- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
15-IP Source Guard配置
本章節下載: 15-IP Source Guard配置 (430.54 KB)
目 錄
1.8.2 與DHCP Snooping配合的IPv4動態綁定功能配置舉例
1.8.3 與DHCP中繼配合的IPv4動態綁定功能配置舉例
1.8.5 與DHCPv6 Snooping配合的IPv6動態綁定表項配置舉例
1.8.6 與DHCPv6中繼配合的IPv6動態綁定功能配置舉例
IP Source Guard功能用於對接口收到的報文進行過濾控製,通常配置在接入用戶側的接口上,以防止非法用戶報文通過,從而限製了對網絡資源的非法使用(比如非法主機仿冒合法用戶IP接入網絡),提高了接口的安全性。
如圖1-1所示,配置了IP Source Guard功能的接口接收到用戶報文後,首先查找與該接口綁定的表項(簡稱為綁定表項),如果報文的信息與某綁定表項匹配,則轉發該報文;若匹配失敗,則查看是否配置了全局靜態綁定表項,如果配置了此類表項,且報文的信息與表項匹配,則轉發該報文,否則丟棄該報文。IP Source Guard可以根據報文的源IP地址、源MAC地址對報文進行過濾。報文的這些特征項可單獨或組合起來與接口進行綁定,主要形成如下幾類綁定表項:
· IP綁定表項
· MAC綁定表項
· IP+MAC綁定表項
IP Source Guard綁定表項可以通過手工配置和動態獲取兩種方式生成。
圖1-1 IP Source Guard功能示意圖
· IP Source Guard的綁定功能是針對接口的,一個接口配置了綁定功能後,僅對該接口接收的報文進行限製,其它接口不受影響。
· 全局IP Source Guard表項僅支持IP+MAC靜態綁定表項。全局靜態綁定表項的詳細介紹,請參見“1.1.2 靜態配置綁定表項”
靜態配置綁定表項是指通過命令行手工配置綁定表項,該方式適用於局域網絡中主機數較少且主機使用靜態配置IP地址的情況,比如在接入某重要服務器的接口上配置綁定表項,僅允許該接口接收與該服務器通信的報文。
IPv4靜態綁定表項用於過濾接口收到的IPv4報文,或者與ARP Detection功能配合使用檢查接入用戶的合法性;IPv6靜態綁定表項用於過濾接口收到的IPv6報文,或者與ND Detection功能配合使用檢查接入用戶的合法性。ARP Detection功能的詳細介紹請參見“安全配置指導”中的“ARP攻擊防禦”。ND Detection功能的詳細介紹請參見“安全配置指導”中的“ND攻擊防禦”。
靜態綁定表項又包括全局靜態綁定表項和接口靜態綁定表項兩種類型,這兩種綁定表項的作用範圍不同。
全局靜態綁定表項是在係統視圖下配置的綁定了IP地址和MAC地址的表項,這類表項在設備的所有端口上生效。全局靜態綁定表項適用於防禦主機仿冒攻擊,可有效過濾攻擊者通過仿冒合法用戶主機的IP地址或者MAC地址向設備發送的偽造IP報文。
端口靜態綁定是在端口上配置的綁定了IP地址、MAC地址以及相關組合的表項,這類表項僅在當前端口上生效。隻有端口收到的報文的IP地址、MAC地址與端口上配置的綁定表項的各參數完全匹配時,報文才可以在該端口被正常轉發,其它報文都不能被轉發,該表項適用於檢查端口上接入用戶的合法性。
動態獲取綁定表項是指通過獲取其它模塊生成的用戶信息來生成綁定表項。目前,可為IP Source Guard提供表項信息的模塊包括ARP Snooping、802.1X、DHCP Snooping、DHCPv6 Snooping、DHCP中繼、DHCPv6中繼、DHCP服務器、ND Snooping模塊。
這種動態獲取綁定表項的方式,通常適用於局域網絡中主機較多的情況。以主機使用DHCP動態獲取IP地址的情況為例,其原理是每當局域網內的主機通過DHCP服務器獲取到IP地址時,DHCP服務器會生成一條DHCP服務器表項,DHCP中繼會生成一條DHCP中繼表項,DHCP Snooping會生成一條DHCP Snooping表項。IP Source Guard可以根據以上任何一條表項相應地增加一條IP Source Guard綁定表項來判斷是否允許該用戶訪問網絡。如果某個用戶私自設置IP地址,則不會觸發設備生成相應的DHCP表項,IP Source Guard也不會增加相應的綁定表項,因此該用戶的報文將會被丟棄。
在配置了IPv4動態綁定功能的接口上,IP Source Guard通過與不同的模塊配合動態生成綁定表項:
· 在二層以太網端口或二層聚合接口上,IP Source Guard可與DHCP Snooping配合,通過主機動態獲取IP地址時產生的DHCP Snooping表項來生成動態綁定表項,並用於過濾報文。
· 在三層以太網接口或VLAN接口上,IP Source Guard可與DHCP中繼配合,通過主機跨網段獲取IP地址時產生的DHCP中繼表項來生成動態綁定表項,並用於過濾報文。
· 在三層以太網接口或VLAN接口上,IP Source Guard可與ARP泛洪抑製配合,表項上報給控製器,以便控製器了解用戶的上下線情況,而不直接用於過濾報文。
· 在二層以太網端口或二層聚合接口上,IP Source Guard可與802.1X配合,通過獲取認證用戶的信息來生成動態綁定表項,用於配合其它模塊提供相關的安全服務,而不直接用於過濾報文。
· 在二層以太網端口或二層聚合接口上,IP Source Guard可與ARP Snooping配合,通過獲取的ARP Snooping表項來生成動態綁定表項,並用於過濾報文。
· 在三層以太網接口或VLAN接口上,IP Source Guard可與DHCP服務器配合,通過DHCP 服務器為主機動態分配IP地址時記錄的用戶信息來生成動態綁定表項,用於配合其它模塊(例如授權ARP)提供相關的安全服務,而不直接用於過濾報文。
