- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
17-IP Source Guard命令
本章节下载: 17-IP Source Guard命令 (277.43 KB)
目 录
1.1.1 display ip source binding
1.1.2 display ip source binding-local
1.1.3 display ip source binding-remote
1.1.4 display ip source binding statistics
1.1.5 display ip verify source excluded
1.1.6 display ipv6 source binding
1.1.7 display ipv6 source binding-local
1.1.8 display ipv6 source binding-remote
1.1.9 display ipv6 source binding pd
1.1.10 display ipv6 source binding statistics
1.1.11 ip source binding (interface view)
1.1.12 ip source binding (system view)
1.1.15 ip verify source exclude
1.1.17 ipv6 source binding (interface view)
1.1.18 ipv6 source binding (system view)
1.1.20 ipv6 verify source alarm
1.1.21 ipv6 verify source max-entries
1.1.22 ipv6 verify source trust
display ip source binding命令用来显示IPv4绑定表项信息。
【命令】
display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ arp-snooping-vlan | arp-snooping-vsi | dhcp-relay | dhcp-server | dhcp-snooping | dot1x | remote ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
static:显示配置的静态绑定表项。
vpn-instance vpn-instance-name:显示指定VPN实例的动态绑定表项,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示显示公网的动态绑定表项。
arp-snooping-vlan:显示VLAN下ARP snooping模块生成的动态绑定表项。
arp-snooping-vsi:显示VSI下ARP snooping模块生成的动态绑定表项。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
dhcp-server:显示DHCP服务器模块生成的动态绑定表项。
dhcp-snooping:显示DHCP Snooping模块生成的动态绑定表项。
dot1x:显示802.1X模块生成的动态绑定表项。指定该参数时,必须同时指定802.1X用户接入的slot信息,才能显示相应表项。
remote:显示路由协议模块同步过来的远端绑定表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
slot slot-number:显示指定成员设备上的绑定表项,slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的绑定表项。
【举例】
# 显示公网所有接口的IPv4绑定表项和全局的IPv4静态绑定表项。
<Sysname> display ip source binding
Total entries found: 5
IP Address MAC Address Interface VLAN Type
10.1.0.5 040a-0000-4000 XGE1/0/1 1 DHCP snooping
10.1.0.6 040a-0000-3000 XGE1/0/1 1 DHCP snooping
10.1.0.7 040a-0000-2000 XGE1/0/1 1 DHCP snooping
10.1.0.8 040a-0000-1000 XGE1/0/2 N/A DHCP relay
10.1.0.9 040a-0000-2000 XGE1/0/2 N/A Static
表1-1 display ip source-binding命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IP Address |
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
|
MAC Address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型: · Static表示配置的静态绑定表项,IP Source Guard模块用该表项过滤报文,并且配合其它模块提供相应的安全服务 · ARP snooping vlan表示VLAN下ARP Snooping模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 · ARP snooping vsi表示VSI下ARP snooping模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 · 802.1X表示来源于802.1X模块的动态绑定表项,IP Source Guard模块用该表项过滤报文 · DHCP relay表示DHCP中继模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 · DHCP server表示DHCP服务器模块生成的动态绑定表项,用于配合其它模块提供相应的安全服务 · DHCP snooping表示DHCP Snooping模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 · Remote表示路由协议模块同步的远端绑定表项,用于配合ARP Detection模块提供相应的安全服务 |
【相关命令】
· ip source binding
· ip verify source
display ip source binding-local命令用来显示路由协议模块关注的IPv4本地绑定表项信息。
【命令】
display ip source binding-local [ interface interface-type interface-number ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定Master设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块关注的所有IPv4本地绑定表项信息。
