• 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

07 安全命令參考

目錄

13-IP Source Guard命令

本章節下載 13-IP Source Guard命令  (149.29 KB)

13-IP Source Guard命令


1 IP Source Guard配置命令

1.1  IP Source Guard配置命令

1.1.1  display ip source binding

【命令】

display ip source binding [ static ] [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【視圖】

任意視圖

【缺省級別】

1:監控級

【參數】

static:顯示靜態綁定表項。如果不指定該參數,則表示顯示所有綁定表項,包括動態綁定表項和靜態綁定表項。

interface interface-type interface-number:顯示指定端口的綁定表項。其中interface-type interface-number表示綁定的端口類型和端口編號。

ip-address ip-address:顯示指定IP地址的綁定表項。其中ip-address表示綁定的IP地址。

mac-address mac-address:顯示指定MAC地址的綁定表項。其中mac-address表示綁定的MAC地址,格式為H-H-H。

slot slot-number:顯示指定設備的綁定表項。slot-number表示設備編號,取值隻能為1。

|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。

begin:從包含指定正則表達式的行開始顯示。

exclude:隻顯示不包含指定正則表達式的行。

include:隻顯示包含指定正則表達式的行。

regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。

【描述】

display ip source binding命令用來顯示IPv4綁定表項信息。

不指定static參數的情況下,本命令用來顯示IPv4動態綁定表項和IPv4靜態綁定表項信息,且還需要注意的是,如果不再指定其他參數,則顯示所有端口的IPv4綁定表項。

指定static參數的情況下,本命令用來顯示IPv4靜態綁定表項信息,且還需要注意的是,如果不再指定其他參數,則顯示所有端口的IPv4靜態綁定表項。

相關配置可參考命令ip verify sourceip source binding

【舉例】

# 顯示所有的IPv4綁定表項。

<Sysname> display ip source binding

 Total entries found: 3

 MAC Address         IP Address          VLAN       Interface       Type

 040a-0000-4000      10.1.0.9            N/A        Eth1/0/1         Static

 040a-0000-3000      10.1.0.8            2          Eth1/0/2         DHCP-SNP

 040a-0000-2000      10.1.0.7            2          Eth1/0/2         DHCP-SNP

# 顯示所有IPv4靜態綁定表項。

<Sysname> display ip source binding static

Total entries found: 2

 MAC Address          IP Address         VLAN       Interface      Type

 040a-0000-0012       10.1.0.12          N/A        Eth1/0/3        Static

 040a-0000-0013       10.1.0.13          N/A        Eth1/0/3        Static

表1-1 display ip source binding命令顯示信息描述表

字段

描述

Total entries found:

查詢到的綁定條目總數

MAC Address

綁定表項的MAC地址(N/A表示該表項不綁定MAC地址)

IP Address

綁定表項的IP地址(N/A表示該表項不綁定IP地址)

VLAN

綁定表項所屬的VLAN(N/A表示該表項中沒有VLAN信息)

Interface

綁定表項所屬的接口

Type

綁定表項的類型

·     Static:IPv4靜態綁定表項

·     DHCP-SNP:DHCP Snooping動態綁定表項

·     DHCP-RLY:DHCP relay動態綁定表項

 

1.1.2  display ipv6 source binding

【命令】

display ipv6 source binding [ static ] [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ]

【視圖】

任意視圖

【缺省級別】

1:監控級

【參數】

static:顯示靜態綁定表項。如果不指定該參數,則表示顯示所有綁定表項,包括動態綁定表項和靜態綁定表項。

interface interface-type interface-number:顯示指定端口的綁定表項。其中interface-type interface-number表示綁定的端口類型和端口編號。

ipv6-address ipv6-address:顯示指定IPv6地址的綁定表項。其中ipv6-address表示綁定的IPv6地址。

mac-address mac-address:顯示指定MAC地址的綁定表項。其中mac-address表示綁定的MAC地址,格式為H-H-H。

slot slot-number:顯示指定設備的綁定表項。slot-number表示設備編號,取值隻能為1。

|:使用正則表達式對顯示信息進行過濾。有關正則表達式的詳細介紹,請參見“基礎配置指導”中的“CLI”。

begin:從包含指定正則表達式的行開始顯示。

exclude:隻顯示不包含指定正則表達式的行。

include:隻顯示包含指定正則表達式的行。

regular-expression:表示正則表達式,為1~256個字符的字符串,區分大小寫。

【描述】

display ipv6 source binding命令用來顯示IPv6綁定表項信息。

不指定static參數的情況下,本命令用來顯示IPv6動態綁定表項和IPv6靜態綁定表項信息,且還需要注意的是:如果不再指定其他參數,則顯示所有端口的IPv6綁定表項。