802.1X功能的詳細介紹請參見“安全配置指導”中的“802.1X”。ARP Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“ARP”。DHCP Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP Snooping”。DHCP中繼功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP中繼”。DHCP服務器功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCP服務器”。
在配置了IPv6動態綁定功能的接口上,IP Source Guard通過與不同模塊配合動態生成綁定表項:
· 在二層以太網端口上,IP Source Guard可與DHCPv6 Snooping配合,通過主機動態獲取IP地址時產生的DHCPv6 Snooping表項來生成動態綁定表項,並用於過濾報文。
· 在三層以太網接口或VLAN接口上,IP Source Guard可與DHCPv6中繼/ND RA配合,通過主機跨網段獲取IPv6地址時產生的DHCPv6中繼/ND RA表項來生成動態綁定表項,並用於過濾報文。
· 在三層以太網接口或VLAN接口上,IP Source Guard可與ND泛洪抑製或DHCPv6服務器配合,表項上報給控製器,以便控製器了解用戶的上下線情況,而不直接用於過濾報文。
· 在二層以太網端口上,IP Source Guard可與ND Snooping配合,通過獲取的ND Snooping表項來生成動態綁定表項,並用於過濾報文。
· 在二層以太網端口上,IP Source Guard可與802.1X配合,通過獲取認證用戶的信息來生成動態綁定表項,用於配合其它模塊提供相關的安全服務,而不直接用於過濾報文。
802.1X功能的詳細介紹請參見“安全配置指導”中的“802.1X”。DHCPv6 Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”的“DHCPv6 Snooping”。ND Snooping功能的詳細介紹請參見“三層技術-IP業務配置指導”的“IPv6基礎”。ND RA功能的詳細介紹請參見“三層技術-IP業務配置指導”的“IPv6鄰居發現”。DHCPv6中繼功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6中繼”。DHCPv6服務器功能的詳細介紹請參見“三層技術-IP業務配置指導”中的“DHCPv6服務器”。
設備除了支持靜態配置綁定表項和動態獲取綁定表項,還可以通過路由協議(如BGP協議)從其他設備同步表項信息,這類表項稱為遠端綁定表項。缺省情況下,遠端綁定表項不存在出接口信息,所以設備無法使用遠端綁定表項過濾報文。當遠端設備下的用戶漫遊到本設備下後,本設備可以根據用戶的ARP/ND表項學習到遠端綁定表項的接口信息,然後生成對應的本地綁定表項。IP Source Guard就可以使用生成的本地綁定表項中的信息過濾接口收到的報文。
關於BGP的詳細介紹,請參見“三層技術—IP路由配置指導”中的”BGP概述”。
配置IP Source Guard功能時需要注意:
· 加入業務環回組的接口上不能配置IP Source Guard功能,反之亦然。
· 聚合口和聚合成員口不能同時配置IP Source Guard功能,在聚合口配置IP Source Guard功能時,需要先取消成員口上的IP Source Guard配置。
· 二層以太網端口配置1:1及N:1 VLAN映射後支持IP Source Guard表項綁定原始VLAN,聚合口配置VLAN映射後不支持IP Source Guard表項綁定原始VLAN。VLAN映射的詳細介紹請參見“二層技術-以太網交換配置指導”中的“VLAN映射”。
表1-1 IPv4綁定功能配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置IPv4接口綁定功能 |
必選 |
|
|
配置IPv4靜態綁定表項 |
可選 |
|
|
配置IPv4報文免過濾條件 |
可選 |
|
|
開啟IPv4接口綁定告警功能 |
可選 |
表1-2 IPv6綁定功能配置任務簡介
|
配置任務 |
說明 |
詳細配置 |
|
配置IPv6接口綁定功能 |
必選 |
|
|
配置IPv6靜態綁定表項 |
可選 |
|
|
配置接口上IPv6綁定表項的最大數目 |
可選 |
|
|
開啟IPv6接口綁定告警功能 |
可選 |
配置了IPv4接口綁定功能的接口,將打開根據綁定表項過濾報文的開關,並利用配置的IPv4靜態綁定表項和從其它模塊獲取的IPv4動態綁定表項對接口轉發的報文進行過濾或者配合其它模塊提供相關的安全服務。
(1) IPv4靜態綁定表項中指定的信息均用於IP Source Guard過濾接口收到的報文,具體配置請參考“1.4.2 配置IPv4靜態綁定表項”。
(2) IPv4動態綁定表項中可能包含的內容有:MAC地址、IP地址、VLAN信息、入接口信息及表項類型(DHCP Snooping、DHCP中繼等)。IP Source Guard依據該表項中的哪些信息過濾接口收到的報文,由IPv4接口綁定配置決定:
· 若接口上配置動態綁定功能時綁定了源IP地址和MAC地址,則隻有接口上收到的報文的源IPv4地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源IP地址,則隻有該接口收到的報文的源IPv4地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源MAC地址,則隻有該接口收到的報文的源MAC地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄。
要實現IPv4動態綁定功能,請保證網絡中的DHCP Snooping、DHCP中繼、DHCP服務器配置有效且工作正常。
表1-3 配置IPv4接口綁定功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
可支持二層以太網端口/二層聚合接口/三層以太網接口/VLAN接口 |
|
開啟IPv4接口綁定功能 |
