system-view
[~HUAWEI] ipv6 nd hop-limit 100

ipv6 nd neighbor-limit

命令功能

ipv6 nd neighbor-limit命令用来配置接口上的动态邻居表项的最大数目。

undo ipv6 nd neighbor-limit命令用来取消接口上配置的动态邻居表项的最大数目。

缺省情况下,未配置接口上的动态邻居表项的最大数目。

命令格式

ipv6 nd neighbor-limit max-number

undo ipv6 nd neighbor-limit [ max-number ]

参数说明

参数 参数说明 取值
max-number 指定接口上的动态邻居表项的最大数目。 整数形式,取值范围是0~16384。
说明:

max-number参数配置为0,相当于执行undo ipv6 nd neighbor-limit [ max-number ]命令。

视图

接口视图

缺省级别

2:配置级

使用指南

当攻击者向设备发送大量RA报文时,会触发设备动态学习动态邻居表项,从而导致CPU占用率升高,占用大量内存空间,用户可以执行ipv6 nd neighbor-limit对接口上的动态邻居表项的最大数目进行限制,系统动态学习的邻居表项不会超过指定的最大值,从而防御RA报文泛洪攻击。

当动态邻居表项的信息数量超过了邻居表项的规格,出现大量冗余信息时,设备会停止记录。此时可以执行reset ipv6 neighbors命令清除指定的动态邻居表项信息,但会影响IPv6报文转发,请谨慎操作。

使用实例

# 配置接口上的动态邻居表项的最大数目为16000。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 10
[~HUAWEI-Vlanif10] ipv6 nd neighbor-limit 16000

ipv6 nd ns retrans-timer

命令功能

ipv6 nd ns retrans-timer命令用来设置系统发送邻居请求报文的时间间隔。

undo ipv6 nd ns retrans-timer命令用来恢复系统发送邻居请求报文的时间间隔为缺省值。

缺省情况下,系统发送邻居请求报文的时间间隔是1000毫秒。

命令格式

ipv6 nd ns retrans-timer interval

undo ipv6 nd ns retrans-timer

参数说明

参数 参数说明 取值
interval 指定系统发送邻居请求报文的时间间隔。 整数形式,取值范围是1000~4294967295,单位是毫秒。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

设置系统发送邻居请求报文的时间间隔可以:

  • 控制本路由设备进行邻居可达性探测的时间间隔;

  • 控制本路由设备进行重复地址检测的时间间隔;

  • 作为RA报文的参数,知会主机。主机将该值设置为自身发送邻居请求报文的时间间隔。

前置条件

执行ipv6 nd ns retrans-timer命令配置系统发送邻居请求报文的时间间隔前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

频繁的发送邻居请求报文会占用系统的CPU资源,可能会影响系统的性能,所以正常操作中不建议设置较短的时间间隔。推荐使用系统发送邻居请求报文的时间间隔的缺省值,即1000毫秒。

ipv6 nd ns retrans-timer命令的执行结果是覆盖式的,即如果两次配置的时间间隔不同,则第二次的配置生效。

注意事项

说明:
一般情况下,系统发送邻居请求报文的时间间隔与发送路由器通告报文的时间间隔相同,但在下述情况中,系统发送邻居请求报文的时间间隔为缺省值1000毫秒,发送路由器通告报文的时间间隔为0毫秒。
  • 没有设置系统发送邻居请求报文的时间间隔,即缺省情况下。
  • 执行undo ipv6 nd ns retrans-timer命令将系统发送邻居请求报文的时间间隔恢复为缺省值。

主机收到路由器通告报文的时间间隔为0毫秒的RA报文后,将自身发送邻居请求报文的时间间隔设置为缺省值1000毫秒,与路由设备保持一致。

使用实例

# 设置10GE1/0/1接口上系统发送邻居请求报文的时间间隔为10000毫秒。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd ns retrans-timer 10000

ipv6 nd nud reachable-time

命令功能

ipv6 nd nud reachable-time命令用来配置IPv6邻居节点的可达时间。

undo ipv6 nd nud reachable-time命令用来恢复IPv6邻居节点的可达时间为缺省值。

缺省情况下,IPv6邻居节点的可达时间为1200000毫秒。

命令格式

ipv6 nd nud reachable-time value

undo ipv6 nd nud reachable-time

参数说明

参数 参数说明 取值
value 指定邻居可达时间。 整数形式,取值范围是1~3600000,单位是毫秒。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

设置IPv6邻居节点的邻居可达时间可以:

  • 控制本路由设备邻居表项的老化时间;

  • 作为RA报文的参数,帮助主机配置邻居可达时间。

路由设备在接口上每次发布路由器通告报文时都携带邻居可达时间,以便同一链路上的所有节点都使用相同的时间。

前置条件

执行ipv6 nd nud reachable-time命令配置IPv6邻居节点的邻居可达时间前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

路由设备配置了较短的邻居可达时间,可以更快的探测邻居的可达性。但是同样也会消耗更多的网络带宽和CPU资源。因此,在正常的IPv6网络操作中,不建议使用过于短的邻居探测时间。推荐使用邻居可达时间的缺省值,即1200000毫秒。

ipv6 nd nud reachable-time命令的执行结果是覆盖式的,即如果两次配置的邻居可达时间不同,则第二次的配置生效。

注意事项

一般情况下,路由设备的邻居可达时间与路由器通告报文的邻居可达时间取值相同。但在下述情况中,路由设备的邻居可达时间为缺省值1200000毫秒,路由器通告报文中的邻居可达时间为0毫秒。

  • 没有设置路由设备的邻居可达时间,即缺省情况下。
  • 执行undo ipv6 nd nud reachable-time命令将路由设备的邻居可达时间恢复为缺省值。

当主机收到邻居可达时间为0的路由器通告报文后,将自身的邻居可达时间设置为缺省值1200000毫秒,与交换机保持一致。

使用实例

# 配置10GE1/0/1接口上的邻居可达时间。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd nud reachable-time 10000

ipv6 nd pre-detect

命令功能

ipv6 nd pre-detect命令用来使能提前探测ND表项功能。

undo ipv6 nd pre-detect命令用来去使能提前探测ND表项功能。

缺省情况下,没有使能提前探测ND表项功能。

命令格式

ipv6 nd pre-detect

undo ipv6 nd pre-detect

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当需要使ND表项由REACHABLE状态迁移至STALE状态之前提前发送NS报文探测以确定ND表项的有效性时,可以使能提前探测ND表项功能。此时,若邻居存在则状态仍为REACHABLE,若邻居不存在则删除该表项。这样转发层面不需要频繁感知ND表项的状态变化,若表项存在即代表该表项可用,可直接用于转发,提高转发效率。

配置影响

使能提前探测ND表项功能对系统的兼容性没有影响。

根据ND协议规定,当邻居表项处于STALE状态时,若有报文使用该表项,应该发送NS探测报文确认表项的可达性。因此除非出现底层转发过程中由于表项经常处于STALE状态而不断触发ND探测,影响转发效率的情况,其他正常情况下,推荐使用该命令的缺省情况,即没有使能提前探测ND表项功能。

