所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
ND Snooping配置命令

ND Snooping配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

display nd snooping configuration

命令功能

display nd snooping configuration命令用来查看ND Snooping的配置信息。

命令格式

display nd snooping configuration

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

配置ND Snooping功能,包括开启或关闭ND Snooping、配置ND Snooping信任接口等功能。

执行命令display nd snooping configuration,可以查看ND Snooping的配置信息。

使用实例

# 查看ND Snooping的配置信息。

<HUAWEI> display nd snooping configuration
#
nd snooping enable
#
interface GigabitEthernet0/0/0
 nd snooping trusted
#
interface Wlan-Bss0
 nd snooping enable
#
interface Wlan-Capwap0
 nd snooping trusted
#

display nd snooping prefix

命令功能

display nd snooping prefix命令用来查看用户的前缀管理表项。

命令格式

display nd snooping [ static | dynamic ] prefix [ verbose ]

参数说明

参数

参数说明

取值

static 指定查看静态配置的前缀管理表项。

-

dynamic 指定查看动态生成的前缀管理表项。

-

verbose

指定查看详细的前缀管理表项。

-

视图

所有视图

缺省级别

1:监控级

使用指南

设备提供了建立前缀管理表的功能,该表一方面可以用于IPv6地址用户进行重复地址检测;另一方面可以用于新建ND Snooping动态绑定表。前缀管理表项分为静态配置的和动态生成的。
  • 动态生成的:设备会截获从ND Snooping信任接口收到的RA(Router Advertisement)报文,并根据RA报文自动生成前缀管理表。
  • 静态配置的:在网关设备不发送RA报文时,可以通过命令nd snooping static-prefix配置静态前缀管理表项。
  • 动态生成的:设备会截获从ND Snooping信任接口收到的RA(Router Advertisement)报文,并根据RA报文自动生成前缀管理表。
  • 静态配置的:在网关设备不发送RA报文时,可以通过命令nd snooping static-prefix配置静态前缀管理表项。
通过本命令可以查看具体的前缀管理表项。

使用实例

# 查看用户的前缀管理表项。

<HUAWEI> display nd snooping prefix 
prefix-table:                                                                                                                       
Prefix                             Length   Valid-Time  Vlan(O/I)   Prefix-Type                                                     
--------------------------------------------------------------------------------                                                    
FC00:1::                           64       -           10  /24      static                                                         
FC00:2::                           64       2592000     1   /-       dynamic                                                         
--------------------------------------------------------------------------------                                                    
Prefix table total count:      2          Print count:         2 
表14-77  display nd snooping prefix命令输出信息描述

项目

描述

prefix-table

用户的前缀管理表。

Prefix

前缀,32位16进制数形式,格式为X:X:X:X:X:X:X:X。

Length

前缀长度,整数形式,取值范围是1~128。

Valid-Time

前缀有效生命周期,取值范围是0~4294967295,单位是秒。

Vlan(O/I)

前缀管理表项中的VLAN信息。

Prefix-Type

前缀管理表项的类型。其中:
  • static:静态配置的前缀管理表项。
  • dynamic:动态生成的前缀管理表项。

Prefix table total count

前缀管理表项总的数量。

Print count

打印的前缀管理表项数目。

# 查看详细的用户的前缀管理表项。

<HUAWEI> display nd snooping prefix verbose
prefix-table:
--------------------------------------------------------------------------------
 Prefix                  : FC00:1::                                                                                                 
 Prefix Length           : 64                                                                                                       
 Valid Lifetime(sec)     : -                                                                                                        
 Preferred Lifetime(sec) : -                                                                                                        
 Interface               : -                                                                                                        
 VLAN ID(Outer/Inner)    : 10/24                                                                                                    
 Prefix Type             : static
--------------------------------------------------------------------------------
 Prefix                  : FC00:2::
 Prefix Length           : 64
 Valid Lifetime(sec)     : 2592000
 Preferred Lifetime(sec) : 2592000
 Interface               : GE1/0/1
 VLAN ID(Outer/Inner)    : 1/-
 Prefix Type             : dynamic
--------------------------------------------------------------------------------
Prefix table total count:      2          Print count:         2     
表14-78  display nd snooping prefix verbose命令输出信息描述

项目

描述

prefix-table

用户的前缀管理表。

Prefix

前缀,32位16进制数形式,格式为X:X:X:X:X:X:X:X。

Prefix Length

前缀长度,整数形式,取值范围是1~128。

Valid Lifetime(sec)

前缀有效生命周期,取值范围是0~4294967295,单位是秒。

Preferred Lifetime(sec)

前缀优先生命周期,取值范围0~4294967295,单位是秒。

Interface

显示前缀管理表中的接口信息。

VLAN ID(Outer/Inner)

