(四) 配置QinQ终结子接口支持URPF
配置QinQ终结子接口支持URPF,可以有效防止基于源地址欺骗的网络攻击行为通过QinQ终结子接口进入用户网络。
1. 建立配置任务
在进行QinQ终结子接口支持URPF功能配置前了解此特性的应用环境、配置此特性的前置任务和数据准备,有助于快速、准确地完成配置任务。 1) 应用环境
在运营级的网络里,网络中的ME设备可能收到伪装源地址的报文。在这种情况下,为避免ME设备遭受基于源地址的欺骗攻击,往往需要在相应的接口上配置URPF检查。
当ME设备收到的用户数据报文中带有两层Tag时,需要在QinQ终结子接口上应用URPF检查。 2) 前置任务
在配置QinQ终结子接口支持URPF功能之前,需完成以下任务: 配置接口的物理特性 配置接口的链路层协议 配置接口的IP地址
2. 配置以太网主接口
接口只有工作在QinQ终结模式下,才能使用子接口下的QinQ的相关配置命令。 1) 背景信息
在 ME设备上进行如下配置。 2) 操作步骤
执行命令system-view,进入系统视图。
执行命令interface { gigabitethernet | eth-trunk } interface-number,进入以太网主接口的接口视图。
执行命令mode user-termination,配置以太网主接口模式为用户终结模式。
3. 配置以太网子接口
需要配置终结子接口终结收到的用户报文中的两层Tag。 1) 背景信息
在 ME设备上进行如下配置。 2) 操作步骤
执行命令system-view,进入系统视图。
执行命令interface { gigabitethernet | eth-trunk } interface-number.subinterface-number,进入以太网子接口的接口视图。
执行命令control-vidvidqinq-termination [ local-switch | [ rt-protocol | dynamic ] * ],设定终结子接口的VLAN ID和对带两层Tag的用户报文进行终结。
执行命令qinq termination pe-vidpe-vidce-vidlow-ce-vid [ tohigh-ce-vid ],配置QinQ子接口终结功能。
4. 配置QinQ子接口的URPF功能
设备的终结子接口只支持松散检查的URPF。 1) 背景信息
在 ME设备上进行如下配置。 2) 操作步骤
执行命令system-view,进入系统视图。
执行命令interface { gigabitethernet | eth-trunk } interface-number.subinterface-number,进入QinQ终结以太网子接口的接口视图。
执行命令ip urpfloose [ allow-default ],使能接口URPF功能。只要在转发表中存在表项就通过URPF检查,不要求接口一定匹配。
5. 检查配置结果
在QinQ终结子接口支持URPF配置成功后,可以有效防止伪造源IP地址的报文攻击。 1) 操作步骤
执行display qinq informationtermination [ interfaceinterface-
typeinterface-number [.subinterface-number ] ]命令查看QinQ终结的信息。 2) 任务示例
在PE上执行命令display qinq informationtermination interface,可以看到接口上QinQ终结的具体信息。例如:
GigabitEthernet1/0/0.1 Total QinQ Num: 1
qinq termination pe-vid 10 ce-vid 100 Total vlan-group Num: 0 control-vid 1 qinq-termination
(五) 配置Bras用户侧QinQ
配置以太网子接口下的用户VLAN时,可以指定开始VLAN号和结束VLAN号,还可以指定起始QinQ VLAN号和结束QinQ VLAN号,但一次最多只能连续配置16个QinQ VLAN。设备下挂两层交换机,接近用户的交换机标记内层VLAN,再往上一层的交换机标记QinQ VLAN。
1. 建立配置任务
在进行Bras用户侧QinQ功能配置前了解此特性的应用环境、配置此特性的前置任务和数据准备,有助于快速、准确地完成配置任务。 1) 应用环境
当单个接口下需要接入的VLAN数量大于4k时,则需要配置QinQ,增加VLAN的数量。 2) 前置任务
在配置用户侧QinQ之前,需要完成以下任务。 配置相关接口的物理参数
配置相关接口的IP地址或者BRAS属性
2. 创建用户侧VLAN
当二层普通用户通过以太网子接口接入时,需要配置用户侧VLAN。 1) 背景信息
请在ME60上进行以下配置。 2) 操作步骤
执行命令system-view,进入系统视图。
执行命令interfaceinterface-type interface-number.sub-interface-nmuber,进入指定子接口视图。
执行命令user-vlan { start-vlan-id [ end-vlan-id ] [ qinqstart-qinq-id end-qinq-id ] | any-other },创建子接口的用户侧VLAN。
配置以太网子接口下的用户侧VLAN时,可以指定开始VLAN号和结束VLAN号,也可以通过any-other参数指定所有VLAN(包括4094*4094个双层VLAN和4094个单层VLAN中所有没有被其它子接口配置的VLAN)。但是如果某些VLAN已经被其他子接口所使用,则any-other参数对这些VLAN不生效。
配置以太网子接口下的用户侧VLAN时,还可以指定QinQ VLAN。ME60下挂两层交换机,接近用户的交换机标记内层VLAN(start-vlan-id),再往上一层的交换机标记外层QinQ VLAN(qinq-id)。QinQ的具体描述请参见QinQ配置。
缺省情况下,以太网子接口下未配置用户侧VLAN。
3. 检查配置结果
在Bras用户侧QinQ配置成功后,用户可以通过子接口接入网络。 1) 前提条件
已经完成Bras用户侧QinQ的配置。 2) 操作步骤
在用户侧子接口下执行display this命令,查看子接口QinQ配置情况。
(六) 维护QinQ
QinQ相关维护命令包括清除QinQ的统计信息、调试QinQ功能等。
1. 6.5.6.13.1 清除QinQ的统计信息
通过reset命令可以将QinQ统计计数置0,便于重新统计。 1) 背景信息
注意: 清除QinQ的统计信息后,以前的信息将无法恢复,务必仔细确认。 2) 操作步骤
请在用户视图下执行reset qinq statistic interfaceinterface-typeinterface-number.subinterface-numbervlan-groupgroup-id命令,清除QinQ的统计信息。
2. 监控终结子接口运行状况
在日常维护工作中,可以在任意视图下选择执行相关display命令,了解QinQ/Dot1q终结子接口的运行状况,便于故障定位。
操作步骤
在任意视图下执行
display dot1q information termination
[ interfaceinterface-typeinterface-number [.subinterface-number ] ]命令,了解dot1q终结的运行状况。
在任意视图下执行
display qinq information termination
[ interfaceinterface-typeinterface-number [.subinterface-number ] ]命令,了解QinQ终结的运行状况。
在任意视图下执行
display qinq information stacking
[ interfaceinterface-typeinterface-number [.subinterface-number ] ]命令,了解QinQ Stacking接口的运行状况。
3. 调试QinQ
在QinQ功能出现运行故障时,请在用户视图下执行debugging命令进行调试,查看调试信息,并定位故障的原因。 1) 背景信息
注意: 打开调试开关将影响系统的性能。调试完毕后,应及时执行undo debugging all命令关闭调试开关。
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库QinQ原理与配置指导书(5)在线全文阅读。
相关推荐: