16-安全命令参考

14-IP Source Guard命令

本章节下载  (149.85 KB)

docurl=/cn/Service/Document_Software/Document_Center/Home/Wlan/00-Public/Command/Command_Manual/H3C_MSG_CR(E5568P01)/16/202103/1392068_30005_0.htm

14-IP Source Guard命令


1 IP Source Guard

1.1  IP Source Guard配置命令

1.1.1  display ip source binding

display ip source binding命令用来显示IPv4绑定表项信息。

【命令】

display ip source binding [ wlan-snooping ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

wlan-snooping:显示WLAN Snooping模块生成的动态绑定表项。

ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。

mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。

vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。

【举例】

# 显示公网所有接口的IPv4绑定表项和全局的IPv4静态绑定表项。

<Sysname> display ip source binding

Total entries found: 2

IP Address      MAC Address    Interface                VLAN Type

10.1.0.5        040a-0000-4000 WLAN-BSS1/0/1            1    WLAN snooping

10.1.0.6        040a-0000-3000 WLAN-BSS1/0/2            1    WLAN snooping

表1-1 display ip source-binding命令显示信息描述表

字段

描述

Total entries found

查询到的绑定表项总数

IP Address

绑定表项的IPv4地址(N/A表示该表项不绑定IP地址)

MAC Address

绑定表项的MAC地址(N/A表示该表项不绑定MAC地址)

Interface

绑定表项所属的接口(N/A表示该表项为全局绑定)

VLAN

绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息)

Type

绑定表项类型:

·     WLAN snooping表示WLAN Snooping模块生成的动态绑定表项,用于配合其它模块提供相应的安全服务

 

【相关命令】

·     ip verify source

1.1.2  display ipv6 source binding

display ipv6 source binding命令用来显示IPv6绑定表项信息。

【命令】

display ipv6 source binding [ wlan-snooping ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ]

【视图】

任意视图

【缺省用户角色】

network-admin

network-operator

【参数】

wlan-snooping:显示WLAN Snooping模块生成的动态绑定表项。

ip-address ipv6-address:显示指定IPv6地址的绑定表项,ipv6-address表示绑定的IPv6地址。

mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。

vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。

interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。

【举例】

# 显示公网所有接口的IPv6绑定表项和全局的IPv6静态绑定表项。

<Sysname> display ipv6 source binding

Total entries found: 1

IPv6 Address         MAC Address    Interface               VLAN Type

2012:1222:2012:1222: 000f-2202-0435 WLAN-BSS1/0/1           1    DHCPv6 snooping

2012:1222:2012:1222

表1-2 display ipv6 source-binding命令显示信息描述表

字段

描述

Total entries found

查询到的绑定表项总数

IPv6 Address

绑定表项的IPv6地址(N/A表示该表项不绑定IPv6地址)

MAC Address

绑定表项的MAC地址(N/A表示该表项不绑定MAC地址)

Interface

绑定表项所属的接口(N/A表示该表项为全局绑定)

VLAN

绑定表项所属的VLAN(N/A表示该表项没有VLAN信息)

Interface

绑定表项所属的接口

Type

绑定表项类型:

·     WLAN snooping表示WLAN Snooping模块生成的动态绑定表项,用于配合其它模块提供相应的安全服务

 

【相关命令】

·     ipv6 verify source

1.1.3  ip verify source

ip verify source命令用来开启IPv4源地址验证功能。

undo ip verify source命令用来关闭IPv4源地址验证功能。

【命令】

ip verify source

undo ip verify source

【缺省情况】

IPv4源地址验证功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

无线服务模板下开启IPv4源地址验证功能后,当AP接收到客户端发送的报文后,会查找WLAN snooping绑定表项,如果报文的特征项(MAC地址+IPv4地址)与某个绑定表项匹配,且客户端是通过DHCP方式获取的IPv4地址则转发该报文,否则,丢弃报文。

【举例】

# 开启IPv4过滤功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] ip verify source

1.1.4  ipv6 verify source

ipv6 verify source命令用来开启IPv6源地址验证功能。

undo ipv6 verify source命令用来关闭IPv6源地址验证功能。

【命令】

ipv6 verify source

undo ipv6 verify source

【缺省情况】

IPv6源地址验证功能处于关闭状态。

【视图】

无线服务模板视图

【缺省用户角色】

network-admin

【使用指导】

无线服务模板下开启IPv6源地址验证功能后,当AP接收到客户端发送的报文后,会查找WLAN snooping绑定表项,如果报文的特征项(MAC地址+IPv6地址)与某个绑定表项匹配,则转发该报文,否则,丢弃报文。

【举例】

# 开启IPv6过滤功能。

<Sysname> system-view

[Sysname] wlan service-template security

[Sysname-wlan-st-security] ipv6 verify source

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

联系我们