选择区域语言: EN CN HK

10-安全命令

16-IP Source Guard命令

本章节下载  (147.05 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Command/Command_Manual/H3C_CR(R5231)-6W106/10/201904/1166553_30005_0.htm

16-IP Source Guard命令


1 IP Source Guard(有线部分)

1.1  IP Source Guard配置命令

1.1.1  display ip source binding

display ip source binding命令用来显示IPv4绑定表项信息。

【命令】

display ip source binding [ static [ dhcp-relay | dhcp-server | dhcp-snooping | dot1x | wlan-snooping ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

static:显示配置的静态绑定表项。

dhcp-relay:显示DHCP中继模块生成的动态绑定表项。

dhcp-server:显示DHCP服务器模块生成的动态绑定表项。

dhcp-snooping:显示DHCP Snooping模块生成的动态绑定表项。

dot1x:显示802.1X模块生成的动态绑定表项。

wlan-snooping:显示WLAN Snooping模块生成的动态绑定表项。

ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。

mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。

vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。

interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。

slot slot-number:显示指定成员设备上的绑定表项,slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的绑定表项。

【举例】

# 显示公网所有接口的IPv4绑定表项和全局的IPv4静态绑定表项。

<Sysname> display ip source binding

Total entries found: 5

IP Address      MAC Address    Interface                VLAN Type

10.1.0.5        040a-0000-4000 GE1/0/1                  1    DHCP snooping

10.1.0.6        040a-0000-3000 GE1/0/1                  1    DHCP snooping

10.1.0.7        040a-0000-2000 GE1/0/1                  1    DHCP snooping

10.1.0.8        040a-0000-1000 GE1/0/2                  N/A  DHCP relay

10.1.0.9        040a-0000-2000 GE1/0/2                  N/A  Static

表1-1 display ip source-binding命令显示信息描述表

字段

描述

Total entries found

查询到的绑定表项总数

IP Address

绑定表项的IPv4地址(N/A表示该表项不绑定IP地址)

MAC Address

绑定表项的MAC地址(N/A表示该表项不绑定MAC地址)

Interface

绑定表项所属的接口(N/A表示该表项为全局绑定)

VLAN

绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息)

Type

绑定表项类型:

·     Static表示配置的静态绑定表项

·     802.1X表示来源于802.1X模块的动态绑定表项

·     DHCP relay表示DHCP中继模块生成的动态绑定表项

·     DHCP server表示DHCP服务器模块生成的动态绑定表项

·     DHCP snooping表示DHCP Snooping模块生成的动态绑定表项

·     WLAN snooping表示WLAN Snooping模块生成的动态绑定表项

 

【相关命令】

·     ip source binding

·     ip verify source

1.1.2  display ipv6 source binding

display ipv6 source binding命令用来显示IPv6绑定表项信息。

【命令】

display ipv6 source binding [ static [ dhcpv6-snooping | wlan-snooping ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

static:显示配置的静态绑定表项。

dhcpv6-snooping:显示DHCPv6 Snooping模块生成的动态绑定表项。

wlan-snooping:显示WLAN Snooping模块生成的动态绑定表项。

ip-address ipv6-address:显示指定IPv6地址的绑定表项,ipv6-address表示绑定的IPv6地址。

mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。

vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。

interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。

slot slot-number:显示指定成员设备上的绑定表项,slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的绑定表项。

【举例】

# 显示公网所有接口的IPv6绑定表项和全局的IPv6静态绑定表项。

<Sysname> display ipv6 source binding

Total entries found: 2

IPv6 Address         MAC Address    Interface               VLAN Type

2012:1222:2012:1222: 000f-2202-0435 GE1/0/1                 1    DHCPv6 snooping

2012:1222:2012:1222

2012:1222:2012:1222: 000f-2202-0436 GE1/0/1                 N/A  Static

2012:1222:2012:1223

表1-2 display ipv6 source-binding命令显示信息描述表

字段

描述

Total entries found

查询到的绑定表项总数

IPv6 Address

绑定表项的IPv6地址(N/A表示该表项不绑定IPv6地址)

MAC Address

绑定表项的MAC地址(N/A表示该表项不绑定MAC地址)

Interface

绑定表项所属的接口(N/A表示该表项为全局绑定)

VLAN

绑定表项所属的VLAN(N/A表示该表项没有VLAN信息)

Interface

绑定表项所属的接口

Type

绑定表项类型:

·     Static表示配置的静态绑定表项

·     DHCPv6 snooping表示DHCPv6 Snooping模块生成的动态绑定表项

·     WLAN snooping表示WLAN Snooping模块生成的动态绑定表项

 

【相关命令】

·     ipv6 source binding

·     ipv6 verify source

1.1.3  ip source binding (interface view)

ip source binding命令用来配置接口的IPv4静态绑定表项。

undo ip source binding命令用来删除当前接口的IPv4静态绑定表项。

【命令】

ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

undo ip source binding { all | ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

