06-RSVP命令
本章节下载: 06-RSVP命令 (277.33 KB)
目 录
1.1.1 authentication challenge
1.1.4 authentication window-size
1.1.6 display rsvp authentication
1.1.10 display rsvp reservation
1.1.12 display rsvp statistics
1.1.13 graceful-restart enable
1.1.19 reset rsvp authentication
1.1.22 rsvp authentication challenge
1.1.23 rsvp authentication key
1.1.24 rsvp authentication lifetime
1.1.25 rsvp authentication window-size
1.1.29 rsvp reduction retransmit increment
1.1.30 rsvp reduction retransmit interval
1.1.31 rsvp reduction srefresh
authentication challenge命令用来全局或为指定RSVP邻居开启RSVP认证的challenge-response握手功能。
undo authentication challenge命令用来全局或为指定RSVP邻居关闭RSVP认证的challenge-response握手功能。
认证的challenge-response握手功能处于关闭状态。
RSVP视图/RSVP邻居视图
为了避免报文的重放(Replay)攻击,RSVP接收认证消息时要求认证消息的序列号依次增加,RSVP在接收RSVP SA(Security Association,安全联盟)中保存最后一次收到的消息的序列号,用于判断后续消息是否符合要求。但是,在新创建接收RSVP SA的时候,无法获取发送端的序列号,因此缺省情况下,创建接收RSVP SA时将接收序列号填写为零,这样对端发送任意序列号的消息就都能接收。这就增加了重放攻击的风险。为了避免这种风险,可以执行authentication challenge命令,使得在新建接收RSVP SA时执行challenge-response握手过程,获取发送端的序列号。
RSVP认证的challenge-response握手功能可以在如下视图配置:
· RSVP视图:该视图下的配置对所有RSVP SA生效。
· RSVP邻居视图:该视图下的配置只对与指定RSVP邻居之间的RSVP SA生效。
· 接口视图:该视图下的配置只对根据指定接口下的配置生成的RSVP SA生效。
# 在RSVP视图下全局开启RSVP认证的challenge-response握手功能。
[Sysname] rsvp
[Sysname-rsvp] authentication challenge
# 在RSVP邻居视图下开启本地设备与RSVP邻居1.1.1.9之间RSVP认证的challenge-response握手功能。
[Sysname] rsvp
[Sysname-rsvp] peer 1.1.1.9
[Sysname-rsvp-peer-1.1.1.9] authentication challenge
· rsvp authentication challenge
· rsvp authentication lifetime
· rsvp authentication window-size
authentication key命令用来全局或为指定RSVP邻居开启RSVP认证功能,并配置认证密钥。
undo authentication key命令用来全局或为指定RSVP邻居关闭RSVP认证功能。
authentication key { cipher | plain } auth-key
RSVP认证功能处于关闭状态,即不进行RSVP认证。
RSVP视图/RSVP邻居视图
cipher:表示以密文形式设置密钥。
plain:表示以明文形式设置密钥。
auth-key:认证密钥,区分大小写。如果采用明文(plain)形式,则为1~16个字符的明文字符串;如果采用密文(cipher)形式,则为1~53个字符的密文字符串。
RSVP认证功能可以用来确保RSVP消息不会被篡改,防止伪造的资源预留请求非法占用网络资源。
配置RSVP认证功能后,发送RSVP消息时会使用MD5算法对认证密钥和消息内容计算出消息摘要,并将消息摘要添加到发送的RSVP消息中。对端接收到RSVP消息后,也进行同样地计算,并将计算结果和消息中的摘要进行比较。如果一致,则认证通过,接收该消息;否则认证失败,丢弃该消息。
RSVP认证功能可以在如下视图配置:
· RSVP视图:该视图下的配置对所有RSVP SA生效。
· RSVP邻居视图:该视图下的配置只对与指定RSVP邻居之间的RSVP SA生效。
· 接口视图:该视图下的配置只对根据指定接口下的配置生成的RSVP SA生效。
如果在多个视图下配置了认证密钥,则认证密钥的使用优先级顺序从高到低依次为:RSVP邻居视图、接口视图、RSVP视图。例如,如果在RSVP邻居视图和RSVP视图都开启了与特定邻居的RSVP认证功能,并配置了不同的认证密钥,则采用RSVP邻居视图下配置的密钥认证本地设备和该邻居之间的RSVP消息。
如果已经采用某个视图下配置的认证密钥建立了RSVP SA,则只有先删除当前视图下配置的认证密钥或执行reset rsvp authentication命令删除该RSVP SA,才会按照上述优先级顺序重新查找新的认证密钥并建立RSVP SA。
· 本地设备上开启RSVP认证功能后,在相应的RSVP邻居上也需要开启RSVP认证功能,并配置相同的认证密钥。
· 以明文或密文形式设置的密钥,均以密文的方式保存在配置文件中。
# 在RSVP视图下全局开启RSVP认证功能,并指定认证密钥为明文abcdefgh。
[Sysname] rsvp
[Sysname-rsvp] authentication key plain abcdefgh
# 在RSVP邻居视图下开启本地设备与邻居1.1.1.9之间的认证功能,并指定认证密钥为明文abcdefgh。
[Sysname] rsvp
[Sysname-rsvp] peer 1.1.1.9
[Sysname-rsvp-peer-1.1.1.9] authentication key plain abcdefgh
· rsvp authentication challenge
· rsvp authentication lifetime
· rsvp authentication window-size
authentication lifetime命令用来全局或为指定RSVP邻居配置RSVP SA的空闲老化时间。
undo authentication lifetime命令用来恢复缺省情况。
authentication lifetime life-time
RSVP SA的空闲老化时间为1800秒(30分钟)。
RSVP视图/RSVP邻居视图
life-time:RSVP SA的空闲老化时间,取值范围为30~86400,单位为秒。
开启了RSVP认证功能后,设备收发RSVP消息时会动态建立RSVP SA,以记录消息的序列号、方便对RSVP消息进行认证处理。
为了在不需要RSVP SA的时候,能够及时删除该RSVP SA,回收内存资源,每个RSVP SA都有其老化时间。当RSVP SA的空闲时间到达老化时间时,将删除该RSVP SA。设备发送和接收RSVP认证消息时,会更新对应RSVP SA的空闲时间,避免其被老化删除。
RSVP SA的空闲老化时间可以在如下视图配置:
· RSVP视图:该视图下的配置对所有RSVP SA生效。
· RSVP邻居视图:该视图下的配置只对与指定RSVP邻居之间的RSVP SA生效。
· 接口视图:该视图下的配置只对根据指定接口下的配置生成的RSVP SA生效。
采用某个视图下配置的认证密钥建立RSVP SA后,该RSVP SA的空闲老化时间为该视图下配置的老化时间。
修改RSVP SA的空闲老化时间后,只会对新建立的RSVP SA生效。要想使得修改后的空闲老化时间对已建立的RSVP SA生效,则需要执行reset rsvp authentication命令来删除并重新建立RSVP SA。
# 在RSVP视图下全局配置RSVP SA的空闲老化时间为100秒。
[Sysname] rsvp
[Sysname-rsvp] authentication lifetime 100
# 在RSVP邻居视图下配置本地设备与RSVP邻居1.1.1.9之间RSVP SA的空闲老化时间为100秒。
[Sysname] rsvp
[Sysname-rsvp] peer 1.1.1.9
[Sysname-rsvp-peer-1.1.1.9] authentication lifetime 100
· rsvp authentication challenge
· rsvp authentication lifetime
· rsvp authentication window-size
authentication window-size命令用来全局或为指定RSVP邻居配置对于带有认证信息的RSVP消息,最大可允许的乱序消息数量。
undo authentication window-size命令用来恢复缺省情况。
authentication window-size numbe
undo authentication window-size
对于带有认证信息的RSVP消息,最大可允许的乱序消息数量为1。
RSVP视图/RSVP邻居视图
number:最大可允许的乱序消息数量,取值范围为1~64。
为了防止报文重放攻击,RSVP在带有认证信息的RSVP消息中携带唯一的序列号。每发送一个消息,序列号依次增加。如果接收到的消息序列号在允许的范围内,则接受该消息;否则,丢弃该消息。
RSVP判断报文序列号是否在允许范围内的方法为:
(1) 在设备上记录最后一次接收到的RSVP报文的序列号。
(2) 设备接收到新的RSVP报文时,将该报文的序列号与记录的序列号进行比较:
· 如果大于记录的序列号,则将记录的序列号更新为该报文的序列号。
