- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
18-IP Source Guard命令
本章節下載: 18-IP Source Guard命令 (335.49 KB)
目 錄
1.1.1 display ip source binding
1.1.2 display ip source binding-local
1.1.3 display ip source binding-remote
1.1.4 display ip source binding statistics
1.1.5 display ip verify source excluded
1.1.6 display ipv6 source binding
1.1.7 display ipv6 source binding-local
1.1.8 display ipv6 source binding-remote
1.1.9 display ipv6 source binding pd
1.1.10 display ipv6 source binding statistics
1.1.11 ip source binding (interface view)
1.1.12 ip source binding (system view)
1.1.15 ip verify source exclude
1.1.17 ipv6 source binding (interface view)
1.1.18 ipv6 source binding (system view)
1.1.20 ipv6 verify source alarm
1.1.21 ipv6 verify source max-entries
1.1.22 ipv6 verify source trust
1.1.23 snmp-agent trap enable ipsg
display ip source binding命令用來顯示IPv4綁定表項信息。
【命令】
display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ arp-snooping-vlan | arp-snooping-vsi | dhcp-relay | dhcp-server | dhcp-snooping | dot1x | remote ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
static:顯示配置的靜態綁定表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的動態綁定表項,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示顯示公網的動態綁定表項。
arp-snooping-vlan:顯示VLAN下ARP snooping模塊生成的動態綁定表項。
arp-snooping-vsi:顯示VSI下ARP snooping模塊生成的動態綁定表項。
dhcp-relay:顯示DHCP中繼模塊生成的動態綁定表項。
dhcp-server:顯示DHCP服務器模塊生成的動態綁定表項。
dhcp-snooping:顯示DHCP Snooping模塊生成的動態綁定表項。
dot1x:顯示802.1X模塊生成的動態綁定表項。指定該參數時,必須同時指定802.1X用戶接入的slot信息,才能顯示相應表項。
remote:顯示路由協議模塊同步過來的遠端綁定表項。
ip-address ip-address:顯示指定IPv4地址的綁定表項,ip-address表示綁定的IPv4地址。
mac-address mac-address:顯示指定MAC地址的綁定表項,mac-address表示綁定的MAC地址,格式為H-H-H。
vlan vlan-id:顯示指定VLAN的綁定表項,vlan-id表示綁定的VLAN ID,取值範圍為1~4094。
interface interface-type interface-number:顯示指定接口的綁定表項,interface-type interface-number表示綁定的接口類型和接口編號。
slot slot-number:顯示指定成員設備上的綁定表項,slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示主設備上的綁定表項。
【舉例】
# 顯示公網所有接口的IPv4綁定表項和全局的IPv4靜態綁定表項。
<Sysname> display ip source binding
Total entries found: 5
IP address MAC address Interface VLAN Type
10.1.0.5 040a-0000-4000 XGE1/0/1 1 DHCP snooping
10.1.0.6 040a-0000-3000 XGE1/0/1 1 DHCP snooping
10.1.0.7 040a-0000-2000 XGE1/0/1 1 DHCP snooping
10.1.0.8 040a-0000-1000 XGE1/0/2 N/A DHCP relay
10.1.0.9 040a-0000-2000 XGE1/0/2 N/A Static
表1-1 display ip source-binding命令顯示信息描述表
|
字段 |
描述 |
|
Total entries found |
查詢到的綁定表項總數 |
|
IP address |
綁定表項的IPv4地址(N/A表示該表項不綁定IP地址) |
|
MAC address |
綁定表項的MAC地址(N/A表示該表項不綁定MAC地址) |
|
Interface |
綁定表項所屬的接口(N/A表示該表項為全局綁定) |
|
VLAN |
綁定表項所屬的VLAN(N/A表示該表項中沒有VLAN信息) |
|
Type |
綁定表項類型: · Static表示配置的靜態綁定表項,IP Source Guard模塊用該表項過濾報文,並且配合其它模塊提供相應的安全服務 · ARP snooping vlan表示VLAN下ARP Snooping模塊生成的動態綁定表項,IP Source Guard模塊用該表項過濾報文 · ARP snooping vsi表示VSI下ARP snooping模塊生成的動態綁定表項,IP Source Guard模塊用該表項過濾報文 · 802.1X表示來源於802.1X模塊的動態綁定表項,IP Source Guard模塊用該表項過濾報文 · DHCP relay表示DHCP中繼模塊生成的動態綁定表項,IP Source Guard模塊用該表項過濾報文 · DHCP server表示DHCP服務器模塊生成的動態綁定表項,用於配合其它模塊提供相應的安全服務 · DHCP snooping表示DHCP Snooping模塊生成的動態綁定表項,IP Source Guard模塊用該表項過濾報文 · Remote表示路由協議模塊同步的遠端綁定表項,用於配合ARP Detection模塊提供相應的安全服務 |
【相關命令】
· ip source binding
· ip verify source
display ip source binding-local命令用來顯示路由協議模塊關注的IPv4本地綁定表項信息。
【命令】
display ip source binding-local [ interface interface-type interface-number ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口的綁定表項,interface-type interface-number表示綁定的接口類型和接口編號。
