- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
02-AFT命令
本章节下载: 02-AFT命令 (270.21 KB)
目 录
1.1.9 aft log port-block-assign
1.1.10 aft log port-block-withdraw
1.1.15 aft turn-off traffic-class
1.1.20 display aft address-group
1.1.21 display aft address-mapping
1.1.22 display aft configuration
address命令用来添加地址组成员。
undo address命令用来删除地址组成员。
【命令】
address start-address end-address
undo address start-address end-address
【缺省情况】
地址组内不存在地址组成员。
【视图】
AFT地址组视图
【缺省用户角色】
network-admin
context-admin
【参数】
start-address end-address:地址组成员的起始IP地址和结束IP地址。end-address必须大于或等于start-address,如果start-address和end-address相同,则表示只有一个地址。start-address和end-address之间的IP地址数量不能超过256个。
【使用指导】
一个地址组是多个地址组成员的集合。当需要对从IPv6网络到达IPv4网络的数据报文进行源地址转换时,IPv6报文的源地址将被转换为地址组成员中的某个IPv4地址。
同一个AFT地址组中多次执行本命令添加的地址成员不能互相重叠。
【举例】
# 在地址组2下添加两个地址组成员。
<Sysname> system-view
[Sysname] aft address-group 2
[Sysname-aft-address-group-2] address 10.1.1.1 10.1.1.15
[Sysname-aft-address-group-2] address 10.1.1.20 10.1.1.30
【相关命令】
· aft address-group
aft address-group命令用来创建AFT地址组,并进入AFT地址组视图。如果指定的地址组已经存在,则直接进入地址组视图。
undo aft address-group命令用来删除指定的地址组。
【命令】
aft address-group group-id
undo aft address-group group-id
【缺省情况】
不存在AFT地址组。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
group-id:地址组的编号,取值范围为0~65535。
【使用指导】
一个地址组是多个地址组成员的集合,各个地址组成员通过address命令配置。地址组用于动态地址转换。当需要对从IPv6网络到达IPv4网络的数据报文进行源地址转换时,IPv6报文的源地址将被转换为地址组成员中的某个IPv4地址。
【举例】
# 创建编号为1的AFT地址组,并进入AFT地址组视图。
<Sysname> system-view
[Sysname] aft address-group 1
[Sysname-aft-address-group-1]
【相关命令】
· address
· aft v6tov4 source
· display aft address-group
· display aft configuration
aft alg命令用来开启指定或所有协议类型的AFT ALG功能。
undo aft alg命令用来关闭指定或所有协议类型的AFT ALG功能。
【命令】
aft alg { all | dns | ftp | http | icmp-error }
undo aft alg { all | dns | ftp | http | icmp-error }
【缺省情况】
DNS协议、FTP协议、ICMP差错控制报文、HTTP协议的AFT ALG功能处于开启状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
all:所有可指定的协议的ALG功能。
dns:表示DNS协议的ALG功能。
ftp:表示FTP协议的ALG功能。
http:表示HTTP协议的ALG功能。
icmp-error:表示ICMP差错控制报文的ALG功能。
【使用指导】
AFT只对报文头中的IP地址和端口信息进行转换,不对应用层数据载荷中的字段进行分析。然而对于一些特殊协议,它们的报文的数据载荷中可能包含IP地址或端口信息。例如,FTP应用由数据连接和控制连接共同完成,而数据连接使用的地址和端口由控制连接报文中的载荷信息决定。这些载荷信息也必须进行有效的转换,否则可能导致功能不正常。ALG(Application Level Gateway,应用层网关)主要完成对应用层报文的处理,利用ALG可以对载荷信息中的IP地址和端口信息进行转换。
可以通过多次执行本命令开启多个协议的AFT ALG功能。
【举例】
# 开启FTP协议的AFT ALG功能。
<Sysname> system-view
[Sysname] aft alg ftp
【相关命令】
· display aft configuration
aft enable命令用来开启接口的AFT功能。
undo aft enable命令用来关闭接口的AFT功能。
【命令】
aft enable
undo aft enable
【缺省情况】
接口的AFT功能处于关闭状态。
【视图】
接口视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
所有参与IPv4网络与IPv6网络通信的接口均需开启AFT功能。
【举例】
# 开启接口的AFT功能。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] aft enable
【相关命令】
· display aft configuration
aft log enable命令用来开启AFT日志功能。
undo aft log enable命令用来关闭AFT日志功能。
【命令】
aft log enable
undo aft log enable
【缺省情况】
AFT日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
为了满足网络管理员安全审计的需要,可以开启AFT日志功能,以便对AFT连接(AFT连接是指报文经过设备时,源或目的地址进行过AFT转换的连接)信息进行记录。
在以下情况下会触发记录AFT日志:
