15-IP Source Guard命令
本章节下载: 15-IP Source Guard命令 (164.83 KB)
1.1.1 display ip source binding
1.1.2 display ipv6 source binding
1.1.4 ip source binding (interface view)
1.1.5 ip source binding (system view)
1.1.8 ip verify source max-entries
1.1.9 ipv6 source binding (interface view)
1.1.10 ipv6 source binding (system view)
1.1.12 ipv6 verify source max-entries
【命令】
display ip source binding [ static ] [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
static:显示静态绑定表项。如果不指定该参数,则表示显示所有绑定表项,包括动态绑定表项和静态绑定表项。
interface interface-type interface-number:显示指定端口的绑定表项。其中interface-type interface-number表示绑定的端口类型和端口编号。
ip-address ip-address:显示指定IP地址的绑定表项。其中ip-address表示绑定的IP地址。
mac-address mac-address:显示指定MAC地址的绑定表项。其中mac-address表示绑定的MAC地址,格式为H-H-H。
slot slot-number:显示指定成员设备上的绑定表项,slot-number表示设备在IRF中的成员编号,取值范围取决于当前IRF中的成员数量和编号情况。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ip source binding命令用来显示IPv4绑定表项信息。
不指定static参数的情况下,本命令用来显示IPv4动态绑定表项和IPv4静态绑定表项信息。
指定static参数的情况下,本命令用来显示IPv4静态绑定表项信息。
相关配置可参考命令ip verify source和ip source binding。
【举例】
# 显示所有的IPv4绑定表项。
<Sysname> display ip source binding
Total entries found: 3
MAC Address IP Address VLAN Interface Type
040a-0000-4000 10.1.0.9 N/A Eth1/0/1 Static
040a-0000-3000 10.1.0.8 2 Eth1/0/2 DHCP-SNP
040a-0000-2000 10.1.0.7 2 Eth1/0/2 DHCP-SNP
# 显示所有IPv4静态绑定表项。
<Sysname> display ip source binding static
Total entries found: 2
MAC Address IP Address VLAN Interface Type
040a-0000-0012 10.1.0.12 N/A Eth1/0/3 Static
040a-0000-0013 10.1.0.13 N/A Eth1/0/3 Static
表1-1 display ip source binding命令显示信息描述表
字段 |
描述 |
Total entries found: |
查询到的绑定条目总数 |
MAC Address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
IP Address |
绑定表项的IP地址(N/A表示该表项不绑定IP地址) |
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
Interface |
绑定表项所属的接口 |
Type |
绑定表项的类型 · Static:IPv4静态绑定表项 · DHCP-SNP:DHCP Snooping动态绑定表项 · DHCP-RLY:DHCP Relay动态绑定表项 |
【命令】
display ipv6 source binding [ static ] [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【视图】
任意视图
【缺省级别】
1:监控级
【参数】
static:显示静态绑定表项。如果不指定该参数,则表示显示所有绑定表项,包括动态绑定表项和静态绑定表项。
interface interface-type interface-number:显示指定端口的绑定表项。其中interface-type interface-number表示绑定的端口类型和端口编号。
ipv6-address ipv6-address:显示指定IPv6地址的绑定表项。其中ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的绑定表项。其中mac-address表示绑定的MAC地址,格式为H-H-H。
slot slot-number:显示指定成员设备上的绑定表项,slot-number表示设备在IRF中的成员编号,取值范围取决于当前IRF中的成员数量和编号情况。
|:使用正则表达式对显示信息进行过滤。有关正则表达式的详细介绍,请参见“基础配置指导”中的“CLI”。
begin:从包含指定正则表达式的行开始显示。
exclude:只显示不包含指定正则表达式的行。
include:只显示包含指定正则表达式的行。
regular-expression:表示正则表达式,为1~256个字符的字符串,区分大小写。
【描述】
display ipv6 source binding命令用来显示IPv6绑定表项信息。
不指定static参数的情况下,本命令用来显示IPv6动态绑定表项和IPv6静态绑定表项信息。
指定static参数的情况下,本命令用来显示IPv6静态绑定表项信息。
相关配置可参考命令ipv6 verify source和ipv6 source binding。
【举例】