dhcp-relay:顯示DHCP中繼模塊生成的動態綁定表項。
ip-address ip-address:顯示指定IPv4地址的綁定表項,ip-address表示綁定的IPv4地址。
mac-address mac-address:顯示指定MAC地址的綁定表項,mac-address表示綁定的MAC地址,格式為H-H-H。
vlan vlan-id:顯示指定VLAN的綁定表項,vlan-id表示綁定的VLAN ID,取值範圍為1~4094。
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。如果不指定本參數,則表示指定Master設備。
【使用指導】
如果未指定任何參數,則顯示設備上路由協議模塊關注的所有IPv4本地綁定表項信息。
【舉例】
# 顯示路由協議模塊關注的IPv4本地綁定表項信息。
<Sysname> display ip source binding-local
Total entries found: 1
IP address MAC address Interface VLAN Type
10.1.0.5 040a-0000-4000 Vlan1 1 DHCP relay
表1-2 display ip source binding-local命令顯示信息描述表
|
字段 |
描述 |
|
Total entries found |
查詢到的綁定表項總數 |
|
IP address |
綁定表項的IPv4地址(N/A表示該表項不綁定IP地址) |
|
MAC address |
綁定表項的MAC地址(N/A表示該表項不綁定MAC地址) |
|
Interface |
綁定表項所屬的接口(N/A表示該表項為全局綁定) |
|
VLAN |
綁定表項所屬的VLAN(N/A表示該表項中沒有VLAN信息) |
|
Type |
綁定表項類型。DHCP relay表示DHCP中繼模塊生成的動態綁定表項,IP Source Guard模塊用該表項過濾報文 |
display ip source binding-remote命令用來顯示路由協議模塊同步的IPv4遠端綁定表項信息。
【命令】
display ip source binding-remote [ router-id router-id ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
router-id router-id:顯示指定設備同步的動態綁定表項,router-id表示設備的Router ID,為IP地址形式。
dhcp-relay:顯示DHCP中繼模塊生成的動態綁定表項。
ip-address ip-address:顯示指定IPv4地址的綁定表項,ip-address表示綁定的IPv4地址。
mac-address mac-address:顯示指定MAC地址的綁定表項,mac-address表示綁定的MAC地址,格式為H-H-H。
vlan vlan-id:顯示指定VLAN的綁定表項,vlan-id表示綁定的VLAN ID,取值範圍為1~4094。
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。如果不指定本參數,則表示指定Master設備。
【使用指導】
如果未指定任何參數,則顯示設備上路由協議模塊同步的所有IPv4遠端綁定表項信息。
【舉例】
# 顯示路由協議模塊同步的IPv4遠端綁定表項信息。
<Sysname> display ip source binding-remote
Total entries found: 1
IP address MAC address Router ID VLAN Type
10.1.0.5 040a-0000-4000 1.1.1.1 1 DHCP relay
表1-3 display ip source binding-remote命令顯示信息描述表
|
字段 |
描述 |
|
Total entries found |
查詢到的綁定表項總數 |
|
IP address |
綁定表項的IPv4地址(N/A表示該表項不綁定IP地址) |
|
MAC address |
綁定表項的MAC地址(N/A表示該表項不綁定MAC地址) |
|
Router ID |
綁定表項所屬的路由器ID |
|
VLAN |
綁定表項所屬的VLAN(N/A表示該表項中沒有VLAN信息) |
|
Type |
綁定表項類型,DHCP relay表示DHCP中繼模塊生成的動態綁定表項 |
display ip source binding statistics命令用來顯示路由協議模塊關注的IPv4綁定表項統計信息。
【命令】
display ip source binding statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
管理員通過查看此統計數據,可對設備上的IPv4本地表項和遠端表項數進行實時監控,確定設備學習的IP Source Guard表項規模,來判斷表項規模是否達到設備上限,網絡中是否存在攻擊源等問題。
本命令可顯示最近一小時內路由協議模塊關注的IPv4綁定表項。
【舉例】
# 顯示路由協議模塊關注的IPv4綁定表項統計信息。
<Sysname> display ip source binding statistics
Time Remote entry count Local entry count
Current 2000 5200
1 min ago 1351 5135
2 min ago 711 5071
3 min ago 708 4774
…
59 min ago 656 1365
60 min ago 607 1300
表1-4 display ip source binding statistics命令顯示信息描述表
|
字段 |
描述 |
|
Time |
記錄表項統計信息的時間點 |
|
Remote entry count |
遠端用戶表項的統計計數 |
|
Local entry count |
本地用戶表項的統計計數 |
display ip verify source excluded命令用來顯示IP Source Guard免過濾條件生效情況。
【命令】
display ip verify source excluded [ vlan start-vlan-id [ to end-vlan-id ] ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
vlan start-vlan-id [ to end-vlan-id ]:顯示指定VLAN內的信息,start-vlan-id表示起始VLAN ID,end-vlan-id表示結束VLAN ID,取值範圍均為1~4094,end-vlan-id的值要大於或等於start-vlan-id的值。
slot slot-number:顯示指定成員設備上的信息,slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示所有設備上的信息。
【舉例】
# 顯示設備上所有的IP Source Guard免過濾條件生效情況。
<Sysname> display ip verify source excluded
Slot:
Start VLAN ID End VLAN ID Status
1 20 Active
24 50 Active
200 300 Inactive