· AFT端口块分配,需要同时配置aft log port-block-assign命令。
· AFT端口块回收,需要同时配置aft log port-block-withdraw命令。
· AFT端口分配失败,即动态方式的AFT地址转换发生端口分配失败的日志,需要配置aft log port-alloc-fail命令。
· AFT流创建,即AFT会话创建时输出日志,需要同时配置aft log flow-begin命令。
· AFT流删除,即AFT会话释放时输出日志,需要同时配置aft log flow-end命令。
生成的日志信息将被发送到设备的信息中心,通过设置信息中心的参数,决定日志信息的输出规则(即是否允许输出以及输出方向)。有关信息中心参数的配置请参见“网络管理和监控配置指导”中的“信息中心”。
【举例】
# 开启AFT日志功能。
<Sysname> system-view
[Sysname] aft log enable
【相关命令】
· aft log flow-begin
· aft log flow-end
· aft log port-alloc-fail
· aft log port-block-assign
· aft log port-block-withdraw
· display aft configuration
aft log flow-begin命令用来开启AFT新建流的日志功能。
undo aft log flow-begin命令用来关闭AFT新建流的日志功能。
【命令】
aft log flow-begin
undo aft log flow-begin
【缺省情况】
AFT新建流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启AFT新建流的日志功能后,新建AFT会话时,会输出AFT日志。
只有开启AFT日志功能(aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT新建流的日志功能。
<Sysname> system-view
[Sysname] aft log flow-begin
【相关命令】
· aft log enable
· aft log flow-end
· display aft configuration
aft log flow-end命令用来开启AFT删除流的日志功能。
undo aft log flow-end命令用来关闭AFT删除流的日志功能。
【命令】
aft log flow-end
undo aft log flow-end
【缺省情况】
AFT删除流的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启AFT删除流的日志功能后,释放AFT会话时,会输出AFT日志。
只有开启AFT日志功能(aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT删除流的日志功能。
<Sysname> system-view
[Sysname] aft log flow-end
【相关命令】
· aft log enable
· aft log flow-begin
· display aft configuration
aft log port-alloc-fail命令用来开启AFT端口分配失败的日志功能。
undo aft log port-alloc-fail命令用来关闭AFT端口分配失败的日志功能。
【命令】
aft log port-alloc-fail
undo aft log port-alloc-fail
【缺省情况】
AFT端口分配失败的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启本功能后,当动态方式的AFT地址转换发生端口分配失败的情况时,系统会输出端口分配失败的日志。通常,端口块中所有的端口资源都被占用时会导致端口分配失败。
只有开启AFT日志功能(通过aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT端口分配失败的日志功能。
<Sysname> system-view
[Sysname] aft log port-alloc-fail
【相关命令】
· aft log enable
· display aft configuration
aft log port-block-assign命令用来开启AFT端口块分配的日志功能。
undo aft log port-block-assign命令用来关闭AFT端口块分配的日志功能。
【命令】
aft log port-block-assign
undo aft log port-block-assign
【缺省情况】
AFT端口块分配的日志功能处于关闭状态。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【使用指导】
开启AFT端口块分配的日志功能后,当端口块被分配时,会输出AFT分配端口块的日志。
只有开启AFT日志功能(通过aft log enable命令)之后,本命令才能生效。
【举例】
# 开启AFT分配端口块的日志功能。
<Sysname> system-view
[Sysname] aft log port-block-assign
【相关命令】
· aft log enable
· display aft configuration
aft log port-block-withdraw命令用来开启AFT端口块回收的日志功能。
undo aft log port-block-withdraw命令用来关闭AFT端口块回收的日志功能。
undo aft log port-block-withdraw
context-admin
开启AFT端口块回收的日志功能后,当释放端口块资源时,会输出该AFT端口块回收的日志。
只有开启AFT日志功能(通过aft log enable命令)之后,本命令才能生效。
[Sysname] aft log port-block-withdraw
aft prefix-general命令用来配置General前缀。
undo aft prefix-general命令用来删除指定的General前缀。
【命令】
aft prefix-general prefix-general prefix-length
undo aft prefix-general prefix-general prefix-length
【缺省情况】
不存在General前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
prefix-general:General前缀。
prefix-length:前缀长度,取值为32、40、48、56、64或96。
【使用指导】