【举例】
# 显示路由协议模块关注的IPv4本地绑定表项信息。
<Sysname> display ip source binding-local
Total entries found: 1
IP address MAC address Interface VLAN Type
10.1.0.5 040a-0000-4000 Vlan1 1 DHCP relay
表1-2 display ip source binding-local命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IP address |
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型。DHCP relay表示DHCP中继模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 |
display ip source binding-remote命令用来显示路由协议模块同步的IPv4远端绑定表项信息。
【命令】
display ip source binding-remote [ router-id router-id ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
router-id router-id:显示指定设备同步的动态绑定表项,router-id表示设备的Router ID,为IP地址形式。
dhcp-relay:显示DHCP中继模块生成的动态绑定表项。
ip-address ip-address:显示指定IPv4地址的绑定表项,ip-address表示绑定的IPv4地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定Master设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块同步的所有IPv4远端绑定表项信息。
【举例】
# 显示路由协议模块同步的IPv4远端绑定表项信息。
<Sysname> display ip source binding-remote
Total entries found: 1
IP address MAC address Router ID VLAN Type
10.1.0.5 040a-0000-4000 1.1.1.1 1 DHCP relay
表1-3 display ip source binding-remote命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IP address |
绑定表项的IPv4地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Router ID |
绑定表项所属的路由器ID |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型,DHCP relay表示DHCP中继模块生成的动态绑定表项 |
display ip source binding statistics命令用来显示路由协议模块关注的IPv4绑定表项统计信息。
【命令】
display ip source binding statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
管理员通过查看此统计数据,可对设备上的IPv4本地表项和远端表项数进行实时监控,确定设备学习的IP Source Guard表项规模,来判断表项规模是否达到设备上限,网络中是否存在攻击源等问题。
本命令可显示最近一小时内路由协议模块关注的IPv4绑定表项。
【举例】
# 显示路由协议模块关注的IPv4绑定表项统计信息。
<Sysname> display ip source binding statistics
Time Local entry count Remote entry count
Current 2000 5200
1 min ago 1351 5135
2 min ago 711 5071
3 min ago 708 4774
…
59 min ago 656 1365
60 min ago 607 1300
表1-4 display ip source binding statistics命令显示信息描述表
|
字段 |
描述 |
|
Time |
记录表项统计信息的时间点 |
|
Local entry count |
本地用户表项的统计计数 |
|
Remote entry count |
远端用户表项的统计计数 |
display ip verify source excluded命令用来显示IP Source Guard免过滤条件生效情况。
【命令】
display ip verify source excluded [ vlan start-vlan-id [ to end-vlan-id ] ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
vlan start-vlan-id [ to end-vlan-id ]:显示指定VLAN内的信息,start-vlan-id表示起始VLAN ID,end-vlan-id表示结束VLAN ID,取值范围均为1~4094,end-vlan-id的值要大于或等于start-vlan-id的值。
slot slot-number:显示指定成员设备上的信息,slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示所有设备上的信息。
【举例】
# 显示设备上所有的IP Source Guard免过滤条件生效情况。
<Sysname> display ip verify source excluded
Slot:
Start VLAN ID End VLAN ID Status
1 20 Active
24 50 Active
200 300 Inactive
# 显示IP Source Guard免过滤VLAN(VLAN3、VLAN5~VLAN10)生效情况。
<Sysname> display ip verify source excluded vlan 3
Slot:
VLAN ID: 3
Status: Active
<Sysname> display ip verify source excluded vlan 5 to 10
Slot:
Start VLAN ID End VLAN ID Status
5 10 Active
表1-5 display ip verify source excluded命令显示信息描述表格
|
字段 |
描述 |
|
Start VLAN ID |