· 如果小于记录的序列号、大于(记录的序列号—本命令配置的window-size),且未收到过该序列号的报文,则接收该报文;若已经收到过该序列号的报文,则认为是重放攻击,丢弃该报文。
· 如果小于等于(记录的序列号—本命令配置的window-size),则认为报文序列号不合法,丢弃该报文。
缺省情况下,最大可允许的乱序消息数量为1,即如果新收到的RSVP消息的序列号小于最后收到的消息序列号,则认为该消息是重放攻击,丢弃该消息。但是,如果在短时间内发送了多个RSVP消息,那么这些消息到达邻居时可能会产生乱序。若采用缺省情况,则会导致这些乱序消息被丢弃。此时,可以通过本命令配置较大的window-size解决此问题。
采用某个视图下配置的认证密钥建立RSVP SA后,该RSVP SA的最大可允许乱序消息数量为该视图下配置的值。
修改最大可允许的乱序消息数量后,只会对新建立的RSVP SA生效。要想使得修改后的最大可允许乱序消息数量对已建立的RSVP SA生效,则需要执行reset rsvp authentication命令来删除并重新建立RSVP SA。
# 在RSVP视图下全局配置对于带有认证信息的RSVP消息,最大可允许的乱序消息数量为10。
[Sysname] rsvp
[Sysname-rsvp] authentication window-size 10
# 在RSVP邻居视图下配置本地设备和RSVP邻居1.1.1.9之间对于带有认证信息的RSVP消息,最大可允许的乱序消息数量为10。
[Sysname] rsvp
[Sysname-rsvp] peer 1.1.1.9
[Sysname-rsvp-peer-1.1.1.9] authentication window-size 10
· rsvp authentication challenge
· rsvp authentication lifetime
· rsvp authentication window-size
display rsvp命令用来显示RSVP的信息。
display rsvp [ interface [ interface-type interface-number ] ]
interface:显示接口的RSVP信息。
interface-type interface-number:显示指定接口的RSVP信息。interface-type interface-number为接口类型及接口编号。
执行display rsvp命令时:
· 如果不指定interface参数,则显示全局的RSVP信息。
· 如果只指定interface参数,不指定interface-type interface-number参数,则显示所有接口的RSVP信息。
· 如果指定interface interface-type interface-number参数,则显示指定接口的RSVP信息。
# 显示全局的RSVP信息。
LSR ID: 50.0.0.1 Fast Reroute time: -
Refresh interval: 30 sec Keep multiplier: 3
Hello interval: 3 sec Hello lost: 4
Graceful Restart: Disabled DSCP value: 48
Authentication: Enabled
Lifetime: 300 sec
Window size: 64
Challenge: Enabled
Statistics:
PSB number: 5 RSB number: 5
LSP number: 5 Request number: 5
Peer number: 5 SA number: 5
表1-1 display rsvp命令显示信息描述表
为决定一条LSP是否应使用新的、更好的备份隧道而进行扫描的时间间隔,单位为秒(暂不支持FRR) |
|
PSB和RSB的超时倍数 |
|
Hello Request消息的发送时间间隔,单位为秒 |
|
最多可以接受的Hello消息连续丢失次数 |
|
是否开启Graceful Restart能力,取值包括Enabled和Disabled |
|
发送的RSVP报文的DSCP优先级(暂不支持配置RSVP报文的DSCP优先级) |
|
是否开启RSVP认证功能,取值包括Enabled和Disabled |
|
RSVP SA的空闲老化时间,单位为秒 |
|
是否开启认证的challenge-response握手功能,取值包括Enabled和Disabled |
|
RSVP统计信息 |
|
PSB总数 |
|
RSB总数 |
|
RSVP协议建立的LSP总数 |
|
RSVP请求信息数据块总数 |
|
RSVP协议动态生成的邻居的总数 |
|
RSVP SA的总数 |
# 显示所有接口的RSVP信息。
<Sysname> display rsvp interface
Interface: Vlan10 Logical interface handle: 0x19a5
State: Up IP address: 50.1.0.1
MPLS TE: Enabled RSVP: Enabled
Hello: Enabled BFD: Enabled
Summary Refresh: Enabled Reliability: Disabled
Retransmit interval: 500 ms Retransmit increment: 1
Authentication: Enabled
Lifetime: 300 sec
Window size: 64
Challenge: Enabled
Bypass tunnels: None
Interface: Vlan11 Logical interface handle: 0x19a6
State: Up IP address: 50.2.0.1
MPLS TE: Enabled RSVP: Enabled
Hello: Enabled BFD: Enabled
Summary Refresh: Disabled Reliability: Disabled
Retransmit interval: 500 ms Retransmit increment: 1
Authentication: Enabled
Lifetime: 300 sec
Window size: 64
Challenge: Enabled
Bypass tunnels: None
表1-2 display rsvp interface命令显示信息描述表
RSVP所记录的接口状态,取值包括Up和Down |
|
RSVP当前所用的接口的IP地址 |
|
接口上是否开启MPLS TE能力,取值包括Enabled和Disabled |
|
接口上是否开启RSVP能力,取值包括Enabled和Disabled |
|
接口上是否开启Hello扩展功能,取值包括Enabled和Disabled |
|
接口上是否开启BFD检测功能,取值包括Enabled和Disabled |
|
接口上是否开启摘要刷新功能,取值包括Enabled和Disabled |
|
接口上是否开启RSVP消息的可靠传递功能,取值包括Enabled和Disabled |
|
接口上是否开启RSVP认证功能,取值包括Enabled和Disabled |
|
RSVP SA的空闲老化时间,单位为秒 |
|
接口是否开启认证的challenge-response握手功能,取值包括Enabled和Disabled |
|
display rsvp authentication命令用来显示本地设备与RSVP邻居建立的RSVP SA信息。
display rsvp authentication [ from ip-address ] [ to ip-address ] [ verbose ]
from ip-address:显示认证发起节点IP地址为指定地址的RSVP SA信息。ip-address为认证发起节点的IP地址。
to ip-address:显示认证目的节点IP地址为指定地址的RSVP SA信息。ip-address为认证目的节点的IP地址。
verbose:显示RSVP SA的详细信息。如果没有指定本参数,则显示RSVP SA的简要信息。
开启了RSVP认证功能后,设备收发RSVP消息时会动态建立RSVP SA。RSVP SA中包含如下信息:认证发起节点的IP地址、认证目的节点的IP地址、认证方向、认证类型、认证密钥、认证空闲老化的剩余时间等。其中,认证发起节点和认证目的节点的IP地址从IP报文头或RSVP消息对象中获取,具体获取方法如表1-3所示。
表1-3 认证发起节点和目的节点IP地址的获取方法
RSVP消息HOP对象中的地址 |
RSVP消息SESSION对象中的目的地址 |
|
RSVP消息HOP对象中的地址 |
RSVP消息SESSION对象中的目的地址 |
|
IP报文头中的源IP地址 |
IP报文头中的目的IP地址 |
|
RSVP消息HOP对象中的地址 |
IP报文头中的目的IP地址 |
|
RSVP消息HOP对象中的地址 |
IP报文头中的目的IP地址 |
|
RSVP消息HOP对象中的地址 |
IP报文头中的目的IP地址 |
|
IP报文头中的源IP地址 |
RSVP消息CONFIRM对象中的地址 |
|
IP报文头中的源IP地址 |
IP报文头中的目的IP地址 |
|
IP报文头中的源IP地址 |
IP报文头中的目的IP地址 |
|
IP报文头中的源IP地址 |
IP报文头中的目的IP地址 |
需要注意的是,执行display rsvp authentication命令时,如果没有指定from ip-address和to ip-address参数,则显示本地设备与所有邻居建立的RSVP SA的信息。
# 显示本地设备与所有邻居建立的RSVP SA的简要信息。
<Sysname> display rsvp authentication
From To Mode Type Key-ID Expiration
57.10.10.1 57.10.10.2 Receive Interface 000103000000 280s
57.10.10.2 57.10.10.1 Send Interface 000103000000 280s
表1-4 display rsvp authentication命令显示信息描述表