# 显示所有IPv6绑定表项。
<Sysname> display ipv6 source binding
Total entries found: 3
MAC Address IP Address VLAN Interface Type
040a-0000-0001 2001::1 N/A Eth1/0/1 Static-IPv6
040a-0000-0001 2001::3 2 Eth1/0/1 DHCPv6-SNP
040a-0000-0002 2001::4 6 Eth1/0/2 ND-SNP
# 显示所有IPv6静态绑定表项。
<Sysname> display ipv6 source binding static
Total entries found: 2
MAC Address IP Address VLAN Interface Type
040a-0000-0012 2001::4 N/A Eth1/0/3 Static-IPv6
040a-0000-0013 2001::5 N/A Eth1/0/3 Static-IPv6
表1-2 display ipv6 source binding命令显示信息描述
字段 |
描述 |
Total entries found: |
查询到的绑定条目总数 |
MAC Address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
IPv6 Address |
绑定表项的IPv6地址(N/A表示该表项不绑定IPv6地址) |
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
Interface |
绑定表项所属的接口 |
Type |
绑定表项的类型 · Static-IPv6:IPv6静态绑定表项 · DHCPv6-SNP:DHCPv6 Snooping动态绑定表项 · ND-SNP:ND Snooping动态绑定表项 |
【命令】
dot1x user-ip freeze
undo dot1x user-ip freeze
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【描述】
dot1x user-ip freeze命令用来配置802.1X用户IP地址冻结功能,即端口首次获取且保存了802.1X上线用户的IP地址之后,不会随着该用户IP地址的变化而更新保存的用户IP地址。undo dot1x user-ip freeze命令用来恢复缺省情况。
缺省情况下,端口首次获取且保存了802.1X上线用户的IP地址之后,会随着用户IP地址的变化而更新保存的用户IP地址。
【举例】
# 配置端口Ethernet1/0/1上的802.1X用户IP地址冻结功能。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] dot1x user-ip freeze
【命令】
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
ip-address ip-address:指定静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
vlan vlan-id:指定静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。
· 当IPv4静态绑定表项与IP Source Guard功能配合时,静态绑定表项中的VLAN参数不作为过滤报文的特征项,VLAN参数指定与否,不影响IP Source Guard功能对报文的过滤结果。
· 在IPv4静态绑定表项与ARP Detection功能配合时,静态绑定表项中必须指定VLAN参数,且该VLAN为使能ARP Detection功能的VLAN,否则ARP报文将无法通过IPv4静态绑定表项的检查。关于ARP Detection功能的相关配置请参见“安全配置指导”中的“ARP攻击防御”。
【描述】
ip source binding命令用来配置端口的IPv4静态绑定表项。undo ip source binding命令用来删除指定的端口IPv4静态绑定表项。
缺省情况下,端口上无IPv4静态绑定表项。
需要注意的是:
· 一个表项不能在同一个端口上重复绑定,但可以在不同端口上绑定。
· 端口如果加入聚合组或者加入业务环回组,则不能配置静态绑定表项。
相关配置可参考命令display ip source binding static。
【举例】
# 在端口Ethernet1/0/1上配置一条IPv4静态绑定表项(绑定IP+MAC)。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【命令】
ip source binding ip-address ip-address mac-address mac-address
undo ip source binding { all | ip-address ip-address mac-address mac-address }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ip-address ip-address:指定静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:表示所有的全局静态绑定表项。
【描述】
ip source binding命令用来配置全局IPv4静态绑定表项。undo ip source binding命令用来删除指定的或所有的全局IPv4静态绑定表项。
缺省情况下,无全局IPv4静态绑定表项。
需要注意的是:全局静态绑定表项在所有端口上生效。
相关配置可参考命令display ip source binding static。
【举例】
# 配置一条全局IPv4静态绑定表项,绑定IP地址192.168.0.1和MAC地址0001-0001-0001。
<Sysname> system-view
[Sysname] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【命令】
ip verify source { ip-address | ip-address mac-address | mac-address }
undo ip verify source