【缺省情况】

接口上未配置IPv4静态绑定表项。

【视图】

二层以太网端口/三层以太网接口/VLAN接口

【缺省用户角色】

network-admin

【参数】

all:当前接口所有的IPv4静态绑定表项,本参数只在undo ip source binding命令中生效。

ip-address ip-address:指定接口的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。

mac-address mac-address:指定接口的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。

vlan vlan-id:指定接口的IPv4静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。本参数仅在二层以太网接口视图下支持。

【使用指导】

接口的IPv4静态绑定表项用于过滤接口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性。

加入业务环回组的接口上不能配置IPv4静态绑定表项。

【举例】

# 在接口GigabitEthernet1/0/1上配置一条IPv4静态绑定表项,仅允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001

【相关命令】

·     display ip source binding

·     ip source binding (system view)

1.1.4  ip source binding (system view)

ip source binding命令用来配置全局的IPv4静态绑定表项。

undo ip source binding命令用来删除已配置的全局IPv4静态绑定表项。

【命令】

ip source binding ip-address ip-address mac-address mac-address

undo ip source binding { all | ip-address ip-address mac-address mac-address }

【缺省情况】

未配置全局IPv4静态绑定表项。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address ip-address:指定全局的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。

mac-address mac-address:指定全局的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。

all:设备上所有全局的IPv4静态绑定表项。

【使用指导】

全局的IPv4静态绑定表项对设备的所有接口都生效。

【举例】

# 在设备上配置一条全局的IPv4静态绑定表项,允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。

<Sysname> system-view

[Sysname] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001

【相关命令】

·     display ip source binding

·     ip source binding (interface view)

1.1.5  ip verify source

ip verify source命令用来开启IPv4接口绑定功能。

undo ip verify source命令用来关闭IPv4接口绑定功能。

【命令】

ip verify source { ip-address | ip-address mac-address | mac-address }

undo ip verify source

【缺省情况】

接口的IPv4接口绑定功能处于关闭状态。

【视图】

二层以太网端口/三层以太网接口/VLAN接口

【缺省用户角色】

network-admin

【参数】

ip-address:表示绑定源IPv4地址,即根据接口收到的报文的源IPv4地址对报文进行过滤。

ip-address mac-address:表示绑定源IP地址和MAC地址,即接口上收到的报文的源IPv4地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。

mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。

【使用指导】

配置该功能后,IP Source Guard模块会通过配置的静态绑定表项或通过获取其它模块表项信息生成的动态绑定表项过滤接口收到的用户IP报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。目前,可为IP Source Guard提供动态绑定表项信息的模块包括802.1X、DHCP relay、DHCP Snooping、DHCP服务器和WLAN Snooping。其中,DHCP中继、DHCP Snooping模块生成的动态绑定表项可被IP Source Guard模块用于过滤报文,802.1X、DHCP服务器和WLAN Snooping模块生成的动态绑定表项不被直接用于过滤报文,而是用于配合其它模块提供相应的安全服务,比如ARP Detection可利用802.1X模块生成的动态绑定表项进行用户ARP合法性检查。

加入业务环回组的接口上不能配置动态绑定功能。

本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是接口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤接口的报文,则本命令仅用于控制是否开启接口的报文过滤功能,接口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。

【举例】

# 在二层以太网接口GigabitEthernet1/0/1上配置IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ip verify source ip-address mac-address

# 在Vlan-interface100上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname-Vlan-interface100] ip verify source ip-address mac-address

# 在三层以太网接口GigabitEthernet1/0/2上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/2

[Sysname-GigabitEthernet1/0/2] ip verify source ip-address mac-address

# 在三层以太网接口GigabitEthernet1/0/2上配置对报文的源MAC地址的IPv4接口绑定功能,根据报文的源MAC地址对接口收到的报文进行过滤。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/2

[Sysname-GigabitEthernet1/0/2] ip verify source mac-address

【相关命令】

·     display ip source binding

1.1.6  ipv6 source binding (interface view)

ipv6 source binding命令用来配置接口的IPv6静态绑定表项。

undo ipv6 source binding命令用来删除当前接口配置的IPv6静态绑定表项。

【命令】

ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

undo ipv6 source binding { all | ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

【缺省情况】

接口上未配置IPv6静态绑定表项。

【视图】

二层以太网端口/三层以太网接口/VLAN接口

【缺省用户角色】

network-admin

【参数】

all:当前接口所有的IPv6静态绑定表项,本参数只在undo ipv6 source binding命令中生效。

ip-address ipv6-address:指定接口的IPv6静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。

mac-address mac-address:指定接口的IPv6静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。

vlan vlan-id:指定接口的IPv6静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。本参数仅在二层以太网接口视图下支持。

【使用指导】

接口的IPv6静态绑定表项用于过滤接口收到的IPv6报文。

加入业务环回组的接口上不能配置IPv6静态绑定表项。

【举例】

# 在接口GigabitEthernet1/0/1上配置一条IPv6静态绑定表项,仅允许源IPv6地址为2001::1且源MAC地址为0002-0002-0002的报文通过。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002

【相关命令】

·     display ipv6 source binding

·     ipv6 source binding (system view)

