目  錄

1 IP Source Guard配置

1.1 IP Source Guard簡介

1.1.1 概述

1.1.2 綁定功能介紹

1.2 配置IPv4綁定功能

1.2.1 配置IPv4靜態綁定功能

1.2.2 配置IPv4動態綁定功能

1.3 配置IPv6綁定功能

1.3.1 配置IPv6靜態綁定功能

1.3.2 配置IPv6動態綁定功能

1.4 IP Source Guard顯示和維護

1.5 IP Source Guard典型配置舉例

1.5.1 IPv4靜態綁定表項配置舉例

1.5.2 IP Source Guard全局靜態綁定例外端口配置舉例

1.5.3 與DHCP Snooping配合的IPv4動態綁定功能配置舉例

1.5.4 與DHCP Relay配合的IPv4動態綁定功能配置舉例

1.5.5 IPv6靜態綁定表項配置舉例

1.5.6 與DHCPv6 Snooping配合的IPv6動態綁定表項配置舉例

1.5.7 與ND Snooping配合的IPv6動態綁定表項配置舉例

1.6 常見配置錯誤舉例

1.6.1 靜態綁定表項配置和動態綁定功能配置失敗

 

1 IP Source Guard配置

 

1.1  IP Source Guard簡介

1.1.1  概述

通過在設備上啟用IP Source Guard功能，可以對端口收到的報文進行過濾控製，防止非法報文通過端口，從而限製了對網絡資源的非法使用（比如非法主機仿冒合法用戶IP接入網絡），提高了端口的安全性。

IP Source Guard在端口上用於過濾報文的特征項包括：源IP地址、源MAC地址。這些特征項可單獨或組合起來與端口進行綁定，形成綁定表項，具體包括：IP、MAC、IP＋MAC。

如圖1-1所示，配置了IP Source Guard的端口接收到報文後查找IP Source Guard綁定表項，如果報文中的特征項與綁定表項中記錄的特征項匹配，則端口轉發該報文，否則做丟棄處理。綁定功能是針對端口的，一個端口配置了綁定功能後，僅該端口被限製，其他端口不受該綁定影響。

圖1-1 IP Source Guard功能示意圖

 

1.1.2  綁定功能介紹

1. 靜態綁定

(1)        靜態綁定類型

按照報文的不同類型進行區分，IP Source Guard靜態綁定可以分為IPv4靜態綁定和IPv6靜態綁定：

l              IPv4靜態綁定：通過手工配置IPv4靜態綁定表項來過濾端口收到的IPv4報文，或者與ARP Detection功能配合使用檢查接入用戶的合法性；

l              IPv6靜態綁定：通過手工配置IPv6靜態綁定表項來過濾端口收到的IPv6報文，或者與ND Detection功能配合使用檢查接入用戶的合法性。

 

(2)        靜態綁定方式

按照綁定方式和生效範圍的不同進行區分，IP Source Guard靜態綁定又可以分為全局靜態綁定和端口靜態綁定兩種：

l              全局靜態綁定：在所有端口上生效。僅當端口收到的報文的IP地址和MAC地址與全局靜態綁定表項中指定的IP地址和MAC地址都匹配或都不匹配時，報文才可以被正常轉發；當報文的IP地址或MAC地址與全局靜態綁定表項中指定的IP地址或MAC地址其中一項匹配時，報文不能被轉發。全局靜態綁定適用於防禦主機仿冒攻擊，可有效過濾攻擊者通過仿冒合法用戶主機的IP地址或者MAC地址向設備發送的偽造IP報文。

l              端口靜態綁定：僅在當前端口上生效。隻有端口收到的報文的IP地址、MAC地址與端口上配置的綁定表項的各參數完全匹配時，報文才可以在該端口被正常轉發，其它報文都不能被轉發。該功能適用於檢查端口上接入用戶的合法性。

