所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
SAVI配置命令

SAVI配置命令

命令支持情况

默认所有款型均支持本章节命令,如有个别命令行或参数存在差异,请详见具体命令行中的说明。

savi max dad-delay

命令功能

savi max dad-delay命令用来配置侦听响应地址冲突的NA报文的时间。

undo savi max dad-delay命令用来恢复缺省值。

缺省情况下,侦听响应地址冲突的NA报文的时间为2秒。

命令格式

savi max dad-delay value

undo savi max dad-delay

参数说明

参数 参数说明 取值
value 指定侦听响应地址冲突的NA报文的时间。 整数形式,取值范围是1~100,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

本命令仅适用于SLAAC-Only场景或DHCPv6与SLAAC混合场景。

  • SLAAC-Only场景下:

    客户端以无状态地址自动配置方式获取地址,客户端通过RA报文获取地址前缀并自动生成IPv6地址。生成地址后,客户端会发送DAD NS报文来检测网络中是否存在重复地址。当设备侦听到客户端的DAD NS报文后,会生成ND Snooping表项并将其置为detection状态,同时开始侦听相应的NA报文。

    • 如果在配置的侦听时间内侦听到NA报文,则说明该IPv6地址存在冲突,设备删除该ND Snooping表项。
    • 如果在配置的侦听时间内未侦听到NA报文,设备则将该ND Snooping表项置为bound状态,表明该IPv6地址不存在冲突,客户端可以使用该IPv6地址。直至ND Snooping表项老化时间到期,设备才将该ND Snooping表项删除;或者当设备配置了自动探测ND Snooping表项对应用户的在线状态功能(通过命令nd user-bind detect enable配置),在设备发出配置的探测次数(通过命令nd user-bind detect retransmit retransmit-times interval retransmit-interval配置)的NS探测报文之后,仍未收到用户回应的NA报文,使设备认为该用户已经下线,设备才将该ND Snooping表项删除。
  • DHCPv6与SLAAC混合场景下:

    • 如果客户端以无状态地址自动配置方式获取地址,情况同SLAAC-Only场景。

    • 如果客户端通过DHCPv6方式获取地址,客户端在获取地址后,有可能会发送DAD NS报文来检测网络中是否存在重复地址。当设备侦听到客户端的DAD NS报文后,会将对应的DHCPv6 snooping表项置为detection状态,同时开始侦听相应的NA报文。

      • 如果在配置的侦听时间内侦听到NA报文,则说明该IPv6地址存在冲突,设备删除该DHCPv6 Snooping表项。
      • 如果在配置的侦听时间内未侦听到NA报文,设备则将该DHCPv6 Snooping表项置为bound状态,表明该IPv6地址不存在冲突,客户端可以使用该IPv6地址。

      在DHCPv6与SLAAC混合场景下:当DHCPv6 Snooping表项处于detection状态时,在侦听响应地址冲突的NA报文的时间内侦听到NA报文后,设备会删除该DHCPv6 Snooping表项;当DHCPv6 Snooping表项处于bound状态时,设备侦听到DHCPv6客户端发送的DHCPv6 Decline或DHCPv6 Release报文后会将该DHCPv6 Snooping表项删除。

前置条件

在执行该命令前需要先使用savi enable命令使能SAVI功能。

注意事项

本命令需要与ND Snooping、DHCPv6 snooping功能配合使用。

使用实例

# 配置等待响应地址冲突的NA报文的时间为5秒。

<HUAWEI> system-view
[HUAWEI] savi enable 
[HUAWEI] savi max dad-delay 5
相关主题

savi max dad-prepare-delay

命令功能

savi max dad-prepare-delay命令用来配置侦听DHCPv6客户端对获取地址作冲突检测的时间。

undo savi max dad-prepare-delay命令用来恢复缺省值。

缺省情况下,侦听DHCPv6客户端对获取地址作冲突检测的时间为2秒。

命令格式

savi max dad-prepare-delay value

undo savi max dad-prepare-delay

参数说明

参数 参数说明 取值
value 指定侦听DHCPv6客户端对获取地址作冲突检测的时间。 整数形式,取值范围是1~100,单位是秒。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