General前缀是长度为32、40、48、56、64或96位的IPv6地址前缀,用来将IPv6地址和IPv4地址互相转换。General前缀既可以用于转换源地址,也可以用于转换目的地址。
General前缀用于前缀方式,可以进行IPv6到IPv4的源或目的地址转换。如果报文的源或目的IPv6地址匹配General前缀,则取出IPv6源或目的地址中内嵌的IPv4地址,作为转换后的源或目的IPv4地址。
General前缀被aft v4tov6 source或aft v4tov6 destination命令引用,可以进行IPv4到IPv6的源或目的地址转换。如果报文匹配指定的ACL,则使用报文中的IPv4源或目的地址与General前缀组合成IPv6地址,作为转换后的IPv6源或目的地址。
General前缀不能与设备上的接口地址同网段,并且,General前缀、NAT64前缀和IVI前缀三者不能相同。
【举例】
# 配置General前缀为2000:db8e::,前缀长度为32。
<Sysname> system-view
[Sysname] aft prefix-general 2000:db8e:: 32
【相关命令】
· aft v4tov6 destination
· aft v4tov6 source
· display aft configuration
aft prefix-ivi命令用来配置IVI前缀。
undo aft prefix-ivi命令用来删除指定的IVI前缀。
【命令】
aft prefix-ivi prefix-ivi
undo aft prefix-ivi prefix-ivi
【缺省情况】
不存在IVI前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
prefix-ivi:IVI前缀。
【使用指导】
IVI前缀长度固定为32位,该前缀用于检查IPv6地址是否符合IVI格式或用于把IPv4地址转换为IPv6地址。
IVI前缀用于前缀方式,可以进行IPv6到IPv4的源地址转换。如果报文的源IPv6地址匹配IVI前缀,则取出IPv6源地址中内嵌的IPv4地址,作为转换后的源IPv4地址。
IVI前缀被aft v4tov6 destination命令引用,可以进行IPv4到IPv6的目的地址转换。如果报文匹配指定的ACL,则使用报文中的IPv4目的地址与IVI前缀组合成IPv6地址,作为转换后的IPv6目的地址。
IVI前缀、NAT64前缀和General前缀三者不能相同。
【举例】
# 配置IVI前缀为3000:db8e::。
<Sysname> system-view
[Sysname] aft prefix-ivi 3000:db8e::
【相关命令】
· aft v4tov6 destination
· display aft configuration
aft prefix-nat64命令用来配置NAT64前缀。
undo aft prefix-nat64命令用来删除指定的NAT64前缀。
【命令】
aft prefix-nat64 prefix-nat64 prefix-length
undo aft prefix-nat64 prefix-nat64 prefix-length
【缺省情况】
不存在NAT64前缀。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
prefix-nat64:NAT64前缀。
prefix-length:前缀长度,取值为32、40、48、56、64或96。
【使用指导】
NAT64前缀是长度为32、40、48、56、64或96位的IPv6地址前缀。
NAT64前缀用于前缀方式,可以进行IPv6到IPv4的目的地址转换。如果报文的目的IPv6地址匹配NAT64前缀,则取出IPv6目的地址中内嵌的IPv4地址,作为转换后的IPv4目的地址。
NAT64前缀用于前缀方式或被aft v4tov6 source命令引用,可以进行IPv4到IPv6的源地址转换,即使用报文中的IPv4源地址与NAT64前缀组合成IPv6地址,作为转换后的IPv6源地址。如果是被aft v4tov6 source命令引用,只有匹配指定ACL的报文才会被转换。
使用96位的NAT64前缀时,必须保证该前缀的64~71位全部为0,否则配置下发失败。
NAT64前缀不能与设备上的接口地址同网段,并且,NAT64前缀、IVI前缀和General前缀三者不能相同。
【举例】
# 配置NAT64前缀为2000:db8e::,前缀长度为32。
<Sysname> system-view
[Sysname] aft prefix-nat64 2000:db8e:: 32
【相关命令】
· aft v4tov6 source
· display aft configuration
aft turn-off tos命令用来配置IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0。
undo aft turn-off tos命令用来恢复缺省情况。
【命令】
aft turn-off tos
undo aft turn-off tos
【缺省情况】
IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段与转换前的IPv6报文的Traffic Class字段值相同。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 配置IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0。
<Sysname> system-view
[Sysname] aft turn-off tos
aft turn-off traffic-class命令用来配置IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0。
undo aft turn-off traffic-class命令用来恢复缺省情况。
【命令】
aft turn-off traffic-class
undo aft turn-off traffic-class
【缺省情况】
IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段与转换前的IPv4报文的ToS字段值相同。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【举例】
# 配置IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0。
<Sysname> system-view
[Sysname] aft turn-off traffic-class