注意事项

缺省情况下,如果在20分钟内没有报文使用该表项,邻居表项则由REACHABLE状态变为STALE状态。

使用实例

# 在系统视图下使能提前探测ND表项功能。

<HUAWEI> system-view
[~HUAWEI] ipv6 nd pre-detect

ipv6 nd ra

命令功能

ipv6 nd ra命令用来设置RA(Router Advertisement)报文的发布时间间隔。

undo ipv6 nd ra命令用来恢复RA报文的发布间隔时间为缺省值。

缺省情况下,最大时间间隔是600秒;对于最小时间间隔,如果RA报文的最大发布间隔时间大于等于9秒,则最小时间间隔的缺省值为最大发布间隔时间的三分之一,其他情况下,缺省值为RA报文的最大发布间隔时间。

命令格式

ipv6 nd ra { max-interval maximum-interval | min-interval minimum-interval }

undo ipv6 nd ra { max-interval | min-interval }

参数说明

参数 参数说明 取值
max-interval maximum-interval 指定RA报文的最大发布间隔时间。 取值范围是4~1800,单位是秒。最大时间间隔不能小于最小时间间隔的4/3。
min-interval minimum-interval 指定RA报文的最小发布间隔时间。 取值范围是3~1350,单位是秒。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

路由设备周期性的发布RA报文,其中包括IPv6地址前缀和有状态自动配置标志位的信息。

如果需要改变路由设备发布RA报文的频率时,请使用ipv6 nd ra命令。

前置条件

执行ipv6 nd ra命令设置RA报文的发布时间间隔前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

使用ipv6 nd ra命令会改变重复地址检测时发送邻居请求报文的次数。推荐使用发布时间间隔的缺省值。

ipv6 nd ra命令的执行结果是覆盖式的,即如果两次配置的发布时间间隔不同,则第二次的配置生效。

注意事项

一般情况下,设置的时间间隔应不大于RA报文的存活时间,RA报文的存活时间可通过ipv6 nd ra router-lifetime命令配置。

实际的RA报文的发布时间间隔是一个在max-intervalmin-interval间的随机值。

使用实例

# 设置RA报文的最大发布时间间隔为1000秒。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd ra max-interval 1000

# 设置RA报文的最小发布时间间隔为300秒。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd ra min-interval 300

ipv6 nd ra advertised-mtu disable

命令功能

ipv6 nd ra advertised-mtu disable命令用来配置RA报文中不携带MTU选项。

undo ipv6 nd ra advertised-mtu disable命令用来恢复RA报文中携带MTU选项。

缺省情况下,RA报文中携带MTU选项。

命令格式

ipv6 nd ra advertised-mtu disable

undo ipv6 nd ra advertised-mtu disable

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

在默认情况下,设备在发送RA报文时会携带MTU选项,MTU选项值与接口下ipv6 mtu命令配置的MTU值一致,如果没有通过该命令手动配置MTU值,则携带接口MTU的默认值。用户可以通过ipv6 nd ra advertised-mtu disable命令来控制设备在发送RA报文时是否携带MTU选项。

前置条件

执行ipv6 nd ra advertised-mtu命令前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

主机在收到路由设备发送的RA报文后,如果其中携带了MTU选项,则会根据该MTU值来调整发送报文的大小。

使用实例

# 配置VLANIF10接口上发送的RA报文中不携带MTU选项。

<HUAWEI> system-view
[~HUAWEI] interface vlanif 10
[~HUAWEI-Vlanif10] ipv6 enable
[*HUAWEI-Vlanif10] ipv6 nd ra advertised-mtu disable

ipv6 nd ra preference

命令功能

ipv6 nd ra preference命令用来配置RA报文中的默认路由器优先级信息。

undo ipv6 nd ra preference命令用来将RA报文中的默认路由器优先级恢复为缺省值。

缺省情况下,RA报文中的默认路由器优先级为中(medium)。

命令格式

ipv6 nd ra preference { high | medium | low }

undo ipv6 nd ra preference

undo ipv6 nd ra preference { high | medium | low }

参数说明

参数 参数说明 取值
high 指定默认路由器优先级为高。 -
medium 指定默认路由器优先级为中。 -
low 指定默认路由器优先级为低。 -

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

当主机所在的链路中存在多个交换机时,主机需要根据报文的目的地址选择转发交换机。在这种情况下,交换机通过发布默认路由器优先级和特定路由信息给主机,提高主机根据不同的目的地选择合适的转发交换机的能力。

主机收到包含路由信息的RA报文后,会更新自己的路由表。当主机向其他设备发送报文时,通过查询该列表的路由信息,选择合适的路由发送报文。

主机收到包含默认路由器优先级信息的RA报文后,会更新自己的默认路由器列表。当主机向其他设备发送报文时,如果没有路由可选,则首先查询该列表,然后选择本链路内优先级最高的交换机发送报文;如果该交换机故障,主机根据优先级从高到低的顺序,依次选择其他交换机

用户可以通过ipv6 nd ra preference命令设置RA报文中的默认路由器优先级,将本链路内优先级最高的交换机设置为主机的网关交换机

前置条件

执行本命令前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

缺省情况下,交换机不发布RA报文。因此如果要向主机发布默认路由器优先级信息,需要先执行undo ipv6 nd ra halt命令,使能设备发布RA报文的功能。

注意事项

如果系统正在删除接口与使能IPv6地址族的VPN实例的绑定关系时,系统会提示不允许执行该命令。

使用实例

# 在10GE1/0/1接口上配置RA报文中的默认路由器优先级为高。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] undo ipv6 nd ra halt
[*HUAWEI-10GE1/0/1] ipv6 nd ra preference high

ipv6 nd ra prefix

命令功能

ipv6 nd ra prefix命令用来配置RA报文中的前缀信息。

undo ipv6 nd ra prefix命令用来删除在RA报文中指定的前缀信息。

缺省情况下,RA报文中只包含使用ipv6 address命令配置的地址前缀。

命令格式

ipv6 nd ra prefix { ipv6-address ipv6-prefix-length | ipv6-prefix/ipv6-prefix-length } valid-lifetime preferred-lifetime [ no-autoconfig ] [ off-link ]

undo ipv6 nd ra prefix { ipv6-address ipv6-prefix-length | ipv6-prefix/ipv6-prefix-length }

ipv6 nd ra prefix default no-advertise

undo ipv6 nd ra prefix default no-advertise

参数说明

参数 参数说明 取值
ipv6-address 指定包含在RA报文中的IPv6地址。 32位16进制数,格式为X:X:X:X:X:X:X:X。
ipv6-prefix-length 指定IPv6地址的前缀长度。

整数形式,取值范围是0~128。通过IPv6地址和前缀长度,可以计算出RA报文携带的IPv6前缀。在进行无状态地址动态分配时,请指定地址前缀长度为64,否则地址无法生效,RA报文将会被丢弃。

ipv6-prefix 指定IPv6地址前缀。 32位16进制数,格式为X:X:X:X:X:X:X:X。
valid-lifetime 指定前缀信息的有效存活时间。 整数形式,取值范围是0~4294967295,单位是秒。
preferred-lifetime 指定前缀信息的首选存活时间。 整数形式,取值范围是0~4294967295,单位是秒。首选存活时间不能大于有效存活时间。
no-autoconfig