指定static參數的情況下,本命令用來顯示IPv6靜態綁定表項信息,且還需要注意的是:如果不再指定其他參數,則顯示所有端口的IPv6靜態綁定表項。

相關配置可參考命令ipv6 verify sourceipv6 source binding

【舉例】

# 顯示所有IPv6綁定表項。

<Sysname> display ipv6 source binding

Total entries found: 1

 MAC Address     IP Address                      VLAN  Interface     Type

 N/A             2001::1                         N/A   Eth1/0/1      Static-IPv6

表1-2 display ipv6 source binding命令顯示信息描述

字段

描述

Total entries found:

查詢到的綁定條目總數

MAC Address

綁定表項的MAC地址(N/A表示該表項不綁定MAC地址)

IPv6 Address

綁定表項的IPv6地址(N/A表示該表項不綁定IPv6地址)

VLAN

綁定表項所屬的VLAN(N/A表示該表項中沒有VLAN信息)

Interface

綁定表項所屬的接口

Type

綁定表項的類型

·     Static-IPv6:IPv6靜態綁定表項

·     DHCPv6-SNP:DHCPv6 Snooping動態綁定表項

·     ND-SNP:ND Snooping動態綁定表項

 

1.1.3  ip source binding

【命令】

ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

undo ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

【視圖】

二層以太網端口視圖

【缺省級別】

2:係統級

【參數】

ip-address ip-address:指定靜態綁定表項的IPv4地址。其中ip-address表示綁定的IPv4地址,必須為A、B、C三類地址之一,不能為127.x.x.x和0.0.0.0。

mac-address mac-address:指定靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。

vlan vlan-id:指定靜態綁定表項的VLAN。其中vlan-id表示綁定的VLAN ID,取值範圍為1~4094。

說明

·     當IPv4靜態綁定表項與IP Source Guard功能配合時,靜態綁定表項中的VLAN參數不作為過濾報文的特征項,VLAN參數指定與否,不影響IP Source Guard功能對報文的過濾結果。

·     在IPv4靜態綁定表項與ARP Detection功能配合時,靜態綁定表項中必須指定VLAN參數,且該VLAN為使能ARP Detection功能的VLAN,否則ARP報文將無法通過IPv4靜態綁定表項的檢查。關於ARP Detection功能的相關配置請參見“安全配置指導”中的“ARP攻擊防禦”。

 

【描述】

ip source binding命令用來配置端口的IPv4靜態綁定表項。undo ip source binding命令用來刪除指定的端口IPv4靜態綁定表項。

缺省情況下,端口上無IPv4靜態綁定表項。

需要注意的是:

·     一個表項不能在同一個端口上重複綁定,但可以在不同端口上綁定。

·     端口如果加入聚合組,則不能配置靜態綁定表項。

相關配置可參考命令display ip source binding static

【舉例】

# 在端口Ethernet1/0/1上配置一條IPv4靜態綁定表項(綁定IP+MAC)。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001

1.1.4  ip verify source

【命令】

ip verify source { ip-address | ip-address mac-address | mac-address }

undo ip verify source

【視圖】

二層以太網端口視圖/端口組視圖

【缺省級別】

2:係統級

【參數】

ip-address:表示綁定源IP地址。

ip-address mac-address:表示綁定源IP地址和MAC地址。

mac-address:表示綁定源MAC地址。

【描述】

ip verify source命令用來配置IPv4動態綁定功能。undo ip verify source命令用來恢複缺省情況。

缺省情況下,端口的IPv4動態綁定功能處於關閉狀態。

需要注意的是:

·     本命令中指定的綁定參數,僅對動態生成的綁定表項有效,是端口使用動態綁定表項過濾報文時關心的報文特征項。如果僅使用靜態綁定表項來過濾端口的報文,則本命令僅用於控製是否開啟端口的報文過濾功能,端口依據配置的靜態綁定表項參數來過濾報文,而不關心本命令中指定的參數。

·     端口如果加入聚合組,則不能配置端口的動態綁定功能。

相關配置可參考命令display ip source binding

【舉例】

# 在二層以太網端口Ethernet1/0/1上配置對報文的源IP和MAC地址的IPv4動態綁定功能,獲取端口上動態生成的DHCP Snooping表項對端口轉發的報文進行過濾。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] ip verify source ip-address mac-address

1.1.5  ip verify source max-entries

【命令】

ip verify source max-entries number

undo ip verify source max-entries

【視圖】

二層以太網端口視圖

【缺省級別】

2:係統級

【參數】

number:端口上IPv4綁定表項的最大值,取值範圍為0~128。

【描述】

ip verify source max-entries命令用來配置端口上IPv4綁定表項數目的最大值,即端口上所允許添加的IPv4靜態和動態綁定表項的數量總和。undo ip verify source max-entries命令用來恢複缺省值。

缺省情況下,端口上IPv4綁定表項的最大值為128。

當端口上的IPv4綁定表項數目達到指定的最大值時,端口將不再允許添加新的IPv4綁定表項。

需要注意的是,如果要配置的IPv4綁定表項數目的最大值小於當前端口上已存在的IPv4綁定表項總數,則該最大值可以配置成功,且原有的表項不受影響,但端口將不再允許新增IPv4綁定表項,除非端口上的IPv4綁定表項數目減少到小於最大值。