ip verify source { ip-address | ip-address mac-address | mac-address } |
缺省情況下,接口的IPv4接口綁定功能處於關閉狀態 IPv4接口綁定功能可多次配置,最後一次的配置生效 |
IPv4靜態綁定表項包括全局的IPv4靜態綁定表項和接口的IPv4靜態綁定表項。
接口的IPv4靜態綁定表項和動態綁定表項的優先級高於全局的IPv4靜態綁定表項,即接口優先使用本接口上的靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的靜態綁定表項進行匹配。
全局的IPv4靜態綁定表項中定義了接口允許轉發的報文的IP地址和MAC地址,對設備的所有接口都生效。
目前支持在接口下配置IPv4接口綁定功能,接口下配置的IPv4接口綁定功能隻對當前接口生效。
表1-4 配置全局的IPv4靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置全局的IPv4靜態綁定表項 |
ip source binding ip-address ip-address mac-address mac-address |
缺省情況下,未配置全局IPv4靜態綁定表項 |
表1-5 配置接口的IPv4靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
可支持二層以太網端口/二層聚合接口/三層以太網接口/VLAN接口 |
|
配置接口的IPv4靜態綁定表項 |
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } |
缺省情況下,接口上未配置IPv4靜態綁定表項 |
同一個表項可以在不同的接口上綁定。
在接口上配置了IPv4綁定功能後,接口上會下發默認規則,即丟棄所有無綁定表項的不合法用戶的IPv4報文。為便於用戶靈活控製報文過濾規則,可以通過配置IPv4報文免過濾條件(目前隻能指定免過濾VLAN),來放行指定VLAN下的所有IPv4報文。
表1-6 配置IPv4報文免過濾條件
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置IPv4報文免過濾條件 |
ip verify source exclude vlan start-vlan-id [ to end-vlan-id ] |
缺省情況下,未配置免過濾條件 |
可以多次配置IPv4報文免過濾條件,但其指定的VLAN範圍不能相互重疊。
在接口上配置IPv4接口綁定功能後,接口會根據綁定表項過濾掉非法報文。在配置本功能後,當每秒過濾掉的報文數大於或等於指定的告警閾值時,設備會生成超出告警閾值的日誌信息;當每秒過濾掉的報文數恢複到低於指定的告警閾值,設備會生成問題解除日誌信息。
表1-7 開啟IPv4接口綁定告警功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟IPv4接口綁定告警功能 |
ip verify source alarm [ alarm-threshold ] |
缺省情況下,IPv4接口綁定告警功能處於關閉狀態 |
配置了IPv6接口綁定功能的接口,將打開根據綁定表項過濾報文的開關,並利用配置的IPv6靜態綁定表項和從其他模塊獲取的IPv6動態綁定表項對接口轉發的報文進行過濾。
(1) IPv6靜態綁定表項中指定的信息均用於IP Source Guard過濾接口收到的報文,具體配置請參考“1.5.2 配置IPv6靜態綁定表項”。
(2) IPv6動態綁定表項中可能包含的信息有:MAC地址、IP地址、VLAN信息、入接口信息及表項類型(DHCPv6 Snooping、DHCPv6 Relay等)。IP Source Guard依據該表項中的哪些信息過濾接口收到的報文,由IPv6接口綁定配置決定:
· 若接口上配置動態綁定功能時綁定了源IP地址和MAC地址,則隻有接口上收到的報文的源IPv6地址和源MAC地址都與某動態綁定表項匹配,該報文才能被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源IP地址,則隻有該接口收到的報文的源IPv6地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄;
· 若接口上配置動態綁定功能時僅綁定了源MAC地址,則隻有該接口收到的報文的源MAC地址與某動態綁定表項匹配,該報文才會被正常轉發,否則將被丟棄。
要實現IPv6動態綁定功能,請保證網絡中的DHCPv6 Snooping、DHCPv6 Relay、ND Snooping配置有效且工作正常。
目前支持在接口下配置IPv6接口綁定功能,接口下配置的IPv6接口綁定功能隻對當前接口生效。
表1-8 配置IPv6接口綁定功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
可支持二層以太網端口/二層聚合接口/三層以太網接口/VLAN接口 |
|
配置IPv6接口綁定功能 |
ipv6 verify source { ip-address | ip-address mac-address | mac-address } |
缺省情況下,接口的IPv6接口綁定功能處於關閉狀態 IPv6接口綁定功能可多次配置,最後一次的配置生效。 |
IPv6靜態綁定功能包括全局的IPv6靜態綁定功能和接口的IPv6靜態綁定功能。
接口的IPv6靜態綁定表項和IPv6動態綁定表項的優先級高於全局的IPv6靜態綁定表項,即接口優先使用本接口上的IPv6靜態或動態綁定表項對收到的報文進行匹配,若匹配失敗,再與全局的IPv6靜態綁定表項進行匹配。
全局的IPv6靜態綁定表項中定義了接口允許轉發的報文的IPv6地址和MAC地址,對設備的所有接口都生效。
表1-9 配置全局的IPv6靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置全局的IPv6靜態綁定表項 |