显示前缀管理表中的VLAN信息。

Prefix-Type

前缀管理表项的类型。其中:
  • static:静态配置的前缀管理表项。
  • dynamic:动态生成的前缀管理表项。

Prefix table total count

前缀管理表项总的数量。

Print count

打印的表项数量。

display nd snooping statistics

命令功能

display nd snooping statistics命令用来查看设备接收、发送与丢弃的ND Snooping用户的报文统计信息。

命令格式

display nd snooping statistics

参数说明

视图

所有视图

缺省级别

1:监控级

使用指南

使能ND Snooping功能后,设备会记录接收、发送与丢弃的各类ND Snooping用户的报文统计信息,方便管理员进行维护。

使用实例

# 查看设备接收、发送与丢弃的ND Snooping用户的报文统计信息。

<HUAWEI> display nd snooping statistics
Input: total 203 packets, discarded 14 packets                                   
  ns                                             :        178                  
  na                                             :         21                  
  rs                                             :          4                  
  ra                                             :          0                  
  other                                          :          0                  
Drop Packet:                                                                    
  The local link address is incorrect            :          7       
  It does not match the binding table            :          1  
  The destination IP address is incorrect        :          6
Output: total 50 packets 
  ns                                             :          50
表14-79  display nd snooping statistics命令输出信息描述

项目

描述

Input: total n packets, discarded m packets

设备接收到的各类ND报文数目(n),以及丢弃的报文数目(m)。

ns

设备发送或接收到的NS报文数目。

na

设备接收到的NA报文数目。

rs

设备接收到的RS报文数目。

ra

设备接收到的RA报文数目。

other

设备接收到的其他报文数目。

Drop Packet

设备由于各种原因而丢弃的报文数目。

报文丢弃原因多种多样,根据实际情况不同显示信息不同。

The local link address is incorrect

由于链路本地地址错误而丢弃的报文数目。

It does not match the binding table

由于不匹配绑定表而丢弃的报文数目。

The destination IP address is incorrect

由于目的IP地址错误而丢弃的报文数目。

Output: total x packets

设备发送的各类ND报文数目(x)。

display nd snooping user-bind

命令功能

display nd snooping user-bind命令用来查看ND Snooping动态绑定表信息。

命令格式

display nd snooping user-bind all [ verbose ]

display nd snooping user-bind { ipv6-address ipv6-address | mac-address mac-address | interface interface-type interface-number | vlan vlan-id } * [ verbose ]

参数说明

参数

参数说明

取值

all

指定查看用户ND Snooping动态绑定表中的所有信息。

-

verbose

指定查看用户ND Snooping动态绑定表中的详细信息。

-

ipv6-address ipv6-address

指定查看用户ND Snooping动态绑定表中的IPv6地址信息。

32位16进制数,格式为X:X:X:X:X:X:X:X。

mac-address mac-address

指定查看用户ND Snooping动态绑定表中的MAC地址信息。

格式为H-H-H,其中H为1至4位的16进制数。

vlan vlan-id

指定查看用户ND Snooping动态绑定表中的VLAN信息。

整数形式,取值范围是1~4094。

interface interface-type interface-number

指定查看用户ND Snooping动态绑定表中的接口信息,其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

ND Snooping动态绑定表项中包含用户的源IPv6地址、源MAC地址、所属VLAN等信息。通过本命令可以查看ND Snooping动态绑定表的具体信息。

使用实例

# 查看用户ND Snooping动态绑定表的信息。

<HUAWEI> display nd snooping user-bind all
ND Dynamic Bind-table:                                                          
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping                              
IP Address                      MAC Address     VSI/VLAN(O/I/P) Lease           
--------------------------------------------------------------------------------
FC00:1::2                       00e0-4c7c-af8f  10  /--  /--    2011.05.06-20:09
--------------------------------------------------------------------------------
Print count:           1          Total count:           1          
# 查看用户ND Snooping动态绑定表的详细信息。
<HUAWEI> display nd snooping user-bind all verbose
ND Dynamic Bind-table:                                                          
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
--------------------------------------------------------------------------------
 IP Address  : FC00:1::2                                                     
 MAC Address : 00e0-4c7c-af8f                                                   
 VSI         : --                                                               
 VLAN(O/I/P) : 10  /--  /--                                                     
 Interface   : GE1/0/1                                                         
 Lease       : 2011.05.06-20:09                                                 
 IPSG Status : ineffective                                                      
 User State  : DETECTION                                                       
--------------------------------------------------------------------------------
Print count:           1          Total count:           1       
表14-80  display nd snooping user-bind命令输出信息描述

项目

描述

ND Dynamic Bind-table

用户ND Snooping动态绑定表。

Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping

字母O代表外层VLAN,字母I代表内层VLAN,字母P代表Vlan-mapping

IP Address

用户的IPv6地址。

MAC Address

用户的MAC地址。

VSI

用户所属的VPN实例名。

VLAN(O/I/P)

用户上线时的外层VLAN、内层VLAN或VLAN Mapping信息。

说明:

ND Snooping绑定表中不包含VLAN Mapping信息,因此此处P字段无显示。

Interface

用户上线的接口。

Lease

ND用户的租期时间。

IPSG Status

已使能IP报文检查功能时,该绑定表对于IP报文检查功能是否生效,包括以下两个状态:
  • IPv6 effective表示IPv6报文已生效,slot: <1>表示生效的槽位为1
  • ineffective表示未生效。