· Receive:接收RSVP SA,用来对RSVP邻居发送给本地的消息进行认证处理 · Send:发送RSVP SA,用来对本地发送给RSVP邻居的消息进行认证处理 |
|
· Peer:表示根据RSVP邻居视图下的配置建立的RSVP SA · Interface:表示根据接口视图下的配置建立的RSVP SA · Global:表示根据RSVP视图下的配置建立的RSVP SA |
|
RSVP SA的密钥ID · 若为发送RSVP SA,则显示本地的密钥ID · 若为接收RSVP SA,则显示对端发来的密钥ID |
|
RSVP SA空闲老化的剩余时间,单位为秒 |
# 显示所有RSVP SA的详细信息。
<Sysname> display rsvp authentication verbose
From: 20.1.1.1 To: 4.4.4.9
Mode: Send Type: Interface
Challenge: Supported Peer: 20.1.1.2
Local key ID: 0x000104000000 Peer key ID: 0x0
Lifetime: 1800 sec Expiration time: 1781 sec
Window size: 1
Last sent sequence number:
5781735195480686593
From: 20.1.1.2 To: 20.1.1.1
Mode: Receive Type: Interface
Challenge: Not configured Peer: 20.1.1.2
Local key ID: 0x0 Peer key ID: 0x000104000000
Lifetime: 1800 sec Expiration time: 1798 sec
Window size: 1
Received sequence numbers:
5781742445385482241
表1-5 display rsvp authentication verbose命令显示信息描述表
· Receive:接收RSVP SA,用来对RSVP邻居发送给本地的消息进行认证处理 · Send:发送RSVP SA, 用来对本地发送给RSVP邻居的消息进行认证处理 |
|
· Peer:表示根据RSVP邻居视图下的配置建立的RSVP SA · Interface:表示根据接口视图下的配置建立的RSVP SA · Global:表示根据RSVP视图下的配置建立的RSVP SA |
|
认证的challenge-response握手状态,取值包括: · Not configured:用于接收RSVP SA,表示本地没有开启challenge-response握手功能 · Configured:用于接收RSVP SA,表示本地开启了challenge-response握手功能 · In progress:本地开启challenge-response握手功能,向对端发送Integrity Challenge消息后,正在等待对端回应的Integrity Response消息 · Completed:本地开启challenge-response握手功能,向对端发送Integrity Challenge消息后,收到对端回应的Integrity Response消息,并通过认证检查 · Failed:本地开启challenge-response握手功能,向对端发送Integrity Challenge消息后,收到对端回应的Integrity Response消息,但未通过认证检查;或本地重复向对端发送三次Integrity Challenge消息后,仍然没有收到对端回应的合法Integrity Response消息;或对端未开启challenge-response握手功能 · Supported:用于发送RSVP SA,表示本端支持challenge-response握手功能 |
|
认证邻居的IP地址,表示是和哪个邻居建立的RSVP SA |
|
本地的Key-ID,用于发送RSVP SA |
|
对端的Key-ID,用于接收RSVP SA |
|
RSVP SA的空闲老化时间,单位为秒 |
|
RSVP SA空闲老化的剩余时间,单位为秒 |
|
· rsvp authentication challenge
· rsvp authentication lifetime
· rsvp authentication window-size
display rsvp lsp命令用来显示RSVP建立的CR-LSP信息。
destination ip-address:显示隧道目的地为指定值的CR-LSP的信息。ip-address为隧道的目的地址。
source ip-address:显示隧道源地址为指定值的CR-LSP的信息。ip-address为隧道的源地址,即RSVP消息中Session对象的扩展tunnel ID。
tunnel-id tunnel-id:显示隧道ID为指定值的CR-LSP的信息。tunnel-id为隧道ID,取值范围为0~65535。
lsp-id lsp-id:显示LSP ID为指定值的CR-LSP的信息。lsp-id为CR-LSP的ID,取值范围为0~65535。
verbose:显示CR-LSP的详细信息。如果没有指定本参数,则显示CR-LSP的简要信息。
# 显示RSVP建立的所有CR-LSP的简要信息。
Destination Source Tunnel-ID LSP-ID Direction Tunnel-name
50.0.0.1 50.0.0.3 0 1 Uni Sysname_t0
50.0.0.1 50.0.0.3 1 2 Bi-Down Sysname_t1
表1-6 display rsvp lsp 命令显示信息描述表
· Uni:Unidirectional CR-LSP,表示单向隧道 · Bi-Down:Bidirectional downstream CR-LSP,表示双向隧道的正向LSP · Bi-Up:Bidirectional upstream CR-LSP,表示双向隧道的反向LSP |
|
隧道名称,取值为Sysname_ttunnel-ID。其中,Sysname为设备的名称,可以通过系统视图下的sysname命令配置;tunnel-ID为隧道ID 本字段最长为80个字符,如果隧道名称超过80个字符,则超过77个字符的部分以“...”代替 |
# 显示RSVP建立的所有CR-LSP的详细信息。
<Sysname> display rsvp lsp verbose
Tunnel name: Sysname_t1
Destination: 3.3.3.9 Source: 1.1.1.9
Tunnel ID: 1 LSP ID: 5
LSR type: Transit Direction: Unidirectional
Setup priority: 7 Holding priority: 7
In-Label: 1146 Out-Label: 3
In-Interface: Vlan10 Out-Interface: Vlan30
Nexthop: 57.20.20.1 Exclude-any: 0
Include-Any: 0 Include-all: 0
Mean rate (CIR): 0.00 kbps Mean burst size (CBS): 1000.00 bytes
Path MTU: 1500 Class type: CT0
RRO number: 8
57.10.10.1/32 Flag: 0x00 (No FRR)
57.10.10.2/32 Flag: 0x40 (No FRR/In-Int)
1146 Flag: 0x01 (Global label)
2.2.2.9/32 Flag: 0x20 (No FRR/Node-ID)
57.20.20.2/32 Flag: 0x00 (No FRR)
57.20.20.1/32 Flag: 0x40 (No FRR/In-Int)
3 Flag: 0x01 (Global label)
3.3.3.9/32 Flag: 0x20 (No FRR/Node-ID)
Fast Reroute protection: None
Tunnel name: Sysname_t253
Destination: 3.3.3.9 Source: 2.2.2.9
Tunnel ID: 253 LSP ID: 17767
LSR type: Ingress Direction: Bidirectional, Downstream
Setup priority: 7 Holding priority: 7
In-Label: - Out-Label: 1025
In-Interface: - Out-Interface: Vlan15
Nexthop: 10.11.112.135 Exclude-any: 0
Include-Any: 0 Include-all: 0
Mean rate (CIR): 125.00 kbps Mean burst size (CBS): 0.00 bytes
Path MTU: 0 Class type: CT0
RRO number: 8
10.11.112.140/32 Flag: 0x00 (No FRR)
10.11.112.135/32 Flag: 0x40 (No FRR/In-Int)
1025 Flag: 0x01 (Global label)
5.5.5.9/32 Flag: 0x20 (No FRR/Node-ID)
57.40.40.3/32 Flag: 0x00 (No FRR)
57.40.40.1/32 Flag: 0x40 (No FRR/In-Int)
3 Flag: 0x01 (Global label)
3.3.3.9/32 Flag: 0x20 ((No FRR/Node-ID)
Fast Reroute protection: None
表1-7 display rsvp lsp verbose命令显示信息描述表
隧道名称,取值为Sysname_ttunnel-ID。其中,Sysname为设备的名称,可以通过系统视图下的sysname命令配置;tunnel-ID为隧道ID |
