• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

16-安全命令参考

目录

05-IP Source Guard命令

本章节下载 05-IP Source Guard命令  (113.42 KB)

05-IP Source Guard命令


1 IP Source Guard

1.1  IP Source Guard配置命令

1.1.1  ip verify source

ip verify source命令用来开启IPv4源地址验证功能。

undo ip verify source命令用来关闭IPv4源地址验证功能。

【命令】

ip verify source

undo ip verify source

【缺省情况】

IPv4源地址验证功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

无线服务模板下开启IPv4源地址验证功能后,当AP接收到客户端发送的报文后,会查找WLAN snooping绑定表项,如果报文的特征项(MAC地址+IPv4地址)与某个绑定表项匹配,且客户端是通过DHCP方式获取的IPv4地址则转发该报文,否则,丢弃报文。

【举例】

# 开启IPv4过滤功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] ip verify source

1.1.2  ip verify unknown-ip

ip verify unknown-ip命令用来配置对未知源IPv4地址客户端数据报文的处理方式。

undo ip verify unknown-ip命令用来恢复缺省情况。

【命令】

ip verify unknown-ip { deauthenticate | drop }

undo ip verify unknown-ip

【缺省情况】

丢弃未知源IPv4地址的数据报文并向客户端发送解除认证报文。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

deauthenticate:丢弃未知源IPv4地址客户端的数据报文并向客户端发送解除认证报文。

drop:仅丢弃未知源IPv4地址客户端的数据报文。

【使用指导】

未知源IPv4地址是指:

·     AP通过监听ARP报文获取到的客户端的IPv4地址。

·     AP未学习到的客户端的IPv4地址。

该命令只能在无线服务模板处于关闭状态时配置。

只有在IPv4源地址验证功能开启的情况下,本功能才生效。

【举例】

# 仅丢弃未知源IPv4地址发送的数据报文。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] ip verify unknown-ip drop

1.1.3  ipv6 verify source

ipv6 verify source命令用来开启IPv6源地址验证功能。

undo ipv6 verify source命令用来关闭IPv6源地址验证功能。

【命令】

ipv6 verify source

undo ipv6 verify source

【缺省情况】

IPv6源地址验证功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

无线服务模板下开启IPv6源地址验证功能后,当AP接收到客户端发送的报文后,会查找WLAN snooping绑定表项,如果报文的特征项(MAC地址+IPv6地址)与某个绑定表项匹配,则转发该报文,否则,丢弃报文。

【举例】

# 开启IPv6过滤功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] ipv6 verify source

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们