# 顯示IP Source Guard免過濾VLAN(VLAN3、VLAN5~VLAN10)生效情況。
<Sysname> display ip verify source excluded vlan 3
Slot:
VLAN ID: 3
Status: Active
<Sysname> display ip verify source excluded vlan 5 to 10
Slot:
Start VLAN ID End VLAN ID Status
5 10 Active
表1-5 display ip verify source excluded命令顯示信息描述表格
|
字段 |
描述 |
|
Start VLAN ID |
免過濾VLAN的起始VLAN ID |
|
End VLAN ID |
免過濾VLAN的結束VLAN ID |
|
Status |
免過濾條件生效狀態,取值為: · Active:已生效 · Inactive:未生效 |
【相關命令】
· ip verify source exclude
display ipv6 source binding命令用來顯示IPv6地址綁定表項信息。
【命令】
display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-relay | dhcpv6-server | dhcpv6-snooping | dot1x | nd-snooping-vlan | nd-snooping-vsi | remote ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
static:顯示配置的靜態地址綁定表項。
vpn-instance vpn-instance-name:顯示指定VPN實例的動態地址綁定表項,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示顯示公網的動態地址綁定表項。
dhcpv6-relay:顯示DHCPv6 Relay模塊生成的動態地址綁定表項。
dhcpv6-server:顯示DHCPv6服務器模塊生成的動態地址綁定表項。
dhcpv6-snooping:顯示DHCPv6 Snooping模塊生成的動態地址綁定表項。
dot1x:顯示802.1X模塊生成的動態地址綁定表項。指定該參數時,必須同時指定802.1X用戶接入的slot信息,才能顯示相應表項。
nd-snooping-vlan:顯示VLAN下ND snooping模塊生成的動態綁定表項。
nd-snooping-vsi:顯示VSI下ND snooping模塊生成的動態綁定表項。
remote:顯示路由協議模塊同步過來的遠端綁定表項。
ip-address ipv6-address:顯示指定IPv6地址的地址綁定表項,ipv6-address表示綁定的IPv6地址。
mac-address mac-address:顯示指定MAC地址的地址綁定表項,mac-address表示綁定的MAC地址,格式為H-H-H。
vlan vlan-id:顯示指定VLAN的地址綁定表項,vlan-id表示綁定的VLAN ID,取值範圍為1~4094。
interface interface-type interface-number:顯示指定接口的地址綁定表項,interface-type interface-number表示綁定的接口類型和接口編號。
slot slot-number:顯示指定成員設備上的地址綁定表項,slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示主設備上的地址綁定表項。
【舉例】
# 顯示公網所有接口的IPv6地址綁定表項和全局的IPv6靜態地址綁定表項。
<Sysname> display ipv6 source binding
Total entries found: 2
IPv6 address MAC address Interface VLAN Type
20::1 000f-2202-0435 XGE1/0/1 1 DHCPv6 snooping
200::1 000f-2202-0436 XGE1/0/1 N/A Static
表1-6 display ipv6 source-binding命令顯示信息描述表
|
字段 |
描述 |
|
Total entries found |
查詢到的地址綁定表項總數 |
|
IPv6 address |
地址綁定表項的IPv6地址(N/A表示該表項不綁定IPv6地址) |
|
MAC address |
地址綁定表項的MAC地址(N/A表示該表項不綁定MAC地址) |
|
Interface |
地址綁定表項所屬的接口(N/A表示該表項為全局綁定) |
|
VLAN |
地址綁定表項所屬的VLAN(N/A表示該表項沒有VLAN信息) |
|
Interface |
地址綁定表項所屬的接口 |
|
Type |
地址綁定表項類型: · Static表示配置的IPv6靜態地址綁定表項,該表項被IP Source Guard模塊用於過濾報文,並且配合其它模塊提供相應的安全服務 · DHCPv6 relay表示DHCPv6 Relay模塊生成的動態地址綁定表項,IP Source Guard模塊用該表項過濾報文 · DHCPv6 sever表示DHCPv6服務器模塊生成的動態地址綁定表項,該表項上報給控製器,以便控製器了解用戶的上下線情況,而不直接用於過濾報文 · DHCPv6 snooping表示DHCPv6 Snooping模塊生成的動態地址綁定表項,IP Source Guard模塊用該表項過濾報文 · 802.1X表示來源於802.1X模塊的動態地址綁定表項,IP Source Guard模塊用該表項過濾報文 · ND snooping vlan表示VLAN下的ND Snooping模塊生成的動態地址綁定表項,IP Source Guard模塊用該表項過濾報文 · ND snooping vsi表示VSI下的ND snooping模塊生成的動態地址綁定表項,IP Source Guard模塊用該表項過濾報文 · Remote表示路由協議模塊同步的遠端綁定表項,用於配合ND Detection模塊提供相應的安全服務 |
【相關命令】
· ipv6 source binding
· ipv6 verify source
display ipv6 source binding-local命令用來顯示路由協議模塊關注的IPv6本地綁定表項信息。
【命令】
display ipv6 source binding-local [ interface interface-type interface-number ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
interface interface-type interface-number:顯示指定接口的綁定表項,interface-type interface-number表示綁定的接口類型和接口編號。
dhcpv6-relay:顯示DHCPv6中繼模塊生成的動態綁定表項。
nd-snooping-vlan:顯示VLAN下的ND Snooping模塊生成的動態綁定表項。
ip-address ipv6-address:顯示指定IPv6地址的綁定表項,ipv6-address表示綁定的IPv6地址。
mac-address mac-address:顯示指定MAC地址的綁定表項,mac-address表示綁定的MAC地址,格式為H-H-H。
vlan vlan-id:顯示指定VLAN的綁定表項,vlan-id表示綁定的VLAN ID,取值範圍為1~4094。
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。如果不指定本參數,則表示指定Master設備。