(3)        全局靜態綁定例外端口

如圖1-2所示組網環境下，Device B作為接入層設備連接不同VLAN的用戶主機，彙聚層設備Device A作為網關實現各VLAN內主機的三層互通。不同VLAN的用戶主機進行互訪時，用戶IP報文必須經過Device A進行三層轉發，因此返回Device B的用戶IP報文的源MAC地址會發生變化，例如本例中Host A發送給Host B的IP報文的源MAC（0001-0203-0406）被替換為網關的MAC地址（0001-0202-0202），如果Device B上配置了綁定用戶IP地址和MAC地址的全局靜態綁定表項，則該報文會因為與綁定表項中的MAC地址不匹配而被Device B丟棄，從而造成VLAN間主機三層無法互通的問題。

將Device B的上行端口指定為IP Source Guard全局靜態綁定例外端口後，以上問題就得以解決。配置為IP Source Guard全局靜態綁定例外端口的GE2/0/1上，全局靜態綁定表項不會生效，由Device A轉發的用戶報文達到該端口後不會被全局靜態綁定表項過濾掉，可被正常轉發。

圖1-2 IP Source Guard全局靜態綁定例外端口應用組網圖

 

 

2. 動態綁定

根據DHCP的相關表項動態生成綁定表項來完成端口控製功能，通常適用於局域網絡中主機較多，並且采用DHCP進行動態主機配置的情況。其原理是每當DHCP為用戶分配IP地址而生成一條DHCP表項時，動態綁定功能就相應地增加一條綁定表項以允許該用戶訪問網絡。如果某個用戶私自設置IP地址，則不會觸發設備生成相應的DHCP表項，因此動態綁定功能也不會增加相應的訪問規則來允許該用戶訪問網絡。除此之外，IPv6類型的動態綁定還支持自動獲取ND Snooping表項。

l              IPv4動態綁定：根據DHCP Snooping表項或DHCP Relay表項動態生成綁定表項來過濾端口收到的IPv4報文；

l              IPv6動態綁定：根據DHCPv6 Snooping表項或ND Snooping表項動態生成綁定表項來過濾端口收到的IPv6報文。

 

1.2  配置IPv4綁定功能

 

1.2.1  配置IPv4靜態綁定功能

表1-1 配置IPv4全局靜態綁定功能

操作	命令	說明
進入係統視圖	system-view	-
配置IPv4全局靜態綁定表項	user-bind ip-address ip-address mac-address mac-address	必選 缺省情況下，無全局靜態綁定表項
進入二層以太網端口視圖	interface interface-type interface-number	-
指定全局靜態綁定例外端口	user-bind uplink	可選 缺省情況下，端口不是全局靜態綁定例外端口 配置了全局靜態綁定表項後，建議將交換機上行口配置為全局靜態綁定例外端口

 

 

表1-2 配置IPv4端口靜態綁定功能

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置IPv4端口靜態綁定表項	user-bind { ip-address ip-address |  ip-address ip-address mac-address mac-address | mac-address mac-address }	必選 缺省情況下，端口上無IPv4靜態綁定表項

 

 

1.2.2  配置IPv4動態綁定功能

配置了IPv4動態綁定功能的端口，通過與不同的DHCP協議配合來動態生成綁定表項：

l              在二層以太網端口上，IP Source Guard可與DHCP Snooping配合，通過獲取IP地址動態分配時產生的DHCP Snooping表項來生成動態綁定表項；

l              在VLAN接口上，IP Source Guard可與DHCP Relay配合，通過獲取IP地址跨網段動態分配時產生的DHCP Relay表項來生成動態綁定表項。

動態綁定表項中可能包含的內容有：MAC地址、IP地址、VLAN信息、入端口信息及表項類型（DHCP Snooping或DHCP Relay），其中MAC地址、IP地址和VLAN信息的包含情況由動態綁定配置決定。IP Source Guard把這些動態綁定表項下發到端口後，可對端口上轉發的報文進行過濾。

表1-3 配置IPv4動態綁定功能

操作	命令	說明
進入係統視圖	system-view	-
進入接口視圖	interface interface-type interface-number	-
配置IPv4動態綁定功能	ip check source { ip-address | ip-address mac-address | mac-address }	必選 缺省情況下，端口上未配置IPv4動態綁定功能

