13-IP Source Guard命令
本章節下載: 13-IP Source Guard命令 (149.29 KB)
1.1.1 display ip source binding
1.1.2 display ipv6 source binding
1.1.5 ip verify source max-entries
1.1.8 ipv6 verify source max-entries
【命令】
display ip source binding [ static ] [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
static:顯示靜態綁定表項。如果不指定該參數,則表示顯示所有綁定表項,包括動態綁定表項和靜態綁定表項。
interface interface-type interface-number:顯示指定端口的綁定表項。其中interface-type interface-number表示綁定的端口類型和端口編號。
ip-address ip-address:顯示指定IP地址的綁定表項。其中ip-address表示綁定的IP地址。
mac-address mac-address:顯示指定MAC地址的綁定表項。其中mac-address表示綁定的MAC地址,格式為H-H-H。
slot slot-number:顯示指定設備的綁定表項。slot-number表示設備編號,取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ip source binding命令用來顯示IPv4綁定表項信息。
不指定static參數的情況下,本命令用來顯示IPv4動態綁定表項和IPv4靜態綁定表項信息,且還需要注意的是,如果不再指定其他參數,則顯示所有端口的IPv4綁定表項。
指定static參數的情況下,本命令用來顯示IPv4靜態綁定表項信息,且還需要注意的是,如果不再指定其他參數,則顯示所有端口的IPv4靜態綁定表項。
相關配置可參考命令ip verify source和ip source binding。
【舉例】
# 顯示所有的IPv4綁定表項。
<Sysname> display ip source binding
Total entries found: 3
MAC Address IP Address VLAN Interface Type
040a-0000-4000 10.1.0.9 N/A Eth1/0/1 Static
040a-0000-3000 10.1.0.8 2 Eth1/0/2 DHCP-SNP
040a-0000-2000 10.1.0.7 2 Eth1/0/2 DHCP-SNP
# 顯示所有IPv4靜態綁定表項。
<Sysname> display ip source binding static
Total entries found: 2
MAC Address IP Address VLAN Interface Type
040a-0000-0012 10.1.0.12 N/A Eth1/0/3 Static
040a-0000-0013 10.1.0.13 N/A Eth1/0/3 Static
表1-1 display ip source binding命令顯示信息描述表
字段 |
描述 |
Total entries found: |
查詢到的綁定條目總數 |
MAC Address |
綁定表項的MAC地址(N/A表示該表項不綁定MAC地址) |
IP Address |
綁定表項的IP地址(N/A表示該表項不綁定IP地址) |
VLAN |
綁定表項所屬的VLAN(N/A表示該表項中沒有VLAN信息) |
Interface |
綁定表項所屬的接口 |
Type |
綁定表項的類型 · Static:IPv4靜態綁定表項 · DHCP-SNP:DHCP Snooping動態綁定表項 · DHCP-RLY:DHCP relay動態綁定表項 |
【命令】
display ipv6 source binding [ static ] [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]
【視圖】
任意視圖
【缺省級別】
1:監控級
【參數】
static:顯示靜態綁定表項。如果不指定該參數,則表示顯示所有綁定表項,包括動態綁定表項和靜態綁定表項。
interface interface-type interface-number:顯示指定端口的綁定表項。其中interface-type interface-number表示綁定的端口類型和端口編號。
ipv6-address ipv6-address:顯示指定IPv6地址的綁定表項。其中ipv6-address表示綁定的IPv6地址。
mac-address mac-address:顯示指定MAC地址的綁定表項。其中mac-address表示綁定的MAC地址,格式為H-H-H。
slot slot-number:顯示指定設備的綁定表項。slot-number表示設備編號,取值隻能為1。
|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。
begin:從包含指定正則表達式的行開始顯示。
exclude:隻顯示不包含指定正則表達式的行。
include:隻顯示包含指定正則表達式的行。
regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。
【描述】
display ipv6 source binding命令用來顯示IPv6綁定表項信息。
不指定static參數的情況下,本命令用來顯示IPv6動態綁定表項和IPv6靜態綁定表項信息,且還需要注意的是:如果不再指定其他參數,則顯示所有端口的IPv6綁定表項。
指定static參數的情況下,本命令用來顯示IPv6靜態綁定表項信息,且還需要注意的是:如果不再指定其他參數,則顯示所有端口的IPv6靜態綁定表項。
相關配置可參考命令ipv6 verify source和ipv6 source binding。
【舉例】
# 顯示所有IPv6綁定表項。
<Sysname> display ipv6 source binding
Total entries found: 1
MAC Address IP Address VLAN Interface Type
N/A 2001::1 N/A Eth1/0/1 Static-IPv6
表1-2 display ipv6 source binding命令顯示信息描述
字段 |
描述 |
Total entries found: |
查詢到的綁定條目總數 |
MAC Address |
綁定表項的MAC地址(N/A表示該表項不綁定MAC地址) |
IPv6 Address |
綁定表項的IPv6地址(N/A表示該表項不綁定IPv6地址) |
VLAN |
綁定表項所屬的VLAN(N/A表示該表項中沒有VLAN信息) |
Interface |
綁定表項所屬的接口 |
Type |
綁定表項的類型 · Static-IPv6:IPv6靜態綁定表項 · DHCPv6-SNP:DHCPv6 Snooping動態綁定表項 · ND-SNP:ND Snooping動態綁定表項 |
【命令】
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【視圖】
二層以太網端口視圖
【缺省級別】
2:係統級
【參數】
ip-address ip-address:指定靜態綁定表項的IPv4地址。其中ip-address表示綁定的IPv4地址,必須為A、B、C三類地址之一,不能為127.x.x.x和0.0.0.0。
mac-address mac-address:指定靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。
vlan vlan-id:指定靜態綁定表項的VLAN。其中vlan-id表示綁定的VLAN ID,取值範圍為1~4094。
· 當IPv4靜態綁定表項與IP Source Guard功能配合時,靜態綁定表項中的VLAN參數不作為過濾報文的特征項,VLAN參數指定與否,不影響IP Source Guard功能對報文的過濾結果。
· 在IPv4靜態綁定表項與ARP Detection功能配合時,靜態綁定表項中必須指定VLAN參數,且該VLAN為使能ARP Detection功能的VLAN,否則ARP報文將無法通過IPv4靜態綁定表項的檢查。關於ARP Detection功能的相關配置請參見“安全配置指導”中的“ARP攻擊防禦”。
【描述】
ip source binding命令用來配置端口的IPv4靜態綁定表項。undo ip source binding命令用來刪除指定的端口IPv4靜態綁定表項。
缺省情況下,端口上無IPv4靜態綁定表項。
需要注意的是:
· 一個表項不能在同一個端口上重複綁定,但可以在不同端口上綁定。
· 端口如果加入聚合組,則不能配置靜態綁定表項。
相關配置可參考命令display ip source binding static。
【舉例】
# 在端口Ethernet1/0/1上配置一條IPv4靜態綁定表項(綁定IP+MAC)。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【命令】
ip verify source { ip-address | ip-address mac-address | mac-address }
undo ip verify source
【視圖】
二層以太網端口視圖/端口組視圖
【缺省級別】
2:係統級
【參數】
ip-address:表示綁定源IP地址。
ip-address mac-address:表示綁定源IP地址和MAC地址。
mac-address:表示綁定源MAC地址。
【描述】
ip verify source命令用來配置IPv4動態綁定功能。undo ip verify source命令用來恢複缺省情況。
缺省情況下,端口的IPv4動態綁定功能處於關閉狀態。
需要注意的是:
· 本命令中指定的綁定參數,僅對動態生成的綁定表項有效,是端口使用動態綁定表項過濾報文時關心的報文特征項。如果僅使用靜態綁定表項來過濾端口的報文,則本命令僅用於控製是否開啟端口的報文過濾功能,端口依據配置的靜態綁定表項參數來過濾報文,而不關心本命令中指定的參數。
· 端口如果加入聚合組,則不能配置端口的動態綁定功能。
相關配置可參考命令display ip source binding。
【舉例】
# 在二層以太網端口Ethernet1/0/1上配置對報文的源IP和MAC地址的IPv4動態綁定功能,獲取端口上動態生成的DHCP Snooping表項對端口轉發的報文進行過濾。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ip verify source ip-address mac-address
【命令】
ip verify source max-entries number
undo ip verify source max-entries
【視圖】
二層以太網端口視圖
【缺省級別】
2:係統級
【參數】
number:端口上IPv4綁定表項的最大值,取值範圍為0~128。
【描述】
ip verify source max-entries命令用來配置端口上IPv4綁定表項數目的最大值,即端口上所允許添加的IPv4靜態和動態綁定表項的數量總和。undo ip verify source max-entries命令用來恢複缺省值。
缺省情況下,端口上IPv4綁定表項的最大值為128。
當端口上的IPv4綁定表項數目達到指定的最大值時,端口將不再允許添加新的IPv4綁定表項。
需要注意的是,如果要配置的IPv4綁定表項數目的最大值小於當前端口上已存在的IPv4綁定表項總數,則該最大值可以配置成功,且原有的表項不受影響,但端口將不再允許新增IPv4綁定表項,除非端口上的IPv4綁定表項數目減少到小於最大值。
【舉例】
# 配置端口Ethernet1/0/1上IPv4綁定表項數目的最大值為100。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ip verify source max-entries 100
【命令】
ipv6 source binding ipv6-address ipv6-address [ mac-address mac-address ] [ vlan vlan-id ]
undo ipv6 source binding ipv6-address ipv6-address [ mac-address mac-address ] [ vlan vlan-id ]
【視圖】
二層以太網端口視圖
【缺省級別】
2:係統級
【參數】
ipv6-address ipv6-address:指定靜態綁定表項的IPv6地址。其中ipv6-address表示綁定的IPv6地址,不能為全0地址、組播地址、環回地址。
mac-address mac-address:指定靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。
vlan vlan-id:指定靜態綁定表項的VLAN。其中vlan-id表示綁定的VLAN ID,取值範圍為1~4094。
· 當IPv6靜態綁定表項與IP Source Guard功能配合時,靜態綁定表項中的VLAN參數不作為過濾報文的特征項,VLAN參數指定與否,不影響IP Source Guard功能對報文的過濾結果。
· 在IPv6靜態綁定表項與ND Detection功能配合時,靜態綁定表項中必須指定VLAN參數,且該VLAN為使能ND Detection功能的VLAN,否則ARP報文將無法通過IPv4靜態綁定表項的檢查。關於ND Detection功能的相關配置請參見“安全配置指導”中的“ND攻擊防禦”。
【描述】
ipv6 source binding命令用來配置端口IPv6靜態綁定表項。undo ipv6 source binding命令用來刪除指定的端口IPv6靜態綁定表項。
缺省情況下,端口上無IPv6靜態綁定表項。
需要注意的是:
· 一個表項不能在同一個端口上重複綁定,但可以在不同端口上綁定。
· 端口如果加入聚合組,則不能配置端口靜態綁定表項。
· 下行端口為24端口的設備不支持該命令的配置。
相關配置可參考命令display ipv6 source binding static。
【舉例】
# 在端口Ethernet1/0/1上配置一條IPv6靜態綁定表項。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ipv6 source binding ipv6-address 2001::1
【命令】
ipv6 verify source ipv6-address [ mac-address ]
undo ipv6 verify source
【視圖】
二層以太網端口視圖/端口組視圖
【缺省級別】
2:係統級
【參數】
mac-address:表示綁定源IPv6地址和MAC地址。不指定該參數時,表示綁定源IPv6地址。
【描述】
ipv6 verify source命令用來配置IPv6動態綁定功能。undo ipv6 verify source命令用來恢複缺省情況。
缺省情況下,端口的IPv6動態綁定功能處於關閉狀態。
需要注意的是:
· 本命令中指定的綁定參數,僅對動態生成的綁定表項有效,是端口使用動態綁定表項過濾報文時關心的報文特征項。如果僅使用靜態綁定表項來過濾端口的報文,則本命令僅用於控製是否開啟端口的報文過濾功能,端口依據配置的靜態綁定表項參數來過濾報文,而不關心本命令中指定的參數。
· 端口如果加入聚合組,則不能配置端口的動態綁定功能。
相關配置可參考命令display ipv6 source binding。
【舉例】
# 在二層以太網端口Ethernet1/0/1上配置對報文的源IP和MAC地址的IPv6動態綁定功能,獲取端口上動態生成的DHCPv6 Snooping和ND Snooping表項,並對端口轉發的報文進行過濾。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ipv6 verify source ipv6-address mac-address
【命令】
ipv6 verify source max-entries number
undo ipv6 verify source max-entries
【視圖】
二層以太網端口視圖
【缺省級別】
2:係統級
【參數】
number:端口上IPv6綁定表項的最大值,取值範圍為0~128。
【描述】
ipv6 verify source max-entries命令用來配置端口上IPv6綁定表項數目的最大值,即端口上所允許添加的IPv6靜態和動態綁定表項的數量總和。undo ipv6 verify source max-entries命令用來恢複缺省值。
缺省情況下,端口上IPv6綁定表項的最大值為128。
當端口上的IPv6綁定表項數目達到指定的最大值時,端口將不再允許添加新的IPv6綁定表項。
需要注意的是:
· 端口上IPv6綁定表項數目的最大值可以配置到128,但設備實際生效的最大值為124。
· 如果要配置的IPv6綁定表項數目的最大值小於當前端口上已存在的IPv6綁定表項總數,則該最大值可以配置成功,且原有的表項不受影響,但端口將不再允許新增IPv6綁定表項,除非端口上的IPv6綁定表項數目減少到小於最大值。
【舉例】
# 配置端口Ethernet1/0/1上IPv6綁定表項數目的最大值為100。
<Sysname> system-view
[Sysname] interface ethernet 1/0/1
[Sysname-Ethernet1/0/1] ipv6 verify source max-entries 100
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!