1.1.7  ipv6 source binding (system view)

ipv6 source binding命令用来配置全局的IPv6静态绑定表项。

undo ipv6 source binding命令用来删除已配置的全局IPv6静态绑定表项。

【命令】

ipv6 source binding ip-address ipv6-address mac-address mac-address

undo ipv6 source binding { all | ip-address ipv6-address mac-address mac-address }

【缺省情况】

未配置全局IPv6静态绑定表项。

【视图】

系统视图

【缺省用户角色】

network-admin

【参数】

ip-address ipv6-address:指定全局的IPv6静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。

mac-address mac-address:指定全局的IPv6静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。

all:设备上所有全局的IPv6静态绑定表项。

【使用指导】

全局的IPv6静态绑定表项对设备的所有接口都生效。

【举例】

# 在设备上配置一条全局的IPv6静态绑定表项,允许源IPv6地址为2001::1且源MAC地址为0002-0002-0002的报文通过。

<Sysname> system-view

[Sysname] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002

【相关命令】

·     display ipv6 source binding

·     ipv6 source binding (interface view)

1.1.8  ipv6 verify source

ipv6 verify source命令用来开启IPv6接口绑定功能。

undo ipv6 verify source命令用来关闭IPv6接口绑定功能。

【命令】

ipv6 verify source { ip-address | ip-address mac-address | mac-address }

undo ipv6 verify source

【缺省情况】

接口的IPv6接口绑定功能处于关闭状态。

【视图】

二层以太网端口/三层以太网接口/VLAN接口

【缺省用户角色】

network-admin

【参数】

ip-address:表示绑定源IPv6地址,即根据接口收到的报文的源IPv6地址对报文进行过滤。

ip-address mac-address:表示绑定源IPv6地址和MAC地址,即接口上收到的报文的源IPv6地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。

mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。

【使用指导】

配置该功能后,IP Source Guard模块会通过配置的静态绑定表项或通过获取其它模块表项信息生成的动态绑定表项过滤接口收到的用户IPv6报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。目前,可为IP Source Guard提供动态绑定表项信息的模块包括DHCPv6 Snooping和WLAN Snooping。其中,DHCPv6 Snooping模块生成的动态绑定表项可被IP Source Guard模块用于过滤报文,WLAN Snooping模块生成的动态绑定表项不被直接用于过滤报文,而是用于配合其它模块提供相应的安全服务。

加入业务环回组的接口上不能配置动态绑定功能。

本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是接口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤接口的报文,则本命令仅用于控制是否开启接口的报文过滤功能,接口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。

【举例】

# 在二层以太网接口GigabitEthernet1/0/1上配置IPv6接口绑定功能,根据报文的源IPv6地址和源MAC地址对接口收到的报文进行过滤。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address

【相关命令】

·     display ipv6 source binding

2 IP Source Guard(无线部分)

2.1  IP Source Guard配置命令

2.1.1  ip verify source

ip verify source命令用来开启IPv4源地址验证功能。

undo ip verify source命令用来恢复缺省情况。

【命令】

ip verify source

undo ip verify source

【缺省情况】

IPv4源地址验证功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

无线服务模板下开启IPv4源地址验证功能后,当AP接收到客户端发送的报文后,会查找IP源地址绑定表项,如果报文的特征项(MAC地址+IPv4地址)与某个绑定表项匹配,且客户端是通过DHCP方式获取的IPv4地址则转发该报文,否则,丢弃报文。

【举例】

# 开启IPv4源地址验证功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] ip verify source

2.1.2  ip verify unknown-ip(仅AC)

ip verify unknown-ip命令用来配置对未知源IPv4地址客户端数据报文的处理方式。

undo ip verify unknown-ip命令用来恢复缺省情况。

【命令】

ip verify unknown-ip { deauthenticate | drop }

undo ip verify unknown-ip

【缺省情况】

丢弃未知源IPv4地址的数据报文并向客户端发送解除认证报文。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【参数】

deauthenticate:丢弃未知源IPv4地址客户端的数据报文并向客户端发送解除认证报文。

drop:仅丢弃未知源IPv4地址客户端的数据报文。

【使用指导】

未知源IPv4地址是指:

·     AP通过监听ARP报文获取到的客户端的IPv4地址。

·     AP未学习到的客户端的IPv4地址。

该命令只能在无线服务模板处于关闭状态时配置。

只有在IPv4源地址验证功能开启的情况下,本功能才生效。

【举例】

# 仅丢弃未知源IPv4地址发送的数据报文。

<Sysname> system-view

[Sysname] wlan service-template service1

[Sysname-wlan-st-service1] ip verify unknown-ip drop

2.1.3  ipv6 verify source

ipv6 verify source命令用来开启IPv6源地址验证功能。

undo ipv6 verify source命令用来恢复缺省情况。

【命令】

ipv6 verify source

undo ipv6 verify source

【缺省情况】

IPv6源地址验证功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

无线服务模板下开启IPv6源地址验证功能后,当AP接收到客户端发送的报文后,会查找IP源地址绑定表项,如果报文的特征项(MAC地址+IPv6地址)与某个绑定表项匹配,则转发该报文,否则,丢弃报文。

【举例】

# 开启IPv6源地址验证功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] ipv6 verify source

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!