03-安全命令参考

23-IP-MAC绑定命令

本章节下载  (200.54 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Security/00-Public/Command/Command_Manual/M9000_CR(V7)(R9141_R9712)-6W303/03/202012/1367102_30005_0.htm

23-IP-MAC绑定命令


1 IP-MAC绑定

1.1  IP-MAC绑定配置命令

1.1.1  display ip-mac binding ipv4

display ip-mac binding ipv4命令用来显示IPv4-MAC绑定表项。

【命令】

display ip-mac binding ipv4 [ ipv4-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ipv4-address:显示指定IPv4地址的IPv4-MAC绑定表项,该地址不能为全0地址、组播地址、环回地址。如果未指定该参数,则显示所有IPv4地址的IPv4-MAC绑定表项。

mac-address mac-address:显示指定MAC地址的IPv4-MAC绑定表项,mac-address为绑定的MAC地址,格式为H-H-H。该地址不能为全0地址、全F地址以及组播MAC地址。如果未指定该参数,则显示所有MAC地址的IPv4-MAC绑定表项。

vlan vlan-id:显示属于指定VLAN的IPv4-MAC绑定表项,vlan-id为指定VLAN的编号,取值范围为1~4094。若未指定本参数,则表示显示属于所有VLAN的IPv4-MAC绑定表项。

vpn-instance vpn-instance-name:显示指定VPN实例的IPv4-MAC绑定表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。若未指定本参数,则表示显示公网中的IPv4-MAC绑定表项。

【举例】

# 显示IPv4-MAC绑定表项。

<Sysname> display ip-mac binding ipv4

Total entries: 1

IP address      MAC address            VPN instance      VLAN ID

1.1.1.1         0000-0000-0001         --                N/A

表1-1 display ip-mac binding ipv4命令显示信息描述表

字段

描述

Total entries

IPv4-MAC绑定表项总数

IP address

IPv4-MAC绑定表项的IPv4地址

MAC address

IPv4-MAC绑定表项的MAC地址

VPN instance

IPv4-MAC绑定表项所属的VPN实例名称,属于公网时显示为“--”

VLAN ID

IPv4-MAC绑定表项所属的VLAN

 

【相关命令】

·     ip-mac binding ipv4

1.1.2  display ip-mac binding ipv6

display ip-mac binding ipv6命令用来显示IPv6-MAC绑定表项。

【命令】

display ip-mac binding ipv6 [ ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id | vpn-instance vpn-instance-name ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

ipv6-address:显示指定IPv6地址的IPv6-MAC绑定表项,该地址不能为全0地址、组播地址、环回地址。如果未指定该参数,则显示所有IPv6地址的IPv6-MAC绑定表项。

mac-address mac-address:显示指定MAC地址的IPv6-MAC绑定表项,mac-address为绑定的MAC地址,格式为H-H-H。该地址不能为全0地址、全F地址以及组播MAC地址。如果未指定该参数,则显示所有MAC地址的IPv6-MAC绑定表项。

vlan vlan-id:显示属于指定VLAN的IPv4-MAC绑定表项,vlan-id为指定VLAN的编号,取值范围为1~4094。若未指定本参数,则表示显示属于所有VLAN的IPv4-MAC绑定表项。

vpn-instance vpn-instance-name:显示指定VPN实例的IPv6-MAC绑定表项。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例必须已经存在。若未指定本参数,则表示显示公网中的IPv4-MAC绑定表项。

【举例】

# 显示IPv6-MAC绑定表项。

<Sysname> display ip-mac binding ipv6

Total entries: 1

IP address      MAC address            VPN instance      VLAN ID

10::10          0000-0000-0001         --                N/A

表1-2 display ip-mac binding ipv6命令显示信息描述表

字段

描述

Total entries

IPv6-MAC绑定表项总数

IP address

IPv6-MAC绑定表项的IPv6地址

MAC address

IPv6-MAC绑定表项的MAC地址

VPN instance

IPv6-MAC绑定表项所属的VPN实例名称,属于公网时显示为“--”

VLAN ID

IPv6-MAC绑定表项所属的VLAN

 