【视图】
二层以太网端口视图/VLAN接口视图/端口组视图
【缺省级别】
2:系统级
【参数】
ip-address:表示绑定源IP地址。
ip-address mac-address:表示绑定源IP地址和MAC地址。
mac-address:表示绑定源MAC地址。
【描述】
ip verify source命令用来配置IPv4动态绑定功能。undo ip verify source命令用来恢复缺省情况。
缺省情况下,端口的IPv4动态绑定功能处于关闭状态。
需要注意的是:
· 本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是端口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤端口的报文,则本命令仅用于控制是否开启端口的报文过滤功能,端口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。
· 端口如果加入聚合组或者加入业务环回组,则不能配置端口的动态绑定功能。
相关配置可参考命令display ip source binding。
【举例】
# 在二层以太网端口Ethernet1/0/1上配置对报文的源IP和MAC地址的IPv4动态绑定功能,获取端口上动态生成的DHCP Snooping表项对端口转发的报文进行过滤。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ip verify source ip-address mac-address
# 在Vlan-interface100上配置对报文的源IP和MAC地址的IPv4动态绑定功能,获取端口上动态生成的DHCP Relay表项对端口转发的报文进行过滤。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ip verify source ip-address mac-address
【命令】
ip verify source dot1x
undo ip verify source dot1x
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【描述】
ip verify source dot1x命令用来配置基于802.1X认证的IP Source Guard动态表项功能,即端口通过获取802.1X用户的源IP地址和源MAC地址来生成IP Source Guard动态绑定表项。undo ip verify source dot1x命令用来取消基于802.1X认证的IP Source Guard动态表项功能。
缺省情况下,基于802.1X认证的IPv4 Source Guard动态表项获取功能处于关闭状态。
需要注意的是:
· 如果端口已经根据802.1X认证生成了IP Source Guard动态绑定表项用于过滤报文,则使用undo ip verify source dot1x命令取消了该绑定关系后,已经生成的相应类型的IP Source Guard动态绑定表项会被删除。
· 如果端口上的802.1X功能关闭,或者802.1X用户下线,已经生成的相应类型的IP Source Guard动态绑定表项会被删除。
【举例】
# 指定端口Ethernet1/0/1通过获取802.1X用户表项来生成IP Source Guard动态绑定表项。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ip verify source dot1x
【命令】
ip verify source max-entries number
undo ip verify source max-entries
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
number:端口上IPv4绑定表项的最大值,取值范围为0~2048。
【描述】
ip verify source max-entries命令用来配置端口上IPv4绑定表项数目的最大值,即端口上所允许添加的IPv4静态和动态绑定表项的数量总和。undo ip verify source max-entries命令用来取消对端口上可配置的IPv4绑定表项数目的限制。
缺省情况下,端口上IPv4绑定表项的最大值为2048。
当端口上的IPv4绑定表项数目达到指定的最大值时,端口将不再允许添加新的IPv4绑定表项。
需要注意的是,如果要配置的IPv4绑定表项数目的最大值小于当前端口上已存在的IPv4绑定表项总数,则该最大值可以配置成功,且原有的表项不受影响,但端口将不再允许新增IPv4绑定表项,除非端口上的IPv4绑定表项数目减少到小于最大值。
【举例】
# 配置端口Ethernet1/0/1上IPv4绑定表项数目的最大值为100。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ip verify source max-entries 100
【命令】
ipv6 source binding { ipv6-address ipv6-address | ipv6-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ipv6 source binding { ipv6-address ipv6-address | ipv6-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
ipv6-address ipv6-address:指定静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。
mac-address mac-address:指定静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
vlan vlan-id:指定静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。
· 当IPv6静态绑定表项与IP Source Guard功能配合时,静态绑定表项中的VLAN参数不作为过滤报文的特征项,VLAN参数指定与否,不影响IP Source Guard功能对报文的过滤结果。
