- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
05-IP Source Guard命令
本章节下载: 05-IP Source Guard命令 (262.12 KB)
目 录
1.1.1 display ip source binding
1.1.2 display ip source binding statistics
1.1.3 display ip source binding-local
1.1.4 display ip source binding-remote
1.1.5 display ipv6 source binding
1.1.6 display ipv6 source binding statistics
1.1.7 display ipv6 source binding-local
1.1.8 display ipv6 source binding-remote
1.1.9 ip source binding (interface view)
1.1.10 ip source binding (system view)
1.1.12 ipv6 source binding (interface view)
1.1.13 ipv6 source binding (system view)
display ip source binding命令用来显示IPv4绑定表项信息。
【命令】
display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcp-relay | dhcp-server | dot1x ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
static:显示配置的静态绑定表项。
vpn-instance vpn-instance-name:显示指定VPN实例的动态绑定表项,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示显示公网的动态绑定表项。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
dhcp-server:显示DHCP服务器模块生成的动态绑定表项。
dot1x:显示802.1X模块生成的动态绑定表项。指定该参数时,必须同时指定802.1X用户接入的slot信息,才能显示相应表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
slot slot-number:显示指定单板上的绑定表项,slot-number表示单板所在的槽位号。如果未指定本参数,则显示主用主控板上的绑定表项。对于本产品,slot-number只能为固定取值,无论是否指定本参数,均表示整台设备。
【举例】
# 显示公网所有接口的IPv4绑定表项和全局的IPv4静态绑定表项。
<Sysname> display ip source binding
Total entries found: 5
IP Address MAC Address Interface VLAN Type
10.1.0.8 040a-0000-1000 GE0/0/2 N/A DHCP relay
10.1.0.9 040a-0000-2000 GE0/0/2 N/A Static
表1-1 display ip source-binding命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IP Address |
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
|
MAC Address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型: · Static表示配置的静态绑定表项,IP Source Guard模块用该表项过滤报文,并且配合其它模块提供相应的安全服务 · 802.1X表示来源于802.1X模块的动态绑定表项,IP Source Guard模块用该表项过滤报文 · DHCP relay表示DHCP中继模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 · DHCP server表示DHCP服务器模块生成的动态绑定表项,用于配合其它模块提供相应的安全服务 |
【相关命令】
· ip source binding
· ip verify source
display ip source binding statistics命令用来显示路由协议模块关注的IPv4绑定表项统计信息。
【命令】
display ip source binding statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
管理员通过查看此统计数据,可对设备上的IPv4本地表项和远端表项数进行实时监控,确定设备学习的IP Source Guard表项规模,来判断表项规模是否达到设备上限,网络中是否存在攻击源等问题。
本命令可显示最近一小时内路由协议模块关注的IPv4绑定表项。
【举例】
# 显示路由协议模块关注的IPv4绑定表项统计信息。
<Sysname> display ip source binding statistics
Time Remote entry count Local entry count
Current 2000 5200
1 min ago 1351 5135
2 min ago 711 5071
3 min ago 708 4774
...
59 min ago 656 1365
60 min ago 607 1300
表1-2 display ip source binding statistics命令显示信息描述表
|
字段 |
描述 |
|
Time |
记录表项统计信息的时间点 |
|
Remote entry count |
远端用户表项的统计计数 |
|
Local entry count |
本地用户表项的统计计数 |
display ip source binding-local命令用来显示路由协议模块关注的IPv4本地绑定表项信息。
【命令】
display ip source binding-local [ interface interface-type interface-number ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。对于本产品,slot-number只能为固定取值,无论是否指定本参数,均表示整台设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块关注的所有IPv4本地绑定表项信息。
【举例】
# 显示路由协议模块关注的IPv4本地绑定表项信息。
<Sysname> display ip source binding-local
Total entries found: 1
IP address MAC address Interface VLAN Type
10.1.0.5 040a-0000-4000 Vlan1 1 DHCP relay
表1-3 display ip source binding-local命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IP address |
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型。DHCP relay表示DHCP中继模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 |
display ip source binding-remote命令用来显示路由协议模块同步的IPv4远端绑定表项信息。
【命令】
display ip source binding-remote [ router-id router-id ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
router-id router-id:显示指定设备同步的动态绑定表项,router-id表示设备的Router ID,为IP地址形式。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。对于本产品,slot-number只能为固定取值,无论是否指定本参数,均表示整台设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块同步的所有IPv4远端绑定表项信息。
【举例】
# 显示路由协议模块同步的IPv4远端绑定表项信息。
<Sysname> display ip source binding-remote
Total entries found: 1
IP address MAC address Router ID VLAN Type
10.1.0.5 040a-0000-4000 1.1.1.1 1 DHCP relay
表1-4 display ip source binding-remote命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IP address |
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Router ID |
绑定表项所属的路由器ID |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型,DHCP relay表示DHCP中继模块生成的动态绑定表项 |
display ipv6 source binding命令用来显示IPv6地址绑定表项信息。
【命令】
display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-relay | dot1x ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
static:显示配置的静态地址绑定表项。
vpn-instance vpn-instance-name:显示指定VPN实例的动态地址绑定表项,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示显示公网的动态地址绑定表项。
dhcpv6-relay:显示DHCPv6 Relay模块生成的动态地址绑定表项。
dot1x:显示802.1X模块生成的动态地址绑定表项。指定该参数时,必须同时指定802.1X用户接入的slot信息,才能显示相应表项。
ip-address ipv6-address:显示指定IPv6地址的地址绑定表项,ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的地址绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的地址绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
interface interface-type interface-number:显示指定接口的地址绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
slot slot-number:显示指定单板上的地址绑定表项,slot-number表示单板所在的槽位号。如果未指定本参数,则显示主用主控板上的地址绑定表项。对于本产品,slot-number只能为固定取值,无论是否指定本参数,均表示整台设备。
【举例】
# 显示公网所有接口的IPv6地址绑定表项和全局的IPv6静态地址绑定表项。
<Sysname> display ipv6 source binding
Total entries found: 2
IPv6 Address MAC Address Interface VLAN Type
200::1 000f-2202-0436 GE0/0/1 N/A Static
表1-5 display ipv6 source-binding命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的地址绑定表项总数 |
|
IPv6 Address |
地址绑定表项的IPv6地址(N/A表示该表项不绑定IPv6地址) |
|
MAC Address |
地址绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
地址绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
地址绑定表项所属的VLAN(N/A表示该表项没有VLAN信息) |
|
Interface |
地址绑定表项所属的接口 |
|
Type |
地址绑定表项类型: · Static表示配置的IPv6静态地址绑定表项,该表项被IP Source Guard模块用于过滤报文,并且配合其它模块提供相应的安全服务 · DHCPv6 relay表示DHCPv6 Relay模块生成的动态地址绑定表项,IP Source Guard模块用该表项过滤报文 · 802.1X表示来源于802.1X模块的动态地址绑定表项,IP Source Guard模块用该表项过滤报文 |
【相关命令】
· ipv6 source binding
· ipv6 verify source
display ipv6 source binding statistics命令用来显示路由协议模块关注的IPv6绑定表项统计信息。
【命令】
display ipv6 source binding statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
管理员通过查看此统计数据,可对设备上的IPv6本地表项和远端表项数进行实时监控,确定设备学习的IP Source Guard表项规模,来判断表项规模是否达到设备上限,网络中是否存在攻击源等问题。
本命令可显示最近一小时内路由协议模块关注的IPv6绑定表项统计信息。
【举例】
# 显示路由协议模块关注的IPv6绑定表项统计信息。
<Sysname> display ipv6 source binding statistics
Time Remote entry count Local entry count
Current 2000 5200
1 min ago 1351 5135
2 min ago 711 5071
3 min ago 708 4774
...
59 min ago 656 1365
60 min ago 607 1300
表1-6 display ipv6 source binding statistics命令显示信息描述表
|
字段 |
描述 |
|
Time |
记录表项统计信息的时间点 |
|
Remote entry count |
远端用户表项的统计计数 |
|
Local entry count |
本地用户表项的统计计数 |
display ipv6 source binding-local命令用来显示路由协议模块关注的IPv6本地绑定表项信息。
【命令】
display ipv6 source binding-local [ interface interface-type interface-number ] [ dhcpv6-relay ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
dhcpv6-relay:显示DHCPv6中继模块生成的动态绑定表项。
ip-address ipv6-address:显示指定IPv6地址的绑定表项,ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。对于本产品,slot-number只能为固定取值,无论是否指定本参数,均表示整台设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块关注的所有IPv6本地绑定表项信息。
【举例】
# 显示路由协议模块关注的IPv6本地绑定表项信息。
<Sysname> display ipv6 source binding-local
Total entries found: 2
IPv6 address MAC address Interface VLAN Type
100::1 04ef-7010-1000 Vlan10 10 DHCPv6 relay
表1-7 display ipv6 source binding-local命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IPv6 address |
绑定表项的IPv6地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型,取值包括: · DHCPv6 relay:DHCPv6中继模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 |
display ipv6 source binding-remote命令用来显示路由协议模块同步的IPv6远端绑定表项信息。
【命令】
display ipv6 source binding-remote [ router-id router-id ] [ dhcpv6-relay ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
router-id router-id:显示指定设备同步的动态绑定表项,router-id表示设备的Router ID,为IP地址形式。
dhcpv6-relay:显示DHCPv6中继模块生成的动态绑定表项。
ip-address ipv6-address:显示指定IPv6地址的绑定表项,ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定单板。slot-number为单板所在的槽位号。如果不指定本参数,则表示指定主用主控板。对于本产品,slot-number只能为固定取值,无论是否指定本参数,均表示整台设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块同步的所有IPv6远端绑定表项信息。
【举例】
# 显示路由协议模块同步的IPv6远端绑定表项信息。
<Sysname> display ipv6 source binding-remote
Total entries found: 2
IPv6 address MAC address Router ID VLAN Type
100::1 04ef-7010-1000 5.5.5.5 10 DHCPv6 relay
表1-8 display ipv6 source binding-remote命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IPv6 address |
绑定表项的IPv6地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Router ID |
绑定表项所属的路由器ID |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型,取值包括: · DHCPv6 relay:DHCPv6中继模块生成的动态绑定表项 |
ip source binding命令用来配置接口的IPv4静态绑定表项。
undo ip source binding命令用来删除接口的IPv4静态绑定表项。
【命令】
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ip source binding { all | ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【缺省情况】
接口上未配置IPv4静态绑定表项。
【视图】
二层以太网端口视图
三层以太网接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
all:当前接口所有的IPv4静态绑定表项,本参数只在undo ip source binding命令中生效。
ip-address ip-address:指定接口的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定接口的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
vlan vlan-id:指定接口的IPv4静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。本参数仅在二层以太网接口视图下支持。
【使用指导】
接口的IPv4静态绑定表项用于过滤接口收到的IPv4报文。
【举例】
# 在接口GigabitEthernet0/0/1上配置一条IPv4静态绑定表项,仅允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。
<Sysname> system-view
[Sysname] interface gigabitethernet 0/0/1
[Sysname-GigabitEthernet0/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【相关命令】
· display ip source binding
· ip source binding (system view)
ip source binding命令用来配置全局的IPv4静态绑定表项。
undo ip source binding命令用来删除已配置的全局IPv4静态绑定表项。
【命令】
ip source binding ip-address ip-address mac-address mac-address
undo ip source binding { all | ip-address ip-address mac-address mac-address }
【缺省情况】
未配置全局IPv4静态绑定表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address ip-address:指定全局的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定全局的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:设备上所有全局的IPv4静态绑定表项,本参数只在undo ip source binding命令中生效。
【使用指导】
全局的IPv4静态绑定表项对设备的所有接口都生效。
【举例】
# 在设备上配置一条全局的IPv4静态绑定表项,允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。
<Sysname> system-view
[Sysname] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【相关命令】
· display ip source binding
· ip source binding (interface view)
ip verify source命令用来开启IPv4接口绑定功能。
undo ip verify source命令用来关闭IPv4接口绑定功能。
【命令】
ip verify source { ip-address | ip-address mac-address | mac-address }
undo ip verify source
【缺省情况】
接口的IPv4接口绑定功能处于关闭状态。
【视图】
二层以太网端口视图
三层以太网接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
ip-address:表示绑定源IPv4地址,即根据接口收到的报文的源IPv4地址对报文进行过滤。
ip-address mac-address:表示绑定源IP地址和MAC地址,即接口上收到的报文的源IPv4地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。
mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。
【使用指导】
配置该功能后,IP Source Guard模块会通过静态或动态绑定表项过滤接口收到的用户IP报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。
本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是接口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤接口的报文,则本命令仅用于控制是否开启接口的报文过滤功能,接口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。
在VLAN视图下开启IPv4接口绑定功能,则相当于该VLAN内的所有二层以太网接口上都开启了IPv4接口绑定功能。
不允许在VLAN和属于该VLAN的以太网接口上同时配置IPv4接口绑定功能。若要采用其中一种方式配置,请先删除另外一种方式的配置。
在同一个接口或VLAN内,IPv4接口绑定功能可多次配置,最后一次的配置生效。
管理员执行本命令修改绑定规则后,只对新接入的用户生效,不会影响已接入用户。当已接入用户下线再重新上线后,才会按照新的绑定规则进行检查。
【举例】
# 在二层以太网接口GigabitEthernet0/0/1上配置IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 0/0/1
[Sysname-GigabitEthernet0/0/1] ip verify source ip-address mac-address
# 在Vlan-interface100上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ip verify source ip-address mac-address
# 在三层以太网接口GigabitEthernet0/0/2上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 0/0/2
[Sysname-GigabitEthernet0/0/2] ip verify source ip-address mac-address
# 在三层以太网接口GigabitEthernet0/0/2上配置对报文的源MAC地址的IPv4接口绑定功能,根据报文的源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 0/0/2
[Sysname-GigabitEthernet0/0/2] ip verify source mac-address
【相关命令】
· display ip source binding
ipv6 source binding命令用来配置接口的IPv6静态绑定表项。
undo ipv6 source binding命令用来删除接口配置的IPv6静态绑定表项。
【命令】
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ipv6 source binding { all | ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【缺省情况】
接口上未配置IPv6静态绑定表项。
【视图】
二层以太网端口视图
三层以太网接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
all:当前接口所有的IPv6静态绑定表项,本参数只在undo ipv6 source binding命令中生效。
ip-address ipv6-address:指定接口的IPv6静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。
mac-address mac-address:指定接口的IPv6静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
vlan vlan-id:指定接口的IPv6静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。本参数仅在二层以太网接口视图下支持。
【使用指导】
接口的IPv6静态绑定表项用于过滤接口收到的IPv6报文。
【举例】
# 在接口GigabitEthernet0/0/1上配置一条IPv6静态绑定表项,仅允许源IPv6地址为2001::1且源MAC地址为0002-0002-0002的报文通过。
<Sysname> system-view
[Sysname] interface gigabitethernet 0/0/1
[Sysname-GigabitEthernet0/0/1] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002
【相关命令】
· display ipv6 source binding
· ipv6 source binding (system view)
ipv6 source binding命令用来配置全局的IPv6静态绑定表项。
undo ipv6 source binding命令用来删除已配置的全局IPv6静态绑定表项。
【命令】
ipv6 source binding ip-address ipv6-address mac-address mac-address
undo ipv6 source binding { all | ip-address ipv6-address mac-address mac-address }
【缺省情况】
未配置全局IPv6静态绑定表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address ipv6-address:指定全局的IPv6静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。
mac-address mac-address:指定全局的IPv6静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:设备上所有全局的IPv6静态绑定表项,本参数只在undo ipv6 source binding命令中生效。
【使用指导】
全局的IPv6静态绑定表项对设备的所有接口都生效。
【举例】
# 在设备上配置一条全局的IPv6静态绑定表项,允许源IPv6地址为2001::1且源MAC地址为0002-0002-0002的报文通过。
<Sysname> system-view
[Sysname] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002
【相关命令】
· display ipv6 source binding
· ipv6 source binding (interface view)
ipv6 verify source命令用来开启IPv6接口绑定功能。
undo ipv6 verify source命令用来关闭IPv6接口绑定功能。
【命令】
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
undo ipv6 verify source
【缺省情况】
接口的IPv6接口绑定功能处于关闭状态。
【视图】
二层以太网端口视图
三层以太网接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
ip-address:表示绑定源IPv6地址,即根据接口收到的报文的源IPv6地址对报文进行过滤。
ip-address mac-address:表示绑定源IPv6地址和MAC地址,即接口上收到的报文的源IPv6地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。
mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。
【使用指导】
配置该功能后,IP Source Guard模块会通过静态或动态绑定表项过滤接口收到的用户IPv6报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。
本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是接口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤接口的报文,则本命令仅用于控制是否开启接口的报文过滤功能,接口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。
在同一个接口内,IPv6接口绑定功能可多次配置,最后一次的配置生效。
管理员执行本命令修改绑定规则后,只对新接入的用户生效,不会影响已接入用户。当已接入用户下线再重新上线后,才会按照新的绑定规则进行检查。
【举例】
# 在二层以太网接口GigabitEthernet0/0/1上配置IPv6接口绑定功能,根据报文的源IPv6地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 0/0/1
[Sysname-GigabitEthernet0/0/1] ipv6 verify source ip-address mac-address
【相关命令】
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