aft v4tov6 destination命令用来配置从IPv4到IPv6的目的地址转换策略。
undo aft v4tov6 destination命令用来删除从IPv4到IPv6的目的地址转换策略。
【命令】
aft v4tov6 destination acl { name ipv4-acl-name prefix-ivi prefix-ivi | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-ivi prefix-ivi } }
undo aft v4tov6 destination acl { name ipv4-acl-name | number ipv4-acl-number }
【缺省情况】
不存在从IPv4到IPv6的目的地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
acl:指定用来匹配IPv4报文的IPv4 ACL。对于IPv4网络到IPv6网络的报文,如果IPv4报文匹配该IPv4 ACL,则根据本命令转换目的IPv4地址。
name ipv4-acl-name:IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,ACL的名称不允许使用英文单词all。
number ipv4-acl-number:IPv4 ACL的编号,取值范围为2000~3999。
prefix-general prefix-general prefix-length:指定引用的General前缀。对于IPv4网络到IPv6网络的报文,如果匹配该IPv4 ACL,则根据General前缀将目的IPv4地址转换为IPv6地址。prefix-general为General前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
prefix-ivi prefix-ivi:指定引用的IVI前缀。对于IPv4网络到IPv6网络的报文,如果匹配该IPv4 ACL,则根据IVI前缀将目的IPv4地址转换为IVI格式的IPv6地址。
【使用指导】
不同的IPv4到IPv6目的地址转换策略引用的ACL不能相同。
引用IVI前缀或General前缀之前,需要先进行IVI前缀或General前缀的配置,转换策略才能生效。
【举例】
# 配置引用IVI前缀的IPv4到IPv6目的地址转换策略,将匹配ACL 2000的IPv4报文目的地址使用IVI前缀3000:db8e::转换为IPv6地址。
<Sysname> system-view
[Sysname] aft prefix-ivi 3000:db8e::
[Sysname] aft v4tov6 destination acl number 2000 prefix-ivi 3000:db8e::
# 配置引用General前缀的IPv4到IPv6目的地址转换策略,将匹配ACL 2000的IPv4报文目的地址使用General前缀2000:db8e::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft v4tov6 destination acl number 2000 prefix-general 2000:db8e:: 32
【相关命令】
· aft prefix-general
· aft prefix-ivi
· display aft configuration
aft v4tov6 source命令用来配置从IPv4到IPv6的源地址转换策略。
undo aft v4tov6 source命令用来删除从IPv4到IPv6的源地址转换策略。
【命令】
IPv4到IPv6的源地址静态转换策略:
aft v4tov6 source ipv4-address ipv6-address
undo aft v4tov6 source ipv4-address
引用NAT64前缀或General前缀的IPv4到IPv6源地址转换策略:
aft v4tov6 source acl { name ipv4-acl-name prefix-nat64 prefix-nat64 prefix-length | number ipv4-acl-number { prefix-general prefix-general prefix-length | prefix-nat64 prefix-nat64 prefix-length } }
undo aft v4tov6 source acl { name ipv4-acl-name | number ipv4-acl-number }
【缺省情况】
不存在从IPv4到IPv6的源地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv4-address:指定源IPv4地址。
ipv6-address:指定转换后的源IPv6地址。静态转换策略中指定的IPv6地址不能与设备上的接口地址同网段。
acl:指定用来匹配IPv4报文的IPv4 ACL。对于从IPv4网络到IPv6网络的报文,如果IPv4报文匹配该IPv4 ACL,则根据本命令转换源IPv4地址。
name ipv4-acl-name:IPv4 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,ACL的名称不允许使用英文单词all。
number ipv4-acl-number:IPv4 ACL的编号,取值范围为2000~3999。
prefix-general prefix-general prefix-length:指定引用的General前缀,对于匹配IPv4 ACL的报文,根据此General前缀,将源IPv4地址转换为IPv6地址。prefix-general为General前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
prefix-nat64 prefix-nat64 prefix-length:指定引用的NAT64前缀,对于匹配IPv4 ACL的报文,根据此NAT64前缀,将源IPv4地址转换为IPv6地址。prefix-nat64为NAT64前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96位。
【使用指导】
不同的IPv4到IPv6源地址静态转换策略指定的IPv4地址和IPv6地址均不能相同。
不同的引用NAT64前缀或General前缀的IPv4到IPv6的源地址转换策略指定的ACL不能相同。
引用NAT64前缀或General前缀之前,需要先进行NAT64前缀或General前缀的配置,转换策略才能生效。
【举例】
# 配置IPv4到IPv6的源地址静态转换策略,将源IPv4地址2.2.2.123转换为源IPv6地址3001::5。
<Sysname> system-view
