07-IP Source Guard命令
本章节下载: 07-IP Source Guard命令 (129.92 KB)
1.1.1 display ip source binding
1.1.2 ip source binding (interface view)
1.1.3 ip source binding (system view)
本文中的二层以太网接口均属于SPC类单板、MPE-1104单板,三层聚合接口的成员端口均属于SPEX类单板、CSPEX类单板、CEPC类单板。
display ip source binding命令用来显示IPv4绑定表项信息。
【命令】
(独立运行模式)
display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcp-relay | dhcp-server ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
(IRF模式)
display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcp-relay | dhcp-server ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
static:显示配置的静态绑定表项。
vpn-instance vpn-instance-name:显示指定VPN实例的动态绑定表项,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示显示公网的动态绑定表项。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
dhcp-server:显示DHCP服务器模块生成的动态绑定表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4093。
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
slot slot-number:显示指定单板上的绑定表项,slot-number表示单板所在的槽位号。如果未指定本参数,则显示主用主控板上的绑定表项。(独立运行模式)
chassis chassis-number slot slot-number:显示指定成员设备上指定单板的绑定表项,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。如果未指定本参数,则显示全局主用主控板上的绑定表项。(IRF模式)
【举例】
# 显示公网所有接口的IPv4绑定表项和全局的IPv4静态绑定表项。
<Sysname> display ip source binding
Total entries found: 5
IP Address MAC Address Interface VLAN Type
10.1.0.8 040a-0000-1000 GE1/0/2 N/A DHCP relay
10.1.0.9 040a-0000-2000 GE1/0/2 N/A Static
表1-1 display ip source-binding命令显示信息描述表
字段 |
描述 |
Total entries found |
查询到的绑定表项总数 |
IP Address |
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
MAC Address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
Interface |
绑定表项所属的接口(N/A表示该表项为全局绑定) |
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
Type |
绑定表项类型: · Static表示配置的静态绑定表项,IP Source Guard模块用该表项过滤报文 · DHCP relay表示DHCP中继模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 · DHCP server表示DHCP服务器模块生成的动态绑定表项,用于配合其它模块提供相应的安全服务 |
【相关命令】
· ip source binding
· ip verify source
ip source binding命令用来配置接口的IPv4静态绑定表项。
undo ip source binding命令用来删除接口的IPv4静态绑定表项。
【命令】
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ip source binding { all | ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【缺省情况】
接口上未配置IPv4静态绑定表项。
【视图】
二层以太网端口
三层以太网接口
VLAN接口
【缺省用户角色】
network-admin
【参数】
all:当前接口所有的IPv4静态绑定表项,本参数只在undo ip source binding命令中生效。
ip-address ip-address:指定接口的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定接口的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)。
vlan vlan-id:指定接口的IPv4静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4093。本参数仅在二层以太网接口视图下支持。
【使用指导】
当前该功能需要同时绑定源IP地址和MAC地址才生效。
接口的IPv4静态绑定表项用于过滤接口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性。
加入业务环回组的接口上不能配置IPv4静态绑定表项。
【举例】
# 在接口GigabitEthernet1/0/1上配置一条IPv4静态绑定表项,仅允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【相关命令】
· display ip source binding
· ip source binding (system view)
ip source binding命令用来配置全局的IPv4静态绑定表项。
undo ip source binding命令用来删除已配置的全局IPv4静态绑定表项。
【命令】
ip source binding ip-address ip-address mac-address mac-address
undo ip source binding { all | ip-address ip-address mac-address mac-address }
【缺省情况】
未配置全局IPv4静态绑定表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address ip-address:指定全局的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定全局的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)。
all:设备上所有全局的IPv4静态绑定表项,本参数只在undo ip source binding命令中生效。
【使用指导】
全局的IPv4静态绑定表项对设备的所有接口都生效。
需要注意的是,SPEX类单板、CSPEX类单板、CEPC类单板不支持本功能。
【举例】
# 在设备上配置一条全局的IPv4静态绑定表项,允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。
<Sysname> system-view
[Sysname] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【相关命令】
· display ip source binding
· ip source binding (interface view)
ip verify source命令用来开启IPv4接口绑定功能。
undo ip verify source命令用来关闭IPv4接口绑定功能。
【命令】
ip verify source { ip-address | ip-address mac-address | mac-address }
undo ip verify source
【缺省情况】
接口的IPv4接口绑定功能处于关闭状态。
【视图】
二层以太网端口
三层以太网接口
VLAN接口
三层聚合接口
【缺省用户角色】
network-admin
【参数】
ip-address:表示绑定源IPv4地址,即根据接口收到的报文的源IPv4地址对报文进行过滤。
ip-address mac-address:表示绑定源IP地址和MAC地址,即接口上收到的报文的源IPv4地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。
mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。
【使用指导】
当前该功能需要同时绑定源IP地址和MAC地址才生效。
配置该功能后,IP Source Guard模块会通过静态或动态绑定表项过滤接口收到的用户IP报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。
本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是接口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤接口的报文,则本命令仅用于控制是否开启接口的报文过滤功能,接口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。
加入业务环回组的接口上不能配置动态绑定功能。
IPv4接口绑定功能可多次配置,最后一次的配置生效。
【举例】
# 在二层以太网接口GigabitEthernet1/0/1上配置IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 在Vlan-interface100上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ip verify source ip-address mac-address
# 在三层以太网接口GigabitEthernet1/0/2上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 在三层以太网接口GigabitEthernet1/0/2上配置对报文的源MAC地址的IPv4接口绑定功能,根据报文的源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface gigabitethernet 1/0/2
[Sysname-GigabitEthernet1/0/2] ip verify source mac-address
【相关命令】
· display ip source binding
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!