SAVA-X配置示例

SAVA-X配置示例

配置举例
介绍AER功能配置示例。
配置AER功能示例
介绍了SAVA-X源地址验证方案中，AER边界路由器的配置过程。
组网需求
如图1-3570所示，左侧为子信任联盟1及成员AD 1001和AD 1002，包括成员控制服务器ACS、成员边界路由器AER。右侧为子信任联盟2的成员AD 2001，包括成员控制服务器ACS、成员边界路由器AER。
图1-3570 配置AER边界路由器
本例中interface1，interface2，interface3分别代表GE1/0/0，GE2/0/0，GE3/0/0。

配置思路
AER边界路由器的配置思路如下：
在AER上使能SAVA-X功能，配置AD的控制服务器地址。
在接口上配置IPv6地址，并配置AER设备端口类型。

数据准备
完成此配置举例，需要准备以下数据：
AER_A、AER_B、AER_C和AER_D各自ACS服务器地址。
AER接口的IPv6地址及其所属端口类型。

操作步骤
（1）在AER上使能SAVA-X功能并配置AER设备的控制服务器地址
# 下面以AER_A为例，AER_B的配置与AER_A类似。
<HUAWEI> system-view
[~HUAWEI] sysname AER_A
[*HUAWEI] commit
[~AER_A] sma
[*AER_A-sma] sma enable
[*AER_A-sma] server ipv6 address 2001:db8:4::2
[*AER_A-sma] commit
[*AER_A-sma] quit

（2）配置边界路由器的IPv6地址以及所属的端口类型和层级
# 以AER_A为例，描述AER_A与AER_B相连接的接口GigabitEthernet 2/0/0、以及与ACS_A相连接的接口GigabitEthernet 1/0/0的配置。AER_B的配置与AER_A类似。AER_A的其余接口，以及其余设备的IPv6地址配置不再此赘述。
[~AER_A] interface gigabitethernet 2/0/0
[~AER_A-GigabitEthernet2/0/0] undo shutdown
[*AER_A-GigabitEthernet2/0/0] ipv6 enable
[*AER_A-GigabitEthernet2/0/0] ipv6 address 2001:db8:1::1 64
[*AER_A-GigabitEthernet2/0/0] sma role egress level 1
[*AER_A-GigabitEthernet2/0/0] quit
[*AER_A] interface gigabitethernet 1/0/0
[*AER_A-GigabitEthernet1/0/0] undo shutdown
[*AER_A-GigabitEthernet1/0/0] ipv6 enabl
[*AER_A-GigabitEthernet1/0/0] ipv6 address 2001:db8:4::1 64
[*AER_A-GigabitEthernet1/0/0] quit
[*AER_A] ipv6 route-static 2001:db8:7:: 64 2001:db8:1::2
[*AER_A] ipv6 route-static 2001:db8:5:: 64 2001:db8:1::2
[*AER_A] commit

（3）配置跨层级边界路由器AER_C
# AER_C为跨层级AER，需要连接两个层级的ACS_B和ACS_C服务器。
<HUAWEI> system-view
[~HUAWEI] sysname AER_C
[*HUAWEI] commit
[~AER_C] sma
[*AER_C-sma] sma enable
[*AER_C-sma] server ipv6 address 2001:db8:1::3
[*AER_C-sma] server ipv6 address 2001:db8:5::3
[*AER_C-sma] commit
[*AER_C-sma] quit

# 配置AER_C的端口类型和层级。
[~AER_C] interface gigabitethernet2/0/0
[~AER_C-GigabitEthernet2/0/0] undo shutdown
[*AER_C-GigabitEthernet2/0/0] ipv6 enable
[*AER_C-GigabitEthernet2/0/0] ipv6 address 2001:db8:6::1 64
[*AER_C-GigabitEthernet2/0/0] sma role egress level 0
[*AER_C-GigabitEthernet2/0/0] quit
[*AER_C] interface gigabitethernet1/0/0
[*AER_C-GigabitEthernet1/0/0] undo shutdown
[*AER_C-GigabitEthernet1/0/0] ipv6 enable
[*AER_C-GigabitEthernet1/0/0] ipv6 address 2001:db8:5::2 64
[*AER_C-GigabitEthernet1/0/0] quit
[*AER_C] ipv6 route-static 2001:db8:7:: 64 2001:db8:6::2
[*AER_C] ipv6 route-static 2001:db8:4:: 64 2001:db8:5::1
[*AER_C] commit
AER_D也属于跨层级路由器，与AER_C配置方法类似，此处不再赘述。

（4）配置控制服务器ACS
具体配置过程略。
控制服务器ACS需要满足以下条件：
配置ACS所属的AD域类型、AD地址域号，该AD加入的子联盟的联盟号。
配置AER的地址，用于与ACS建立连接。

（5）验证配置结果
# 在AER_A上通过display sma prefix命令查看当前联盟成员AD的地址前缀信息。
<HUAWEI> display sma prefix active
Total Active:3  
--------------------------------------------------------------------------------
Prefix:2001:DB8:4::/64
StartLevel:1 Relation:1   AdId:1001   
AdIdList:1,1001
--------------------------------------------------------------------------------
Prefix:2001:DB8:5::/64
StartLevel:1 Relation:0   AdId:1002   
AdIdList:1,1002
--------------------------------------------------------------------------------
Prefix:2001:DB8:7::/64
StartLevel:1 Relation:15   AdId:2001   
AdIdList:2,2147483649(1_V)  
--------------------------------------------------------------------------------

# 在AER_A上通过display sma tag命令查看AER上所有AD有序对使用的标签。
<HUAWEI> display sma tag
Total:3
--------------------------------------------------------------------------------
SrcAdId  : 1001 DstAdId  : 1002
OldTag   : 0NewTag   : 3e8000007d0
AgingTime: 2022-11-11 02:36:35
--------------------------------------------------------------------------------
SrcAdId  : 1001 DstAdId  : 2147483649(1_V)
OldTag   : 0NewTag   : 7d0000003e8
AgingTime: 2022-11-11 02:36:35
--------------------------------------------------------------------------------
SrcAdId  : 1DstAdId  : 2
OldTag   : 0NewTag   : 7d0000003e8
AgingTime: 2022-11-11 02:36:35
--------------------------------------------------------------------------------