【使用指導】
如果未指定任何參數,則顯示設備上路由協議模塊關注的所有IPv6本地綁定表項信息。
【舉例】
# 顯示路由協議模塊關注的IPv6本地綁定表項信息。
<Sysname> display ipv6 source binding-local
Total entries found: 2
IPv6 address MAC address Interface VLAN Type
10::1 040a-0000-1000 XGE1/0/1 2 ND snooping vlan
100::1 04ef-7010-1000 Vlan10 10 DHCPv6 relay
表1-7 display ipv6 source binding-local命令顯示信息描述表
|
字段 |
描述 |
|
Total entries found |
查詢到的綁定表項總數 |
|
IPv6 address |
綁定表項的IPv6地址(N/A表示該表項不綁定IP地址) |
|
MAC address |
綁定表項的MAC地址(N/A表示該表項不綁定MAC地址) |
|
Interface |
綁定表項所屬的接口(N/A表示該表項為全局綁定) |
|
VLAN |
綁定表項所屬的VLAN(N/A表示該表項中沒有VLAN信息) |
|
Type |
綁定表項類型,取值包括: · ND snooping vlan:ND Snooping模塊生成的VLAN內的動態綁定表項 · DHCPv6 relay:DHCPv6中繼模塊生成的動態綁定表項,IP Source Guard模塊用該表項過濾報文 |
display ipv6 source binding-remote命令用來顯示路由協議模塊同步的IPv6遠端綁定表項信息。
【命令】
display ipv6 source binding-remote [ router-id router-id ] [ dhcpv6-relay | nd-snooping-vlan] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
router-id router-id:顯示指定設備同步的動態綁定表項,router-id表示設備的Router ID,為IP地址形式。
dhcpv6-relay:顯示DHCPv6中繼模塊生成的動態綁定表項。
nd-snooping-vlan:顯示VLAN下的ND Snooping模塊生成的動態綁定表項。
ip-address ipv6-address:顯示指定IPv6地址的綁定表項,ipv6-address表示綁定的IPv6地址。
mac-address mac-address:顯示指定MAC地址的綁定表項,mac-address表示綁定的MAC地址,格式為H-H-H。
vlan vlan-id:顯示指定VLAN的綁定表項,vlan-id表示綁定的VLAN ID,取值範圍為1~4094。
slot slot-number:指定成員設備。slot-number為設備在IRF中的成員編號。如果不指定本參數,則表示指定Master設備。
【使用指導】
如果未指定任何參數,則顯示設備上路由協議模塊同步的所有IPv6遠端綁定表項信息。
【舉例】
# 顯示路由協議模塊同步的IPv6遠端綁定表項信息。
<Sysname> display ipv6 source binding-remote
Total entries found: 2
IPv6 address MAC address Router ID VLAN Type
10::1 040a-0000-1000 4.4.4.4 2 ND snooping vlan
100::1 04ef-7010-1000 5.5.5.5 10 DHCPv6 relay
表1-8 display ipv6 source binding-remote命令顯示信息描述表
|
字段 |
描述 |
|
Total entries found |
查詢到的綁定表項總數 |
|
IPv6 address |
綁定表項的IPv6地址(N/A表示該表項不綁定IP地址) |
|
MAC address |
綁定表項的MAC地址(N/A表示該表項不綁定MAC地址) |
|
Router ID |
綁定表項所屬的路由器ID |
|
VLAN |
綁定表項所屬的VLAN(N/A表示該表項中沒有VLAN信息) |
|
Type |
綁定表項類型,取值包括: · ND snooping vlan:ND Snooping模塊生成的VLAN內的動態綁定表項 · DHCPv6 relay:DHCPv6中繼模塊生成的動態綁定表項 |
display ipv6 source binding pd命令用來顯示IPv6前綴綁定表項信息。
【命令】
display ipv6 source binding pd [ vpn-instance vpn-instance-name ] [ prefix prefix/prefix-length ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【參數】
vpn-instance vpn-instance-name:顯示指定VPN實例的IPv6前綴綁定表項信息,vpn-instance-name表示MPLS L3VPN的VPN實例名稱,為1~31個字符的字符串,區分大小寫。如果未指定本參數,則表示顯示公網的IPv6前綴綁定表項信息。
prefix prefix/prefix-length:顯示指定IPv6前綴/前綴長度對應的IPv6前綴綁定表項信息,其中,prefix-length取值範圍為1~128。如果未指定本參數,則顯示所有IPv6前綴/前綴長度對應的IPv6前綴綁定表項信息。
mac-address mac-address:顯示指定MAC地址的IPv6前綴綁定表項信息,mac-address表示綁定的MAC地址,格式為H-H-H。如果未指定本參數,則顯示所有MAC地址對應的IPv6前綴綁定表項信息。
vlan vlan-id:顯示指定VLAN內的IPv6前綴綁定表項信息,vlan-id表示綁定的VLAN ID,取值範圍為1~4094。如果未指定本參數,則顯示所有VLAN內的IPv6前綴綁定表項信息。
interface interface-type interface-number:顯示指定接口的IPv6前綴綁定表項信息,interface-type interface-number表示綁定的接口類型和接口編號。如果未指定本參數,則顯示所有接口的IPv6前綴綁定表項信息。
slot slot-number:顯示指定成員設備上的前綴綁定表項,slot-number表示設備在IRF中的成員編號。如果未指定本參數,則顯示主設備上的前綴綁定表項。
【使用指導】
IPv6前綴綁定表項是通過動態獲取方式生成的,目前隻支持從DHCPv6 Snooping獲取該表項信息。
【舉例】
# 顯示所有的IPv6前綴綁定表項。
<Sysname> display ipv6 source binding pd
Total entries found: 3
IPv6 prefix MAC address Interface VLAN Type
2012:1111::/64 000f-2202-0435 XGE1/0/1 1 DHCPv6 snooping
2012:2222::/64 000f-2202-0436 XGE1/0/2 2 DHCPv6 snooping
表1-9 display ipv6 source binding pd命令顯示信息描述表
|
字段 |
描述 |
|
Total entries found |
查詢到的前綴綁定表項總數 |
|