 

 

1.3  配置IPv6綁定功能

 

1.3.1  配置IPv6靜態綁定功能

表1-4 配置IPv6全局靜態綁定功能

操作	命令	說明
進入係統視圖	system-view	-
配置IPv6全局靜態綁定表項	user-bind ipv6 ip-address ip-address mac-address mac-address	必選 缺省情況下，無全局靜態綁定表項
進入二層以太網端口視圖	interface interface-type interface-number	-
指定全局靜態綁定例外端口	user-bind uplink	可選 缺省情況下，端口不是全局靜態綁定例外端口 配置了全局靜態綁定表項後，建議將交換機上行口配置為全局靜態綁定例外端口

 

 

表1-5 配置IPv6端口靜態綁定功能

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置IPv6端口靜態綁定表項	user-bind ipv6 { ip-address ipv6-address |  ip-address ipv6-address mac-address mac-address | mac-address mac-address }	必選 缺省情況下，端口上無IPv6靜態綁定表項

 

 

1.3.2  配置IPv6動態綁定功能

配置了IPv6動態綁定功能的端口，通過與DHCPv6 Snooping或ND Snooping配合來動態生成綁定表項：

l              在二層以太網端口上，IP Source Guard可與DHCPv6 Snooping配合，通過獲取IPv6地址動態分配時產生的DHCPv6 Snooping表項來生成動態綁定表項；

l              在二層以太網端口上，IP Source Guard可與ND Snooping配合，通過獲取動態產生的ND Snooping表項來生成動態綁定表項。

動態綁定表項中可能包含的內容有：MAC地址、IPv6地址、VLAN信息、入端口信息及表項類型（DHCPv6 Snooping或ND Snooping），其中MAC地址、IPv6地址和VLAN信息的包含情況由動態綁定配置決定。IP Source Guard把這些動態綁定表項下發到端口後，可對端口上轉發的報文進行過濾。

表1-6 配置IPv6動態綁定功能

操作	命令	說明
進入係統視圖	system-view	-
進入二層以太網端口視圖	interface interface-type interface-number	-
配置IPv6動態綁定功能	ip check source ipv6 { ip-address | ip-address mac-address | mac-address }	必選 缺省情況下，端口上未配置IPv6動態綁定功能

 

 

1.4  IP Source Guard顯示和維護

在完成上述配置後，在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況，通過查看顯示信息驗證配置的效果。

表1-7 IP Source Guard顯示和維護（IPv4）

操作	命令
顯示靜態綁定表項信息	display user-bind [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
顯示動態綁定表項信息 （分布式設備）	display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
顯示動態綁定表項信息（分布式IRF設備）	display ip check source [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

表1-8 IP Source Guard顯示和維護（IPv6）

操作	命令
顯示IPv6靜態綁定表項信息	display user-bind ipv6 [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
顯示IPv6動態綁定表項信息（分布式設備）	display ip check source ipv6 [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
顯示IPv6動態綁定表項信息（分布式IRF設備）	display ip check source ipv6 [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ]

 

1.5  IP Source Guard典型配置舉例

1.5.1  IPv4靜態綁定表項配置舉例

1. 組網需求

如圖1-3所示，Host A與Host B分別與Device B的端口GigabitEthernet2/0/2、GigabitEthernet2/0/1相連；Host C與Device A的端口GigabitEthernet2/0/2相連。Device B接到Device A的端口GigabitEthernet2/0/1上。

通過在Device A和Device B上配置IPv4靜態綁定表項，可以滿足以下各項應用需求：

l              Device A的端口GigabitEthernet2/0/2上隻允許Host C發送的IP報文通過。

l              Device A的端口GigabitEthernet2/0/1上隻允許Host A發送的IP報文通過。

l              Device B的端口GigabitEthernet2/0/2上隻允許Host A發送的IP報文通過。

l              Device B的端口GigabitEthernet2/0/1上隻允許Host B發送的IP報文通過。

2. 組網圖

圖1-3 配置靜態綁定表項組網圖

 