指定去除A-Flag标志位,若指定该参数,则表示配置的前缀无法用于无状态地址自动配置。

-
off-link 指定O-Flag标志位。若配置该参数,则知会本链路内的主机RA报文中的前缀不是分配给本地链路的。主机若向该前缀指定的地址发送报文时,需要经过默认路由器转发。 -
default no-advertise 指定RA报文不携带接口IPv6地址生成的默认前缀。 -

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

如果用户使用ipv6 nd ra prefix命令配置了前缀,则设备会同时发布ipv6 nd ra prefix命令以及ipv6 address命令配置的地址前缀。

缺省情况下,设备在发送RA报文时会自动携带由接口IPv6地址生成的默认地址前缀,如果用户不希望RA报文携带默认地址前缀,则可以执行ipv6 nd ra prefix default no-advertise命令。

前置条件

执行ipv6 nd ra prefix命令配置RA报文中的前缀信息前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

主机收到使用ipv6 nd ra prefix命令配置了前缀信息的RA报文后,会更新本地的前缀信息。

注意事项

ipv6 nd ra prefix命令指定的前缀不能为链路本地地址(fe80::)、组播地址(ff00::)、未指定地址(::)以及其他接口已经使用的前缀(包括接口地址前缀和RA消息携带的前缀)。

使用实例

# 配置10GE1/0/1接口上RA报文的前缀消息。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd ra prefix 2001:db8:1::100 64 100 10
[*HUAWEI-10GE1/0/1] ipv6 nd ra prefix 2001:db8:2::100 128 1000 400 no-autoconfig
[*HUAWEI-10GE1/0/1] ipv6 nd ra prefix 2001:db8:1::100 64 1000 400 off-link

# 配置10GE1/0/0接口上RA报文不携带默认地址前缀。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/0
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd ra prefix default no-advertise

ipv6 nd ra halt disable

命令功能

ipv6 nd ra halt disable命令用来使能系统发布RA报文。

undo ipv6 nd ra halt disable命令用来抑制系统发布RA报文。

缺省情况下,抑制系统发布RA报文。

命令格式

ipv6 nd ra halt disable

undo ipv6 nd ra halt disable

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

  • 当路由设备与主机相连接时,需要周期性的向主机发布RA报文中的IPv6地址前缀和有状态自动配置标志位的信息时,使用ipv6 nd ra halt disable命令使能系统发布RA报文的功能。
  • 当路由设备与路由设备相连时,即网络内没有主机时,不需要使能系统发布RA报文的功能,即使用该命令的缺省情况。

前置条件

配置抑制系统发布RA报文前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

使用undo ipv6 nd ra halt disable命令配置抑制系统发布RA报文后,路由设备将不发布RA报文。此时,本网络的主机将不会定期收到更新IPv6地址前缀的信息。

注意事项

在缺省情况下,系统是抑制发布RA报文的。通过查看display icmpv6 statistics命令的显示信息可以判断本设备是否发送了RA报文。

使用实例

# 抑制在10GE1/0/1接口上发布RA报文。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] undo ipv6 nd ra halt disable

ipv6 nd ra hop-limit

命令功能

ipv6 nd ra hop-limit命令用来在接口下配置由路由设备初始发送的IPv6单播报文的跳数限制。

undo ipv6 nd ra hop-limit命令用来恢复由路由设备初始发送的IPv6单播报文的跳数限制为缺省值。

缺省情况下,RA报文的跳数限制是64。

命令格式

ipv6 nd ra hop-limit limit

undo ipv6 nd ra hop-limit

参数说明

参数 参数说明 取值
limit 指定RA报文跳数限制的取值。 整数形式,取值范围是0~255。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

跳数限制的作用:作为RA报文中的参数,帮助主机完成跳数限制(即主机始发的IPv6单播报文的跳数限制)的自动配置。

前置条件

在配置该命令之前,需要在接口上使能ipv6 enable命令,使能IPv6功能。

配置影响

配置该命令后,如果交换机收到的RA报文中的跳数限制和自己配置的不同,则丢弃此RA报文。

注意事项

  • 如果接口下配置了ipv6 nd ra hop-limit命令,则发送的RA报文中的跳数限制以接口的配置为准。

  • 如果接口下没有配置ipv6 nd ra hop-limit命令,则发送的RA报文中的跳数限制以全局配置的为准,即以ipv6 nd hop-limit命令配置的为准。

使用实例

# 配置RA报文的跳数限制为126。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd ra hop-limit 126

ipv6 nd ra router-lifetime

命令功能

ipv6 nd ra router-lifetime命令用来配置RA报文的存活时间。

undo ipv6 nd ra router-lifetime命令用来恢复RA报文的存活时间为缺省值。

缺省情况下,RA消息的存活时间为RA报文的最大发布间隔时间的3倍。

命令格式

ipv6 nd ra router-lifetime ra-lifetime

undo ipv6 nd ra router-lifetime

参数说明

参数 参数说明 取值
ra-lifetime 指定RA报文的存活时间。 整数形式,取值范围是0,4~9000,单位是秒。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

路由设备将RA报文的存活时间值记录在RA报文中,发送给本网段的主机。该值表示路由设备作为主机的默认路由器的生效时间。

前置条件

执行ipv6 nd ra router-lifetime命令设置RA报文的存活时间前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

如果主机收到RA报文的存活时间为0的RA报文后,则不将该交换机地址更新到自己的默认路由器表项中。

注意事项

RA报文的存活时间应该大于等于RA报文的发布间隔时间(缺省情况下,最大间隔是600秒,最小间隔是200秒,可以通过ipv6 nd ra命令配置)。如果配置的RA报文的存活时间值小于RA报文的发布间隔时间,系统会提示错误,此时请重新配置。

使用实例

# 配置10GE1/0/1接口上RA报文的存活时间1000秒。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd ra router-lifetime 1000

ipv6 nd ra route-information

命令功能

ipv6 nd ra route-information命令用来配置RA报文中的路由选项信息。

undo ipv6 nd ra route-information命令用来删除RA报文中的路由选项信息。

缺省情况下,RA报文中没有路由选项信息。

命令格式

ipv6 nd ra route-information ipv6-address prefix-length lifetime route-lifetime [ preference { high | medium | low } ]

undo ipv6 nd ra route-information ipv6-address prefix-length

undo ipv6 nd ra route-information ipv6-address prefix-length lifetime route-lifetime [ preference { high | medium | low } ]

参数说明

参数 参数说明 取值
ipv6-address 指定IPv6地址的前缀。 32位16进制数,格式为X:X:X:X:X:X:X:X。
prefix-length 指定IPv6地址的前缀长度。 整数形式,取值范围是0~128。
lifetime route-lifetime 指定路由的生存时间。 整数形式,取值范围是0~4294967295,单位是秒。
preference 指定路由的优先级。 -
high 指定路由优先级为高。 -
medium 指定路由优先级为中。 -
low 指定路由优先级为低。 -