免过滤VLAN的起始VLAN ID |
|
End VLAN ID |
免过滤VLAN的结束VLAN ID |
|
Status |
免过滤条件生效状态,取值为: · Active:已生效 · Inactive:未生效 |
【相关命令】
· ip verify source exclude
display ipv6 source binding命令用来显示IPv6地址绑定表项信息。
【命令】
display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-relay | dhcpv6-server | dhcpv6-snooping | dot1x | nd-snooping-vlan | nd-snooping-vsi | remote ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
static:显示配置的静态地址绑定表项。
vpn-instance vpn-instance-name:显示指定VPN实例的动态地址绑定表项,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示显示公网的动态地址绑定表项。
dhcpv6-relay:显示DHCPv6 Relay模块生成的动态地址绑定表项。
dhcpv6-server:显示DHCPv6服务器模块生成的动态地址绑定表项。
dhcpv6-snooping:显示DHCPv6 Snooping模块生成的动态地址绑定表项。
dot1x:显示802.1X模块生成的动态地址绑定表项。指定该参数时,必须同时指定802.1X用户接入的slot信息,才能显示相应表项。
nd-snooping-vlan:显示VLAN下ND snooping模块生成的动态绑定表项。
nd-snooping-vsi:显示VSI下ND snooping模块生成的动态绑定表项。
remote:显示路由协议模块同步过来的远端绑定表项。
ip-address ipv6-address:显示指定IPv6地址的地址绑定表项,ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的地址绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的地址绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
interface interface-type interface-number:显示指定接口的地址绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
slot slot-number:显示指定成员设备上的地址绑定表项,slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的地址绑定表项。
【举例】
# 显示公网所有接口的IPv6地址绑定表项和全局的IPv6静态地址绑定表项。
<Sysname> display ipv6 source binding
Total entries found: 2
IPv6 Address MAC Address Interface VLAN Type
2012:1222:2012:1222: 000f-2202-0435 XGE1/0/1 1 DHCPv6 snooping
2012:1222:2012:1222
2012:1222:2012:1222: 000f-2202-0436 XGE1/0/1 N/A Static
2012:1222:2012:1223
表1-6 display ipv6 source-binding命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的地址绑定表项总数 |
|
IPv6 Address |
地址绑定表项的IPv6地址(N/A表示该表项不绑定IPv6地址) |
|
MAC Address |
地址绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
地址绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
地址绑定表项所属的VLAN(N/A表示该表项没有VLAN信息) |
|
Interface |
地址绑定表项所属的接口 |
|
Type |
地址绑定表项类型: · Static表示配置的IPv6静态地址绑定表项,该表项被IP Source Guard模块用于过滤报文,并且配合其它模块提供相应的安全服务 · DHCPv6 relay表示DHCPv6 Relay模块生成的动态地址绑定表项,IP Source Guard模块用该表项过滤报文 · DHCPv6 sever表示DHCPv6服务器模块生成的动态地址绑定表项,该表项上报给控制器,以便控制器了解用户的上下线情况,而不直接用于过滤报文 · DHCPv6 snooping表示DHCPv6 Snooping模块生成的动态地址绑定表项,IP Source Guard模块用该表项过滤报文 · 802.1X表示来源于802.1X模块的动态地址绑定表项,IP Source Guard模块用该表项过滤报文 · ND snooping vlan表示VLAN下的ND Snooping模块生成的动态地址绑定表项,IP Source Guard模块用该表项过滤报文 · ND snooping vsi表示VSI下的ND snooping模块生成的动态地址绑定表项,IP Source Guard模块用该表项过滤报文 · Remote表示路由协议模块同步的远端绑定表项,用于配合ND Detection模块提供相应的安全服务 |
【相关命令】
· ipv6 source binding
· ipv6 verify source
display ipv6 source binding-local命令用来显示路由协议模块关注的IPv6本地绑定表项信息。
【命令】
display ipv6 source binding-local [ interface interface-type interface-number ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
interface interface-type interface-number:显示指定接口的绑定表项,interface-type interface-number表示绑定的接口类型和接口编号。
dhcpv6-relay:显示DHCPv6中继模块生成的动态绑定表项。
nd-snooping-vlan:显示VLAN下的ND Snooping模块生成的动态绑定表项。
ip-address ipv6-address:显示指定IPv6地址的绑定表项,ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定Master设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块关注的所有IPv6本地绑定表项信息。