如果未使能IP报文检查功能,则该字段显示值没有意义。

User State

ND Snooping动态绑定表项的状态,包括:
  • START:绑定表创建初始化状态。
  • DETECTION:正在对绑定表进行探测以便确认用户是否在线。
  • BOUND:绑定表已成功建立。

nd snooping alarm binding-table check enable

命令功能

nd snooping alarm binding-table check enable命令用来开启ND Snooping绑定表检查告警功能。

undo nd snooping alarm binding-table check enable命令用来关闭ND Snooping绑定表检查告警功能。

缺省情况下,未开启ND Snooping绑定表检查告警功能。

命令格式

nd snooping alarm binding-table check enable

undo nd snooping alarm binding-table check enable

参数说明

视图

GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

通过命令nd snooping check enable使能ND协议报文合法性检查功能之后,设备对从非信任接口接收到的NA/NS/RS报文进行绑定表匹配检查,并且丢弃与绑定表不匹配的报文。如果丢弃的报文数量超过阈值,会有相应的告警信息出现。发送告警的最小时间间隔为1分钟。告警阈值可以通过命令nd snooping alarm binding-table check threshold配置。

前置条件

配置该功能前,需确保已使用命令nd snooping enable使能了设备的ND Snooping功能。

注意事项

为确保告警能够上报,需执行命令snmp-agent trap enable feature-name dhcp打开DHCP模块对应告警的上报开关。通过命令display snmp-agent trap feature-name dhcp all,可以查看DHCP模块对应告警上报开关的状态。

使用实例

# 在接口GE1/0/1下使能对ND Snooping绑定表检查告警功能。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] nd snooping alarm binding-table check enable

nd snooping alarm binding-table check threshold

命令功能

nd snooping alarm binding-table check threshold命令用来配置ND Snooping丢弃报文数量的告警阈值。

undo nd snooping alarm binding-table check threshold命令用来恢复告警阈值为缺省值。

缺省情况下,全局ND Snooping丢弃报文数量的告警阈值为100packets,接口下ND Snooping丢弃报文数量的告警阈值为在系统视图下配置的值。

命令格式

nd snooping alarm binding-table check threshold threshold

undo nd snooping alarm binding-table check threshold

参数说明

参数 参数说明 取值
threshold 指定ND Snooping丢弃报文的告警阈值。 整数形式,取值范围是1~1000。

视图

系统视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

通过命令nd snooping alarm binding-table check enable,开启ND Snooping绑定表检查告警功能之后,可使用命令nd snooping alarm binding-table check threshold配置ND Snooping丢弃报文数量的告警阈值。

前置条件

配置该功能前,需确保已使用命令nd snooping enable使能了设备的ND Snooping功能。

注意事项

在系统视图下执行该命令,则对设备所有的接口该命令功能生效。

使用实例

# 在接口GE1/0/1上配置ND Snooping丢弃报文数量的告警阈值为1000。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] nd snooping alarm binding-table check threshold 1000

nd snooping check enable

命令功能

nd snooping check enable命令用来使能ND协议报文合法性检查功能。

undo nd snooping check enable命令用来去使能ND协议报文合法性检查功能。

缺省情况下,未使能ND协议报文合法性检查功能。

命令格式

nd snooping check { na | ns | rs } enable

undo nd snooping check { na | ns | rs } enable

参数说明

参数

参数说明

取值

na

指定对NA报文进行合法性检查。

-

ns

指定对NS报文进行合法性检查。

-

rs

指定对RS报文进行合法性检查。

-

视图

VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

为了防止攻击者发送伪造的NA/NS/RS报文进行地址欺骗攻击,可以使能ND协议报文合法性检查功能。

使能该功能后,设备将根据ND Snooping动态绑定表,对从非信任接口接收到的NA/NS/RS报文进行绑定表匹配检查,检查该用户是否是报文收到端口所属VLAN上的合法用户。对于合法用户的NA/NS/RS报文进行正常转发,否则直接丢弃。

前置条件

使能ND协议报文合法性检查功能之前,需确保已使用命令nd snooping enable在全局下使能了ND Snooping功能。

使用实例

# 在接口GE1/0/1下使能对NA报文进行合法性检查的功能。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] nd snooping check na enable
相关主题

nd snooping check dad-ns retransmit-rate rate

命令功能

nd snooping check dad-ns retransmit-rate rate命令用来配置DAD NS报文重传速率的最大值。

undo nd snooping check dad-ns retransmit-rate rate命令用来恢复缺省值。

缺省情况下,DAD NS报文重传速率的最大值50包/秒。

命令格式

nd snooping check dad-ns retransmit-rate rate rate-value

undo nd snooping check dad-ns retransmit-rate rate

参数说明

参数

参数说明

取值

rate-value

指定DAD NS报文重传速率的最大值。

整数形式,取值范围是1~100,单位是包/秒,缺省值是50。

视图

系统视图、VLAN视图、Eth-Trunk接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在ND Snooping绑定表未建立的情况下,设备的非信任接口收到DAD NS报文时会转发并重传。配置命令nd snooping check dad-ns retransmit-rate enable后,设备会检查DAD NS报文重传的速率。通过命令nd snooping check dad-ns retransmit-rate rate rate-value,配置DAD NS报文的重传速率,每秒钟重传的报文超过rate-value时,超出部分直接丢弃,不会转发。

