12-IP Source Guard命令
本章节下载: 12-IP Source Guard命令 (172.83 KB)
目 录
1.1.1 display ip source binding
1.1.2 display ipv6 source binding
1.1.3 ip source binding(interface view)
1.1.4 ip source binding(system view)
1.1.6 ipv6 source binding(interface view)
1.1.7 ipv6 source binding(system view)
display ip source binding命令用来显示IPv4绑定表项信息。
static:显示配置的静态绑定表项。
vpn-instance vpn-instance-name:显示指定VPN的动态绑定表项,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示显示公网的动态绑定表项。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
dhcp-server:显示DHCP服务器模块生成的动态绑定表项。
dhcp-snooping:显示DHCP Snooping模块生成的动态绑定表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
slot slot-number:显示指定成员设备上的绑定表项,slot-number表示设备在IRF中的成员编号。
· 如果不指定接口号和成员设备编号,则显示IRF设备上所有接口的IPv4绑定表项和全局IPv4静态绑定表项。
# 显示公网所有接口的IPv4绑定表项和全局的IPv4静态绑定表项。
<Sysname> display ip source binding
Total entries found: 5
IP Address MAC Address Interface VLAN Type
10.1.0.5 040a-0000-4000 GE1/0/1 1 DHCP snooping
10.1.0.6 040a-0000-3000 GE1/0/1 1 DHCP snooping
10.1.0.7 040a-0000-2000 GE1/0/1 1 DHCP snooping
10.1.0.8 040a-0000-1000 GE1/0/2 N/A DHCP relay
10.1.0.9 040a-0000-2000 GE1/0/2 N/A Static
表1-1 display ip source-binding命令显示信息描述表
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
|
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
· Static表示配置的静态绑定表项 · DHCP relay表示DHCP中继模块生成的动态绑定表项 · DHCP server表示DHCP服务器模块生成的动态绑定表项 · DHCP snooping表示DHCP Snooping模块生成的动态绑定表项 |
· ip source binding
display ipv6 source binding命令用来显示IPv6绑定表项信息。
static:显示配置的静态绑定表项。
vpn-instance vpn-instance-name:显示指定VPN的动态绑定表项,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示显示公网的动态绑定表项。
dhcpv6-snooping:显示DHCPv6 Snooping模块生成的动态绑定表项。
ip-address ipv6-address:显示指定IPv6地址的绑定表项,ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
slot slot-number:显示指定成员设备上的绑定表项,slot-number表示设备在IRF中的成员编号。
如果不指定接口号和成员设备编号,则显示IRF设备上所有接口的IPv6绑定表项和全局的IPv6静态绑定表项。
# 显示公网所有接口的IPv6绑定表项和全局的IPv6静态绑定表项。
<Sysname> display ipv6 source binding
Total entries found: 2
IPv6 Address MAC Address Interface VLAN Type
2012:1222:2012:1222: 000f-2202-0435 GE1/0/1 1 DHCPv6 snooping
2012:1222:2012:1222
2012:1222:2012:1222: 000f-2202-0436 GE1/0/1 N/A Static
2012:1222:2012:1223
表1-2 display ipv6 source-binding命令显示信息描述表
绑定表项的IPv6地址(N/A表示该表项不绑定IPv6地址) |
|
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
绑定表项所属的VLAN(N/A表示该表项没有VLAN信息) |
|
· Static表示配置的静态绑定表项 · DHCPv6 snooping表示DHCPv6 Snooping模块生成的动态绑定表项 |
· ipv6 source binding
ip source binding命令用来配置接口的IPv4静态绑定表项。
undo ip source binding命令用来删除当前接口的IPv4静态绑定表项。
接口上无IPv4静态绑定表项。
二层以太网端口/三层以太网接口/VLAN接口
all:当前接口所有的IPv4静态绑定表项,本参数只在undo ip source binding命令中生效。
ip-address ip-address:指定接口的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定接口的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
vlan vlan-id:指定接口的IPv4静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。本参数仅在二层以太网接口视图下支持。
接口的IPv4静态绑定表项用于过滤接口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性。
加入业务环回组的接口上不能配置IPv4静态绑定表项。
# 在接口GigabitEthernet1/0/1上配置一条IPv4静态绑定表项,仅允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
· display ip source binding
· ip source binding(system view)
ip source binding命令用来配置全局的IPv4静态绑定表项。
undo ip source binding命令用来删除已配置的全局IPv4静态绑定表项。
ip source binding ip-address ip-address mac-address mac-address
undo ip source binding { all | ip-address ip-address mac-address mac-address }
设备上无全局的IPv4静态绑定表项。
ip-address ip-address:指定全局的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定全局的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:设备上所有全局的IPv4静态绑定表项。
全局的IPv4静态绑定表项对设备的所有接口都生效。