|
标签交换路由器类型,取值包括Ingress、Transit和Egress |
|
· Unidirectional:表示单向隧道 · Bidirectional, Downstream:表示双向隧道的正向LSP · Bidirectional, Upstream:表示双向隧道的反向LSP |
|
不接受的亲和属性,即如果链路属性与任意的Exclude-any亲和属性相同,则不能使用该链路 |
|
接受的亲和属性,即如果链路属性与任意的Include-any亲和属性相同,则可以使用该链路 |
|
接受的所有亲和属性,即只有链路属性与所有的Include-all亲和属性相同时,才能使用该链路 |
|
LSP流量所属的服务类型 |
|
RRO(Record Route Object,记录路由对象)的个数 如果RRO的个数不为零,则接下来显示RRO对象中所记录的IP地址或标签信息 只有Tunnel接口上配置了路由记录功能后,才会显示RRO信息 |
|
RRO对象中标记的值及其含义,标记含义的取值包括: · No FRR:表示没有配置FRR保护 · FRR Avail:表示FRR保护可用(暂不支持) · In use:表示已经发生FRR切换(暂不支持) · BW:表示带宽保护(暂不支持) · Node-Prot:表示节点保护(暂不支持) · Node-ID:表示RRO对象中的地址为节点的LSR ID · In-Int:表示RRO对象中的地址为入接口的地址 · Global label:表示全局标签空间 |
|
display rsvp peer命令用来显示RSVP邻居的信息。
display rsvp peer [ interface interface-type interface-number ] [ ip ip-address ] [ verbose ]
interface interface-type interface-number:显示通过指定接口连接的邻居的信息。interface-type interface-number为接口类型和接口编号。
ip ip-address:显示指定RSVP邻居的信息。ip-address为邻居的IP地址。
verbose:显示RSVP邻居的详细信息。如果不指定本参数,则显示RSVP的简要信息。
# 显示所有RSVP邻居的简要信息。
Peer Interface State Type Reduction
57.10.10.1 Vlan10 Idle Active Enabled
57.20.20.1 Vlan11 Init Passive Disabled
表1-8 display rsvp peer命令显示信息描述表
本地的Hello状态,取值包括: · Idle:本地未开启Hello扩展功能 · Init:本地开启Hello扩展功能,与邻居进行Hello消息交互未成功或正在进行消息交互 · Up:本地开启Hello扩展功能,与邻居进行Hello消息交互成功 |
|
· Active:表示本端是主动方,主动向邻居发送Hello Request消息 · Passive:表示本端是被动方,被动接收邻居发来的Hello Request消息并回应Hello Ack消息 |
|
邻居是否开启摘要刷新功能,取值包括Enabled和Disabled |
# 显示所有RSVP邻居的详细信息。
<Sysname> display rsvp peer verbose
Peer: 57.10.10.1 Interface: Vlan10
Hello state: Idle Hello type: Active
PSB count: 1 RSB count: 0
Src instance: 0x32e Dst instance: 0x0
Refresh reduction: Enabled Graceful Restart state: Invalid
Peer GR restart time: 0 ms Peer GR recovery time: 0 ms
Peer: 57.20.20.1 Interface: Vlan11
Hello state: Init Hello type: Active
PSB count: 0 RSB count: 1
Src instance: 0x32e Dst instance: 0x0
Refresh reduction: Disabled Graceful Restart state: Ready
Peer GR restart time: 0 ms Peer GR recovery time: 0 ms
表1-9 display rsvp peer verbose命令显示信息描述表
本地的Hello状态,取值包括: · Idle:本地未开启Hello扩展功能 · Init:本地开启Hello扩展功能,与邻居进行Hello消息交互未成功或正在进行消息交互 · Up:本地开启Hello扩展功能,与邻居进行Hello消息交互成功 |
|
· Active:表示本端是主动方,主动向邻居发送Hello Request消息 · Passive:表示本端是被动方,被动接收邻居发来的Hello Request消息并回应Hello Ack消息 |
|
发送给邻居的Hello消息中携带的Src instance,即本地设备的instance |
|
最后一次接收到邻居发来的Hello消息中的Src Instance,即邻居的instance |
|
邻居是否开启摘要刷新功能,取值包括Enabled和Disabled |
|
邻居的GR状态,取值包括: · Invalid:邻居没有GR能力,或本地没有开启GR能力 · Ready:邻居具有GR能力 · Restarting:邻居正在重启 · Recovering:邻居正在恢复 |
|
邻居的GR重启时间间隔,单位为毫秒 |
|
邻居的GR恢复时间间隔,单位为毫秒 |
display rsvp request命令用来显示向上游设备发送的RSVP资源预留请求的信息。
destination ip-address:显示隧道目的地址为指定值的RSVP资源预留请求信息。ip-address为隧道的目的地。
source ip-address:显示隧道源地址为指定值的RSVP资源预留请求信息。ip-address为隧道的源地址,即RSVP消息中Session对象的扩展tunnel ID。
tunnel-id tunnel-id:显示隧道ID为指定值的RSVP资源预留请求信息。tunnel-id为隧道ID,取值范围为0~65535。
prev-hop ip-address:显示向指定上游设备发送的RSVP资源预留请求信息。ip-address为RSVP资源预留请求信息的目的设备的地址,即隧道的前一跳地址。
verbose:显示向上游设备发送的RSVP资源预留请求的详细信息。如果不指定本参数,则显示向上游设备发送的RSVP资源预留请求的简要信息。
# 显示所有向上游设备发送的RSVP资源预留请求的简要信息。
<Sysname> display rsvp request
Destination Source Tunnel-ID Previous-hop Style
3.3.3.9 1.1.1.9 1 57.10.10.1 SE
表1-10 display rsvp request命令显示信息描述表
· SE:共享显式 · FF:固定过滤器 |
# 显示所有向上游设备发送的RSVP资源预留请求的详细信息。
<Sysname> display rsvp request verbose
Destination: 3.3.3.9 Source: 1.1.1.9
Tunnel ID: 1 Style: SE
Previous hop: 57.10.10.1 Previous hop LIH: 0xf0008
Sent message epoch: 0 Sent message ID: 0
Out-Interface: Vlan10 Refresh interval: 30000 ms
Unknown object number: 0
Flow descriptor 1:
Flow specification:
Mean rate (CIR): 50.00 kbps Mean burst size (CBS): 1000.00 bytes
Path MTU: 1500 QoS service: Controlled-Load
Filter specification 1:
Sender address: 1.1.1.9 LSP ID: 23
Label: 1110
表1-11 display rsvp request verbose命令显示信息描述表
· SE:共享显式 · FF:固定过滤器 |
|
发送消息携带的Message ID Object中Epoch字段的值 |
|
无法识别的Object的个数 |
|
QoS业务类型,取值包括Controlled-Load和Guaranteed |
|
正向LSP的入标签 |
display rsvp reservation命令用来显示RSVP资源预留状态信息。
destination ip-address:显示隧道目的地址为指定值的RSVP资源预留状态信息。ip-address为隧道的目的地。
source ip-address:显示隧道源地址为指定值的RSVP资源预留状态信息。ip-address为隧道的源地址,即RSVP消息中Session对象的扩展tunnel ID。
tunnel-id tunnel-id:显示隧道ID为指定值的RSVP资源预留状态信息。tunnel-id为隧道ID,取值范围为0~65535。
nexthop ip-address:显示根据从指定下游设备接收到的Resv消息创建的RSVP资源预留状态信息。ip-address为发送资源预留状态信息设备的地址,即隧道下一跳地址。
verbose:显示RSVP资源预留状态的详细信息。如果不指定本参数,则显示RSVP资源预留状态的简要信息。
# 显示所有RSVP资源预留状态的简要信息。
<Sysname> display rsvp reservation
Destination Source Tunnel-ID Nexthop Style
3.3.3.9 1.1.1.9 1 57.20.20.1 SE
表1-12 display rsvp reservation命令显示信息描述表