前置条件

系统视图下,执行命令nd snooping enable,使能ND Snooping功能。

使用实例

# 系统视图下,配置DAD NS报文重传速率的最大值为60包/秒。

<HUAWEI> system-view
[HUAWEI] nd snooping check dad-ns retransmit-rate rate 60

nd snooping check dad-ns retransmit-rate enable

命令功能

nd snooping check dad-ns retransmit-rate enable命令用来使能DAD NS报文重传速率检查功能。

undo nd snooping check dad-ns retransmit-rate enable命令用来去使能DAD NS报文重传速率检查功能。

缺省情况下,未使能DAD NS报文重传速率检查功能。

命令格式

nd snooping check dad-ns retransmit-rate enable

undo nd snooping check dad-ns retransmit-rate enable

参数说明

视图

系统视图、VLAN视图、Eth-Trunk接口视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备非信任接口收到DAD NS报文时,会进行转发,用于重复地址检查和用户仿冒检查。在ND Snooping绑定表未建立的情况下,为避免因丢包等原因造成对端设备接收不到设备转发的报文,设备的非信任接口收到DAD NS报文时会进行重传。默认情况下,设备不对重传速率进行控制。在报文过多时,重传可能会影响网络业务正常运行。为解决该问题,可以通过命令nd snooping check dad-ns retransmit-rate enable,使能DAD NS报文重传速率检查功能。使能该功能后,设备对重传报文进行限速。

报文重传的速率通过命令nd snooping check dad-ns retransmit-rate rate rate-value配置,每秒钟重传的报文超过rate-value时,超出部分直接丢弃,不会转发。

前置条件

系统视图下,执行命令nd snooping enable,使能ND Snooping功能。

使用实例

# 系统视图下,使能DAD NS报文重传速率检查功能。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] nd snooping check dad-ns retransmit-rate enable

nd snooping enable

命令功能

nd snooping enable命令用来使能ND Snooping功能。

undo nd snooping enable命令用来去使能ND Snooping功能。

缺省情况下,未使能ND Snooping功能。

命令格式

nd snooping enable

undo nd snooping enable

参数说明

视图

系统视图、VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

ND协议功能强大,但是却没有任何安全机制,容易被攻击发起者利用。常见的ND攻击有如下几种情况:
  • 攻击者仿冒其他用户的IP发送NS(Neighbor Solicitation)/NA(Neighbor Advertisement)/RS(Router Solicitation)报文,会改写网关或者其他用户的ND表项,导致被仿冒用户的报文错误的发送到攻击者的主机上。
  • 攻击者仿冒网关发送RA(Router Advertisement)报文,会导致其它用户的IPv6配置参数错误和ND表项被改写。

为了有效防范上述ND攻击,可以在设备上使能ND Snooping功能。设备将通过侦听DAD的NS报文来建立ND Snooping动态绑定表,表项内容包括报文的源IPv6地址、源MAC地址、所属VLAN、入端口等信息。对于接收到的ND报文,设备会根据ND Snooping动态绑定表项对ND报文进行绑定表匹配检查,检查用户是否是报文收到端口所属VLAN上的合法用户。对于合法用户的ND报文进行正常转发,否则直接丢弃,从而防止仿冒用户、仿冒网关的地址欺骗等ND攻击。

使用实例

# 全局使能ND Snooping功能,并在GE1/0/1接口下使能ND Snooping功能。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] nd snooping enable

nd snooping enable dhcpv6 only

命令功能

nd snooping enable dhcpv6 only命令用来开启DHCPv6 Only场景的ND Snooping功能。

undo nd snooping enable命令用来关闭DHCPv6 Only场景的ND Snooping功能。

缺省情况下,DHCPv6 Only场景的ND Snooping功能处于关闭状态。

命令格式

nd snooping enable dhcpv6 only

undo nd snooping enable

参数说明

视图

VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

设备根据IPv6静态绑定表、DHCPv6动态绑定表和ND Snooping绑定表,对ND协议报文的合法性进行检查。其中,IPv6静态绑定表由管理员手动配置、DHCPv6动态绑定表通过提取DHCPv6 REPLY报文中的信息自动生成、ND Snooping绑定表通过提取DAD NS报文中的信息自动生成。同时,ND协议报文合法性检查功能依赖于ND Snooping功能(包括使能ND Snooping功能和ND Snooping信任接口功能)。DHCPv6 Only场景下,仅允许用户通过DHCPv6方式获取IPv6地址,用户私自配置IPv6地址和通过PD地址前缀自动生成IPv6地址被视为非法地址。在该场景下,为防止非法地址生成ND Snooping绑定表,会关闭ND Snooping功能。但这会导致无法进行ND协议报文合法性检查使网络存在地址欺骗攻击的风险。

为解决该问题,可以配置命令nd snooping enable dhcpv6 onlynd snooping trusted dhcpv6 only,开启DHCPv6 Only场景下的ND Snooping功能。配置命令nd snooping enable dhcpv6 only后,用户手动配置的IPv6全球单播地址和通过PD地址前缀自动生成的IPv6全球单播地址不会生成ND Snooping绑定表,设备根据IPv6静态绑定表和DHCPv6动态绑定表,对ND协议报文进行合法性检查。