# 在设备上配置一条全局的IPv4静态绑定表项,允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。
[Sysname] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
· display ip source binding
· ip source binding(interface view)
ip verify source命令用来配置IPv4接口绑定功能。
undo ip verify source命令用来恢复缺省情况。
ip verify source { ip-address | ip-address mac-address | mac-address }
接口的IPv4接口绑定功能处于关闭状态。
二层以太网端口/三层以太网接口/VLAN接口/三层聚合接口
ip-address:表示绑定源IPv4地址,即根据接口收到的报文的源IPv4地址对报文进行过滤。
ip-address mac-address:表示绑定源IP地址和MAC地址,即接口上收到的报文的源IPv4地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。
mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。
配置该功能后,IP Source Guard模块会通过配置的静态绑定表项或通过获取其它模块表项信息生成的动态绑定表项过滤接口收到的用户IP报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。目前,可为IP Source Guard提供动态绑定表项信息的模块包括DHCP relay、DHCP Snooping、DHCP服务器。其中,DHCP中继、DHCP Snooping模块生成的动态绑定表项可被IP Source Guard模块用于过滤报文, DHCP服务器模块生成的动态绑定表项不被直接用于过滤报文,用于配合其它模块提供相应的安全服务。
· 加入业务环回组的接口上不能配置IPv4接口绑定功能。
# 在二层以太网接口GigabitEthernet1/0/1上配置IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 在Vlan-interface100上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ip verify source ip-address mac-address
# 在三层以太网接口GigabitEthernet1/0/2上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] port link-mode route
[Sysname-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 在三层以太网接口GigabitEthernet1/0/2上配置对报文的源MAC地址的IPv4接口绑定功能,根据报文的源MAC地址对接口收到的报文进行过滤。
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] port link-mode route
[Sysname-GigabitEthernet1/0/2] ip verify source mac-address
· display ip source binding
ipv6 source binding命令用来配置接口的IPv6静态绑定表项。
undo ipv6 source binding命令用来删除当前接口配置的IPv6静态绑定表项。
接口上无IPv6静态绑定表项。
二层以太网端口/三层以太网接口/VLAN接口
all:当前接口所有的IPv6静态绑定表项,本参数只在undo ipv6 source binding命令中生效。
ip-address ipv6-address:指定接口的IPv6静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。
mac-address mac-address:指定接口的IPv6静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
vlan vlan-id:指定接口的IPv6静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。本参数仅在二层以太网接口视图下支持。
接口的IPv6静态绑定表项用于过滤接口收到的IPv6报文。
加入业务环回组的接口上不能配置IPv6静态绑定表项。
# 在接口GigabitEthernet1/0/1上配置一条IPv6静态绑定表项,仅允许源IPv6地址为2001::1且源MAC地址为0002-0002-0002的报文通过。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002
· display ipv6 source binding
· ipv6 source binding(system view)
ipv6 source binding命令用来配置全局的IPv6静态绑定表项。
undo ipv6 source binding命令用来删除已配置的全局IPv6静态绑定表项。
ipv6 source binding ip-address ipv6-address mac-address mac-address
undo ipv6 source binding { all | ip-address ipv6-address mac-address mac-address }
设备上无全局的IPv6静态绑定表项。
ip-address ipv6-address:指定全局的IPv6静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。
mac-address mac-address:指定全局的IPv6静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:设备上所有全局的IPv6静态绑定表项。
全局的IPv6静态绑定表项对设备的所有接口都生效。
# 在设备上配置一条全局的IPv6静态绑定表项,允许源IPv6地址为2001::1且源MAC地址为0002-0002-0002的报文通过。
[Sysname] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002
· display ipv6 source binding
· ipv6 source binding(interface view)
ipv6 verify source命令用来配置IPv6接口绑定功能。
undo ipv6 verify source命令用来恢复缺省情况。
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
接口的IPv6接口绑定功能处于关闭状态。
二层以太网端口/三层以太网接口/VLAN接口/三层聚合接口
ip-address:表示绑定源IPv6地址,即根据接口收到的报文的源IPv6地址对报文进行过滤。
ip-address mac-address:表示绑定源IPv6地址和MAC地址,即接口上收到的报文的源IPv6地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。
mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。
配置该功能后,IP Source Guard模块会通过配置的静态绑定表项或通过获取DHCPv6 Snooping表项生成的动态绑定表项来过滤接口收到的用户IPv6报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。
· 加入业务环回组的接口上不能配置IPv6接口绑定功能。
# 在二层以太网接口GigabitEthernet1/0/1上配置IPv6接口绑定功能,根据报文的源IPv6地址和源MAC地址对接口收到的报文进行过滤。
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!