[Sysname] aft v4tov6 source 2.2.2.123 3001::5
# 配置引用NAT64前缀的IPv4到IPv6源地址转换策略,将匹配ACL 2000的IPv4报文源地址使用NAT64前缀2000::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft prefix-nat64 2000:: 32
[Sysname] aft v4tov6 source acl number 2000 prefix-nat64 2000:: 32
# 配置引用General前缀的IPv4到IPv6源地址转换策略,将匹配ACL 2000的IPv4报文源地址使用General前缀3000::/32转换为IPv6地址。
<Sysname> system-view
[Sysname] aft v4tov6 source acl number 2000 prefix-general 3000:: 32
【相关命令】
· aft prefix-general
· aft prefix-nat64
· display aft configuration
aft v6server命令用来配置IPv6侧服务器对应的IPv4地址及端口号。
undo aft v6server命令用来删除IPv6侧服务器对应的IPv4地址及端口号。
【命令】
aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number ipv6-destination-address ipv6-port-number
undo aft v6server protocol protocol-type ipv4-destination-address ipv4-port-number
【缺省情况】
不存在IPv6侧服务器对应的IPv4地址及端口号。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
protocol protocol-type:指定支持的协议类型。protocol-type取值及含义如下:
· tcp:表示TCP协议。
· udp:表示UDP协议。
ipv4-destination-address:IPv6地址映射的IPv4地址。
ipv4-port-number:IPv4端口号,取值范围为1~65535。
ipv6-destination-address:需要映射的IPv6目的地址。
ipv6-port-number:IPv6端口号,取值范围为1~65535。
【使用指导】
不同的IPv6侧服务器配置的IPv4协议、地址和端口信息不能完全相同。
【举例】
# 配置IPv6服务器3001::5对应IPv4地址2.2.2.123及端口号1720,指定支持的协议为TCP。
<Sysname> system-view
[Sysname] aft v6server protocol tcp 2.2.2.123 1720 3001::5 1720
【相关命令】
· display aft configuration
aft v6tov4 source命令用来配置从IPv6到IPv4的源地址转换策略。
undo aft v6tov4 source命令用来删除从IPv6到IPv4的源地址转换策略。
【命令】
IPv6到IPv4的源地址静态转换策略:
aft v6tov4 source ipv6-address ipv4-address
undo aft v6tov4 source ipv6-address
IPv6到IPv4的源地址动态转换策略:
aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length } { address-group group-id [ no-pat | port-block-size blocksize ] | interface interface-type interface-number }
undo aft v6tov4 source { acl ipv6 { name ipv6-acl-name | number ipv6-acl-number } | prefix-nat64 prefix-nat64 prefix-length }
【缺省情况】
不存在从IPv6到IPv4的源地址转换策略。
【视图】
系统视图
【缺省用户角色】
network-admin
context-admin
【参数】
ipv6-address:指定源IPv6地址。
ipv4-address:指定转换后的源IPv4地址。
acl ipv6:指定用来匹配IPv6报文的IPv6 ACL。对于IPv6网络到IPv4网络的报文,如果IPv6报文匹配该IPv6 ACL,则根据本命令转换源IPv6地址。
name ipv6-acl-name:IPv6 ACL的名称,为1~63个字符的字符串,不区分大小写,必须以英文字母a~z或A~Z开头,为避免混淆,IPv6 ACL的名称不允许使用英文单词all。
number ipv6-acl-number:IPv6 ACL的编号,取值范围为2000~3999。
prefix-nat64 prefix-nat64 prefix-length:指定用来匹配IPv6报文目的地址的NAT64前缀。对于从IPv6网络到IPv4网络的报文,如果目的IPv6地址符合配置的NAT64前缀格式,则根据本命令转换源IPv6地址。prefix-nat64为NAT64前缀。prefix-length为前缀长度,取值为32、40、48、56、64或96。
address-group group-id:指定将源IPv6地址转换为该地址组中的IPv4地址。group-id为AFT地址组的编号,取值范围为0~65535。
no-pat:指定该地址转换策略不进行端口转换。如果不指定该参数,则表示进行端口转换。
port-block-size blocksize:端口块大小,取值范围为100~64512。如果不指定该参数,则表示PAT方式进行端口转换时不做端口块限制。
interface interface-type interface-number:指定将源IPv6地址转换为该接口的主IPv4地址。interface-type interface-number表示接口类型和接口编号。如果指定该参数,则表示接口将一定采用PAT方式进行端口转换,不做端口块限制。
【使用指导】
如果指定了port-block-size blocksize参数,则进行PAT转换时,可用的端口范围为1024~65535。该端口范围被划分成多个端口块,每个端口块的大小由port-block-size blocksize参数决定。例如,blocksize为1000时,第一个端口块的端口号范围为1024~2023,第二个端口块的端口号范围为2024~3023,以此类推。