【举例】
# 显示路由协议模块关注的IPv6本地绑定表项信息。
<Sysname> display ipv6 source binding-local
Total entries found: 2
IPv6 address MAC address Interface VLAN Type
10::1 040a-0000-1000 XGE1/0/1 2 ND snooping vlan
100::1 04ef-7010-1000 Vlan10 10 DHCPv6 relay
表1-7 display ipv6 source binding-local命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IPv6 address |
绑定表项的IPv6地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型,取值包括: · ND snooping vlan:ND Snooping模块生成的VLAN内的动态绑定表项 · DHCPv6 relay:DHCPv6中继模块生成的动态绑定表项,IP Source Guard模块用该表项过滤报文 |
display ipv6 source binding-remote命令用来显示路由协议模块同步的IPv6远端绑定表项信息。
【命令】
display ipv6 source binding-remote [ router-id router-id ] [ dhcpv6-relay | nd-snooping-vlan] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
router-id router-id:显示指定设备同步的动态绑定表项,router-id表示设备的Router ID,为IP地址形式。
dhcpv6-relay:显示DHCPv6中继模块生成的动态绑定表项。
nd-snooping-vlan:显示VLAN下的ND Snooping模块生成的动态绑定表项。
ip-address ipv6-address:显示指定IPv6地址的绑定表项,ipv6-address表示绑定的IPv6地址。
mac-address mac-address:显示指定MAC地址的绑定表项,mac-address表示绑定的MAC地址,格式为H-H-H。
vlan vlan-id:显示指定VLAN的绑定表项,vlan-id表示绑定的VLAN ID,取值范围为1~4094。
slot slot-number:指定成员设备。slot-number为设备在IRF中的成员编号。如果不指定本参数,则表示指定Master设备。
【使用指导】
如果未指定任何参数,则显示设备上路由协议模块同步的所有IPv6远端绑定表项信息。
【举例】
# 显示路由协议模块同步的IPv6远端绑定表项信息。
<Sysname> display ipv6 source binding-remote
Total entries found: 2
IPv6 address MAC address Router ID VLAN Type
10::1 040a-0000-1000 4.4.4.4 2 ND snooping vlan
100::1 04ef-7010-1000 5.5.5.5 10 DHCPv6 relay
表1-8 display ipv6 source binding-remote命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的绑定表项总数 |
|
IPv6 address |
绑定表项的IPv6地址(N/A表示该表项不绑定IP地址) |
|
MAC address |
绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Router ID |
绑定表项所属的路由器ID |
|
VLAN |
绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型,取值包括: · ND snooping vlan:ND Snooping模块生成的VLAN内的动态绑定表项 · DHCPv6 relay:DHCPv6中继模块生成的动态绑定表项 |
display ipv6 source binding pd命令用来显示IPv6前缀绑定表项信息。
【命令】
display ipv6 source binding pd [ vpn-instance vpn-instance-name ] [ prefix prefix/prefix-length ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【参数】
vpn-instance vpn-instance-name:显示指定VPN实例的IPv6前缀绑定表项信息,vpn-instance-name表示MPLS L3VPN的VPN实例名称,为1~31个字符的字符串,区分大小写。如果未指定本参数,则表示显示公网的IPv6前缀绑定表项信息。
prefix prefix/prefix-length:显示指定IPv6前缀/前缀长度对应的IPv6前缀绑定表项信息,其中,prefix-length取值范围为1~128。如果未指定本参数,则显示所有IPv6前缀/前缀长度对应的IPv6前缀绑定表项信息。
mac-address mac-address:显示指定MAC地址的IPv6前缀绑定表项信息,mac-address表示绑定的MAC地址,格式为H-H-H。如果未指定本参数,则显示所有MAC地址对应的IPv6前缀绑定表项信息。
vlan vlan-id:显示指定VLAN内的IPv6前缀绑定表项信息,vlan-id表示绑定的VLAN ID,取值范围为1~4094。如果未指定本参数,则显示所有VLAN内的IPv6前缀绑定表项信息。
interface interface-type interface-number:显示指定接口的IPv6前缀绑定表项信息,interface-type interface-number表示绑定的接口类型和接口编号。如果未指定本参数,则显示所有MAC地址对应的IPv6前缀绑定表项信息。
slot slot-number:显示指定成员设备上的前缀绑定表项,slot-number表示设备在IRF中的成员编号。如果未指定本参数,则显示主设备上的前缀绑定表项。
【使用指导】
IPv6前缀绑定表项是通过动态获取方式生成的,目前只支持从DHCPv6 Snooping获取该表项信息。
【举例】
# 显示所有的IPv6前缀绑定表项。
<Sysname> display ipv6 source binding pd
Total entries found: 3
IPv6 prefix MAC address Interface VLAN Type
2012:1111::/64 000f-2202-0435 XGE1/0/1 1 DHCPv6 snooping