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

RA报文中包含路由选项信息,通过该选项交换机将特定的路由信息发布给本网段主机。主机可以使用这些路由来发送报文。

前置条件

执行本命令前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

缺省情况下,交换机不发布RA报文。因此如果要向主机发布路由信息,需要先执行undo ipv6 nd ra halt命令,使能设备发布RA报文的功能。

配置影响

主机收到包含路由选项信息的RA报文后,会更新自己的路由表。当主机向其他设备发送报文时,通过查询该列表的路由信息,选择合适的路由发送报文。

注意事项

系统不允许为环回地址配置路由选项信息。

使用实例

# 在10GE1/0/1接口上配置RA报文的路由信息:到目的地址2001:db8::12/64的路由生存时间为1550秒、优先级为高。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] undo ipv6 nd ra halt
[*HUAWEI-10GE1/0/1] ipv6 nd ra route-information 2001:db8::12 64 lifetime 1550 preference high

ipv6 nd security key-length

命令功能

ipv6 nd security key-length命令用来配置接口可以接收的密钥长度。

undo ipv6 nd security key-length命令用来恢复接口可以接收的密钥长度为缺省值。

缺省情况下,接口可以接收的密钥长度的最小值是512bit,最大值是2048bit。

命令格式

ipv6 nd security key-length { minimum keylen-value | maximum keylen-value } *

undo ipv6 nd security key-length

参数说明

参数 参数说明 取值
minimum keylen-value

指定本接口可以接收的密钥长度的最小值。

整数形式,取值范围是384~2048,单位是bit。
maximum keylen-value

指定本接口可以接收的密钥长度的最大值。

整数形式,取值范围是384~2048,单位是bit。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

当需要限制接口可以接收的密钥长度时,可以通过本命令实现。如果接收到的ND报文的密钥长度超出可以接收的长度范围,则该报文被视为是非安全的报文而丢弃。

前置条件

执行该命令前,需要先在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

后续任务

在接口视图下执行ipv6 nd security strict命令使能接口的严格安全模式功能。

使用实例

# 配置接口10GE1/0/1可以接收的密钥最小长度为1500bit,最大长度为2000bit。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd security key-length minimum 1500 maximum 2000
[*HUAWEI-10GE1/0/1] ipv6 nd security strict

ipv6 nd security rate-limit

命令功能

ipv6 nd security rate-limit命令用来设置系统一段时间内(1s)计算或验证RSA签名的速率上限值。

undo ipv6 nd security rate-limit命令用来删除RSA签名速率限制。

缺省情况下,系统处理的RSA签名速率没有限制。

命令格式

ipv6 nd security rate-limit ratelimit-value

undo ipv6 nd security rate-limit

参数说明

参数 参数说明 取值
ratelimit-value 指定系统一段时间内(1s)计算或验证RSA签名的速率上限值。 整数形式,取值范围是1~100,单位是个/秒。

视图

系统视图

缺省级别

2:配置级

使用指南

如果攻击者不断向本设备发送SEND报文,会使系统一直忙于认证这些报文的RSA签名,导致CPU占用率不断升高,造成DOS攻击。为了避免遭到此类DOS攻击,可以通过本命令限制系统验证ND报文RSA签名的速率。如果系统验证ND报文RSA签名的速率超出限制的范围,则超限后的报文被视为是非安全的报文而丢弃。

使用实例

# 设置系统处理接收的ND报文的速率的上限为10个/秒。

<HUAWEI> system-view
[~HUAWEI] ipv6 nd security rate-limit 10

ipv6 nd security strict

命令功能

ipv6 nd security strict命令用来使能接口的严格安全模式功能。

undo ipv6 nd security strict命令用来恢复接口的安全模式为缺省模式。

缺省情况下,没有使能接口的严格安全模式功能。

命令格式

ipv6 nd security strict

undo ipv6 nd security strict

参数说明

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

由于缺省情况下接口会接收所有安全和非安全的ND报文,为避免遭受网络攻击,需要在接口下使能严格安全模式,在该模式下以下报文均会被认为是非安全的ND报文,并且被丢弃:

  • 接收到的ND报文没有携带CGA和RSA选项,即发送该报文的接口没有配置CGA地址。
  • 接收到的ND报文的密钥长度超出本接口可以接受的长度范围。
  • 接收ND报文的速率超出系统接受的速率范围。
  • 接收ND报文的时刻与发送ND报文的时刻的差值超出本接口可以接受的时间范围。
说明:
在同一个链路上的两台设备,例如配置了IPv6邻居发现的严格安全功能的设备为A,没有配置该功能的设备为B,则B向A发送的ND报文都会被A视为非安全报文而拒绝接收。

前置条件

执行本命令前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

由于使能接口的严格安全模式功能后,系统将不会对非安全的节点进行重复地址检测(DAD),此时网络中可能存在非安全的冲突地址。因此去使能接口的严格安全模式功能后,建议重新触发重复地址检测功能。

注意事项

如果使能接口的严格安全模式,建议接口下配置的地址全部为CGA地址,否则接口选择的源地址可能为普通的IPv6地址,导致安全校验失败,流量不通。

使用实例

# 在10GE1/0/1接口上使能接口的严格安全模式功能。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd security strict

ipv6 nd security timestamp

命令功能

ipv6 nd security timestamp命令用来配置ND报文的时间戳参数。

undo ipv6 nd security timestamp命令用来恢复ND报文的时间戳参数为缺省值。

缺省情况下,本端接收ND报文的时刻与对端发送ND报文的时刻之间的最大差值是300秒,接收方与发送方系统时间差值的最大值的百分比是1%,报文的最大生存时间是1秒。

命令格式

ipv6 nd security timestamp { delta delta-value | drift drift-value | fuzz-factor fuzz-value } *

undo ipv6 nd security timestamp { delta | drift | fuzz-factor }

参数说明

参数 参数说明 取值
delta delta-value

指定本端接收ND报文的时刻与对端发送ND报文的时刻之间的最大差值。

整数形式,取值范围是0~1000,单位是秒。
drift drift-value

指定接收方与发送方系统时间差值的最大值的百分比。

整数形式,取值范围是0~100。
fuzz-factor fuzz-value

指定报文的最大生存时间。即,如果本端接收ND报文的时刻与对端发送ND报文的时刻之差大于delta-value,但在fuzz-value时间长度范围内,则仍可被接口接收。

整数形式,取值范围是0~1000,单位是秒。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

如果发送至本接口的ND报文被攻击者截获,则该报文会延迟到达本接口。因此,当需要限制本端接收ND报文的时刻与对端发送ND报文的时刻的差值时,可以通过本命令设置时间戳参数。系统会根据这些参数计算可以接受的时间范围。如果接收时刻与发送时刻的差值超出本接口可以接受的时间范围,则该报文被认为是非法报文而丢弃。

  • 如果对端没有和本端建立邻居表项,则通过以下公式计算可以接收的时间范围:

    -delta-value < (RDnew - TSnew) < +delta-value

  • 如果对端已经和本端建立邻居表项,则通过以下公式计算可以接收的时间范围:

    TSnew + fuzz-value > TSlast + (RDnew - RDlast) x (1 - drift-value) - fuzz-value

说明:
  • RDnew:接收端收到最新SEND报文的时间
  • RDlast:接收端从同一个对端收到并接受上一个SEND报文的时间
  • TSnew:接收端收到最新SEND报文中的时间戳值,该时间值由发送端记录在SEND报文的时间戳选项中
  • TSlast:接收端收到并接受的上一个SEND报文中的时间戳值,该时间值由发送端记录在SEND报文的时间戳选项中

例如,当SwitchA首次向SwitchB发送ND报文时,此时SwitchA的系统时间为4:00,则TSnew为4:00。SwitchB接收到该ND报文时,此时SwitchB的系统时间是5:00,则RDnew为5:00。如果该报文被认为是安全ND报文,则此时SwitchB记录的TSlast为4:00、RDlast为5:00。