IPv6 prefix |
前綴綁定表項的IPv6前綴/前綴長度 |
|
MAC address |
前綴綁定表項的MAC地址(N/A表示該表項不綁定MAC地址) |
|
Interface |
前綴綁定表項所屬的接口(N/A表示該表項為全局綁定) |
|
VLAN |
前綴綁定表項所屬的VLAN(N/A表示該表項中沒有VLAN信息) |
|
Type |
綁定表項類型: · DHCPv6 snooping:表示DHCPv6 Snooping模塊生成的動態前綴綁定表項 |
【相關命令】
· ipv6 source binding
· ipv6 verify source
display ipv6 source binding statistics命令用來顯示路由協議模塊關注的IPv6綁定表項統計信息。
【命令】
display ipv6 source binding statistics
【視圖】
任意視圖
【缺省用戶角色】
network-admin
network-operator
【使用指導】
管理員通過查看此統計數據,可對設備上的IPv6本地表項和遠端表項數進行實時監控,確定設備學習的IP Source Guard表項規模,來判斷表項規模是否達到設備上限,網絡中是否存在攻擊源等問題。
本命令可顯示最近一小時內路由協議模塊關注的IPv6綁定表項統計信息。
【舉例】
# 顯示路由協議模塊關注的IPv6綁定表項統計信息。
<Sysname> display ipv6 source binding statistics
Time Remote entry count Local entry count
Current 2000 5200
1 min ago 1351 5135
2 min ago 711 5071
3 min ago 708 4774
…
59 min ago 656 1365
60 min ago 607 1300
表1-10 display ipv6 source binding statistics命令顯示信息描述表
|
字段 |
描述 |
|
Time |
記錄表項統計信息的時間點 |
|
Remote entry count |
遠端用戶表項的統計計數 |
|
Local entry count |
本地用戶表項的統計計數 |
ip source binding命令用來配置接口的IPv4靜態綁定表項。
undo ip source binding命令用來刪除接口的IPv4靜態綁定表項。
【命令】
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ip source binding { all | ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【缺省情況】
接口上未配置IPv4靜態綁定表項。
【視圖】
二層以太網端口
二層聚合接口
三層以太網接口
三層以太網子接口
三層聚合接口
三層聚合子接口
VLAN接口
【缺省用戶角色】
network-admin
【參數】
ip-address ip-address:指定接口的IPv4靜態綁定表項的IPv4地址。其中ip-address表示綁定的IPv4地址,必須為A、B、C三類地址之一,不能為127.x.x.x和0.0.0.0。
mac-address mac-address:指定接口的IPv4靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。
vlan vlan-id:指定接口的IPv4靜態綁定表項的VLAN。其中vlan-id表示綁定的VLAN ID,取值範圍為1~4094。本參數僅在二層以太網接口視圖下支持。
all:當前接口所有的IPv4靜態綁定表項,本參數隻在undo ip source binding命令中生效。
【使用指導】
接口的IPv4靜態綁定表項用於過濾接口收到的IPv4報文,或者與ARP Detection功能配合使用檢查接入用戶的合法性。
【舉例】
# 在接口Ten-GigabitEthernet1/0/1上配置一條IPv4靜態綁定表項,僅允許源IP地址為192.168.0.1且源MAC地址為0001-0001-0001的報文通過。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【相關命令】
· display ip source binding
· ip source binding (system view)
ip source binding命令用來配置全局的IPv4靜態綁定表項。
undo ip source binding命令用來刪除已配置的全局IPv4靜態綁定表項。
【命令】
ip source binding ip-address ip-address mac-address mac-address
undo ip source binding { all | ip-address ip-address mac-address mac-address }
【缺省情況】
未配置全局IPv4靜態綁定表項。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip-address ip-address:指定全局的IPv4靜態綁定表項的IPv4地址。其中ip-address表示綁定的IPv4地址,必須為A、B、C三類地址之一,不能為127.x.x.x和0.0.0.0。
mac-address mac-address:指定全局的IPv4靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。
all:設備上所有全局的IPv4靜態綁定表項,本參數隻在undo ip source binding命令中生效。
【使用指導】
全局的IPv4靜態綁定表項對設備的所有接口都生效。
【舉例】
# 在設備上配置一條全局的IPv4靜態綁定表項,允許源IP地址為192.168.0.1且源MAC地址為0001-0001-0001的報文通過。
<Sysname> system-view
[Sysname] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001
【相關命令】
· display ip source binding
· ip source binding (interface view)
ip verify source命令用來開啟IPv4接口綁定功能。
undo ip verify source命令用來關閉IPv4接口綁定功能。
【命令】
ip verify source { ip-address | ip-address mac-address | mac-address }
undo ip verify source
【缺省情況】
接口的IPv4接口綁定功能處於關閉狀態。
【視圖】
二層以太網端口
二層聚合接口
三層以太網接口
三層以太網子接口
三層聚合接口
三層聚合子接口
VLAN接口
VLAN視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:表示綁定源IPv4地址,即根據接口收到的報文的源IPv4地址對報文進行過濾。
ip-address mac-address:表示綁定源IP地址和MAC地址,即接口上收到的報文的源IPv4地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄。
mac-address:表示綁定源MAC地址,即根據接口收到的報文的源MAC地址對報文進行過濾。
【使用指導】
配置該功能後,IP Source Guard模塊會通過靜態或動態綁定表項過濾接口收到的用戶IP報文,符合綁定表項的用戶報文被正常轉發,不符合綁定表項的用戶報文將被丟棄。