3. 配置步驟

(1)        配置Device A

# 配置各接口的IP地址（略）。

# 配置在Device A的GigabitEthernet2/0/2上隻允許MAC地址為0001-0203-0405與IP地址為192.168.0.3的數據終端Host C發送的IP報文通過。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 2/0/2

[DeviceA-GigabitEthernet2/0/2] user-bind ip-address 192.168.0.3 mac-address 0001-0203-0405

[DeviceA-GigabitEthernet2/0/2] quit

# 配置在Device A的GigabitEthernet2/0/1上隻允許MAC地址為0001-0203-0406與IP地址為192.168.0.1的數據終端Host A發送的IP報文通過。

[DeviceA] interface gigabitethernet 2/0/1

[DeviceA-GigabitEthernet2/0/1] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406

(2)        配置Device B

# 配置各接口的IP地址（略）。

# 配置在Device B的GigabitEthernet2/0/2上隻允許MAC地址為0001-0203-0406與IP地址為192.168.0.1的數據終端Host A發送的IP報文通過。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 2/0/2

[DeviceB-GigabitEthernet2/0/2] user-bind ip-address 192.168.0.1 mac-address 0001-0203-0406

[DeviceB-GigabitEthernet2/0/2] quit

# 配置在Device B的GigabitEthernet2/0/1上隻允許MAC地址為0001-0203-0407與IP地址為192.168.0.2的數據終端Host B發送的IP報文通過。

[DeviceB] interface gigabitethernet 2/0/1

[DeviceB-GigabitEthernet2/0/1] user-bind ip-address 192.168.0.2 mac-address 0001-0203-0407

4. 驗證配置結果

# 在Device A上顯示IPv4靜態綁定表項配置成功。

<DeviceA> display user-bind

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0405    192.168.0.3      N/A    GE2/0/2              Static

 0001-0203-0406    192.168.0.1      N/A    GE2/0/1              Static

# 在Device B上顯示IPv4靜態綁定表項配置成功。

<DeviceB> display user-bind

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.1      N/A    GE2/0/2              Static

 0001-0203-0407    192.168.0.2      N/A    GE2/0/1              Static

1.5.2  IP Source Guard全局靜態綁定例外端口配置舉例

1. 組網需求

Host A和Host B通過接入交換機Device B，與彙聚交換機Device A相連。Host A屬於VLAN 10，網關地址為Device A的Vlan-interface1的接口IP：192.168.0.1；Host B屬於VLAN 20，網關地址為Device A的Vlan-interface2的接口IP：192.168.1.1；Device B上隻劃分VLAN，不配置接口IP地址；Host A與Host B通過Device A進行通信。

具體應用需求如下：

l              Device B上阻止仿冒Host A和Host B的IP報文通過。

l              Host A和Host B之間的報文可通過Device B正常轉發。

2. 組網圖

圖1-4 IP Source Guard全局靜態綁定例外端口典型配置組網圖

3. 配置步驟

配置Device B

# 創建VLAN 10，並將端口GigabitEthernet2/0/2加入VLAN 10。

<DeviceB> system-view

[DeviceB] vlan 10

[DeviceB-vlan10] port gigabitethernet 2/0/2

[DeviceB-vlan10] quit

# 創建VLAN 20，並將端口GigabitEthernet2/0/3加入VLAN 20。

[DeviceB] vlan 20

[DeviceB-vlan20] port gigabitethernet 2/0/3

[DeviceB-vlan20] quit

# 將端口GigabitEthernet2/0/1的鏈路類型配置為Trunk，並允許VLAN 10和VLAN 20的報文通過。

[DeviceB] interface gigabitethernet 2/0/1

[DeviceB-GigabitEthernet2/0/1] port link-type trunk

[DeviceB-GigabitEthernet2/0/1] port trunk permit vlan 10 20

[DeviceB-GigabitEthernet2/0/1] quit

# 配置全局靜態綁定表項，阻止仿冒Host A（IP地址：192.168.0.2、MAC地址：0001-0203-0406）和Host B（IP地址：192.168.1.2、MAC地址：0001-0203-0407）的IP報文通過。

<DeviceB> system-view

[DeviceB] user-bind ip-address 192.168.0.2 mac-address 0001-0203-0406

[DeviceB] user-bind ip-address 192.168.1.2 mac-address 0001-0203-0407

# 指定端口GigabitEthernet2/0/1為IP Source Guard全局靜態綁定例外端口。

[DeviceB] interface gigabitethernet 2/0/1

[DeviceB-GigabitEthernet2/0/1] user-bind uplink

[DeviceB-GigabitEthernet2/0/1] quit

4. 驗證配置結果

# 在Device B上顯示IP Source Guard靜態綁定表項信息。

[DeviceB] display user-bind

Total entries found: 2

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.2      N/A    N/A                  Static

 0001-0203-0407    192.168.1.2      N/A    N/A                  Static

Host A和Host B能夠成功ping通對方。

1.5.3  與DHCP Snooping配合的IPv4動態綁定功能配置舉例

1. 組網需求

Device通過端口GigabitEthernet2/0/1和GigabitEthernet2/0/2分別與客戶端Host和DHCP server相連。Device上使能DHCP Snooping功能。

具體應用需求如下：

l              Host（MAC地址為0001-0203-0406）通過DHCP server獲取IP地址。

l              在Device上生成Host的DHCP Snooping表項。

l              在端口GigabitEthernet2/0/1上啟用IPv4動態綁定功能，僅允許通過DHCP server動態獲取IP地址的客戶端可以接入網絡。

 

2. 組網圖

圖1-5 配置與DHCP Snooping配合的IPv4動態綁定功能組網圖

 

3. 配置步驟

(1)        配置DHCP Snooping

# 配置各接口的IP地址（略）。

# 開啟DHCP Snooping功能。

<Device> system-view

[Device] dhcp-snooping

# 設置與DHCP server相連的端口GigabitEthernet2/0/2為信任端口。

[Device] interface gigabitethernet2/0/2

[Device-GigabitEthernet2/0/2] dhcp-snooping trust

[Device-GigabitEthernet2/0/2] quit

(2)        配置IPv4動態綁定功能

# 配置端口GigabitEthernet2/0/1的IPv4動態綁定功能，綁定源IP地址和MAC地址。

[Device] interface gigabitethernet 2/0/1

[Device-GigabitEthernet2/0/1] ip check source ip-address mac-address

[Device-GigabitEthernet2/0/1] quit

4. 驗證配置結果

# 顯示端口GigabitEthernet2/0/1從DHCP Snooping獲取的動態表項。

[Device-GigabitEthernet2/0/1] display ip check source

Total entries found: 1

 MAC Address       IP Address       VLAN   Interface            Type

 0001-0203-0406    192.168.0.1      1      GE2/0/1              DHCP-SNP

# 顯示DHCP Snooping已有的動態表項，查看其是否和端口GigabitEthernet2/0/1獲取的動態表項一致。

[Device-GigabitEthernet2/0/1] display dhcp-snooping

DHCP Snooping is enabled.

The client binding table for all untrusted ports.

Type : D--Dynamic , S--Static

Type IP Address      MAC Address    Lease        VLAN Interface

==== =============== ============== ============ ==== =================

D    192.168.0.1     0001-0203-0406 86335        1    GigabitEthernet2/0/1

從以上顯示信息可以看出，端口GigabitEthernet2/0/1在配置IPv4動態綁定功能之後根據獲取的DHCP Snooping表項產生了動態綁定表項。

1.5.4  與DHCP Relay配合的IPv4動態綁定功能配置舉例

1. 組網需求

Switch通過接口Vlan-interface100和Vlan-interface200分別與客戶端Client A和DHCP server相連。Switch上使能DHCP Relay功能。

具體應用需求如下：

l              Client A（MAC地址為0001-0203-0406）通過DHCP relay從DHCP server上獲取IP地址。

l              在接口Vlan-interface100上啟用IPv4動態綁定功能，利用Switch上生成的DHCP Relay表項，過濾端口轉發的報文。

2. 組網圖

圖1-6 配置動態綁定功能組網圖

 

3. 配置步驟

(1)        配置IPv4動態綁定功能

# 配置各接口的IP地址（略）。

# 在接口Vlan-interface100上配置IPv4動態綁定功能，綁定源IP地址和MAC地址。

<Switch> system-view

[Switch] vlan 100

[Switch-Vlan100] quit

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] ip check source ip-address mac-address

[Switch-Vlan-interface100] quit

(2)        配置DHCP Relay

# 開啟DHCP Relay功能。

[Switch] dhcp enable

# 配置DHCP服務器的地址。

[Switch] dhcp relay server-group 1 ip 10.1.1.1

# 配置接口Vlan-interface100工作在DHCP中繼模式。

[Switch] interface vlan-interface 100

[Switch-Vlan-interface100] dhcp select relay

# 配置接口Vlan-interface100對應服務器組1。

[Switch-Vlan-interface100] dhcp relay server-select 1

[Switch-Vlan-interface100] quit

4. 驗證配置結果

# 顯示生成的IPv4動態綁定表項信息。

[Switch] display ip check source

Total entries found: 1

 MAC Address       IP Address     VLAN   Interface              Type

 0001-0203-0406    192.168.0.1    100    Vlan100                DHCP-RLY

1.5.5  IPv6靜態綁定表項配置舉例

1. 組網需求

IPv6客戶端通過Device的端口GigabitEthernet2/0/1接入網絡。要求在Device上配置IPv6靜態綁定表項，使得端口GigabitEthernet2/0/1上隻允許Host（MAC地址為0001-0202-0202、IPv6地址為2001::1）發送的IPv6報文通過。

2. 組網圖

圖1-7 配置IPv6靜態綁定表項組網圖

 

3. 配置步驟

# 在端口GigabitEthernet2/0/1上配置IPv6靜態綁定表項，綁定源IP地址和MAC地址，隻允許IPv6地址為2001::1且MAC地址為00-01-02-02-02-02的IPv6報文通過。

<Device> system-view

[Device] interface gigabitethernet 2/0/1

[Device-GigabitEthernet2/0/1] user-bind ipv6 ip-address 2001::1 mac-address 0001-0202-0202

[Device-GigabitEthernet2/0/1] quit

4. 驗證配置結果

# 在Device上顯示IPv6靜態綁定表項配置成功。

[Device] display user-bind ipv6

Total entries found: 1

 MAC Address        IP Address        VLAN   Interface             Type

 0001-0202-0202     2001::1           N/A    GE2/0/1               Static_IPv6

1.5.6  與DHCPv6 Snooping配合的IPv6動態綁定表項配置舉例

1. 組網需求

DHCPv6客戶端通過Device的端口GigabitEthernet2/0/1接入網絡，通過DHCPv6 server獲取IPv6地址。

具體應用需求如下：

l              Device上使能DHCPv6 Snooping功能，保證客戶端從合法的服務器獲取IP地址，且記錄客戶端IPv6地址及MAC地址的綁定關係。

l              在端口GigabitEthernet2/0/1上啟用IPv6動態綁定功能，利用動態獲取的DHCPv6 Snooping表項過濾端口轉發的報文，隻允許通過DHCPv6 server動態獲取IP地址的客戶端接入網絡。

2. 組網圖

圖1-8 配置與DHCPv6 Snooping配合的IPv6動態綁定功能組網圖

 

3. 配置步驟

(1)        配置DHCPv6 Snooping

# 全局使能DHCPv6 Snooping功能。

<Device> system-view

[Device] ipv6 dhcp snooping enable

# 在VLAN 2內使能DHCPv6 Snooping功能。

[Device] vlan 2

[Device-vlan2] ipv6 dhcp snooping vlan enable

[Device] quit

# 配置端口GigabitEthernet2/0/2為信任端口。

[Device] interface gigabitethernet 2/0/2

[Device-GigabitEthernet2/0/2] ipv6 dhcp snooping trust

[Device-GigabitEthernet2/0/2] quit

(2)        配置IPv6動態綁定功能

# 配置端口GigabitEthernet2/0/1的IPv6動態綁定功能，綁定源IP地址和MAC地址。

[Device] interface gigabitethernet 2/0/1

[Device-GigabitEthernet2/0/1] ip check source ipv6 ip-address mac-address

[Device-GigabitEthernet2/0/1] quit

4. 驗證配置結果

# 客戶端通過DHCPv6 server成功獲取IP地址之後，通過執行以下命令可查看到已生成的IPv6動態綁定表項信息。

[Device] display ip check source ipv6

Total entries found: 1

 MAC Address          IP Address        VLAN   Interface      Type

 040a-0000-0001       2001::1           2      GE2/0/1        DHCPv6-SNP

# 顯示DHCPv6 Snooping已有的動態表項，查看其是否和端口GigabitEthernet2/0/1生成的IPv6動態綁定表項一致。

[Device] display ipv6 dhcp snooping user-binding dynamic

IP Address                     MAC Address    Lease      VLAN Interface

============================== ============== ========== ==== ==================

2001::1                        040a-0000-0001 286        2    GigabitEthernet2/0/1

---   1 DHCPv6 snooping item(s) found   ---

從以上顯示信息可以看出，IP Source Guard通過獲取端口GigabitEthernet2/0/1上產生的DHCPv6 Snooping表項成功生成了IPv6動態綁定表項。

1.5.7  與ND Snooping配合的IPv6動態綁定表項配置舉例

1. 組網需求

IPv6客戶端通過Device的端口GigabitEthernet2/0/1接入網絡。

具體應用需求如下：

l              Device上使能ND Snooping功能，通過偵聽DAD NS消息來建立ND Snooping表項。

l              在端口GigabitEthernet2/0/1上啟用IPv6動態綁定功能，利用動態獲取的ND Snooping表項過濾端口收到的報文，隻允許合法獲取IPv6地址的客戶端可以接入網絡。

2. 組網圖

圖1-9 配置與ND Snooping配合的IPv6動態綁定功能組網圖

 

3. 配置步驟

(1)        配置ND Snooping

# 在VLAN 2內使能ND Snooping功能。

<Device> system-view

[Device] vlan 2

[Device-vlan2] ipv6 nd snooping enable

[Device-vlan2] quit

(2)        配置IPv6動態綁定功能

# 配置端口GigabitEthernet2/0/1的IPv6動態綁定功能，綁定源IP地址和MAC地址。

[Device] interface gigabitethernet 2/0/1

[Device-GigabitEthernet2/0/1] ip check source ipv6 ip-address mac-address

[Device-GigabitEthernet2/0/1] quit

4. 驗證配置結果

# 在Device上顯示生成的IPv6動態綁定表項信息。

[Device] display ip check source ipv6

Total entries found: 1

 MAC Address          IP Address        VLAN   Interface      Type

 040a-0000-0001       2001::1           2      GE2/0/1        ND-SNP

# 顯示ND Snooping已有的動態表項，查看其是否和端口GigabitEthernet2/0/1獲取的IPv6動態綁定表項一致。

[Device] display ipv6 nd snooping

IPv6 Address                   MAC Address     VID  Interface      Aging Status

2001::1                        040a-0000-0001  2    GE2/0/1        25     Bound

---- Total entries: 1 ----

從以上顯示信息可以看出，IP Source Guard通過獲取端口GigabitEthernet2/0/1上產生的ND Snooping表項成功生成了IPv6動態綁定表項。

1.6  常見配置錯誤舉例

1.6.1  靜態綁定表項配置和動態綁定功能配置失敗

1. 故障現象

在端口上配置靜態綁定表項、配置動態綁定功能均失敗。

2. 故障分析

IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置靜態綁定表項，也不能配置動態綁定功能。

3. 處理過程

將端口退出已加入的聚合組。