前置条件

执行命令nd snooping enable,开启全局的ND Snooping功能。

注意事项

  • DHCPv6 Only场景下,用户手动配置的IPv6链路本地地址和自动生成的IPv6链路本地地址会生成ND Snooping绑定表。即,DHCPv6 Only场景下,ND Snooping绑定表只有IPv6链路本地地址对应的记录。
  • 通过DHCPv6 PD方式获取的IPv6地址也适用于DHCPv6 Only场景。

使用实例

# 全局开启ND Snooping功能,并在GE0/0/1接口下开启ND Snooping功能。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] nd snooping enable dhcpv6 only

nd snooping max-user-number

命令功能

nd snooping max-user-number命令用来配置接口允许学习ND Snooping动态绑定表项的最大个数。

undo nd snooping max-user-number命令用来恢复接口允许学习ND Snooping动态绑定表项的最大个数为缺省值。

缺省情况下,接口允许学习的DHCP Snooping绑定表项的最大个数为32768。

命令格式

nd snooping max-user-number max-user-number

undo nd snooping max-user-number

参数说明

参数

参数说明

取值

max-user-number

指定接口允许学习的ND Snooping动态绑定表项最大个数。

整数形式,取值范围是1~32768。

视图

系统视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

为了防止当一个接口下有大量用户上线,设备处理这些用户发送的大量NS报文会导致整个设备的ND Snooping动态绑定表资源都被耗尽,可以配置接口允许学习ND Snooping动态绑定表项的最大个数。如果指定接口下学习到的绑定表项数目达到了允许学习的最大个数,则不再新增与该接口相关的绑定表项。

可在系统视图或接口视图下配置接口允许学习ND Snooping动态绑定表项的最大个数,系统视图下的配置对所有接口都生效,接口视图下的配置仅对特定接口生效。如果同时在两个视图下进行了配置,则该接口允许学习的绑定表项最大个数以两个视图下配置的较小值为准。

前置条件

配置接口允许学习ND Snooping动态绑定表项的最大个数之前,需确保已使用命令nd snooping enable在全局下使能了ND Snooping功能。

使用实例

# 配置GE1/0/1接口下最多允许学习200条ND Snooping动态绑定表项。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] nd snooping max-user-number 200
相关主题

nd snooping static-prefix

命令功能

nd snooping static-prefix命令用来配置静态前缀管理表项。

undo nd snooping static-prefix命令用来删除已配置的静态前缀管理表项。

缺省情况下,设备上没有配置静态前缀管理表项。

命令格式

nd snooping static-prefix ipv6-address/prefix-length [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]

undo nd snooping static-prefix ipv6-address/prefix-length [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]

参数说明

参数

参数说明

取值

ipv6-address/prefix-length

指定IPv6地址前缀。其中:
  • ipv6-address:表示IPv6地址。
  • prefix-length:表示IPv6地址前缀长度。
  • ipv6-address:总长度为128位,通常分为8组,每组为4个十六进制数的形式。格式为X:X:X:X:X:X:X:X。
  • prefix-length:整数形式,取值范围是1~128。

vlan vlan-id

指定外层VLAN编号。

说明:
默认外层VLAN编号为1,无内层VLAN。

整数形式,取值范围是1~4094。

ce-vlan ce-vlan-id

指定内层VLAN编号。

整数形式,取值范围是1~4094。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备根据收到的NS报文新建ND Snooping动态绑定表项之前,首先要求报文中的Target Address字段能够匹配用户的前缀管理表项。设备会截获从ND Snooping信任接口收到的RA报文,并根据RA报文自动生成前缀管理表项。但是,在网关设备不发送RA报文的情况下,前缀管理表项无法自动生成,进而无法新建对应的ND Snooping动态绑定表项,对业务造成影响。此时,可以使用命令nd snooping static-prefix ipv6-address/prefix-length [ vlan vlan-id [ ce-vlan ce-vlan-id ] ],手动配置前缀管理表项。

前置条件

系统视图下,执行命令nd snooping enable使能ND Snooping功能。

注意事项

静态前缀管理表项与自动生成的前缀管理表项共享规格,超规格则无法配置。

使用实例

# 配置静态前缀管理表项:表项的IPv6地址前缀为FC00:1::/64。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] nd snooping static-prefix fc00:1::/64

nd snooping trusted

命令功能

nd snooping trusted命令用来配置接口为ND Snooping信任接口。

undo nd snooping trusted命令用来将接口恢复为非信任接口。

缺省情况下,所有接口为非信任接口。

命令格式

GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

nd snooping trusted

undo nd snooping trusted

VLAN视图:

nd snooping trusted interface interface-type interface-number

undo nd snooping trusted interface interface-type interface-number

参数说明

参数

参数说明

取值

interface interface-type interface-number

指定配置为ND Snooping信任状态的接口类型和接口编号。其中:

  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

视图

VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

为了区分可信任和不可信任的IPv6节点,ND Snooping将设备连接IPv6节点的接口区分为信任接口和非信任接口两种角色。缺省情况下,设备的所有接口均为非信任接口。