本命令中指定的綁定參數,僅對動態生成的綁定表項有效,是接口使用動態綁定表項過濾報文時關心的報文特征項。如果僅使用靜態綁定表項來過濾接口的報文,則本命令僅用於控製是否開啟接口的報文過濾功能,接口依據配置的靜態綁定表項參數來過濾報文,而不關心本命令中指定的參數。
在VLAN視圖下開啟IPv4接口綁定功能,則相當於該VLAN內的所有二層以太網接口上都開啟了IPv4接口綁定功能。
不允許在VLAN和該VLAN所屬的以太網接口上同時配置IPv4接口綁定功能。若要采用其中一種方式配置,請先刪除另外一種方式的配置。
管理員執行本命令修改綁定規則後,隻對新接入的用戶生效,不會影響已接入用戶。當已接入用戶下線再重新上線後,才會按照新的綁定規則進行檢查。
在同一個接口或VLAN內,IPv4接口綁定功能可多次配置,最後一次的配置生效。
【舉例】
# 在二層以太網接口Ten-GigabitEthernet1/0/1上配置IPv4接口綁定功能,根據報文的源IP地址和源MAC地址對接口收到的報文進行過濾。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 在Vlan-interface100上配置對報文的源IP和MAC地址的IPv4接口綁定功能,根據報文的源IP地址和源MAC地址對接口收到的報文進行過濾。
<Sysname> system-view
[Sysname] interface vlan-interface 100
[Sysname-Vlan-interface100] ip verify source ip-address mac-address
# 在三層以太網接口Ten-GigabitEthernet1/0/2上配置對報文的源IP和MAC地址的IPv4接口綁定功能,根據報文的源IP地址和源MAC地址對接口收到的報文進行過濾。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/2
[Sysname-Ten-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 在三層以太網接口Ten-GigabitEthernet1/0/2上配置對報文的源MAC地址的IPv4接口綁定功能,根據報文的源MAC地址對接口收到的報文進行過濾。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/2
[Sysname-Ten-GigabitEthernet1/0/2] ip verify source mac-address
# 在VLAN 10上配置IPv4接口綁定功能,根據報文的源IPv4地址和源MAC地址對該VLAN內的所有二層以太網接口收到的報文進行過濾。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] ip verify source ip-address mac-address
【相關命令】
· display ip source binding
· ip verify source trust
ip verify source alarm命令用來開啟IPv4接口綁定告警功能。
undo ip verify source alarm命令用來關閉IPv4接口綁定告警功能。
【命令】
ip verify source alarm [ alarm-threshold ]
undo ip verify source alarm
【缺省情況】
IPv4接口綁定告警功能處於關閉狀態。
【視圖】
二層以太網接口視圖
三層以太網接口視圖
三層以太網子接口視圖
VLAN接口視圖
VLAN視圖
【缺省用戶角色】
network-admin
【參數】
alarm-threshold:IPv4接口綁定告警功能的告警閾值,取值範圍為1~1000,單位為包每秒(pps),缺省值為50。
【使用指導】
在接口上配置IPv4接口綁定功能後,接口會根據綁定表項過濾掉非法報文。在配置本功能後,當每秒過濾掉的報文數大於或等於指定的告警閾值時,設備會生成超出告警閾值的日誌信息;當每秒過濾掉的報文數恢複到低於指定的告警閾值,設備會生成問題解除日誌信息。
請勿在VLAN以及該VLAN下的以太網接口上同時配置IPv4接口綁定告警功能,否則可能影響功能實現。
【舉例】
# 在二層以太網接口Ten-GigabitEthernet1/0/1上配置IPv4接口綁定告警功能,並指定告警閾值為100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ip verify source alarm 100
# 在VLAN接口10上配置IPv4接口綁定功能丟棄報文數告警功能,並指定告警閾值為100。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ip verify source alarm 100
【相關命令】
· ip verify source
· ip verify source trust
ip verify source exclude命令用來配置IP Source Guard免過濾條件。
undo ip verify source exclude命令用來刪除IP Source Guard免過濾條件。
【命令】
ip verify source exclude vlan start-vlan-id [ to end-vlan-id ]
undo ip verify source exclude vlan start-vlan-id [ to end-vlan-id ]
【缺省情況】
未配置IP Source Guard免過濾條件。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
vlan start-vlan-id [ to end-vlan-id ]:指定IP Source Guard免過濾的VLAN範圍。start-vlan-id表示過濾VLAN的起始VLAN ID,end-vlan-id表示免過濾的終止VLAN ID,取值範圍均為1~4094,end-vlan-id的值要大於或等於start-vlan-id的值。如果不指定end-vlan-id或指定的end-vlan-id和start-vlan-id相同時,則表示隻有一個VLAN,即start-vlan-id。
【使用指導】
配置IP Source Guard免過濾條件後,對收到匹配上免過濾條件的IPv4報文,設備不做IP Source Guard檢查,直接放行。
可以通過多次執行本命令,配置多個IP Source Guard免過濾VLAN,但不同命令中的VLAN範圍不能重疊。
執行undo命令刪除已有的指定VLAN範圍的IP Source Guard免過濾條件時,該VLAN範圍必須和創建免過濾條件時指定的VLAN範圍一致,否則刪除操作無法成功。
【舉例】
# 配置IP Source Guard免過濾的VLAN範圍為VLAN3、VLAN5~VLAN10。
<Sysname> system-view
[Sysname] ip verify source exclude vlan 3
[Sysname] ip verify source exclude vlan 5 to 10
【相關命令】
· display ip verify source excluded
ip verify source trust命令用來配置IPv4接口綁定功能的信任接口。
undo ip verify source trust命令用來刪除IPv4接口綁定功能的信任接口。
【命令】
ip verify source trust