· SE:共享显式 · FF:固定过滤器 |
# 显示所有RSVP资源预留状态的详细信息。
<Sysname> display rsvp reservation verbose
Destination: 3.3.3.9 Source: 1.1.1.9
Tunnel ID: 1 Style: SE
Nexthop: 57.20.20.1 Nexthop LIH: 0x35
Received message epoch: 0 Received message ID: 0
In-Interface: Vlan10 Unknown object number: 0
Flow descriptor 1:
Flow specification:
Mean rate (CIR): 50.00 kbps Mean burst size (CBS): 1000.00 bytes
Path MTU: 1500 QoS service: Controlled-Load
Filter specification 1:
Sender address: 1.1.1.9 LSP ID: 23
Label: 3
RRO number: 3
57.20.20.1/32 Flag: 0x40 (No FRR/In-Int)
3 Flag: 0x01 (Global label)
3.3.3.9/32 Flag: 0x20 (No FRR/Node-ID)
表1-13 display rsvp reservation verbose命令显示信息描述表
· SE:共享显式 · FF:固定过滤器 |
|
接收消息携带的Message ID Object中Epoch字段的值 |
|
无法识别的Object的个数 |
|
QoS业务类型,取值包括Controlled-Load和Guaranteed |
|
正向LSP的出标签 |
|
RRO(Record Route Object,记录路由对象)的个数 如果RRO的个数不为零,则接下来显示RRO对象中所记录的IP地址或标签信息 只有Tunnel接口上配置了路由记录功能后,才会显示RRO信息 |
|
RRO对象中标记的值及其含义,标记含义的取值包括: · No FRR:表示没有配置FRR保护 · FRR Avail:表示FRR保护可用(暂不支持) · In use:表示已经发生FRR切换(暂不支持) · BW:表示带宽保护(暂不支持) · Node-Prot:表示节点保护(暂不支持) · Node-ID:表示RRO对象中的地址为节点的LSR ID · In-Int:表示RRO对象中的地址为入接口的地址 · Global label:表示全局标签空间 |
display rsvp sender命令用来显示RSVP路径状态信息。
destination ip-address:显示隧道目的地址为指定值的RSVP路径状态信息。ip-address为隧道的目的地。
source ip-address:显示隧道源地址为指定值的RSVP路径状态信息。ip-address为隧道的源地址,即RSVP消息中Session对象的扩展tunnel ID。
tunnel-id tunnel-id:显示隧道ID为指定值的RSVP路径状态信息。tunnel-id为隧道ID,取值范围为0~65535。
lsp-id lsp-id:显示LSP ID为指定值的RSVP路径状态信息。lsp-id为CR-LSP的ID,取值范围为0~65535。
verbose:显示RSVP路径状态的详细信息。如果不指定本参数,则显示RSVP路径状态的简要信息。
# 显示所有RSVP 路径状态的简要信息。
Destination Source Tunnel-ID LSP-ID Style Bitrate
3.3.3.9 1.1.1.9 1 5 SE 0.00
3.3.3.9 2.2.2.9 253 17767 SE 125.00
表1-14 display rsvp sender命令显示信息描述表
· SE:共享显式 · FF:固定过滤器 |
|
# 显示所有RSVP路径状态的详细信息。
<Sysname> display rsvp sender verbose
Destination: 3.3.3.9 Source: 1.1.1.9
Tunnel ID: 1 Style: SE
Sender address: 1.1.1.9 LSP ID: 5
Setup priority: 7 Holding priority: 7
FRR desired: No BW protection desired: No
Received upstream label: 1051 Sent upstream label: 1051
Previous hop: 57.10.10.1 Previous hop LIH: 0xf0008
Mean rate (CIR): 0.00 kbps Mean burst size (CBS): 1000.00 bytes
MTU: 1500 Qos service: Controlled-Load
Received message epoch: 0 Received message ID: 0
Sent message epoch: 0 Sent message ID: 0
In-Interface: Vlan10 Local LIH: 0x35
Local address: 57.20.20.2 Refresh interval: 30000 ms
Out-Interface: Vlan11 Nexthop: 57.20.20.1
Unknown object number: 0
Received ERO number: 2
57.10.10.2/32 Strict
57.20.20.1/32 Loose
Sent ERO number: 1
57.20.20.1/32 Loose
XRO number: 2
67.10.10.1/32
67.20.20.1/32
RRO number: 1
57.10.10.1/32 Flag: 0x00 (No FRR)
Fast Reroute PLR: None
Fast Reroute MP: None
Destination: 3.3.3.9 Source: 2.2.2.9
Tunnel ID: 253 Style: SE
Sender address: 2.2.2.9 LSP ID: 17767
Setup priority: 7 Holding priority: 7
FRR desired: Yes BW protection desired: Yes
Received upstream label: 1115 Sent upstream label: 1115
Previous hop: 57.10.10.1 Previous hop LIH: 0xf0008
Mean rate (CIR): 125.00 kbps Mean burst size (CBS): 0.00 bytes
MTU: 1500 Qos service: Controlled-Load
Received message epoch: 0 Received message ID: 0
Sent message epoch: 0 Sent message ID: 0
In-Interface: Vlan15 Local LIH: 0x67
Local address: 10.11.112.140 Refresh interval: 30000 ms
Out-Interface: Vlan18 Nexthop: 10.11.112.135
Unknown object number: 0
Received ERO number: 5
2.2.2.9/32 Strict
10.11.112.140/32 Strict
10.11.112.135/32 Strict
57.40.40.3/32 Strict
57.40.40.1/32 Strict
Sent ERO number: 3
10.11.112.135/32 Strict
57.40.40.3/32 Strict
57.40.40.1/32 Strict
XRO number: 1
67.40.40.1/32
RRO number: 0
Fast Reroute PLR: None
Fast Reroute MP: None
表1-15 display rsvp sender verbose命令显示信息描述表
· SE:共享显式 · FF:固定过滤器 |
|
是否需要FRR保护标记,取值包括Yes 和No(暂不支持FRR) |
|
是否需要带宽保护标记,取值包括Yes 和No(暂不支持带宽保护) |
|
QoS业务类型,取值包括Controlled_Load和Guaranteed |
|
接收消息携带的Message ID Object中Epoch字段的值 |
|
发送消息携带的Message ID Object中Epoch字段的值 |
|
Path消息的出接口IP地址 |
|
无法识别的Object的个数 |
|
接收的ERO(Explicit Route Object,显式路由对象)的个数及其信息 ERO信息包括显式路径经过的节点的地址、该节点为松散下一跳(Loose)或严格下一跳(Strict) |
|
发送的ERO的个数及其信息 ERO信息包括显式路径经过的节点的地址、该节点为松散下一跳(Loose)或严格下一跳(Strict) |
|
XRO(Exclude Route Object,排除路由对象)的个数 如果XRO的个数不为零,则接下来显示XRO对象中的地址,该地址为不希望路由经过的接口地址或节点LSR-ID,即XRO中的地址不会出现在路由经过的地址列表中。XRO中的地址信息没有先后顺序要求 |
|
RRO(Record Route Object,记录路由对象)的个数 如果RRO的个数不为零,则接下来显示RRO对象中所记录的IP地址或标签信息 只有Tunnel接口上配置了路由记录功能后,才会显示RRO信息 |
|
RRO对象中标记的值及其含义,标记含义的取值包括: · No FRR:表示没有配置FRR保护 · FRR Avail:表示FRR保护可用(暂不支持) · In use:表示已经发生FRR切换(暂不支持) · BW:表示带宽保护(暂不支持) · Node-Prot:表示节点保护(暂不支持) · Node-ID:表示RRO对象中的地址为节点的LSR ID · In-Int:表示RRO对象中的地址为入接口的地址 · Global label:表示全局标签空间 |