  • 对于可信任的IPv6节点,必须将连接此节点的接口配置为信任接口,使设备能够正常转发从该接口接收到的ND报文,同时能使设备根据接收到的RA报文建立前缀管理表,以方便管理员管理用户的IPv6地址。

  • 对于不可信任的IPv6节点,连接此节点的接口必须为非信任接口。设备会直接丢弃从该接口接收到的RA报文,以防止攻击者发送伪造的RA报文进行RA攻击。

说明:

一般将设备连接网关的接口配置成信任接口,其他接口均为非信任接口。

前置条件

在使用本命令配置ND Snooping信任接口之前,需要先使用nd snooping enable命令在全局下使能ND Snooping功能。

注意事项

配置本命令后,接口将自动使能ND Snooping功能。

在VLAN视图下进行配置时,指定的接口必须属于该VLAN。

使用实例

# 配置接口GE1/0/1为ND Snooping信任接口。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] nd snooping trusted

# 配置VLAN10中的接口GE1/0/1为ND Snooping信任接口。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] vlan 10
[HUAWEI-vlan10] nd snooping trusted interface gigabitethernet 1/0/1
相关主题

nd snooping trusted dhcpv6 only

命令功能

nd snooping trusted dhcpv6 only命令用来配置DHCPv6 Only场景的接口为ND Snooping信任接口。

undo nd snooping trusted命令用来将接口恢复为非信任接口。

缺省情况下,所有接口为非信任接口。

命令格式

GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

nd snooping trusted dhcpv6 only

undo nd snooping trusted

VLAN视图:

nd snooping trusted interface interface-type interface-number dhcpv6 only

undo nd snooping trusted interface interface-type interface-number

参数说明

参数

参数说明

取值

interface interface-type interface-number

指定DHCPv6 Only场景下配置为ND Snooping信任状态的接口类型和接口编号。其中:

  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

视图

VLAN视图、GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

设备根据IPv6静态绑定表、DHCPv6动态绑定表和ND Snooping绑定表,对ND协议报文的合法性进行检查。其中,IPv6静态绑定表由管理员手动配置、DHCPv6动态绑定表通过提取DHCPv6 REPLY报文中的信息自动生成、ND Snooping绑定表通过提取DAD NS报文中的信息自动生成。同时,ND协议报文合法性检查功能依赖于ND Snooping功能(包括使能ND Snooping功能和ND Snooping信任接口功能)。DHCPv6 Only场景下,仅允许用户通过DHCPv6方式获取IPv6地址,用户私自配置IPv6地址和通过PD地址前缀自动生成IPv6地址被视为非法地址。在该场景下,为防止非法地址生成ND Snooping绑定表,会关闭ND Snooping功能。但这会导致无法进行ND协议报文合法性检查使网络存在地址欺骗攻击的风险。

为解决该问题,可以配置命令nd snooping enable dhcpv6 onlynd snooping trusted dhcpv6 only,开启DHCPv6 Only场景下的ND Snooping功能。与命令nd snooping trusted不同,配置命令nd snooping trusted dhcpv6 only后,信任接口收到RA报文时不会生成前缀管理表。这是因为除了IPv6链路本地地址外,其他IPv6地址生成对应的ND Snooping绑定表时需要首先匹配前缀管理表,但是,DHCPv6 Only场景下的ND Snooping绑定表只有IPv6链路本地地址对应的记录,故无需生成前缀管理表。

使用实例

# 配置接口GE0/0/1为ND Snooping信任接口。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] interface gigabitethernet 0/0/1
[HUAWEI-GigabitEthernet0/0/1] nd snooping trusted dhcpv6 only

# 配置VLAN2中的接口GE0/0/1为ND Snooping信任接口。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] vlan 2
[HUAWEI-vlan2] nd snooping trusted interface gigabitethernet 0/0/1 dhcpv6 only
相关主题

nd snooping user-alarm percentage

命令功能

nd snooping user-alarm percentage命令用来配置ND Snooping动态绑定表的告警阈值百分比。

undo nd snooping user-alarm percentage命令用来恢复ND Snooping动态绑定表的告警阈值百分比为缺省值。

缺省情况下,下限告警阈值百分比为50,上限告警阈值百分比为100。

命令格式

nd snooping user-alarm percentage percent-lower-value percent-upper-value

undo nd snooping user-alarm percentage

参数说明

参数 参数说明 取值
percent-lower-value

指定ND Snooping动态绑定表的下限告警阈值百分比。

整数形式,取值范围是1~100。

percent-upper-value

指定ND Snooping动态绑定表的上限告警阈值百分比。

整数形式,取值范围是1~100,但必须大于或等于下限告警阈值。

视图

系统视图

缺省级别

2:配置级

使用指南

执行命令nd snooping max-user-number配置接口允许学习ND Snooping动态绑定表项的最大个数后,可以使用命令nd snooping user-alarm percentage配置ND Snooping动态绑定表的告警阈值百分比。

当设备实际学习到的ND Snooping动态绑定表项数占设备允许学习的最大表项数的比例等于或高于上限告警阈值百分比时,设备将会发出超限告警。之后,如果该比例又等于或小于下限告警阈值百分比,设备会再次发出告警,表明之前的超限告警情况已经恢复正常。管理员通过这些告警信息,可实时掌握ND Snooping动态绑定表的使用状况。