SwitchA再次向SwitchB发送ND报文时,此时SwitchA的系统时间为4:05,则TSnew为4:05。SwitchB接收到该ND报文时,此时SwitchB的系统时间是5:05,则RDnew为5:05。如果该报文也被认为是安全ND报文,则此时SwitchB记录的TSlast为4:05、RDlast为5:05。

前置条件

执行该命令前,需要先在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

后续任务

在接口视图下执行ipv6 nd security strict命令使能接口的严格安全模式功能。

使用实例

# 设置接口10GE1/0/1下ND报文的时间戳参数,本端接收ND报文的时刻与对端发送ND报文的时刻之间的最大差值为10秒。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd security timestamp delta 10
[*HUAWEI-10GE1/0/1] ipv6 nd security strict

ipv6 nd stale-timeout

命令功能

ipv6 nd stale-timeout命令用来配置邻居表项在STALE状态的老化时间。

undo ipv6 nd stale-timeout命令用来恢复邻居表项在STALE状态的老化时间为缺省值。

缺省情况下,邻居表项的STALE状态老化时间是1200秒。

命令格式

ipv6 nd stale-timeout seconds

undo ipv6 nd stale-timeout

参数说明

参数 参数说明 取值
seconds 指定ND邻居表项在STALE状态的老化时间。 整数形式,取值范围是60~172800,单位是秒。

视图

系统视图、接口视图

缺省级别

2:配置级

使用指南

应用场景

邻居表项在STALE状态代表了邻居是否可达未知。此时除非有发送到邻居的报文,否则不对邻居是否可达进行探测。

邻居表项在STALE状态的老化时间是一个可以改变的值。当需要较快的清除ND邻居表项中的无效信息时,可以使用ipv6 nd stale-timeout命令将老化时间设置为一个较短的值。这样可以加速表项老化的过程。

前置条件

在接口视图下执行ipv6 nd stale-timeout命令设置邻居表项在STALE状态的老化时间前,需要先执行ipv6 enable命令使能接口的IPv6功能。

配置影响

执行ipv6 nd stale-timeout命令后,ND邻居表项在STALE状态的老化时间之后进行状态更新。

注意事项

ND邻居表项在STALE状态到达老化时间后,系统会重新进行邻居表项有效性的探测。如果邻居依然可达,则该邻居表项的状态变为REACHABLE(邻居可达),否则该邻居表项被删除。

邻居表项的信息包括:邻居的IPv6地址、邻居的链路层地址、邻居表项的状态、邻居项所属的接口名称、邻居项的建立时间、邻居所属的VLAN号、邻居所属的VPN实例名称。各项的具体解释请参考display ipv6 neighbors命令的输出信息解释。

使用实例

# 设置全局的邻居表项STALE状态的老化时间为2400秒。

<HUAWEI> system-view
[~HUAWEI] ipv6 nd stale-timeout 2400

# 设置10GE1/0/1接口上邻居表项在STALE状态的老化时间为3600秒。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 nd stale-timeout 3600

ipv6 neighbor

命令功能

ipv6 neighbor命令用来配置静态邻居表项信息。

undo ipv6 neighbor命令用来删除静态邻居表项信息。

缺省情况下,没有配置静态邻居表项信息。

命令格式

VLANIF接口视图:

ipv6 neighbor ipv6-address mac-address vlan vlan-id interface-type interface-number

undo ipv6 neighbor ipv6-address

VBDIF接口视图:

ipv6 neighbor ipv6-address mac-address interface-type interface-number

ipv6 neighbor ipv6-address mac-address vlan vlan-id [ cevlan cevlan-id ] interface-type interface-number

undo ipv6 neighbor ipv6-address

GE接口视图、10GE接口视图、25GE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图:

ipv6 neighbor ipv6-address mac-address

undo ipv6 neighbor ipv6-address

三层子接口视图:

ipv6 neighbor ipv6-address mac-address [ vlan vlan-id ]

undo ipv6 neighbor ipv6-address

说明:

仅dot1q终结三层子接口支持可选参数vlan

参数说明

参数 参数说明 取值
ipv6-address 指定静态邻居表项的IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

mac-address 指定静态邻居表项的MAC地址。

格式为H-H-H。其中H为4位的十六进制整数,可以输入1~4位,如00e0。当输入不足4位时,表示前面的几位为0,如:输入e0,等同于00e0。

vlan vlan-id 指定VLANIF接口所属的VLAN ID。

整数形式,取值范围是1~4094。

cevlan cevid 指定CE的VLAN ID(内层tag的值)。

整数形式,取值范围是1~4094。

interface-type interface-number 指定物理接口的接口类型和接口编号。 -

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

当需要过滤掉一些非法的报文时,可以通过静态配置邻居表项,将这些非法报文的目的IPv6地址绑定到某个不存在的MAC地址。

前置条件

执行ipv6 neighbor命令配置静态邻居表项信息前,需要在接口视图下执行ipv6 enable命令使能接口的IPv6功能。

配置影响

创建一个邻居表项后,其状态进入REACHABLE(邻居可达)状态,即表示连接该邻居的接口是UP状态。如果连接邻居的接口进入Down状态,则该邻居表项将不存在。

用户静态配置的邻居表项会覆盖路由设备通过动态方式学习到的邻居表项信息。即静态配置的邻居表项的优先级高于动态学习到的邻居表项信息。

注意事项

每个接口下最多可以配置16K项静态邻居表项。

执行ipv6 neighbor命令时,如果指定邻居的IPv6地址和MAC地址不正确,则无法与邻居正常通信。

使用reset ipv6 neighbors命令用来清除动态邻居表项信息。

使用实例

# 配置10GE1/0/1接口的静态邻居表项信息。

<HUAWEI> system-view
[~HUAWEI] interface 10ge 1/0/1
[~HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 neighbor 2001:db8::1 fe-e0-89
# 配置Vlanif 1的静态邻居表项信息。
<HUAWEI> system-view
[~HUAWEI] interface Vlanif 1
[*HUAWEI--vlanif1] ipv6 enable
[*HUAWEI--vlanif1] ipv6 neighbor 2001:db8::1 fe-e0-89 vlan 1 10ge 1/0/1
# 配置Qinq接口的静态邻居表项信息。
<HUAWEI> system-view
[~HUAWEI] interface GigabitEthernet 1/0/0.1
[*HUAWEI--GigabitEthernet 1/0/0.1] control-vid 1 qinq-termination
[*HUAWEI--GigabitEthernet 1/0/0.1] ipv6 enable
[*HUAWEI--GigabitEthernet 1/0/0.1] qinq termination pe-vid 1 ce-vid 2
[*HUAWEI--GigabitEthernet 1/0/0.1] ipv6 neighbor 2001:db8::1 1-1-1 vid 1 cevid 2

ipv6 pathmtu

命令功能

ipv6 pathmtu命令用来配置到指定IPv6目的地址的PMTU值(路径最大传输单元)。

undo ipv6 pathmtu 命令用来删除到指定IPv6目的地址的PMTU值。

缺省情况下,到指定IPv6目的地址的PMTU值是1500字节。

命令格式

ipv6 pathmtu ipv6-address [ vpn-instance vpn-instance-name ] [ path-mtu ]

undo ipv6 pathmtu ipv6-address [ vpn-instance vpn-instance-name ]