2012:2222::/64 000f-2202-0436 XGE1/0/2 2 DHCPv6 snooping
表1-9 display ipv6 source binding pd命令显示信息描述表
|
字段 |
描述 |
|
Total entries found |
查询到的前缀绑定表项总数 |
|
IPv6 prefix |
前缀绑定表项的IPv6前缀/前缀长度 |
|
MAC address |
前缀绑定表项的MAC地址(N/A表示该表项不绑定MAC地址) |
|
Interface |
前缀绑定表项所属的接口(N/A表示该表项为全局绑定) |
|
VLAN |
前缀绑定表项所属的VLAN(N/A表示该表项中没有VLAN信息) |
|
Type |
绑定表项类型: · DHCPv6 snooping:表示DHCPv6 Snooping模块生成的动态前缀绑定表项 |
【相关命令】
· ipv6 source binding
· ipv6 verify source
display ipv6 source binding statistics命令用来显示路由协议模块关注的IPv6绑定表项统计信息。
【命令】
display ipv6 source binding statistics
【视图】
任意视图
【缺省用户角色】
network-admin
network-operator
【使用指导】
管理员通过查看此统计数据,可对设备上的IPv6本地表项和远端表项数进行实时监控,确定设备学习的IP Source Guard表项规模,来判断表项规模是否达到设备上限,网络中是否存在攻击源等问题。
本命令可显示最近一小时内路由协议模块关注的IPv6绑定表项统计信息。
【举例】
# 显示路由协议模块关注的IPv6绑定表项统计信息。
<Sysname> display ipv6 source binding statistics
Time Local entry count Remote entry count
Current 2000 5200
1 min ago 1351 5135
2 min ago 711 5071
3 min ago 708 4774
…
59 min ago 656 1365
60 min ago 607 1300
表1-10 display ipv6 source binding statistics命令显示信息描述表
|
字段 |
描述 |
|
Time |
记录表项统计信息的时间点 |
|
Local entry count |
本地用户表项的统计计数 |
|
Remote entry count |
远端用户表项的统计计数 |
ip source binding命令用来配置接口的IPv4静态绑定表项。
undo ip source binding命令用来删除接口的IPv4静态绑定表项。
【命令】
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ip source binding { all | ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【缺省情况】
接口上未配置IPv4静态绑定表项。
【视图】
二层以太网端口
三层以太网接口
三层以太网子接口
三层聚合接口
三层聚合子接口
VLAN接口
【缺省用户角色】
network-admin
【参数】
ip-address ip-address:指定接口的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定接口的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
vlan vlan-id:指定接口的IPv4静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。本参数仅在二层以太网接口视图下支持。
all:当前接口所有的IPv4静态绑定表项,本参数只在undo ip source binding命令中生效。
【使用指导】
接口的IPv4静态绑定表项用于过滤接口收到的IPv4报文,或者与ARP Detection功能配合使用检查接入用户的合法性。
【举例】
# 在接口Ten-GigabitEthernet1/0/1上配置一条IPv4静态绑定表项,仅允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【相关命令】
· display ip source binding
· ip source binding (system view)
ip source binding命令用来配置全局的IPv4静态绑定表项。
undo ip source binding命令用来删除已配置的全局IPv4静态绑定表项。
【命令】
ip source binding ip-address ip-address mac-address mac-address
undo ip source binding { all | ip-address ip-address mac-address mac-address }
【缺省情况】
未配置全局IPv4静态绑定表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address ip-address:指定全局的IPv4静态绑定表项的IPv4地址。其中ip-address表示绑定的IPv4地址,必须为A、B、C三类地址之一,不能为127.x.x.x和0.0.0.0。
mac-address mac-address:指定全局的IPv4静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:设备上所有全局的IPv4静态绑定表项,本参数只在undo ip source binding命令中生效。
【使用指导】
全局的IPv4静态绑定表项对设备的所有接口都生效。
【举例】
# 在设备上配置一条全局的IPv4静态绑定表项,允许源IP地址为192.168.0.1且源MAC地址为0001-0001-0001的报文通过。
<Sysname> system-view
[Sysname] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【相关命令】
· display ip source binding
· ip source binding (interface view)
ip verify source命令用来开启IPv4接口绑定功能。
undo ip verify source命令用来关闭IPv4接口绑定功能。
【命令】
ip verify source { ip-address | ip-address mac-address | mac-address }
undo ip verify source
【缺省情况】
接口的IPv4接口绑定功能处于关闭状态。
【视图】
二层以太网端口
三层以太网接口