ipv6 source binding ip-address ipv6-address mac-address mac-address |
缺省情況下,未配置全局IPv6靜態綁定表項 |
表1-10 配置接口的IPv6靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
可支持二層以太網端口/二層聚合接口/三層以太網接口/VLAN接口 |
|
配置接口的IPv6靜態綁定表項 |
ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } |
缺省情況下,未配置接 口上IPv6靜態綁定表項 |
同一個表項可以在不同接口上綁定。
通過配置接口上IPv6綁定表項的最大數目,可以限製接口上允許添加的IPv6靜態綁定表項和IPv6動態綁定表項數量之和的最大值。當接口上表項數目達到最大綁定表項數目時,該接口不會繼續添加新的IPv6綁定表項。
表1-11 配置接口上IPv6綁定表項的最大數目
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入端口視圖 |
interface interface-type interface-number |
僅支持二層以太網端口 |
|
配置接口上IPv6綁定表項的最大數目 |
ipv6 verify source max-entries number |
缺省情況下,不限製接口上IPv6綁定表項的最大數目 |
在接口上配置IPv6接口綁定功能後,接口會根據綁定表項過濾掉非法報文。在配置本功能後,當每秒過濾掉的報文數大於或等於指定的告警閾值時,設備會生成超出告警閾值的日誌信息;當每秒過濾掉的報文數恢複到低於指定的告警閾值,設備會生成問題解除日誌信息。
表1-12 開啟IPv6接口綁定告警功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
開啟IPv6接口綁定告警功能 |
ipv6 verify source alarm [ alarm-threshold ] |
缺省情況下,IPv6接口綁定告警功能處於關閉狀態 |
開啟IP Source Guard模塊的告警功能後,IP Source Guard模塊會生成告警信息,用於報告該模塊的重要事件。例如,當每秒接口丟棄的報文數大於等於告警閾值時,設備會發送告警信息;當每秒丟棄的報文數從大於等於告警閾值恢複到低於告警閾值時,設備會再次發送告警恢複信息。生成的告警信息將發送到設備的SNMP模塊,請通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。
有關SNMP和信息中心的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”和“信息中心”。
表1-13 開啟IP Source Guard告警功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
開啟IP Source Guard告警功能 |
snmp-agent trap enable ipsg [ drop-threshold ] |
缺省情況下,IP Source Guard告警功能均處於開啟狀態 |
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況,通過查看顯示信息驗證配置的效果。
表1-14 IP Source Guard顯示和維護(IPv4)
|
操作 |
命令 |
|
顯示IPv4綁定表項信息(獨立運行模式) |
display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ arp-snooping-vlan | dhcp-relay | dhcp-server | dhcp-snooping | dot1x | remote ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示IPv4綁定表項信息(IRF模式) |
display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ arp-snooping-vlan | dhcp-relay | dhcp-server | dhcp-snooping | dot1x | remote ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊關注的IPv4本地綁定表項信息(獨立運行模式) |
display ip source binding-local [ interface interface-type interface-number ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] |
|
顯示路由協議模塊關注的IPv4本地綁定表項信息 |
display ip source binding-local [ interface interface-type interface-number ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊同步的IPv4遠端綁定表項信息(獨立運行模式) |
display ip source binding-remote [ router-id router-id ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ] |
|
顯示路由協議模塊同步的IPv4遠端綁定表項信息 |
display ip source binding-remote [ router-id router-id ] [ dhcp-relay ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊關注的IPv4綁定表項統計信息 |
display ip source binding statistics |
|
顯示對IPv4報文免過濾條件的生效情況(獨立運行模式) |