undo ip verify source trust
【缺省情況】
未配置IPv4接口綁定功能的信任接口。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
當某個接口配置為IPv4接口綁定功能的信任接口後,接口上配置的IPv4接口綁定功能不生效,對於本接口收到的IPv4報文放行,不過濾。
當某個VLAN配置了IPv4接口綁定功能後,在該VLAN所屬的某個二層以太網接口上配置了IPv4接口綁定功能的信任接口功能,則該接口的IPv4接口綁定功能不生效。
【舉例】
# 在二層以太網接口Ten-GigabitEthernet1/0/1上配置IPv4接口綁定功能的信任接口。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ip verify source trust
【相關命令】
· ip verify source
ipv6 source binding命令用來配置接口的IPv6靜態綁定表項。
undo ipv6 source binding命令用來刪除接口配置的IPv6靜態綁定表項。
【命令】
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
undo ipv6 source binding { all | ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]
【缺省情況】
接口上未配置IPv6靜態綁定表項。
【視圖】
二層以太網端口
二層聚合接口
三層以太網接口
三層以太網子接口
三層聚合接口
三層聚合子接口
VLAN接口
【缺省用戶角色】
network-admin
【參數】
ip-address ipv6-address:指定接口的IPv6靜態綁定表項的IPv6地址。其中ipv6-address表示綁定的IPv6地址,不能為全0地址、組播地址、環回地址。
mac-address mac-address:指定接口的IPv6靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。
vlan vlan-id:指定接口的IPv6靜態綁定表項的VLAN。其中vlan-id表示綁定的VLAN ID,取值範圍為1~4094。本參數僅在二層以太網接口視圖下支持。
all:當前接口所有的IPv6靜態綁定表項,本參數隻在undo ipv6 source binding命令中生效。
【使用指導】
接口的IPv6靜態綁定表項用於過濾接口收到的IPv6報文,或者與ND Detection功能配合使用檢查接入用戶的合法性。
【舉例】
# 在接口Ten-GigabitEthernet1/0/1上配置一條IPv6靜態綁定表項,僅允許源IPv6地址為2001::1且源MAC地址為0002-0002-0002的報文通過。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002
【相關命令】
· display ipv6 source binding
· display ipv6 source binding pd
· ipv6 source binding (system view)
ipv6 source binding命令用來配置全局的IPv6靜態綁定表項。
undo ipv6 source binding命令用來刪除已配置的全局IPv6靜態綁定表項。
【命令】
ipv6 source binding ip-address ipv6-address mac-address mac-address
undo ipv6 source binding { all | ip-address ipv6-address mac-address mac-address }
【缺省情況】
未配置全局IPv6靜態綁定表項。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
ip-address ipv6-address:指定全局的IPv6靜態綁定表項的IPv6地址。其中ipv6-address表示綁定的IPv6地址,不能為全0地址、組播地址、環回地址。
mac-address mac-address:指定全局的IPv6靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址,格式為H-H-H,取值不能為全0、全F(廣播MAC)和組播MAC。
all:設備上所有全局的IPv6靜態綁定表項,本參數隻在undo ipv6 source binding命令中生效。
【使用指導】
全局的IPv6靜態綁定表項對設備的所有接口都生效。
【舉例】
# 在設備上配置一條全局的IPv6靜態綁定表項,允許源IPv6地址為2001::1且源MAC地址為0002-0002-0002的報文通過。
<Sysname> system-view
[Sysname] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002
【相關命令】
· display ipv6 source binding
· display ipv6 source binding pd
· ipv6 source binding (interface view)
ipv6 verify source命令用來開啟IPv6接口綁定功能。
undo ipv6 verify source命令用來關閉IPv6接口綁定功能。
【命令】
ipv6 verify source { ip-address | ip-address mac-address | mac-address }
undo ipv6 verify source
【缺省情況】
接口的IPv6接口綁定功能處於關閉狀態。
【視圖】
二層以太網端口
二層聚合接口
三層以太網接口
三層以太網子接口
三層聚合接口
三層聚合子接口
VLAN接口
VLAN視圖
【缺省用戶角色】
network-admin
【參數】
ip-address:表示綁定源IPv6地址,即根據接口收到的報文的源IPv6地址對報文進行過濾。
ip-address mac-address:表示綁定源IPv6地址和MAC地址,即接口上收到的報文的源IPv6地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄。
mac-address:表示綁定源MAC地址,即根據接口收到的報文的源MAC地址對報文進行過濾。
【使用指導】
配置該功能後,IP Source Guard模塊會通過靜態或動態綁定表項過濾接口收到的用戶IPv6報文,符合綁定表項的用戶報文被正常轉發,不符合綁定表項的用戶報文將被丟棄。
本命令中指定的綁定參數,僅對動態生成的綁定表項有效,是接口使用動態綁定表項過濾報文時關心的報文特征項。如果僅使用靜態綁定表項來過濾接口的報文,則本命令僅用於控製是否開啟接口的報文過濾功能,接口依據配置的靜態綁定表項參數來過濾報文,而不關心本命令中指定的參數。
在VLAN視圖下開啟IPv6接口綁定功能,則相當於該VLAN內的所有二層以太網接口上都開啟了IPv6接口綁定功能。
不允許在VLAN和該VLAN所屬的以太網接口上同時配置IPv6接口綁定功能。若要采用其中一種方式配置,請先刪除另外一種方式的配置。
管理員執行本命令修改綁定規則後,隻對新接入的用戶生效,不會影響已接入用戶。當已接入用戶下線再重新上線後,才會按照新的綁定規則進行檢查。
在同一個接口或VLAN內,IPv6接口綁定功能可多次配置,最後一次的配置生效。
【舉例】