|
PLR(Point of Local Repair,本地修复节点)信息(暂不支持) |
|
MP(Merge Point,汇聚点)信息(暂不支持) |
display rsvp statistics命令用来显示RSVP统计信息。
display rsvp statistics [ interface [ interface-type interface-number ] ]
interface:显示接口的RSVP统计信息。
interface-type interface-number:显示指定接口的RSVP统计信息。interface-type interface-number为接口类型及接口编号。
· 如果不指定interface参数,则显示全局的RSVP统计信息。
· 如果只指定interface参数,不指定interface-type interface-number参数,则显示所有开启了RSVP能力的接口的RSVP统计信息。
· 如果指定interface interface-type interface-number参数,则显示指定接口的RSVP统计信息。
# 显示全局的RSVP统计信息。
<Sysname> display rsvp statistics
Object Added Deleted
PSB 3 1
RSB 3 1
LSP 3 1
Packet Received Sent
Path 5 5
Resv 5 5
PathError 0 0
ResvError 0 0
PathTear 0 0
ResvTear 0 0
ResvConf 0 0
Bundle 0 0
Ack 0 0
Srefresh 0 0
Hello 0 0
Challenge 0 0
Response 0 0
Error 0 0
# 显示接口的RSVP统计信息。
<Sysname> display rsvp statistics interface
Vlan10:
Packet Received Sent
Path 2 2
Resv 2 2
PathError 0 0
ResvError 0 0
PathTear 0 0
ResvTear 0 0
ResvConf 0 0
Bundle 0 0
Ack 0 0
Srefresh 0 0
Hello 0 0
Challenge 0 0
Response 0 0
Error 0 0
Vlan11:
Packet Received Sent
Path 3 3
Resv 3 3
PathError 0 0
ResvError 0 0
PathTear 0 0
ResvTear 0 0
ResvConf 0 0
Bundle 0 0
Ack 0 0
Srefresh 0 0
Hello 0 0
Challenge 0 0
Response 0 0
Error 0 0
表1-16 display rsvp statistics命令显示信息描述表
添加/删除PSB的次数 |
|
添加/删除RSB的次数 |
|
添加/删除LSP的次数 |
|
接收/发送的Path消息数量 |
|
接收/发送的Resv消息数量 |
|
接收/发送的Path Error消息数量 |
|
接收/发送的Resv Error消息数量 |
|
接收/发送的Path Tear消息数量 |
|
接收/发送的Resv Tear消息数量 |
|
接收/发送的Resv Conf消息数量 |
|
接收/发送的Bundle消息数量 |
|
接收/发送的Ack消息数量 |
|
接收/发送的Srefresh消息数量 |
|
接收/发送的Hello消息数量 |
|
接收/发送的Integrity Challenge消息数量 |
|
接收/发送的Integrity Response消息数量 |
|
接收/发送的错误消息数量 |
graceful-restart enable命令用来开启RSVP的GR(Graceful Restart,平滑重启)功能。
undo graceful-restart enable命令用来关闭RSVP的GR功能。
RSVP的GR功能处于关闭状态。
RSVP视图
目前RSVP仅支持GR Helper方功能,即协助邻居设备进行GR重启,而自身不能进行GR重启。本地设备的NSF(Nonstop Forwarding,不间断转发)只能通过主备进程之间的NSR(Nonstop Routing,不间断路由)功能实现。
只有在接口视图下通过rsvp hello enable命令开启了RSVP的Hello扩展功能后,本地设备才能作为GR helper协助该接口所连接的邻居设备进行GR重启。
# 全局开启RSVP的GR功能。
[Sysname] rsvp
[Sysname-rsvp] graceful-restart enable
hello interval命令用来配置Hello Request消息的发送时间间隔。
undo hello interval命令用来恢复缺省情况。
Hello Request消息的发送时间间隔为5秒。
RSVP视图
interval:Hello Request消息的发送时间间隔,取值范围为1~60,单位为秒。
在本命令指定的时间内,如果没有收到邻居发送的Hello Request消息,则主动向邻居发送Hello Request消息;如果收到了邻居发送的Hello Request消息,则立即向邻居回应Hello Ack消息。
只有在接口视图下通过rsvp hello enable命令开启了RSVP的Hello扩展功能后,设备才会通过该接口发送Hello消息,本命令才会生效。
# 配置Hello Request消息的发送时间间隔为10秒。
[Sysname] rsvp
[Sysname-rsvp] hello interval 10
hello lost命令用来配置Hello消息连续丢失或错误的最大次数。
undo hello lost命令用来恢复缺省情况。
Hello消息连续丢失或错误的最大次数为4次。
RSVP视图
times:Hello消息连续丢失或错误的最大次数,取值范围为3~10。
当连续未收到Hello消息或收到错误的Hello消息的次数达到本命令配置的次数时,认为邻居设备发生故障。如果配置了GR功能,则本地设备作为GR Helper协助邻居进行GR重启。
Hello消息连续丢失或错误的最大次数过大会导致不能快速检测到邻居的故障,过小则可能会导致错误地认为邻居出现故障。请根据实际组网和应用需求选择合适的值。
只有通过rsvp hello enable命令开启RSVP的Hello扩展功能后,本命令才会生效。
# 配置Hello消息连续丢失或错误的最大次数为6次。
[Sysname] rsvp
[Sysname-rsvp] hello lost 6
keep-multiplier命令用来配置PSB和RSB的老化超时倍数。
undo keep-multiplier命令用来恢复缺省情况。
PSB和RSB的老化超时倍数为3。
RSVP视图
number:PSB和RSB的老化超时倍数,取值范围为3~255。
PSB和RSB老化时间的计算方法为:Expired_Time=(keep-multiplier+0.5)×1.5×refresh-time。其中,refresh-time为对端设备向本端通告的路径和预留消息刷新时间间隔。
为了避免设备上保存过多的PSB和RSB,占用系统资源,如果老化时间内没有收到Path或Resv刷新信息,相应的PSB或RSB将会被删除。
# 配置PSB和RSB的老化超时倍数为5。
[Sysname] rsvp
[Sysname-rsvp] keep-multiplier 5
peer命令用来创建RSVP认证邻居,并进入RSVP邻居视图。在该视图下可以配置邻居的认证信息。
undo peer命令用来删除指定的RSVP认证邻居。
设备上不存在任何RSVP认证邻居。
RSVP视图
ip-address:RSVP认证邻居的地址。
通过本命令创建RSVP认证邻居后,可以在RSVP邻居视图下为特定的邻居配置特定的认证信息(如认证密钥、RSVP SA的空闲老化时间等)。
设备接收到带认证对象的RSVP消息后,根据消息(Path,Path Tear消息)PHOP中的IP地址或消息(Path Error,Resv,Resv Error等除Path,Path Tear外的其它消息)的源IP地址来检查设备上是否存在与之匹配的认证邻居。如果存在且为该认证邻居配置了认证密钥,则根据认证邻居的密钥来检查消息是否合法;否则,根据接口视图或全局视图下配置的认证密钥来检查消息是否合法。如果三个视图下都没有配置认证密钥,则忽略消息中的认证对象,直接接收该消息。
设备发送RSVP消息时,根据消息目的IP地址所对应的下一跳地址来检查设备上是否存在与之匹配的认证邻居。如果存在且为该认证邻居配置了认证密钥,则根据认证邻居的密钥来设置认证对象;否则,根据接口视图或全局视图下配置的认证密钥来设置认证对象。如果三个视图下都没有配置认证密钥,则不在发送的消息中携带认证对象。
# 创建RSVP认证邻居1.1.1.1,进入RSVP邻居视图,并配置此邻居的认证密钥为明文abcdfegh。
[Sysname] rsvp
[Sysname-rsvp] peer 1.1.1.1
[Sysname-rsvp-peer-1.1.1.1] authentication key plain abcdfegh
refresh interval命令用来配置路径消息和预留消息的刷新时间间隔。
undo refresh interval命令用来恢复缺省情况。
RSVP视图
interval:路径消息和预留消息的刷新时间间隔,取值范围为10~65535,单位为秒。
本命令具有如下作用:
· 在路径消息和预留消息中携带本地配置的刷新时间间隔,以便对端设备根据该值计算PSB和RSB的老化时间。
# 配置路径和预留消息的刷新时间间隔为60秒。
[Sysname] rsvp
[Sysname-rsvp] refresh interval 60
reset rsvp authentication命令用来手工清除RSVP SA。
reset rsvp authentication [ from ip-address to ip-address ]