使用实例

# 配置ND Snooping动态绑定表的下限告警阈值百分比为30,上限告警阈值百分比为80。

<HUAWEI> system-view
[HUAWEI] nd snooping user-alarm percentage 30 80

nd snooping wait-time life-time

命令功能

nd snooping wait-time life-time命令用来配置设备发送NS探测报文的等待时间和探测期间ND Snooping绑定表表项的生存时间。

undo nd snooping wait-time life-time命令用来恢复缺省配置。

缺省情况下,设备发送NS探测报文的等待时间为250毫秒、探测期间ND Snooping绑定表表项的生存时间为500毫秒。

命令格式

nd snooping wait-time wait-time life-time life-time

undo nd snooping wait-time life-time

参数说明

参数

参数说明

取值

wait-time

指定设备发送NS探测报文的等待时间。

整数形式,取值范围1~5000,单位毫秒。缺省值是250毫秒。

life-time

指定探测期间ND Snooping绑定表表项的生存时间。

整数形式,取值范围是1~10000,单位毫秒。缺省值是500毫秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备能够通过检测收到的NA报文更新ND Snooping绑定表。在ND Snooping绑定表项已经存在的情况下,收到与对应表项的IP地址相同、入端口不同的NA报文时,说明该NA报文与现有表项冲突,此时会触发设备发送NS报文来探测对应表项的用户在否在线。通过命令nd snooping wait-time wait-time life-time life-time,能够配置设备发送NS探测报文的等待时间和探测期间ND Snooping绑定表表项的生存时间。

  • 如果在表项生存时间内,设备从表项对应的端口上收到NA报文,说明该用户仍然在线,更新对应表项中用户的地址租期。
  • 如果在表项生存时间内,设备没有从表项对应的端口上收到NA报文,说明该用户已经下线,更新对应表项中用户的地址租期并将表项的端口更新为新端口。

前置条件

系统视图下,执行命令nd snooping enable使能ND Snooping功能。

注意事项

设备收到与绑定表冲突的NA报文后,触发用户在线状态探测功能时,用户在线状态的定时探测功能暂停。

使用实例

# 配置设备发送NS探测报文的等待时间为300毫秒和探测期间ND Snooping绑定表表项的生存时间为2000毫秒。

<HUAWEI> system-view
[HUAWEI] nd snooping enable
[HUAWEI] nd snooping wait-time 300 life-time 2000

nd user-bind detect

命令功能

nd user-bind detect命令用来配置发送NS探测报文的探测次数和探测时间间隔。

undo nd user-bind detect命令用来将发送NS探测报文的探测次数和探测时间间隔恢复为缺省值。

使能自动探测ND Snooping动态绑定表项对应用户在线状态的功能后,缺省情况下,探测次数为2次,探测时间间隔为1000毫秒。

命令格式

nd user-bind detect retransmit retransmit-times interval retransmit-interval

undo nd user-bind detect retransmit interval

参数说明

参数

参数说明

取值

retransmit retransmit-times

指定发送NS探测报文的探测次数。

整数形式,取值范围1~10。缺省值是2。

interval retransmit-interval

指定发送NS探测报文的时间间隔。

整数形式,取值范围是1~10000,单位毫秒。缺省值是1000毫秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

如果使能了自动探测ND Snooping动态绑定表项对应用户在线状态的功能,设备会根据配置的探测次数和探测时间间隔向ND Snooping动态绑定表项中对应的用户发送NS探测报文。在发出配置的探测次数的NS探测报文后,用户仍然没有回应NA报文,设备则认为该用户不在线,删除该用户对应的ND Snooping动态绑定表项。

通过本命令,可以修改设备发送NS探测报文的探测次数和探测时间间隔。如果网络小且质量好,用户可以很快回应NA报文,此时可以将发送探测报文的时间间隔适当调小;如果网络大且质量不好,用户的回应NA报文较慢,为了避免在还没收到回应的NA报文时就开始发送下一个NS探测报文,可以将时间间隔适当调大。请根据实际网络环境进行调整。

前置条件

使用本命令配置发送NS探测报文的探测次数和探测时间间隔之前,需要先使用nd user-bind detect enable命令使能自动探测ND Snooping动态绑定表项对应用户在线状态的功能。

注意事项

配置完nd user-bind detect enable命令到设备发出NS探测报文之间,有一段时间间隔,这个时间间隔最大为20s。

使用实例

# 配置发送NS探测报文的探测次数为10次,发送的时间间隔为1000毫秒。

<HUAWEI> system-view
[HUAWEI] nd user-bind detect enable
[HUAWEI] nd user-bind detect retransmit 10 interval 1000

nd user-bind detect enable

命令功能

nd user-bind detect enable命令用来使能自动探测ND Snooping动态绑定表项对应用户的在线状态的功能。

undo nd user-bind detect enable命令用来去使能自动探测ND Snooping动态绑定表项对应用户的在线状态的功能。

缺省情况下,未使能自动探测ND Snooping动态绑定表项对应用户在线状态的功能。

命令格式

nd user-bind detect enable

undo nd user-bind detect enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

设备在使能ND Snooping功能后会侦听用户用于重复地址检测的NS报文来建立ND Snooping动态绑定表。该表项的自动老化时间是由用户的IPv6地址租期决定的。如果用户的租期未到期,但是实际该用户已经下线,此时该用户对应的ND Snooping动态绑定表项不能被及时删除,会占用设备的绑定表资源。