三层以太网子接口
三层聚合接口
三层聚合子接口
VLAN接口
VLAN视图
【缺省用户角色】
network-admin
【参数】
ip-address:表示绑定源IPv4地址,即根据接口收到的报文的源IPv4地址对报文进行过滤。
ip-address mac-address:表示绑定源IP地址和MAC地址,即接口上收到的报文的源IPv4地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。
mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。
【使用指导】
配置该功能后,IP Source Guard模块会通过静态或动态绑定表项过滤接口收到的用户IP报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。
本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是接口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤接口的报文,则本命令仅用于控制是否开启接口的报文过滤功能,接口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。
在VLAN视图下开启IPv4接口绑定功能,则相当于该VLAN内的所有二层以太网接口上都开启了IPv4接口绑定功能。
不允许在VLAN和该VLAN所属的以太网接口上同时配置IPv4接口绑定功能。若要采用其中一种方式配置,请先删除另外一种方式的配置。
管理员执行本命令修改绑定规则后,只对新接入的用户生效,不会影响已接入用户。当已接入用户下线再重新上线后,才会按照新的绑定规则进行检查。
在同一个接口或VLAN内,IPv4接口绑定功能可多次配置,最后一次的配置生效。
【举例】
# 在二层以太网接口Ten-GigabitEthernet1/0/1上配置IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 在Vlan-interface100上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ip verify source ip-address mac-address
# 在三层以太网接口Ten-GigabitEthernet1/0/2上配置对报文的源IP和MAC地址的IPv4接口绑定功能,根据报文的源IP地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/2
[Sysname-Ten-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 在三层以太网接口Ten-GigabitEthernet1/0/2上配置对报文的源MAC地址的IPv4接口绑定功能,根据报文的源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/2
[Sysname-Ten-GigabitEthernet1/0/2] ip verify source mac-address
# 在VLAN 10上配置IPv4接口绑定功能,根据报文的源IPv4地址和源MAC地址对该VLAN内的所有二层以太网接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] ip verify source ip-address mac-address
【相关命令】
· display ip source binding
· ip verify source trust
ip verify source alarm命令用来开启IPv4接口绑定告警功能。
undo ipv6 verify source alarm命令用来关闭IPv4接口绑定告警功能。
【命令】
ip verify source alarm [ alarm-threshold ]
undo ip verify source alarm
【缺省情况】
IPv4接口绑定告警功能处于关闭状态。
【视图】
二层以太网接口视图
三层以太网接口视图
三层以太网子接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
alarm-threshold:IPv4接口绑定告警功能的告警阈值,取值范围为1~1000,单位为包每秒(pps),缺省值为50。
【使用指导】
在接口上配置IPv4接口绑定功能后,接口会根据绑定表项过滤掉非法报文。在配置本功能后,当每秒过滤掉的报文数大于或等于指定的告警阈值时,设备会生成超出告警阈值的日志信息;当每秒过滤掉的报文数恢复到低于指定的告警阈值,设备会生成问题解除日志信息。
【举例】
# 在二层以太网接口Ten-GigabitEthernet1/0/1上配置IPv4接口绑定告警功能,并指定告警阈值为100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ip verify source alarm 100
# 在VLAN接口10上配置IPv4接口绑定功能丢弃报文数告警功能,并指定告警阈值为100。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ip verify source alarm 100
【相关命令】
· ip verify source
· ip verify source trust
ip verify source exclude命令用来配置IP Source Guard免过滤条件。
undo ip verify source exclude命令用来删除IP Source Guard免过滤条件。
【命令】
ip verify source exclude vlan start-vlan-id [ to end-vlan-id ]
undo ip verify source exclude vlan start-vlan-id [ to end-vlan-id ]
【缺省情况】
未配置IP Source Guard免过滤条件。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
vlan start-vlan-id [ to end-vlan-id ]:指定IP Source Guard免过滤的VLAN范围。start-vlan-id表示过滤VLAN的起始VLAN ID,end-vlan-id表示免过滤的终止VLAN ID,取值范围均为1~4094,end-vlan-id的值要大于或等于start-vlan-id的值。如果不指定end-vlan-id或指定的end-vlan-id和start-vlan-id相同时,则表示只有一个VLAN,即start-vlan-id。
【使用指导】
配置IP Source Guard免过滤条件后,对收到匹配上免过滤条件的IPv4报文,设备不做IP Source Guard检查,直接放行。