参数说明

参数 参数说明 取值
ipv6-address 指定IPv6地址,表示设置到该目的IPv6地址的PMTU值。 32位16进制数,格式为X:X:X:X:X:X:X:X。仅可为单播地址。
vpn-instance vpn-instance-name 指定IPv6 VPN实例的名字,表示设置到该目的端的PMTU值。

字符串形式,长度范围是1~31,区分大小写。

指定的IPv6 VPN实例必须在设备上已存在。

path-mtu 指定路径最大传输单元,即可传输的报文的最大长度。 整数形式,取值范围是1280~10000,单位是字节。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

PMTU(Path Maximum Transfer Unit)是确定从源端到目的端路径上合适的MTU值的一种机制。通常情况下,设备根据系统本身具有的动态学习PMTU功能对报文进行分片转发,使得报文在整个传输过程中尽量不分片,减轻中间路由设备的工作压力,以便有效地利用网络资源并得到最佳的吞吐量。

但在特殊情况下,为了保护网络设备的安全,避免受到长度超大的报文的攻击时,使用ipv6 pathmtu命令静态设置到指定IPv6目的地址的PMTU值,控制源端到目的端可转发报文的最大长度。

配置影响

在转发报文的路径中,当某一节点的MTU值小于设置的PMTU值时,报文到达该节点时被丢弃。所以除非会受到安全攻击,其他情况下,推荐根据系统本身具有的功能动态学习PMTU值,不使用ipv6 pathmtu命令静态设置PMTU值,即保持该命令的缺省情况。

注意事项

静态设置的PMTU值、动态学习到的PMTU值、系统缺省的PMTU值,三者的优先级是依次递减的。

使用实例

# 为指定的IPv6地址配置路径最大传输单元为1300字节。

<HUAWEI> system-view
[~HUAWEI] ipv6 pathmtu 2001:db8::12 1300

# 为IPv6 VPN实例的2001:db8::1地址配置路径最大传输单元为1600字节。

<HUAWEI> system-view
[~HUAWEI] ip vpn-instance vpn6
[*HUAWEI] ipv6-family
[*HUAWEI] ipv6 pathmtu 2001:db8::1 vpn-instance vpn6 1600

ipv6 pathmtu age

命令功能

ipv6 pathmtu age命令用来配置动态PMTU表项的老化时间。

undo ipv6 pathmtu age命令用来恢复动态PMTU表项的老化时间为缺省值。

缺省情况下,动态PMTU表项的老化时间是10分钟。

命令格式

ipv6 pathmtu age age-time

undo ipv6 pathmtu age

参数说明

参数 参数说明 取值
age-time 指定PMTU老化时间间隔。 整数形式,取值范围是10~100,单位是分钟。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

PMTU表项的老化时间用来更改动态PMTU表项的存活时间。

当需要减缓动态PMTU表项的老化的时间时,可以使用ipv6 pathmtu age命令改变表项的老化时间。

配置影响

该命令只会改变动态PMTU表项的老化时间,对静态PMTU表项没有作用,静态PMTU表项不会被老化。

注意事项

静态PMTU的优先级高于动态PMTU,在静态PMTU存在的情况下,动态PMTU不生效。

配置动态PMTU表项的老化时间只对配置之后生成的动态PMTU表项生效,不改变配置之前生成的PMTU表项的老化时间。

使用实例

# 配置动态PMTU表项的老化时间为40分钟。

<HUAWEI> system-view
[~HUAWEI] ipv6 pathmtu age 40

ipv6 security modifier

命令功能

ipv6 security modifier命令用来配置CGA地址的安全级别和修正值。

undo ipv6 security modifier命令用来恢复CGA地址的安全级别和修正值为缺省值。

缺省情况下,没有配置修正值,安全级别为0。

命令格式

ipv6 security modifier sec-level sec-value [ modifier-value ]

undo ipv6 security modifier

参数说明

参数 参数说明 取值
sec-level sec-value

指定CGA地址的安全级别。

整数形式,取值是0和1。

1表示最高安全级别,如果配置安全级别为1,则由系统自动生成修正值。只有配置安全级别为0时,才能手动配置修正值。

modifier-value

指定CGA地址的修正值。

32位16进制数,格式为X:X:X:X:X:X:X:X。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

当用户需要配置CGA地址前,需要使用本命令配置CGA地址的修正值和安全级别。CGA地址是系统通过使用公钥、修正值、安全级别这几个参数并经过一定的算法生成的。指定的安全级别越高,生成的CGA地址的安全性也就越高。

接口上配置CGA地址后,该接口发送的ND报文就会被保护,避免遭到针对ND报文的攻击。

前置条件

执行该命令前,需要先完成以下配置:

  1. 在系统视图下执行rsa key-pair label命令,创建RSA密钥对。

  2. 在接口视图下执行ipv6 enable命令,使能接口的IPv6功能。

  3. 在接口视图下执行ipv6 security rsakey-pair命令,将创建的RSA密钥对与接口绑定。

配置影响

如果在接口上配置了修正值和安全级别,则不允许删除RSA密钥对与接口的绑定关系。

后续任务

在接口视图下执行ipv6 address { ipv6-address prefix-length | ipv6-address/prefix-length } cgaipv6 address ipv6-address link-local cga命令,配置CGA地址。

注意事项

如果在接口上配置了CGA地址,则不允许删除CGA地址的修正值和安全级别。

使用实例

# 在10GE1/0/1接口下配置CGA地址的修正值和安全级别。

<HUAWEI> system-view
[~HUAWEI] rsa key-pair label huawei modulus 2048
[*HUAWEI] interface 10ge 1/0/1
[*HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/1] ipv6 enable
[*HUAWEI-10GE1/0/1] ipv6 security rsakey-pair huawei
[*HUAWEI-10GE1/0/1] ipv6 security modifier sec-level 1
[*HUAWEI-10GE1/0/1] ipv6 address 2001:db8:1::1/64 cga

ipv6 security rsakey-pair

命令功能

ipv6 security rsakey-pair命令用来将RSA密钥对与接口绑定。

undo ipv6 security rsakey-pair命令用来删除RSA密钥对与接口的绑定关系。

缺省情况下,密钥对没有与接口绑定。

命令格式

ipv6 security rsakey-pair key-label

undo ipv6 security rsakey-pair key-label

参数说明

参数 参数说明 取值
key-label

指定RSA密钥对的名称。

字符串形式,不支持空格,区分大小写,长度范围是1~35。

视图

接口视图

缺省级别

2:配置级

使用指南

应用场景

RSA密钥对用于在接口上生成修正值和CGA地址,在此之前需要执行本命令将RSA密钥对与接口绑定。

接口上配置CGA地址后,该接口发送的ND报文就会被保护,避免遭到针对ND报文的攻击。

前置条件

执行该命令前,需要先完成以下配置:

  1. 在系统视图下执行rsa key-pair label命令,创建RSA密钥对。

  2. 在接口视图下执行ipv6 enable命令,使能接口的IPv6功能。

后续任务

  1. 在接口视图下执行ipv6 security modifier命令,配置CGA地址的修正值和安全级别。

  2. 在接口视图下执行ipv6 address cgaipv6 address ipv6-address link-local cga命令,配置CGA地址。

注意事项

当存在以下情况时,不允许删除RSA密钥对与接口的绑定关系:

  • 在接口上配置了修正值和安全级别。
  • 在接口上配置了CGA地址。

使用实例

# 将名字为huawei的密钥对与接口10GE1/0/1绑定。

<HUAWEI> system-view
[~HUAWEI] rsa key-pair label huawei modulus 2048
[*HUAWEI] interface 10ge 1/0/0
[*HUAWEI-10GE1/0/1] undo portswitch
[*HUAWEI-10GE1/0/0] ipv6 enable
[*HUAWEI-10GE1/0/0] ipv6 security rsakey-pair huawei
[*HUAWEI-10GE1/0/0] ipv6 security modifier sec-level 1
[*HUAWEI-10GE1/0/1] ipv6 address 2001:db8:1::1/64 cga

snmp-agent trap enable feature-name ipv6

命令功能

snmp-agent trap enable feature-name ipv6命令用来打开IPv6模块的告警开关。

undo snmp-agent trap enable feature-name ipv6命令用来关闭IPv6模块的告警开关。

缺省情况下,IPv6模块的告警开关处于关闭状态。

命令格式

snmp-agent trap enable feature-name ipv6 [ trap-name ipv6ifstatechange ]

undo snmp-agent trap enable feature-name ipv6 [ trap-name ipv6ifstatechange ]

参数说明

参数 参数说明 取值
trap-name 打开IPv6模块指定类型事件的告警开关。 -
ipv6ifstatechange 打开接口的IPv6协议状态发生变更的告警开关。 -

视图

系统视图

缺省级别

3:管理级

使用指南

可以根据需要选择trap-name,只打开某个事件的告警开关。

使用实例

# 打开IPv6模块的所有告警开关。

<HUAWEI> system-view
[~HUAWEI] snmp-agent trap enable feature-name ipv6

reset ipv6 nd security nonce

命令功能

reset ipv6 nd security nonce命令用来清除系统发送SEND报文时缓存的随机数(Nonce)值。

命令格式

reset ipv6 nd security nonce interface-type interface-number

参数说明

参数 参数说明 取值
interface-type interface-number 清除指定接口上发送SEND报文时缓存的随机数(Nonce)值。 -

视图

用户视图

缺省级别

2:配置级

使用指南

执行reset ipv6 nd security nonce命令会清除系统发送SEND报文时缓存的随机数(Nonce)值,如果再接收到响应SEND报文,会因为缓存中找不到匹配的随机数,而将该响应报文丢弃。请执行该命令前确认是否要清除SEND报文的随机数(Nonce)值。

使用实例

# 清除接口10GE1/0/1上ND安全报文的随机数(Nonce)值。

<HUAWEI> reset ipv6 nd security nonce 10ge 1/0/1

reset ipv6 nd security statistics

命令功能

reset ipv6 nd security statistics命令用来清除接口上ND安全相关的报文统计信息。

命令格式

reset ipv6 nd security statistics interface-type interface-number

参数说明

参数 参数说明 取值
interface-type interface-number 清除指定接口上ND安全相关的报文统计信息。 -

视图

用户视图

缺省级别

2:配置级

使用指南

执行reset ipv6 nd security statistics命令会清除接口上ND安全相关的报文统计信息。请执行该命令前确认是否要清除接口上ND安全相关的报文统计信息。

使用实例

# 清除接口10GE1/0/1上ND安全相关的报文统计信息。

<HUAWEI> reset ipv6 nd security statistics 10ge 1/0/1

reset ipv6 nd security timestamp

命令功能

reset ipv6 nd security timestamp命令用来清除系统发送SEND报文时缓存的时间戳。

命令格式

reset ipv6 nd security timestamp interface-type interface-number

参数说明

参数 参数说明 取值
interface-type interface-number 清除指定接口上发送SEND报文时缓存的时间戳。 -

视图

用户视图

缺省级别

2:配置级

使用指南

执行reset ipv6 nd security timestamp命令会清除系统发送SEND报文时缓存的时间戳,如果再接收到响应SEND报文,会因为缓存中找不到匹配的时间戳进行校验,而将该响应报文丢弃。请执行该命令前确认是否要清除ND安全报文的时间戳。

使用实例

# 清除接口10GE1/0/1上ND安全报文的时间戳。

<HUAWEI> reset ipv6 nd security timestamp 10ge 1/0/1

reset ipv6 neighbors

命令功能

reset ipv6 neighbors命令用来清除动态邻居表项。

命令格式

reset ipv6 neighbors { dynamic | interface-type interface-number }

reset ipv6 neighbors vlan vlan-id [ interface-type interface-number ]

参数说明

参数 参数说明 取值
dynamic 清除所有接口上的动态邻居表项。 -
vlan vlan-id 清除指定VLAN上的动态邻居表项。

整数形式,取值范围是1~4094。

interface-type interface-number 清除指定接口上的所有动态邻居表项。 -

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

当动态邻居表项的信息数量超过了邻居表项的规格,出现大量冗余信息时,使用reset ipv6 neighbors命令清除动态邻居表项信息。

配置影响

执行reset ipv6 neighbors命令会清除指定的动态邻居表项信息,影响IPv6报文转发,请执行该命令前确认是否要清除动态邻居表项。

使用实例

# 清除所有接口上的所有动态邻居表项。

<HUAWEI> reset ipv6 neighbors dynamic
# 清除VLANIF1上的动态邻居表项。
<HUAWEI> reset ipv6 neighbors vlanif 1

# 清除接口10GE1/0/1上的所有动态邻居表项。

<HUAWEI> reset ipv6 neighbors 10ge 1/0/1

reset ipv6 pathmtu

命令功能

reset ipv6 pathmtu命令用来清除动态PMTU表项。

命令格式

reset ipv6 pathmtu [ vpn-instance vpn-instance-name ] dynamic

参数说明

参数 参数说明 取值
vpn-instance vpn-instance-name 清除指定IPv6 VPN实例的动态PMTU项。 字符串形式,长度范围是1~31,区分大小写。
dynamic 清除所有动态PMTU表项。 -

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

reset ipv6 pathmtu命令用于清除系统中动态配置的PMTU表项。可以清除所有动态生成的PMTU表项或指定VPN实例中的PMTU表项。

如果需要统计在某一时间内的动态PMTU项信息,这时必须在统计开始前清除原有的动态PMTU项后,使用display ipv6 pathmtu命令查看动态PMTU项信息。

配置影响

执行reset ipv6 pathmtu命令会删除所有动态PMTU表项,请在执行前确认是否要删除所有表项。

使用实例

# 清除所有动态PMTU表项。

<HUAWEI> reset ipv6 pathmtu dynamic
相关主题

reset ipv6 statistics

命令功能

reset ipv6 statistics命令用来清除IPv6流量统计信息。

命令格式

reset ipv6 statistics

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

如果需要统计在某一时间内的IPv6流量统计信息,这时必须在统计开始前清除原有的IPv6流量统计信息后,使用display ipv6 statistics命令查看IPv6流量统计信息。