from ip-address:清除认证发起节点IP地址为指定地址的RSVP SA。ip-address为认证发起节点的IP地址。
to ip-address:清除认证目的节点IP地址为指定地址的RSVP SA。ip-address为认证目的节点的IP地址。
执行reset rsvp authentication命令时,如果没有指定from ip-address和to ip-address参数,则清除本地设备与所有邻居建立的RSVP SA。
# 清除所有的RSVP SA。
<Sysname> reset rsvp authentication
# 清除认证发起节点IP地址为1.1.1.1、认证目的节点IP地址为2.2.2.2的RSVP SA。
<Sysname> reset rsvp authentication from 1.1.1.1 to 2.2.2.2
reset rsvp statistics命令用来清除RSVP的统计信息。
reset rsvp statistics [ interface [ interface-type interface-number ] ]
interface:清除接口的RSVP统计信息。
interface-type interface-number:清除指定接口的RSVP统计信息。interface-type interface-number为接口类型及接口编号。
· 如果不指定interface参数,则清除全局的RSVP统计信息。
如果只指定interface参数,不指定interface-type interface-number参数,则清除所有开启了RSVP能力的接口的RSVP统计信息。
如果指定interface interface-type interface-number参数,则清除指定接口的RSVP统计信息。
# 清除全局的RSVP统计信息。
<Sysname> reset rsvp statistics
# 清除所有开启了RSVP能力的接口的RSVP统计信息。
<Sysname> reset rsvp statistics interface
rsvp命令用来全局开启RSVP能力,并进入RSVP视图。
undo rsvp命令用来全局关闭RSVP能力。
全局RSVP能力处于关闭状态。
全局开启RSVP能力时,需要同时通过mpls te命令全局开启MPLS TE能力。
# 全局开启RSVP能力,并进入RSVP视图。
[Sysname] rsvp
[Sysname-rsvp]
· mpls te(MPLS命令参考/MPLS TE)
rsvp authentication challenge命令用来在接口下开启RSVP认证的challenge-response握手功能。
undo rsvp authentication challenge命令用来在接口下关闭RSVP认证的challenge-response握手功能。
undo rsvp authentication challenge
RSVP认证的challenge-response握手功能处于关闭状态。
为了避免报文的重放(Replay)攻击,RSVP接收认证消息时要求认证消息的序列号依次增加,RSVP在接收RSVP SA中保存最后一次收到的消息的序列号,用于判断后续消息是否符合要求。但是,在新创建接收RSVP SA的时候,无法获取发送端的序列号,因此缺省情况下,创建接收RSVP SA时将接收序列号填写为零,这样对端发送任意序列号的消息就都能接收。这就增加了重放攻击的风险。为了避免这种风险,可以执行authentication challenge命令,使得在新建接收RSVP SA时执行challenge-response握手过程,获取发送端的序列号。
RSVP认证的challenge-response握手功能可以在如下视图配置:
· RSVP视图:该视图下的配置对所有RSVP SA生效。
· RSVP邻居视图:该视图下的配置只对与指定RSVP邻居之间的RSVP SA生效。
· 接口视图:该视图下的配置只对根据指定接口下的配置生成的RSVP SA生效。
# 在接口Vlan-interface10上开启RSVP认证的challenge-response握手功能。
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] rsvp authentication challenge
· rsvp authentication lifetime
· rsvp authentication window-size
rsvp authentication key命令用来在接口下开启RSVP认证功能,并配置认证密钥。
undo rsvp authentication key命令用来在接口下关闭RSVP认证功能。
rsvp authentication key { cipher | plain } auth-key
RSVP认证功能处于关闭状态,即不进行RSVP认证。
cipher:表示以密文形式设置密钥。
plain:表示以明文形式设置密钥。
auth-key:认证密钥,区分大小写。如果采用明文(plain)形式,则为1~16个字符的明文字符串;如果采用密文(cipher)形式,则为1~53个字符的密文字符串。
RSVP认证功能可以用来确保RSVP消息不会被篡改,防止伪造的资源预留请求非法占用网络资源。
配置RSVP认证功能后,发送RSVP消息时会使用MD5算法对认证密钥和消息内容计算出消息摘要,并将消息摘要添加到发送的RSVP消息中。对端接收到RSVP消息后,也进行同样地计算,并将计算结果和消息中的摘要进行比较。如果一致,则认证通过,接收该消息;否则认证失败,丢弃该消息。
RSVP认证功能可以在如下视图配置:
· RSVP视图:该视图下的配置对所有RSVP SA生效。
· RSVP邻居视图:该视图下的配置只对与指定RSVP邻居之间的RSVP SA生效。
· 接口视图:该视图下的配置只对根据指定接口下的配置生成的RSVP SA生效。
如果在多个视图下配置了认证密钥,则认证密钥的使用优先级顺序从高到低依次为:RSVP邻居视图、接口视图、RSVP视图。例如,如果在RSVP邻居视图和RSVP视图都开启了与特定邻居的RSVP认证功能,并配置了不同的认证密钥,则采用RSVP邻居视图下配置的密钥认证本地设备和该邻居之间的RSVP消息。
如果已经采用某个视图下配置的认证密钥建立了RSVP SA,则只有先删除当前视图下配置的认证密钥或执行reset rsvp authentication命令删除该RSVP SA,才会按照上述优先级顺序重新查找新的认证密钥并建立RSVP SA。
· 本地设备上开启RSVP认证功能后,在相应的RSVP邻居上也需要开启RSVP认证功能,并配置相同的认证密钥。
· 以明文或密文形式设置的密钥,均以密文的方式保存在配置文件中。
# 在接口Vlan-interface10上开启RSVP认证功能,并配置认证密钥为abcdefgh。
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] rsvp authentication key plain abcdefgh
· rsvp authentication challenge
· rsvp authentication lifetime
· rsvp authentication window-size
rsvp authentication lifetime命令用来在接口下配置RSVP SA的空闲老化时间。
undo rsvp authentication lifetime命令用来恢复缺省情况。
rsvp authentication lifetime life-time
undo rsvp authentication lifetime
RSVP SA的空闲老化时间为1800秒(30分钟)。
life-time:RSVP SA的空闲老化时间,取值范围为30~86400,单位为秒。
开启了RSVP认证功能后,设备收发RSVP消息时会动态建立RSVP SA,以记录消息的序列号、方便对RSVP消息进行认证处理。
为了在不需要RSVP SA的时候,能够及时删除该RSVP SA,回收内存资源,每个RSVP SA都有其老化时间。当RSVP SA的空闲时间到达老化时间时,将删除该RSVP SA。设备发送和接收RSVP认证消息时,会更新对应RSVP SA的空闲时间,避免其被老化删除。
RSVP SA的空闲老化时间可以在如下视图配置:
· RSVP视图:该视图下的配置对所有RSVP SA生效。
· RSVP邻居视图:该视图下的配置只对与指定RSVP邻居之间的RSVP SA生效。
· 接口视图:该视图下的配置只对根据指定接口下的配置生成的RSVP SA生效。
采用某个视图下配置的认证密钥建立RSVP SA后,该RSVP SA的空闲老化时间为该视图下配置的老化时间。
修改RSVP SA的空闲老化时间后,只会对新建立的RSVP SA生效。要想使得修改后的空闲老化时间对已建立的RSVP SA生效,则需要执行reset rsvp authentication命令来删除并重新建立RSVP SA。
# 在接口Vlan-interface10上配置RSVP SA的空闲老化时间为100秒。
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] rsvp authentication lifetime 100
· rsvp authentication challenge
· rsvp authentication window-size
rsvp authentication window-size命令用来在接口下配置对于带有认证信息的RSVP消息,最大可允许的乱序消息数量。
undo rsvp authentication window-size命令用来恢复缺省情况。
rsvp authentication window-size number
undo rsvp authentication window-size
对于带有认证信息的RSVP消息,最大可允许的乱序消息数量为1。
number:最大可允许的乱序消息数量,取值范围为1~64。