可以通过多次执行本命令,配置多个IP Source Guard免过滤VLAN,但不同命令中的VLAN范围不能重叠。
执行undo命令删除已有的指定VLAN范围的IP Source Guard免过滤条件时,该VLAN范围必须和创建免过滤条件时指定的VLAN范围一致,否则删除操作无法成功。
【举例】
# 配置IP Source Guard免过滤的VLAN范围为VLAN3、VLAN5~VLAN10。
<Sysname> system-view
[Sysname] ip verify source exclude vlan 3
[Sysname] ip verify source exclude vlan 5 to 10
【相关命令】
· display ip verify source excluded
ip verify source trust命令用来配置IPv4接口绑定功能的信任接口。
undo ip verify source trust命令用来删除IPv4接口绑定功能的信任接口。
【命令】
ip verify source trust
undo ip verify source trust
【缺省情况】
未配置IPv4接口绑定功能的信任接口。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
当某个接口配置为IPv4接口绑定功能的信任接口后,接口上配置的IPv4接口绑定功能不生效,对于本接口收到的IPv4报文放行,不过滤。
当某个VLAN配置了IPv4接口绑定功能后,在该VLAN所属的某个二层以太网接口上配置了IPv4接口绑定功能的信任接口功能,则该接口的IPv4接口绑定功能不生效。
【举例】
# 在二层以太网接口Ten-GigabitEthernet1/0/1上配置IPv4接口绑定功能的信任接口。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ip verify source trust
【相关命令】
· ip verify source
ipv6 source binding命令用来配置接口的IPv6静态绑定表项。
undo ipv6 source binding命令用来删除接口配置的IPv6静态绑定表项。
【命令】
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ipv6 source binding { all | ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【缺省情况】
接口上未配置IPv6静态绑定表项。
【视图】
二层以太网端口
三层以太网接口
三层以太网子接口
三层聚合接口
三层聚合子接口
VLAN接口
【缺省用户角色】
network-admin
【参数】
ip-address ipv6-address:指定接口的IPv6静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。
mac-address mac-address:指定接口的IPv6静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
vlan vlan-id:指定接口的IPv6静态绑定表项的VLAN。其中vlan-id表示绑定的VLAN ID,取值范围为1~4094。本参数仅在二层以太网接口视图下支持。
all:当前接口所有的IPv6静态绑定表项,本参数只在undo ipv6 source binding命令中生效。
【使用指导】
接口的IPv6静态绑定表项用于过滤接口收到的IPv6报文,或者与ND Detection功能配合使用检查接入用户的合法性。
【举例】
# 在接口Ten-GigabitEthernet1/0/1上配置一条IPv6静态绑定表项,仅允许源IPv6地址为2001::1且源MAC地址为0002-0002-0002的报文通过。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002
【相关命令】
· display ipv6 source binding
· display ipv6 source binding pd
· ipv6 source binding (system view)
ipv6 source binding命令用来配置全局的IPv6静态绑定表项。
undo ipv6 source binding命令用来删除已配置的全局IPv6静态绑定表项。
【命令】
ipv6 source binding ip-address ipv6-address mac-address mac-address
undo ipv6 source binding { all | ip-address ipv6-address mac-address mac-address }
【缺省情况】
未配置全局IPv6静态绑定表项。
【视图】
系统视图
【缺省用户角色】
network-admin
【参数】
ip-address ipv6-address:指定全局的IPv6静态绑定表项的IPv6地址。其中ipv6-address表示绑定的IPv6地址,不能为全0地址、组播地址、环回地址。
mac-address mac-address:指定全局的IPv6静态绑定表项的MAC地址。其中mac-address表示绑定的MAC地址,格式为H-H-H,取值不能为全0、全F(广播MAC)和组播MAC。
all:设备上所有全局的IPv6静态绑定表项,本参数只在undo ipv6 source binding命令中生效。
【使用指导】
全局的IPv6静态绑定表项对设备的所有接口都生效。
【举例】
# 在设备上配置一条全局的IPv6静态绑定表项,允许源IPv6地址为2001::1且源MAC地址为0002-0002-0002的报文通过。
<Sysname> system-view
[Sysname] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002
【相关命令】
· display ipv6 source binding
· display ipv6 source binding pd
· ipv6 source binding (interface view)
ipv6 verify source命令用来开启IPv6接口绑定功能。
undo ipv6 verify source命令用来关闭IPv6接口绑定功能。
【命令】
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
undo ipv6 verify source
【缺省情况】
接口的IPv6接口绑定功能处于关闭状态。
【视图】
二层以太网端口
三层以太网接口
三层以太网子接口
三层聚合接口
三层聚合子接口
VLAN接口
VLAN视图
【缺省用户角色】
network-admin
【参数】
ip-address:表示绑定源IPv6地址,即根据接口收到的报文的源IPv6地址对报文进行过滤。