【舉例】

# 配置端口Ethernet1/0/1上IPv4綁定表項數目的最大值為100。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] ip verify source max-entries 100

1.1.6  ipv6 source binding

【命令】

ipv6 source binding ipv6-address ipv6-address [ mac-address mac-address ] [ vlan vlan-id ]

undo ipv6 source binding ipv6-address ipv6-address [ mac-address mac-address ] [ vlan vlan-id ]

【視圖】

二層以太網端口視圖

【缺省級別】

2:係統級

【參數】

ipv6-address ipv6-address:指定靜態綁定表項的IPv6地址。其中ipv6-address表示綁定的IPv6地址,不能為全0地址、組播地址、環回地址。

mac-address mac-address:指定靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。

vlan vlan-id:指定靜態綁定表項的VLAN。其中vlan-id表示綁定的VLAN ID,取值範圍為1~4094。

說明

·     當IPv6靜態綁定表項與IP Source Guard功能配合時,靜態綁定表項中的VLAN參數不作為過濾報文的特征項,VLAN參數指定與否,不影響IP Source Guard功能對報文的過濾結果。

·     在IPv6靜態綁定表項與ND Detection功能配合時,靜態綁定表項中必須指定VLAN參數,且該VLAN為使能ND Detection功能的VLAN,否則ARP報文將無法通過IPv4靜態綁定表項的檢查。關於ND Detection功能的相關配置請參見“安全配置指導”中的“ND攻擊防禦”。

 

【描述】

ipv6 source binding命令用來配置端口IPv6靜態綁定表項。undo ipv6 source binding命令用來刪除指定的端口IPv6靜態綁定表項。

缺省情況下,端口上無IPv6靜態綁定表項。

需要注意的是:

·     一個表項不能在同一個端口上重複綁定,但可以在不同端口上綁定。

·     端口如果加入聚合組,則不能配置端口靜態綁定表項。

·     下行端口為24端口的設備不支持該命令的配置。

相關配置可參考命令display ipv6 source binding static

【舉例】

# 在端口Ethernet1/0/1上配置一條IPv6靜態綁定表項。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] ipv6 source binding ipv6-address 2001::1

 

1.1.7  ipv6 verify source

【命令】

ipv6 verify source ipv6-address [ mac-address ]

undo ipv6 verify source

【視圖】

二層以太網端口視圖/端口組視圖

【缺省級別】

2:係統級

【參數】

mac-address:表示綁定源IPv6地址和MAC地址。不指定該參數時,表示綁定源IPv6地址。

【描述】

ipv6 verify source命令用來配置IPv6動態綁定功能。undo ipv6 verify source命令用來恢複缺省情況。

缺省情況下,端口的IPv6動態綁定功能處於關閉狀態。

需要注意的是:

·     本命令中指定的綁定參數,僅對動態生成的綁定表項有效,是端口使用動態綁定表項過濾報文時關心的報文特征項。如果僅使用靜態綁定表項來過濾端口的報文,則本命令僅用於控製是否開啟端口的報文過濾功能,端口依據配置的靜態綁定表項參數來過濾報文,而不關心本命令中指定的參數。

·     端口如果加入聚合組,則不能配置端口的動態綁定功能。

相關配置可參考命令display ipv6 source binding

【舉例】

# 在二層以太網端口Ethernet1/0/1上配置對報文的源IP和MAC地址的IPv6動態綁定功能,獲取端口上動態生成的DHCPv6 Snooping和ND Snooping表項,並對端口轉發的報文進行過濾。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] ipv6 verify source ipv6-address mac-address

1.1.8  ipv6 verify source max-entries

【命令】

ipv6 verify source max-entries number

undo ipv6 verify source max-entries

【視圖】

二層以太網端口視圖

【缺省級別】

2:係統級

【參數】

number:端口上IPv6綁定表項的最大值,取值範圍為0~128。

【描述】

ipv6 verify source max-entries命令用來配置端口上IPv6綁定表項數目的最大值,即端口上所允許添加的IPv6靜態和動態綁定表項的數量總和。undo ipv6 verify source max-entries命令用來恢複缺省值。

缺省情況下,端口上IPv6綁定表項的最大值為128。

當端口上的IPv6綁定表項數目達到指定的最大值時,端口將不再允許添加新的IPv6綁定表項。

需要注意的是:

·     端口上IPv6綁定表項數目的最大值可以配置到128,但設備實際生效的最大值為124。

·     如果要配置的IPv6綁定表項數目的最大值小於當前端口上已存在的IPv6綁定表項總數,則該最大值可以配置成功,且原有的表項不受影響,但端口將不再允許新增IPv6綁定表項,除非端口上的IPv6綁定表項數目減少到小於最大值。

【舉例】

# 配置端口Ethernet1/0/1上IPv6綁定表項數目的最大值為100。

<Sysname> system-view

[Sysname] interface ethernet 1/0/1

[Sysname-Ethernet1/0/1] ipv6 verify source max-entries 100

 

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆
官網
聯係我們