# 在二層以太網接口Ten-GigabitEthernet1/0/1上配置IPv6接口綁定功能,根據報文的源IPv6地址和源MAC地址對接口收到的報文進行過濾。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
# 在VLAN 10上配置IPv6接口綁定功能,根據報文的源IPv6地址和源MAC地址對該VLAN內的所有二層以太網接口收到的報文進行過濾。
<Sysname> system-view
[Sysname] vlan 10
[Sysname-vlan10] ipv6 verify source ip-address mac-address
【相關命令】
· display ipv6 source binding pd
ipv6 verify source alarm命令用來開啟IPv6接口綁定告警功能。
undo ipv6 verify source alarm命令用來恢複缺省情況。
【命令】
ipv6 verify source alarm [ alarm-threshold ]
undo ipv6 verify source alarm
【缺省情況】
IPv6接口綁定告警功能處於關閉狀態。
【視圖】
二層以太網接口視圖
三層以太網接口視圖
三層以太網子接口視圖
VLAN接口視圖
VLAN視圖
【缺省用戶角色】
network-admin
【參數】
alarm-threshold:IPv6接口綁定告警功能的告警閾值,取值範圍為1~1000,單位為包每秒(pps),缺省值為50。
【使用指導】
在接口上開啟IPv6接口綁定功能後,接口會根據綁定表項過濾掉非法報文。在開啟本功能後,當每秒過濾掉的報文數大於或等於指定的告警閾值時,設備會生成超出告警閾值的日誌信息;當每秒過濾掉的報文數恢複到低於指定的告警閾值,設備會生成問題解除日誌信息。
請勿在VLAN以及該VLAN下的以太網接口上同時配置IPv6接口綁定告警功能,否則可能影響功能實現。
【舉例】
# 在二層以太網接口Ten-GigabitEthernet1/0/1上開啟IPv6接口綁定告警功能,並指定告警閾值為100。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ipv6 verify source alarm 100
# 在VLAN接口10上開啟IPv6接口綁定功能丟棄報文數告警功能,並指定告警閾值為100。
<Sysname> system-view
[Sysname] interface vlan-interface 10
[Sysname-Vlan-interface10] ipv6 verify source alarm 100
【相關命令】
· ipv6 verify source
ipv6 verify source max-entries命令用來配置接口上IPv6綁定表項的最大數目,即接口上允許添加的IPv6靜態綁定表項和IPv6動態綁定表項的數量總和的最大值。
undo ipv6 verify source max-entries命令用來恢複缺省情況。
【命令】
ipv6 verify source max-entries number
undo ipv6 verify source max-entries
【缺省情況】
不限製接口上IPv6綁定表項的最大數目。
【視圖】
二層以太網端口
【缺省用戶角色】
network-admin
【參數】
number:接口上IPv6綁定表項的最大數目,取值範圍為0~4294967294。
【使用指導】
當接口上的IPv6靜態綁定表項和IPv6動態綁定表項的數量總和達到指定的最大值時,接口將不再允許添加新的IPv6綁定表項。
需要注意的是:
· 如果要配置的IPv6綁定表項數目的最大值小於當前接口上已存在的IPv6綁定表項總數,則該最大值可以配置成功,且原有的表項不受影響,但接口將不再允許IPv6綁定表項,除非接口上的IPv6綁定表項數目減少到小於配置的最大數目。
· 接口上實際生效的綁定表項數目將會受到硬件資源的限製。
【舉例】
# 配置接口Ten-GigabitEthernet1/0/1上IPv6綁定表項的最大數目為200。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ipv6 verify source max-entries 200
【相關命令】
· ipv6 source binding(interface view)
ipv6 verify source trust命令用來配置IPv6接口綁定功能的信任接口。
undo ipv6 verify source trust命令用來刪除IPv6接口綁定功能的信任接口。
【命令】
ipv6 verify source trust
undo ipv6 verify source trust
【缺省情況】
未配置IPv6接口綁定功能的信任接口。
【視圖】
二層以太網接口視圖
【缺省用戶角色】
network-admin
【使用指導】
當某個接口配置為IPv6接口綁定功能的信任接口後,接口上配置的IPv6接口綁定功能不生效,對於本接口收到的IPv6報文放行,不過濾。
某個VLAN接口上開啟了IPv6接口綁定功能的情況下,若該VLAN所屬的某個二層以太網接口上配置了IPv6接口綁定功能的信任接口功能,則該接口的IPv6接口綁定功能不生效。
【舉例】
# 在二層以太網接口Ten-GigabitEthernet1/0/1上配置IPv6接口綁定功能的信任接口。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/0/1
[Sysname-Ten-GigabitEthernet1/0/1] ipv6 verify source trust
【相關命令】
· ipv6 verify source
snmp-agent trap enable ipsg命令用來開啟IP Source Guard模塊的告警功能。
undo snmp-agent trap enable ipsg命令用來關閉IP Source Guard模塊的告警功能。
【命令】
snmp-agent trap enable ipsg [ drop-threshold ]
undo snmp-agent trap enable ipsg [ drop-threshold ]
【缺省情況】
IP Source Guard模塊的告警功能處於開啟狀態。
【視圖】
係統視圖
【缺省用戶角色】
network-admin
【參數】
drop-threshold:表示接口下每秒因與IP Source Guard綁定表項不匹配而被丟棄的報文數大於等於閾值或恢複到閾值以下的告警功能。
【使用指導】
如果未指定任何參數,則表示開啟IP Source Guard模塊所有的告警功能。
開啟接口下每秒因與IP Source Guard綁定表項不匹配而被丟棄的報文數大於等於閾值或恢複到閾值以下的告警功能後:
· 當每秒接口丟棄的報文數大於等於ip verify source alarm/ipv6 verify source alarm命令指定的告警閾值時,設備就會發送告警信息;
· 當每秒丟棄的報文數從大於等於告警閾值恢複到低於告警閾值時,設備會再次發送告警恢複信息。
【舉例】
# 關閉接口下每秒因與IP Source Guard綁定表項不匹配而被丟棄的報文數大於等於閾值或恢複到閾值以下的告警功能。
<Sysname> system-view
[Sysname] undo snmp-agent trap enable ipsg drop-threshold
【相關命令】
· ip verify source alarm
· ipv6 verify source alarm
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