ip-address mac-address:表示绑定源IPv6地址和MAC地址,即接口上收到的报文的源IPv6地址和源MAC地址都与某动态绑定表项匹配,该报文才能被正常转发,否则将被丢弃。
mac-address:表示绑定源MAC地址,即根据接口收到的报文的源MAC地址对报文进行过滤。
【使用指导】
配置该功能后,IP Source Guard模块会通过静态或动态绑定表项过滤接口收到的用户IPv6报文,符合绑定表项的用户报文被正常转发,不符合绑定表项的用户报文将被丢弃。
本命令中指定的绑定参数,仅对动态生成的绑定表项有效,是接口使用动态绑定表项过滤报文时关心的报文特征项。如果仅使用静态绑定表项来过滤接口的报文,则本命令仅用于控制是否开启接口的报文过滤功能,接口依据配置的静态绑定表项参数来过滤报文,而不关心本命令中指定的参数。
在VLAN视图下开启IPv6接口绑定功能,则相当于该VLAN内的所有二层以太网接口上都开启了IPv6接口绑定功能。
不允许在VLAN和该VLAN所属的以太网接口上同时配置IPv6接口绑定功能。若要采用其中一种方式配置,请先删除另外一种方式的配置。
管理员执行本命令修改绑定规则后,只对新接入的用户生效,不会影响已接入用户。当已接入用户下线再重新上线后,才会按照新的绑定规则进行检查。
在同一个接口或VLAN内,IPv6接口绑定功能可多次配置,最后一次的配置生效
【举例】
# 在二层以太网接口Ten-GigabitEthernet1/0/1上配置IPv6接口绑定功能,根据报文的源IPv6地址和源MAC地址对接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
# 在VLAN 10上配置IPv6接口绑定功能,根据报文的源IPv6地址和源MAC地址对该VLAN内的所有二层以太网接口收到的报文进行过滤。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] ipv6 verify source ip-address mac-address
【相关命令】
· display ipv6 source binding pd
ipv6 verify source alarm命令用来开启IPv6接口绑定告警功能。
undo ipv6 verify source alarm命令用来恢复缺省情况。
【命令】
ipv6 verify source alarm [ alarm-threshold ]
undo ipv6 verify source alarm
【缺省情况】
IPv6接口绑定告警功能处于关闭状态。
【视图】
二层以太网接口视图
三层以太网接口视图
三层以太网子接口视图
VLAN接口视图
【缺省用户角色】
network-admin
【参数】
alarm-threshold:IPv6接口绑定告警功能的告警阈值,取值范围为1~1000,单位为包每秒(pps),缺省值为50。
【使用指导】
在接口上开启IPv6接口绑定功能后,接口会根据绑定表项过滤掉非法报文。在开启本功能后,当每秒过滤掉的报文数大于或等于指定的告警阈值时,设备会生成超出告警阈值的日志信息;当每秒过滤掉的报文数恢复到低于指定的告警阈值,设备会生成问题解除日志信息。
【举例】
# 在二层以太网接口Ten-GigabitEthernet1/0/1上开启IPv6接口绑定告警功能,并指定告警阈值为100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ipv6 verify source alarm 100
# 在VLAN接口10上开启IPv6接口绑定功能丢弃报文数告警功能,并指定告警阈值为100。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ipv6 verify source alarm 100
【相关命令】
· ipv6 verify source
ipv6 verify source max-entries命令用来配置接口上IPv6绑定表项的最大数目,即接口上允许添加的IPv6静态绑定表项和IPv6动态绑定表项的数量总和的最大值。
undo ipv6 verify source max-entries命令用来恢复缺省情况。
【命令】
ipv6 verify source max-entries number
undo ipv6 verify source max-entries
【缺省情况】
不限制接口上IPv6绑定表项的最大数目。
【视图】
二层以太网端口
【缺省用户角色】
network-admin
【参数】
number:接口上IPv6绑定表项的最大数目,取值范围为0~4294967294。
【使用指导】
当接口上的IPv6静态绑定表项和IPv6动态绑定表项的数量总和达到指定的最大值时,接口将不再允许添加新的IPv6绑定表项。
需要注意的是:
· 如果要配置的IPv6绑定表项数目的最大值小于当前接口上已存在的IPv6绑定表项总数,则该最大值可以配置成功,且原有的表项不受影响,但接口将不再允许IPv6绑定表项,除非接口上的IPv6绑定表项数目减少到小于配置的最大数目。
· 接口上实际生效的绑定表项数目将会受到硬件资源的限制。
【举例】
# 配置接口Ten-GigabitEthernet1/0/1上IPv6绑定表项的最大数目为200。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ipv6 verify source max-entries 200
【相关命令】
· ipv6 source binding(interface view)
ipv6 verify source trust命令用来配置IPv6接口绑定功能的信任接口。
undo ipv6 verify source trust命令用来删除IPv6接口绑定功能的信任接口。
【命令】
ipv6 verify source trust
undo ipv6 verify source trust
【缺省情况】
未配置IPv6接口绑定功能的信任接口。
【视图】
二层以太网接口视图
【缺省用户角色】
network-admin
【使用指导】
当某个接口配置为IPv6接口绑定功能的信任接口后,接口上配置的IPv6接口绑定功能不生效,对于本接口收到的IPv6报文放行,不过滤。
某个VLAN接口上开启了IPv6接口绑定功能的情况下,若该VLAN所属的某个二层以太网接口上配置了IPv6接口绑定功能的信任接口功能,则该接口的IPv6接口绑定功能不生效。
【举例】
# 在二层以太网接口Ten-GigabitEthernet1/0/1上配置IPv6接口绑定功能的信任接口。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ipv6 verify source trust
【相关命令】
· ipv6 verify source
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