【相关命令】

·     ip-mac binding ipv6

1.1.3  display ip-mac binding statistics

display ip-mac binding statistics命令用来显示IP-MAC绑定功能过滤报文的统计信息。

【命令】

(独立运行模式)

display ip-mac binding statistics [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

display ip-mac binding statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

slot slot-number:显示指定单板上IP-MAC绑定功能过滤报文的统计信息,slot-number表示单板所在的槽位号。若不指定该参数,则显示所有单板上IP-MAC绑定功能过滤报文的统计信息。(独立运行模式)

chassis chassis-number slot slot-number:显示指定成员设备的指定单板上IP-MAC绑定功能过滤报文的T统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则显示所有成员设备的所有单板上IP-MAC绑定功能过滤报文的统计信息。(IRF模式)

cpu cpu-number:显示指定CPU上IP-MAC绑定功能过滤报文的统计信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【使用指导】

本命令会对IP-MAC绑定功能过滤的所有报文进行统计。

当配置未匹配IP-MAC绑定表项报文的缺省动作为阻断时,与IP-MAC绑定表项不一致而被过滤的报文不会分别进行统计,而是会统计在未匹配IP-MAC绑定表项丢弃的IPv4报文数目中。

【举例】

# 显示指定Slot上IP-MAC绑定功能过滤报文的统计信息。(独立运行模式)

<Sysname> display ip-mac binding statistics slot 1

Slot 1:

Statistics about dropped packets:

IPv4 drop statistics:

  IPv4 ip-mac binding dropped packets because partial match ip: 3

  IPv4 ip-mac binding dropped packets because partial match mac: 0

  IPv4 ip-mac binding dropped packets because no match entry: 12

IPv6 drop statistics:

  IPv6 ip-mac binding dropped packets because partial match ip: 0

  IPv6 ip-mac binding dropped packets because partial match mac: 0

  IPv6 ip-mac binding dropped packets because no match entry: 0

表1-3 display ip-mac binding statistics命令显示信息描述表

字段

描述

IPv4 drop statistics

被丢弃的IPv4报文的统计信息

IPv4 ip-mac binding dropped packets because partial match ip

由于源MAC地址未匹配IP-MAC绑定表项丢弃的IPv4报文数目

IPv4 ip-mac binding dropped packets because partial match mac

由于源IP地址未匹配IP-MAC绑定表项丢弃的IPv4报文数目

IPv4 ip-mac binding dropped packets because no match entry

由于源IP地址和源MAC地址均未匹配IP-MAC绑定表项丢弃的IPv4报文数目

IPv6 drop statistics

被丢弃的IPv6报文的统计信息

IPv6 ip-mac binding dropped packets because partial match ip

由于源MAC地址未匹配IP-MAC绑定表项丢弃的IPv6报文数目

IPv6 ip-mac binding dropped packets because partial match mac

由于源IP地址未匹配IP-MAC绑定表项丢弃的IPv6报文数目

IPv6 ip-mac binding dropped packets because no match entry

由于源IP地址和源MAC地址均未匹配IP-MAC绑定表项丢弃的IPv6报文数目

 

【相关命令】

·     reset ip-mac binding statistics

1.1.4  display ip-mac binding status

display ip-mac binding status命令用来显示IP-MAC绑定功能状态。

【命令】

display ip-mac binding status

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【使用指导】

通过该命令可以查看IP-MAC绑定功能的开启状态以及对于未匹配地址绑定表的报文的默认处理动作。

【举例】

# 显示IP-MAC绑定功能状态。

<Sysname> display ip-mac binding status

ip-mac binding: Disabled

ip-mac binding no-match action: Deny

表1-4 display ip-mac binding status命令显示信息描述表

字段

描述

ip-mac binding

表示IP-MAC绑定功能的状态,包括:

·     Enabled:开启

·     Disabled:关闭

ip-mac binding no-match action

表示未匹配地址绑定表的报文的默认动作,包括:

·     Permit:放行

·     Deny:丢弃

 