配置影响

执行reset ipv6 statistics命令会清除指定的IPv6流量统计信息。请执行该命令前确认是否要清除IPv6流量统计信息。

使用实例

# 清除数据包的IPv6流量统计信息。

<HUAWEI> reset ipv6 statistics

reset rawip ipv6 statistics

命令功能

reset rawip ipv6 statistics命令用来清除IPv6 RawIP报文流量统计信息。

命令格式

reset rawip ipv6 statistics

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

如果需要统计在某一时间内的IPv6 RawIP报文流量统计信息,这时必须在统计开始前清除原有的IPv6 RawIP报文流量统计信息后,使用display rawip ipv6 statistics命令查看IPv6 RawIP报文流量统计信息。

配置影响

执行reset rawip ipv6 statistics命令会清除IPv6 RawIP报文流量统计信息。请执行该命令前确认是否要清除IPv6 RawIP报文流量统计信息。

使用实例

# 清除IPv6 RawIP报文流量统计信息。

<HUAWEI> reset rawip ipv6 statistics

reset tcp ipv6 statistics

命令功能

reset tcp ipv6 statistics命令用来清除IPv6 TCP报文流量统计信息。

命令格式

reset tcp ipv6 statistics

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

如果需要统计在某一时间内的IPv6 TCP报文流量统计信息,这时必须在统计开始前清除原有的IPv6 TCP报文流量统计信息后,使用display tcp ipv6 statistics命令查看TCP报文流量统计信息。

配置影响

执行reset tcp ipv6 statistics命令会清除IPv6 TCP报文流量统计信息。请执行该命令前确认是否要清除IPv6 TCP报文流量统计信息。

注意事项

执行reset tcp ipv6 statistics命令时,清除所有在位接口板的IPv6 TCP报文流量统计信息。

使用实例

# 清除IPv6 TCP报文流量统计信息。

<HUAWEI> reset tcp ipv6 statistics

reset udp ipv6 statistics

命令功能

reset udp ipv6 statistics命令用来清除IPv6 UDP报文流量统计信息。

命令格式

reset udp ipv6 statistics

参数说明

视图

用户视图

缺省级别

2:配置级

使用指南

应用场景

如果需要统计在某一时间内的IPv6 UDP报文流量统计信息,这时必须在统计开始前清除原有的IPv6 UDP报文流量统计信息后,使用display udp ipv6 statistics命令查看UDP报文流量统计信息。

配置影响

执行reset udp ipv6 statistics命令会清除IPv6 UDP报文流量统计信息。请执行该命令前确认是否要清除IPv6 UDP报文流量统计信息。

注意事项

执行reset udp ipv6 statistics命令时,清除所有在位接口板的IPv6 UDP报文流量统计信息。

使用实例

# 清除IPv6 UDP报文流量统计信息。

<HUAWEI> reset udp ipv6 statistics

tcp ipv6 max-mss

命令功能

tcp ipv6 max-mss命令用来配置TCP6连接的MSS(maximum segment size)最大值。

undo ipv6 tcp ipv6 max-mss命令用来删除TCP6连接的MSS最大值。

缺省情况下,设备没有配置TCP6连接的MSS最大值。

命令格式

tcp ipv6 max-mss mss-value

undo tcp ipv6 max-mss [ mss-value ]

参数说明

参数 参数说明 取值
mss-value 指定TCP6连接的MSS最大值大小。 整数形式,单位是字节,取值范围是32~9600。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

TCP6在建立连接时,会协商MSS值(Maximum Segment Size),它表示本端所能接收报文的最大长度。如果TCP6连接的两端有其中一端Path MTU功能不可用,则该端无法根据MTU值调整TCP6报文的大小,可能出现该端的TCP6报文长度超出中间设备的MTU限制导致报文被丢弃的情况,为了避免这种情况的发生,可以在TCP6连接的任意一端上配置tcp ipv6 max-mss命令设置TCP6报文的MSS最大值,则双方协商的MSS值不会超过该数值,从而对两端发送的TCP6报文的长度都进行了有效的控制,使得报文能够顺利的通过中间网络。

使用实例

# 配置TCP6连接的MSS最大值为1024。

<HUAWEI> system-view
[~HUAWEI] tcp ipv6 max-mss 1024

tcp ipv6 timer fin-timeout

命令功能

tcp ipv6 timer fin-timeout命令用来配置TCP6 FIN-Wait定时器。

undo tcp ipv6 timer fin-timeout命令用来恢复TCP6 FIN-Wait定时器的缺省值。

缺省情况下,TCP6 FIN-Wait定时器值为675秒。

命令格式

tcp ipv6 timer fin-timeout interval

undo tcp ipv6 timer fin-timeout

参数说明

参数 参数说明 取值
interval 指定TCP6 FIN-Wait定时器值。 整数形式,单位是秒,取值范围是76~3600。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当TCP6的连接状态由FIN_WAIT_1变为FIN_WAIT_2时启动FIN-Wait定时器。若FIN-Wait定时器超时前仍未收到FIN报文,则TCP6连接被终止。

注意事项

在同一视图下多次配置此命令,只有最后一次配置生效。

对该参数的配置需要在技术支持人员的指导下进行。

使用实例

# 配置TCP6 FIN-Wait定时器的值为800秒。

<HUAWEI> system-view
[~HUAWEI] tcp ipv6 timer fin-timeout 800

tcp ipv6 timer syn-timeout

命令功能

tcp ipv6 timer syn-timeout命令用来配置TCP6 SYN-Wait定时器。

undo tcp ipv6 timer syn-timeout命令用来恢复TCP6 SYN-Wait定时器的缺省值。

缺省情况下,TCP6 SYN-Wait定时器值为75秒。

命令格式

tcp ipv6 timer syn-timeout interval

undo tcp ipv6 timer syn-timeout

参数说明

参数 参数说明 取值
interval 指定TCP6 SYN-Wait定时器值。 整数形式,单位是秒,取值范围2~600。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当发送SYN报文时,TCP6启动SYN-Wait定时器,若SYN-Wait超时前未收到回应报文,则TCP6连接将被终止。

注意事项

在同一视图下多次配置此命令,只有最后一次配置生效。

对该参数的配置最好在技术支持人员的指导下进行。

使用实例

# 配置TCP6 SYN-Wait定时器为100秒。

<HUAWEI> system-view
[~HUAWEI] tcp ipv6 timer syn-timeout 100

tcp ipv6 window

命令功能

tcp ipv6 window命令用来配置面向连接Socket的收发缓冲区大小。

undo tcp ipv6 window命令用来恢复面向连接Socket的收发缓冲区大小的缺省值。

缺省情况下,面向连接Socket的收发缓冲区大小为8K字节。

命令格式

tcp ipv6 window window-size

undo tcp ipv6 window

参数说明

参数 参数说明 取值
window-size 指定面向连接Socket的收发缓冲区大小。 整数形式,单位是K字节,取值范围是1~32。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

该配置会变更TCP6默认缓冲区窗口大小,当TCP6连接建立时会使用这个默认窗口值协商建立TCP6会话。

注意事项

在同一视图下多次配置此命令,只有最后一次配置生效。

对该参数的配置最好在技术支持人员的指导下进行。

使用实例

# 配置面向连接Socket的收发缓冲区大小为4K字节。

<HUAWEI> system-view
[~HUAWEI] tcp ipv6 window 4
翻译
下载文档
更新时间:2019-03-20

文档编号:EDOC1000166474

浏览量:16139

下载量:407

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页