不同的IPv6到IPv4源地址静态转换策略中指定的IPv6地址和IPv4地址均不能相同。
对于IPv6到IPv4源地址动态转换策略,指定地址组、ACL和NAT64前缀时有如下限制:
· 对于一条引用了ACL且指定了地址组的转换策略,不能通过重复执行本命令修改该策略中指定的地址组,必须先删除该策略,再通过配置新的地址转换策略将该ACL和其它地址组绑定。
· 对于一条引用了NAT64前缀且指定了地址组的转换策略,不能通过重复执行本命令修改该策略中指定的地址组,必须先删除该策略,再通过配置新的地址转换策略将该NAT64前缀和其它地址组绑定。
引用NAT64前缀之前,需要先进行NAT64前缀的配置,转换策略才能生效。
· 对于同一个地址组,可以被引用了不同ACL或者不同NAT64前缀的转换策略所指定。
【举例】
# 配置IPv6到IPv4源地址静态转换策略,将源IPv6地址3001::5转换为源IPv4地址2.2.2.123。
<Sysname> system-view
[Sysname] aft v6tov4 source 3001::5 2.2.2.123
# 配置IPv6到IPv4源地址动态转换策略,将匹配ACL 2000的IPv6报文源地址转换为地址组0中的地址,并指定PAT方式进行端口转换时的端口块大小为100。
<Sysname> system-view
[Sysname] aft v6tov4 source acl ipv6 number 2000 address-group 0 port-block-size 100
【相关命令】
· display aft configuration
· display aft port-block
display aft address-group命令用来显示地址组信息。
【命令】
display aft address-group [ group-id ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
group-id:地址组的编号,取值范围为0~65535。如果不指定本参数,则显示所有地址组的信息。
【举例】
<Sysname> display aft address-group
There are 3 AFT address groups.
Group ID Start address End address
1 202.110.10.10 202.110.10.15
2 202.110.10.20 202.110.10.25
202.110.10.30 202.110.10.35
6 --- ---
# 显示指定地址组的信息。
<Sysname> display aft address-group 1
Group ID Start address End address
1 202.110.10.10 202.110.10.15
表1-1 display aft address-group命令显示信息描述表
|
字段 |
描述 |
|
There are n AFT address groups |
当前有n个AFT地址组 |
|
Group ID |
地址组编号 |
|
Start address |
地址组成员的起始地址。如果未配置,则显示为“---” |
|
End address |
地址组成员的结束地址。如果未配置,则显示为“---” |
display aft address-mapping命令用来显示AFT地址映射信息。
【命令】
display aft address-mapping [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定所有成员设备。
【举例】
# 显示AFT地址映射表的信息。
<Sysname> display aft address-mapping
Slot 1:
IPv6: Source IP/port: 2000:0:FF01:101:100::8/1024
Destination IP/port: 5000::1717:1714/1025
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
IPv4: Source IP/port: 1.1.1.1/1031
Destination IP/port: 23.23.23.20/1025
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Total address mapping found: 1
表1-2 display aft address-mapping命令显示信息描述表
|
字段 |
描述 |
|
IPv4 |
IPv4地址信息 |
|
IPv6 |
IPv6地址信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
VPN instance/VLAN ID/Inline ID |
(暂不支持VPN)会话所属的VPN实例/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
协议类型,包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
display aft configuration命令用来显示AFT配置信息。
【命令】
display aft configuration
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【举例】
# 显示AFT的配置信息。
<Sysname> display aft configuration
aft address-group 1
address 202.110.10.10 202.110.10.15
address 101.1.1.100 101.1.1.200
aft prefix-nat64 2000:: 32
aft prefix-ivi 3000:DB8E::
aft prefix-general 2000:DB8E:: 32
aft v6tov4 source acl ipv6 number 2000 address-group 0 port-block-size 100
aft v4tov6 source acl number 2000 prefix-nat64 2000:: 32
aft v4tov6 destination acl number 2000 prefix-ivi 3000:DB8E::
aft v6server protocol tcp 2.2.2.123 1720 3001::5 1720
aft turn-off tos
aft turn-off traffic-class
aft log enable