为了防止报文重放攻击,RSVP在带有认证信息的RSVP消息中携带唯一的序列号。每发送一个消息,序列号依次增加。如果接收到的消息序列号在允许的范围内,则接受该消息;否则,丢弃该消息。
RSVP判断报文序列号是否在允许范围内的方法为:
(1) 在设备上记录最后一次接收到的RSVP报文的序列号。
(2) 设备接收到新的RSVP报文时,将该报文的序列号与记录的序列号进行比较:
· 如果大于记录的序列号,则将记录的序列号更新为该报文的序列号。
· 如果小于记录的序列号、大于(记录的序列号—本命令配置的window-size),且未收到过该序列号的报文,则接收该报文;若已经收到过该序列号的报文,则认为是重放攻击,丢弃该报文。
· 如果小于等于(记录的序列号—本命令配置的window-size),则认为报文序列号不合法,丢弃该报文。
缺省情况下,最大可允许的乱序消息数量为1,即如果新收到的RSVP消息的序列号小于最后收到的消息序列号,则认为该消息是重放攻击,丢弃该消息。但是,如果在短时间内发送了多个RSVP消息,那么这些消息到达邻居时可能会产生乱序。若采用缺省情况,则会导致这些乱序消息被丢弃。此时,可以通过本命令配置较大的window-size解决此问题。
采用某个视图下配置的认证密钥建立RSVP SA后,该RSVP SA的最大可允许乱序消息数量为该视图下配置的值。
修改最大可允许的乱序消息数量后,只会对新建立的RSVP SA生效。要想使得修改后的最大可允许乱序消息数量对已建立的RSVP SA生效,则需要执行reset rsvp authentication命令来删除并重新建立RSVP SA。
# 在接口Vlan-interface10上配置对于带有认证信息的RSVP消息,最大可允许的乱序消息数量为10。
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] rsvp authentication window-size 10
· rsvp authentication challenge
· rsvp authentication lifetime
rsvp bfd enable命令用来配置通过BFD检测本地设备和RSVP邻居之间链路的状态。
undo rsvp bfd enable命令用来恢复缺省情况。
不会通过BFD检测本地设备和RSVP邻居之间链路的状态。
通常情况下,RSVP通过Hello消息检测邻居的状态,RSVP无法及时感知邻居的故障。执行本命令后,设备上会建立BFD会话,通过BFD会话来检测本地设备和RSVP邻居之间链路的状态。当RSVP邻居出现故障时,BFD能够快速检测到该故障,并通知RSVP进行相应的处理。
# 在接口Vlan-interface10上配置通过BFD检测本地设备和RSVP邻居之间链路的状态。
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] rsvp bfd enable
rsvp enable命令用来开启接口的RSVP能力。
undo rsvp enable命令用来关闭接口的RSVP能力。
接口的RSVP能力处于关闭状态。
必须先在系统视图下通过rsvp命令全局开启RSVP能力,才能开启接口的RSVP能力。
# 在接口Vlan-interface10上开启RSVP能力。
[Sysname] rsvp
[Sysname-rsvp] quit
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] rsvp enable
rsvp hello enable命令用来开启RSVP的Hello扩展功能。
undo rsvp hello enable命令用来关闭RSVP的Hello扩展功能。
RSVP的Hello扩展功能处于关闭状态。
在接口视图下开启RSVP的Hello扩展功能后,设备会通过该接口发送和接收Hello消息,通过Hello消息检测邻居的状态。
# 在接口Vlan-interface10上开启RSVP的Hello扩展功能。
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] rsvp hello enable
rsvp reduction retransmit increment命令用来配置RSVP消息可靠传递功能的重传增量。
undo rsvp reduction retransmit increment命令用来恢复缺省情况。
rsvp reduction retransmit increment increment-value
undo rsvp reduction retransmit increment
RSVP消息可靠传递功能的重传增量为1。
increment-value:重传增量,取值范围为1~10。
通过rsvp reduction srefresh reliability命令开启RSVP消息的可靠传递功能后,重传增量和重传时间间隔共同决定了下一次重传消息的时间,详细介绍请参见“1.1.31 rsvp reduction srefresh”。
# 在接口Vlan-interface10上配置RSVP消息可靠传递功能的重传增量为2。
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] rsvp reduction retransmit increment 2
· rsvp reduction retransmit interval
rsvp reduction retransmit interval命令用来配置RSVP消息可靠传递功能的重传时间间隔。
undo rsvp reduction retransmit interval命令用来恢复缺省情况。
rsvp reduction retransmit interval retrans-timer-value
undo rsvp reduction retransmit interval
RSVP消息可靠传递功能的重传时间间隔为500毫秒。
retrans-timer-value:重传时间间隔,取值范围为500~3000,单位为毫秒。
通过rsvp reduction srefresh reliability命令开启RSVP消息的可靠传递功能后,重传增量和重传时间间隔共同决定了下一次重传消息的时间,详细介绍请参见“1.1.31 rsvp reduction srefresh”。
# 在接口Vlan-interface10上配置RSVP消息可靠传递功能的重传时间间隔为1000毫秒。
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] rsvp reduction retransmit interval 1000
· rsvp reduction retransmit increment
rsvp reduction srefresh命令用来开启摘要刷新(Summary Refresh)功能和RSVP消息的可靠传递功能。
undo rsvp reduction srefresh命令用来关闭摘要刷新功能和RSVP消息的可靠传递功能。
rsvp reduction srefresh [ reliability ]
摘要刷新功能和RSVP消息的可靠传递功能处于关闭状态。
reliability:开启RSVP消息的可靠传递功能。如果不指定本参数,则只开启摘要刷新功能。
通常情况下,RSVP发送Path和Resv消息后,会周期性地(由refresh interval命令配置)发送带有同样状态、对象等信息的Path和Resv消息来维护路径和预留状态,该消息统称为Refresh消息。Refresh消息不仅用于在RSVP邻居节点进行状态同步,也用于恢复丢失的RSVP消息。
由于Refresh消息是周期性发送的,当网络中的RSVP会话比较多时,Refresh消息会加重网络负载,此时refresh interval命令配置的刷新时间间隔不宜过小;对于时延敏感的应用,当RSVP消息丢失时,希望能够尽快通过Refresh消息恢复丢失的消息,此时refresh interval命令配置的刷新时间间隔不宜过大。简单地调整刷新时间间隔无法同时解决这两类问题。
摘要刷新和RSVP消息的可靠传递功能可以很好地解决上述问题。
摘要刷新功能的工作机制为:发送Path和Resv消息时,在消息中携带Message ID,用来唯一标识一个消息;RSVP通过发送携带待刷新消息的Message ID的Srefresh消息,来刷新对应的Path和Resv消息。采用摘要刷新功能后,不必传送标准的Path和Resv消息,只需传递携带Path和Resv消息摘要的Srefresh消息,即可实现对RSVP路径和预留状态进行刷新,减少了网络上的Refresh消息流量,并加快了节点对刷新消息的处理速度。
RSVP消息的可靠传递功能是指对端设备需要应答本端发送的RSVP消息,否则将会重传此消息。其工作机制为:节点发送了携带Message_ID对象的消息,且Message_ID对象的ACK_Desired标识(是否需要应答标识)置位后,如果在重传时间Rf内没有收到携带对应Message_ID_ACK对象的消息,则重传时间Rf超时后重传此消息,并将重传时间置为(1+Delta)×Rf。节点持续按照上述方法重传此消息,直到节点在重传时间超时前接收到对应的应答消息,或消息传送次数达到3次。
其中,重传时间Rf的初始值为rsvp reduction retransmit interval命令配置的值;Delta的值为rsvp reduction retransmit increment命令配置的值。
· 开启摘要刷新功能后,将不会周期性发送Refresh消息维护路径和预留状态。
· Srefresh消息的发送周期由refresh interval命令决定。
# 在接口Vlan-interface10上开启摘要刷新功能和RSVP消息的可靠传递功能。
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] rsvp reduction srefresh reliability
· rsvp reduction retransmit increment
· rsvp reduction retransmit interval
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!