· 在IPv6静态绑定表项与ND Detection功能配合时,静态绑定表项中必须指定VLAN参数,且该VLAN为使能ND Detection功能的VLAN,否则ARP报文将无法通过IPv4静态绑定表项的检查。关于ND Detection功能的相关配置请参见“安全配置指导”中的“ND攻击防御”。
【描述】
ipv6 source binding命令用来配置端口IPv6静态绑定表项。undo ipv6 source binding命令用来删除指定的端口IPv6静态绑定表项。
缺省情况下,端口上无IPv6静态绑定表项。
需要注意的是:
· 一个表项不能在同一个端口上重复绑定,但可以在不同端口上绑定。
· 端口如果加入聚合组或者加入业务环回组,则不能配置端口静态绑定表项。
相关配置可参考命令display ipv6 source binding static。
【举例】
# 在端口Ethernet1/0/1上配置一条IPv6静态绑定表项(绑定IP+MAC)。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ipv6 source binding ipv6-address 2001::1 mac-address 0002-0002-0002
【命令】
ipv6 source binding ipv6-address ipv6-address mac-address mac-address
undo ipv6 source binding { all | ipv6-address ipv6-address mac-address mac-address }
【视图】
系统视图
【缺省级别】
2:系统级
【参数】
ipv6-address ipv6-address:指定静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。
mac-address mac-address:指定静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:表示所有的全局静态绑定表项。
【描述】
ipv6 source binding命令用来配置全局IPv6静态绑定表项。undo ipv6 source binding命令用来删除指定的或所有的全局IPv6静态绑定表项。
缺省情况下,无全局IPv6静态绑定表项。
需要注意的是:全局静态绑定表项在所有端口上生效。
相关配置可参考命令display ipv6 source binding static。
【举例】
# 配置一条全局IPv6静态绑定表项,绑定IPv6地址2001::1和MAC地址0002-0002-0002。
<Sysname> system-view
[Sysname] ipv6 source binding ipv6-address 2001::1 mac-address 0002-0002-0002
【命令】
ipv6 verify source { ipv6-address | ipv6-address mac-address | mac-address }
undo ipv6 verify source
【视图】
二层以太网端口视图/端口组视图
【缺省级别】
2:系统级
【参数】
ipv6-address:表示绑定源IPv6地址。
ipv6-address mac-address:表示绑定源IPv6地址和MAC地址。
mac-address:表示绑定源MAC地址。
【描述】
ipv6 verify source命令用来配置IPv6动态绑定功能。undo ipv6 verify source命令用来恢复缺省情况。
缺省情况下,端口的IPv6动态绑定功能处于关闭状态。
需要注意的是:
· 本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是端口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤端口的报文,则本命令仅用于控制是否开启端口的报文过滤功能,端口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。
· 端口如果加入聚合组或者加入业务环回组,则不能配置端口的动态绑定功能。
相关配置可参考命令display ipv6 source binding。
【举例】
# 在二层以太网端口Ethernet1/0/1上配置对报文的源IP和MAC地址的IPv6动态绑定功能,获取端口上动态生成的DHCPv6 Snooping和ND Snooping表项,并对端口转发的报文进行过滤。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ipv6 verify source ipv6-address mac-address
【命令】
ipv6 verify source max-entries number
undo ipv6 verify source max-entries
【视图】
二层以太网端口视图
【缺省级别】
2:系统级
【参数】
number:端口上IPv6绑定表项的最大值,取值范围为0~2048。
【描述】
ipv6 verify source max-entries命令用来配置端口上IPv6绑定表项数目的最大值,即端口上所允许添加的IPv6静态和动态绑定表项的数量总和。undo ipv6 check source max-entries命令用来取消对端口上可配置的IPv6绑定表项数目的限制。
缺省情况下,端口上IPv6绑定表项的最大值为2048。
当端口上的IPv6绑定表项数目达到指定的最大值时,端口将不再允许添加新的IPv6绑定表项。
需要注意的是,如果要配置的IPv6绑定表项数目的最大值小于当前端口上已存在的IPv6绑定表项总数,则该最大值可以配置成功,且原有的表项不受影响,但端口将不再允许新增IPv6绑定表项,除非端口上的IPv6绑定表项数目减少到小于最大值。
【举例】
# 配置端口Ethernet1/0/1上IPv6绑定表项数目的最大值为100。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ipv6 verify source max-entries 100
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!