aft log flow-begin
aft log flow-end
aft log port-block-assign
aft log port-block-withdraw
aft log port-alloc-fail
interface GigabitEthernet1/0/1
aft enable
AFT ALG:
DNS : Enabled
FTP : Enabled
HTTP : Enabled
ICMP-ERROR : Enabled
表1-3 display aft configuration命令显示信息描述表
|
字段 |
描述 |
|
aft address-group XX |
AFT地址组,其编号为XX |
|
address |
AFT地址组中地址成员的地址范围 |
|
aft prefix-nat64 X:X::X:X |
NAT64前缀地址为X:X::X:X |
|
aft prefix-ivi X:X::X:X |
IVI前缀为X:X::X:X |
|
aft prefix-general X:X::X:X |
General前缀为X:X::X:X |
|
aft v6tov4 source acl ipv6 |
IPv6到IPv4的源地址转换策略: · number XX:用于匹配IPv6报文源地址的IPv6 ACL编号为XX · name XX:用于匹配IPv6报文源地址的IPv6 ACL名称为XX · address-group XX:用于地址转换的地址组,其编号为XX · port-block-size XX:端口块大小为XX |
|
aft v4tov6 source acl |
IPv4到IPv6的源地址转换策略: · number XX:用于匹配IPv4报文源地址IPv4 ACL编号为XX · name XX:用于匹配IPv4报文源地址的IPv4 ACL名称为XX · prefix-nat64 X:X::X:X XX:NAT64前缀为X:X::X:X,前缀长度为XX |
|
aft v4tov6 destination acl |
IPv4到IPv6的目的地址转换策略: · number XX:用于匹配IPv4报文目的地址IPv4 ACL编号为XX · name XX:用于匹配IPv4报文目的地址的IPv4 ACL名称为XX · prefix-ivi X:X::X:X:IVI前缀为X:X::X:X |
|
aft v6server protocol |
IPv6侧服务器对应的IPv4地址及端口号 |
|
aft turn-off tos |
IPv6报文转换为IPv4报文后,IPv4报文中的ToS字段值为0 |
|
aft turn-off traffic-class |
IPv4报文转换为IPv6报文后,IPv6报文中的Traffic Class字段值为0 |
|
aft log enable |
AFT日志功能已开启 |
|
aft log flow-begin |
AFT新建流的日志功能已开启 |
|
aft log flow-end |
AFT删除流的日志功能已开启 |
|
aft log port-block-assign |
AFT端口块分配的日志功能已开启 |
|
aft log port-block-withdraw |
AFT端口块回收的日志功能已开启 |
|
aft log port-alloc-fail |
AFT端口分配失败的日志功能已开启 |
|
aft v6tov4 source XX::XX |
从IPv6到IPv4的源地址转换策略中的源IPv6地址为XX::XX |
|
interface GigabitEthernet1/0/1 |
开启AFT功能的接口 |
|
aft enable |
AFT功能已开启 |
|
AFT ALG |
各协议的AFT ALG功能开启状态 · Enabled:表示开启 · Disabled:表示关闭 |
display aft no-pat命令用来显示AFT NO-PAT表项信息。
【命令】
display aft no-pat [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定所有成员设备。
【使用指导】
NO-PAT是指IPv6地址与IPv4地址存在一一对应的转换关系,不存在端口转换关系。
【举例】
# 显示AFT NO-PAT表项信息。
<Sysname> display aft no-pat
Slot 1:
IPv6 address: 3006::0002
IPv4 address: 200.100.1.100
IPv6 address: 4016::1102
IPv4 address: 202.120.12.110
Total entries found: 2
表1-4 display aft no-pat命令显示信息描述表
|
字段 |
描述 |
|
IPv6 address |
转换前的IPv6地址 |
|
IPv4 address |
转换后的IPv4地址 |
|
Total entries found |
AFT NO-PAT表项的总数 |
display aft port-block命令用来显示端口块映射表项信息。
【命令】
display aft port-block [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定所有成员设备。
【举例】
# 显示端口块映射表项信息。
<Sysname> display aft port-block
Slot 1:
IPv6 address: 3006::0002
IPv4 address: 200.100.1.100
Port block : [1024 – 1123]
IPv6 address: 4016::1102
IPv4 address: 202.120.12.110
Port block : [1024 – 1200]
Total entries found: 2
表1-5 display aft port-block命令显示信息描述表
|
字段 |
描述 |
|
IPv6 address |
转换前的IPv6地址 |
|
IPv4 address |
转换后的IPv4地址 |
|
Port block |
转换后的IPv4端口范围 |
|
Total entries found |
AFT端口映射表项的总数 |
display aft session命令用来显示AFT会话(即进行过AFT地址转换的会话)的信息。
【命令】
display aft session ipv4 [ { source-ip source-ip-address | destination-ip destination-ip-address } * ] [ slot slot-number ] [ verbose ]
display aft session ipv6 [ { source-ip source-ipv6-address | destination-ip destination-ipv6-address } * ] [ slot slot-number ] [ verbose ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
ipv4:显示AFT创建的IPv4会话信息。
source-ip source-ip-address:显示指定源地址的会话。source-ip-address表示源IPv4地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ip-address:显示指定目的地址的会话。destination-ip-address表示目的IPv4地址,该地址必须是创建会话的报文的目的地址。
ipv6:显示AFT创建的IPv6会话信息。
source-ip source-ipv6-address:显示指定源地址的会话。source-ipv6-addrsss表示源IPv6地址,该地址必须是创建会话的报文的源地址。
destination-ip destination-ipv6-address:显示指定目的地址的会话。destination-ipv6-address表示目的IPv6地址,该地址必须是创建会话的报文的目的地址。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定所有成员设备。
verbose:显示AFT会话的详细信息。不指定此参数时,显示会话的概要信息。
【使用指导】
如果不指定任何参数,则显示所有AFT会话的信息。
【举例】
# 显示指定slot上的AFT会话的详细信息。
<Sysname> display aft session ipv4 slot 0 verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.18/1877
Destination IP/port: 102.128.1.55/22
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 102.128.1.55/22
Destination IP/port: 192.168.1.18/1877
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
State: TCP_SYN_SENT
Application: SSH
Start time: 2020-02-13 19:12:36 TTL: 28s
Initiator->Responder: 1 packets 48 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
表1-6 display aft session命令显示信息描述表
|
字段 |
描述 |
|
Initiator |
发起方的会话信息 |
|
Source IP/port |
源IP地址/端口号 |
|
Destination IP/port |
目的IP地址/端口号 |
|
DS-Lite tunnel peer |
DS-Lite B4端隧道地址。会话不属于任何DS-Lite隧道时,本字段显示为“-” |
|
VPN instance/VLAN ID/Inline ID |
(暂不支持VPN)会话所属的VPN实例/二层转发时会话所属的VLAN ID/二层转发时会话所属的INLINE。如果未指定则显示“-/-/-” |
|
Protocol |
协议类型,包括:DCCP、ICMP、ICMPv6、Raw IP 、SCTP、TCP、UDP、UDP-Lite |
|
Inbound interface |
入接口 |
|
Responder |
响应方的会话信息 |
|
App |
应用层协议类型,包括:FTP、DNS等,unknown表示非知名端口并且也未使用用户自定义的协议类型 |
|
State |
会话状态 |
|
Start time |
会话创建时间 |
|
TTL |
会话剩余存活时间,单位为秒 |
|
Initiator->Responder |
发起方到响应方的报文数、报文字节数 |
|
Responder->Initiator |
响应方到发起方的报文数、报文字节数 |
|
Total sessions found |
AFT会话总数 |
【相关命令】
· reset aft session
display aft statistics显示AFT统计信息。
【命令】
display aft statistics [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
context-admin
context-operator
【参数】
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定所有成员设备。
【使用指导】
如果不指定任何参数,则显示所有AFT统计信息。
【举例】
# 显示所有AFT统计信息。
<Sysname> display aft statistics
Total NO-PAT entries found: 0
Total port-block entries found: 0
Total IPv4 sessions: 0
Total IPv6 sessions: 0
表1-7 display aft statistics命令显示信息描述表
|
字段 |
描述 |
|
Total NO-PAT entries found |
AFT创建的NO-PAT表项个数 |
|
Total port-block entries found |
AFT创建的端口块映射表项个数 |
|
Total IPv4 sessions |
AFT创建的IPv4会话总数 |
|
Total IPv6 sessions |
AFT创建的IPv6会话总数 |
reset aft session命令用来删除AFT会话。
【命令】
reset aft session [ slot slot-number ]
【视图】
用户视图
【缺省用户角色】
network-admin
context-admin
【参数】
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定所有成员设备。
【使用指导】
执行本命令删除AFT会话后,该会话对应的AFT NO-PAT表项和端口块映射表信息也会同时被删除。
【举例】
# 删除指定slot的AFT会话。
<Sysname> reset aft session slot 2
【相关命令】
· display aft session
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