为了解决该问题,可以在设备上使能自动探测ND Snooping动态绑定表项对应用户的在线状态功能。使能该功能后,设备会根据nd user-bind detect命令配置的探测次数(n)和探测时间间隔向对应的用户发送NS探测报文。在发出n次NS探测报文后,如果该用户仍然没有回应NA报文,设备则认为该用户不在线,删除该用户对应的ND Snooping动态绑定表项。

注意事项

配置完nd user-bind detect enable命令到设备发出NS探测报文之间,有一段时间间隔,这个时间间隔最大为20s。

使用实例

# 使能自动探测ND Snooping动态绑定表项对应用户的在线状态的功能。

<HUAWEI> system-view
[HUAWEI] nd user-bind detect enable

reset nd snooping prefix

命令功能

reset nd snooping prefix命令用来清除用户的前缀管理表项。

命令格式

reset nd snooping prefix [ ipv6-address/prefix-length ]

参数说明

参数

参数说明

取值

ipv6-address

指定IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

prefix-length

指定前缀长度。

整数形式,取值范围是1~128。

如果要配置EUI-64格式的全球单播地址,prefix-length的取值范围是1~64。

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

网关路由器(ND Server)会定时发送RA前缀公告报文,通知用户更新前缀信息。交换机作为用户的接入设备会根据RA报文建立前缀管理表项,用来维护和管理用户的前缀信息。

一般情况下,不建议手工清除用户的前缀管理表项。当同时具备以下两种情况时,才需要使用本命令进行手动清除:

  • 用户的租期未到期,该用户的前缀管理表项不能自动老化。
  • 确定该用户不再需要连接网络。

注意事项

前缀管理表项被清除后,交换机无法为该前缀下的新用户建立ND Snooping动态绑定表。

使用实例

# 清除前缀为fc00:1::1,长度为64的前缀管理表项。

<HUAWEI> reset nd snooping prefix fc00:1::1/64 

reset nd snooping statistics

命令功能

reset nd snooping statistics命令用来清除ND Snooping用户报文统计信息。

命令格式

reset nd snooping statistics

参数说明

视图

用户视图

缺省级别

3:管理级

使用指南

应用场景

使能ND Snooping功能后,设备会记录接收与丢弃的各类ND报文统计信息。使用本命令可清除设备上已记录的ND报文统计信息。

注意事项

统计信息被清除后将不可恢复,请慎重操作。

去使能ND Snooping功能后,统计信息同样会被清除。但是在同时使能ND Snooping以及SAVI功能的情况下,则必须同时去使能ND Snooping以及SAVI功能(使用命令undo savi enable可去使能SAVI功能),统计信息才能被清除。

使用实例

# 清除ND Snooping用户报文统计信息。

<HUAWEI> reset nd snooping statistics

reset nd snooping user-bind

命令功能

reset nd snooping user-bind命令用来清除设备中的ND Snooping动态绑定表项。

命令格式

reset nd snooping user-bind [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address | vlan vlan-id ]

参数说明

参数

参数说明

取值

interface interface-type interface-number

指定需要清除的用户ND Snooping动态绑定表项中的接口信息,其中:

  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

ipv6-address ipv6-address

指定需要清除的ND Snooping动态绑定表项的IPv6地址。

32位16进制数,格式为X:X:X:X:X:X:X:X。

mac-address mac-address

指定需要清除的ND Snooping动态绑定表项的MAC地址。

格式为H-H-H,其中H为1至4位的16进制数。

vlan vlan-id

指定需要清除的ND Snooping动态绑定表项的VLAN编号。

整数形式,取值范围是1~4094。

视图

用户视图

缺省级别

3:管理级

使用指南

当同时具备以下几种情况时需要手动清除ND Snooping动态绑定表项:

  • 因未到老化周期,ND Snooping动态绑定表项暂不能自动老化。
  • 确认用户不再连接网络。
  • 用户的VLAN或接口信息发生变化。

由于组网环境变化之后,用户的VLAN或接口信息可能已经发生变化,然而用户对应的ND Snooping动态绑定表项却没有立即老化更新,此时会造成设备误将不匹配ND Snooping动态绑定表的合法ND报文丢弃。所以,请在变更组网环境之前手动清除所有ND Snooping动态绑定表项,使得设备根据新的网络环境生成新的ND Snooping动态绑定表。

使用实例

# 清除IPv6地址为fc00:1::1的用户的ND Snooping动态绑定表项。

<HUAWEI> reset nd snooping user-bind ipv6-address fc00:1::1

# 清除MAC地址为00e0-1111-2222的用户的ND Snooping动态绑定表项。

<HUAWEI> reset nd snooping user-bind mac-address 00e0-1111-2222
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:10450

下载量:201

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页