1.1.5  ip-mac binding enable

ip-mac binding enable命令用来开启IP-MAC绑定功能。

undo ip-mac binding enable命令用来关闭IP-MAC绑定功能。

【命令】

ip-mac binding enable

undo ip-mac binding enable

【缺省情况】

IP-MAC绑定功能处于关闭状态。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

IP-MAC绑定功能是指在设备上建立IP地址与MAC地址的绑定表项,并依据该表项对接收的报文进行过滤。具体的过滤机制为:如果源IP地址和源MAC地址均与IP-MAC绑定表项一致,则转发该报文;如果源IP地址或源MAC地址未匹配IP-MAC绑定表项,则认为该报文是非法报文,并将其丢弃;如果源IP地址和源MAC地址均未匹配IP-MAC绑定表项,则报文的处理方式由用户配置的缺省动作决定。

本功能生成的绑定关系属于静态绑定,所以只适用于用户的IP地址是固定的情况。如果用户采用DHCP方式进行IP地址的动态分配,则不建议使用本功能,如果使用,可能会造成正常用户无法通信。

【举例】

# 开启IP-MAC绑定功能

<Sysname> system-view

[Sysname] ip-mac binding enable

1.1.6  ip-mac binding interface

ip-mac binding interface命令用来批量生成IP-MAC绑定表项。

【命令】

ip-mac binding interface interface-type interface-number

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

interface-type interface-number:表示指定接口的接口类型和接口编号。接口类型只能为三层以太网接口及其子接口、三层聚合接口及其子接口、冗余接口及其子接口以及VLAN接口。

【使用指导】

可通过执行本命令将指定接口下的ARP表项和ND表项批量加入地址绑定表中。对于根据ARP表项和ND表项生成的但与地址绑定表中已有内容冲突的表项,设备保留原有表项,只将无冲突的新生成表项添加到地址绑定表中。

执行本命令后,只会将指定接口下现有的ARP表项和ND表项批量加入地址绑定表中。若需要将后续新增的ARP表项和ND表项加入地址绑定表中,则需要再次执行本命令。

对于批量生成的IP-MAC绑定表项,需要通过undo ip-mac binding ipv4undo ip-mac binding ipv6命令删除。

IP-MAC绑定表项为静态表项,因此在执行绑定操作后,不会随原接口下ARP表项或ND表项的变化而变化。

【举例】

# 批量生成IP-MAC绑定表项。

<Sysname> system-view

[Sysname] ip-mac binding interface gigabitethernet 1/0/1

1.1.7  ip-mac binding ipv4

ip-mac binding ipv4命令用来配置IPv4-MAC绑定表项。

undo ip-mac binding ipv4命令用来删除IPv4-MAC绑定表项。

【命令】

ip-mac binding ipv4 ipv4-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]

undo ip-mac binding ipv4 { all | ipv4-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ] }

【缺省情况】

未配置IPv4-MAC绑定表项。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv4-address:指定IPv4-MAC绑定表项的IPv4地址,该地址不能为全0地址、组播地址、环回地址。

mac-address mac-address:指定IPv4-MAC绑定表项的MAC地址,mac-address为绑定MAC地址,格式为H-H-H。该地址不能为全0地址、全F地址以及组播MAC地址。

vlan vlan-id:指定IPv4-MAC绑定表项所属的VLAN,vlan-id为指定VLAN的编号,取值范围为1~4094。

vpn-instance vpn-instance-name:指定IPv4-MAC绑定表项所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例必须已经存在。如果未指定本参数,则表示IPv4-MAC绑定表项属于公网。

all:删除所有IPv4-MAC绑定表项。

【使用指导】

如果IPv4地址与MAC地址的绑定关系可以预先确定,则可以通过静态配置的方式进行绑定。在配置时,对于一个IPv4地址,只能绑定一个MAC地址;对于一个MAC地址,可以绑定多个IPv4地址。当需要修改某个表项中IPv4地址绑定的MAC地址时,需要先将原来的表项删除再重新添加新的表项。

本命令配置的IP-MAC绑定表项全局生效。设备中最多允许保留1024个IPv4-MAC绑定表项。

【举例】

# 配置IPv4-MAC绑定表项,允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。

<Sysname> system-view

[Sysname] ip-mac binding ipv4 192.168.0.1 mac-address 0001-0001-0001

【相关命令】

·     display ip-mac binding ipv4

1.1.8  ip-mac binding ipv6

ip-mac binding ipv6命令用来配置IPv6-MAC绑定表项。

undo ip-mac binding ipv6命令用来删除IPv6-MAC绑定表项。

【命令】

ip-mac binding ipv6 ipv6-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ]

undo ip-mac binding ipv6 { all | ipv6-address mac-address mac-address [ vlan vlan-id | vpn-instance vpn-instance-name ] }