本命令仅适用于DHCPv6-Only场景或DHCPv6与SLAAC混合场景。

设备在侦听到DHCPv6客户端获取到IPv6地址后,还会侦听DHCPv6客户端是否会发送DAD NS报文对获取到的地址作冲突检测。

  • DHCPv6-Only场景下:
    • 如果在配置的侦听时间内未侦听到DAD NS报文,设备则将对应的DHCPv6 Snooping表项置为bound状态,表明DHCPv6客户端未对获取到的地址作冲突检测,或者该IPv6地址不存在冲突,DHCPv6客户端可以使用该IPv6地址。
    • 如果在配置的侦听时间内侦听到DAD NS报文,设备不会改变对应的DHCPv6 Snooping表项状态。直至侦听时间到期,设备才会将该DHCPv6 Snooping表项置为bound状态。

    在DHCPv6-Only场景下,设备侦听到DHCPv6客户端发送的DHCPv6 Decline或DHCPv6 Release报文,会将对应的DHCPv6 Snooping表项删除。

  • DHCPv6与SLAAC混合场景下:
    • 如果在配置的侦听时间内未侦听到DAD NS报文,设备则将对应的DHCPv6 Snooping或ND Snooping表项置为bound状态,表明客户端未对获取到的地址作冲突检测,或者该IPv6地址不存在冲突,客户端可以使用该IPv6地址。
    • 如果在配置的侦听时间内侦听到DAD NS报文,设备则将对应的DHCPv6 Snooping或ND Snooping表项置为detection状态,并继续侦听相应的NA报文。侦听方式请参见命令savi max dad-delay

前置条件

在执行该命令前需要先使用savi enable命令使能SAVI功能。

注意事项

本命令需要与ND Snooping、DHCPv6 snooping功能配合使用。

使用实例

# 配置等待DHCPv6客户端对获取地址作冲突检测的时间为5秒。

<HUAWEI> system-view
[HUAWEI] savi enable 
[HUAWEI] savi max dad-prepare-delay 5
相关主题

savi max-binding-table

命令功能

savi max-binding-table命令用来配置接口允许学习的SAVI绑定表项的最大个数。

undo savi max-binding-table命令用来恢复接口允许学习的SAVI绑定表项的最大个数为缺省值。

缺省情况下,在规格范围内,设备对接口能够学习到的最大SAVI绑定表项数目没有限制。

命令格式

savi max-binding-table max-number

undo savi max-binding-table

参数说明

参数

参数说明

取值

max-number

指定接口允许学习的SAVI绑定表项最大个数。

整数形式,取值范围根据不同产品形态不同。

视图

GE接口视图、XGE接口视图40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

SAVI绑定表是ND Snooping绑定表和DHCPv6 Snooping绑定表的集合,当接口下ND Snooping绑定表项和DHCPV6 Snooping绑定表项之和达到所配置的SAVI绑定表项最大数时,后续用户将无法接入。此功能可以有效避免设备处理用户发送的大量源地址非法的ND协议报文和DHCPv6协议报文,防止对设备造成攻击。

前置条件

执行此命令前,需确保已使用命令savi enable在全局下使能了SAVI功能。

使用实例

# 配置GE1/0/1接口下最多允许学习8条SAVI绑定表项。

<HUAWEI> system-view
[HUAWEI] savi enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] savi max-binding-table 8
相关主题

savi enable

命令功能

savi enable命令用来使能SAVI功能。

undo savi enable命令用来去使能SAVI功能。

缺省情况下,未使能SAVI功能。

命令格式

savi enable

undo savi enable

参数说明

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

使能源地址有效性验证SAVI(Source Address Validation Improvements)功能,设备会根据通过ND Snooping功能、DHCPv6 Snooping功能建立起的地址和端口的绑定关系表对ND协议报文、DHCPv6协议报文和IPv6数据报文的源地址进行合法性的过滤检查,可以防止非法报文形成攻击。

注意事项

SAVI功能需要与ND Snooping功能、DHCPv6 Snooping、IP Source Guard功能配合使用。

使能SAVI功能后,仅当接口下同时使能ND Snooping和IP Source Guard功能或同时使能DHCPv6 Snooping和IP Source Guard功能时,设备才对该接口收到的IPv6数据报文的源地址进行合法性检查。

使用实例

# 使能SAVI功能。

<HUAWEI> system-view
[HUAWEI] savi enable
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:11467

下载量:202

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页