【缺省情况】

未配置IPv6-MAC绑定表项。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【参数】

ipv6-address:指定IPv6-MAC绑定表项的IPv6地址,该地址不能为全0地址、组播地址、环回地址。

mac-address mac-address:指定IPv6-MAC绑定表项的MAC地址,mac-address为绑定MAC地址,格式为H-H-H。该地址不能为全0地址、全F地址以及组播MAC地址。

vlan vlan-id:指定IPv6-MAC绑定表项所属的VLAN,vlan-id为指定VLAN的编号,取值范围为1~4094。

vpn-instance vpn-instance-name:指定IPv6-MAC绑定表项所属的VPN实例。vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。该VPN实例必须已经存在。如果未指定本参数,则表示IPv6 -MAC绑定表项属于公网。

all:删除所有IPv6-MAC绑定表项。

【使用指导】

如果IPv6地址与MAC地址的绑定关系可以预先确定,则可以通过静态配置的方式进行绑定。在配置时,对于一个IPv6地址,只能绑定一个MAC地址;对于一个MAC地址,可以绑定多个IPv6地址。当需要修改某个表项中IPv6地址绑定的MAC地址时,需要先将原来的表项删除再重新添加新的表项。

本命令配置的IP-MAC绑定表项全局生效。设备中最多允许保留1024个IPv6 -MAC绑定表项。

【举例】

# 配置IPv6-MAC绑定表项,允许源IPv6地址为2012::12:25且源MAC地址为0001-0001-0001的报文通过。

<Sysname> system-view

[Sysname] ip-mac binding ipv6 2012::12:25 mac-address 0001-0001-0001

【相关命令】

·     display ip-mac binding ipv6

1.1.9  ip-mac binding no-match action deny

ip-mac binding no-match action deny命令用来配置未匹配IP-MAC绑定表项报文的缺省动作为丢弃。

undo ip-mac binding no-match action deny命令用来恢复默认的缺省动作。

【命令】

ip-mac binding no-match action deny

undo ip-mac binding no-match action deny

【缺省情况】

未匹配IP-MAC绑定表项报文的缺省动作为放行。

【视图】

系统视图

【缺省用户角色】

network-admin

context-admin

【使用指导】

当要求只允许源IP和源MAC与地址表项完全匹配的报文通过时,可以将未匹配报文的动作配置为deny。

【举例】

# 配置未匹配IP-MAC绑定表项的报文的缺省动作为丢弃。

<Sysname> system-view

[Sysname] ip-mac binding no-match action deny

1.1.10  reset ip-mac binding statistics

reset ip-mac binding statistics命令用来清除IP-MAC绑定功能过滤报文的统计信息。

【命令】

(独立运行模式)

reset ip-mac binding statistics [ slot slot-number [ cpu cpu-number ] ]

(IRF模式)

reset ip-mac binding statistics [ chassis chassis-number slot slot-number [ cpu cpu-number ] ]

【视图】

系统视图

【缺省用户角色】

network-admin

network-operator

context-admin

context-operator

【参数】

slot slot-number:清除指定单板上IP-MAC绑定功能过滤报文的统计信息,slot-number表示单板所在的槽位号。若不指定该参数,则清除所有单板上IP-MAC绑定功能过滤报文的统计信息。(独立运行模式)

chassis chassis-number slot slot-number:清除指定成员设备的指定单板上IP-MAC绑定功能过滤报文的统计信息,chassis-number表示设备在IRF中的成员编号,slot-number表示单板所在的槽位号。若不指定该参数,则清除所有成员设备的所有单板上IP-MAC绑定功能过滤报文的统计信息。(IRF模式)

cpu cpu-number:清除指定CPU上IP-MAC绑定功能过滤报文的统计信息,cpu-number表示CPU的编号。只有指定的slot支持多CPU时,才能配置该参数。

【举例】

# 清除指定Slot上IP-MAC绑定功能过滤报文的统计信息。(独立运行模式)

<Sysname> reset ip-mac binding statistics slot 1

【相关命令】

·     display ip-mac binding statistics

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们