display ip verify source excluded [ vlan start-vlan-id [ to end-vlan-id ] ] [ slot slot-number ] |
|
顯示對IPv4報文免過濾條件的生效情況(IRF模式) |
display ip verify source excluded [ vlan start-vlan-id [ to end-vlan-id ] ] [ chassis chassis-number slot slot-number ] |
表1-15 IP Source Guard顯示和維護(IPv6)
|
操作 |
命令 |
|
顯示IPv6地址綁定表項信息(獨立運行模式) |
display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-relay | dhcpv6-server | dhcpv6-snooping | nd-snooping-vlan | remote ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示IPv6地址綁定表項信息(IRF模式) |
display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-relay | dhcpv6-server | dhcpv6-snooping | nd-snooping-vlan | remote ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊關注的IPv6本地綁定表項信息(獨立運行模式) |
display ipv6 source binding-local [ interface interface-type interface-number ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
|
|
顯示路由協議模塊關注的IPv6本地綁定表項信息 |
display ipv6 source binding-local [ interface interface-type interface-number ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊同步的IPv6遠端綁定表項信息(獨立運行模式) |
display ipv6 source binding-remote [ router-id router-id ] [ dhcpv6-relay | nd-snooping-vlan] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ slot slot-number ]
|
|
顯示路由協議模塊同步的IPv6遠端綁定表項信息 |
display ipv6 source binding-remote [ router-id router-id ] [ dhcpv6-relay | nd-snooping-vlan ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ chassis chassis-number slot slot-number ] |
|
顯示IPv6前綴綁定表項信息(獨立運行模式) |
display ipv6 source binding pd [ vpn-instance vpn-instance-name ] [ prefix prefix/prefix-length ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ] |
|
顯示IPv6前綴綁定表項信息(IRF模式) |
display ipv6 source binding pd [ vpn-instance vpn-instance-name ] [ prefix prefix/prefix-length ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ chassis chassis-number slot slot-number ] |
|
顯示路由協議模塊關注的IPv6綁定表項統計信息 |
display ipv6 source binding statistics |
如圖1-2所示,Host A、Host B分別與Device A的接口GigabitEthernet1/0/2、GigabitEthernet1/0/1相連。各主機均使用靜態配置的IP地址。
要求通過在Device A上配置IPv4靜態綁定表項,滿足以下各項應用需求:
· Device A上的所有接口都允許Host A發送的IP報文通過。
· Device A的接口GigabitEthernet1/0/1上允許Host B發送的IP報文通過。
# 配置Device A各接口的IP地址(略)。
# 在接口GigabitEthernet1/0/2上開啟IPv4接口綁定功能,綁定源IP地址和MAC地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip verify source ip-address mac-address
[DeviceA-GigabitEthernet1/0/2] quit
# 配置IPv4靜態綁定表項,在Device A上的所有接口都允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的數據終端Host A發送的IP報文通過。
[DeviceA] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
# 在接口GigabitEthernet1/0/1上開啟IPv4接口綁定功能,綁定源IP地址和MAC地址。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,在Device A的GigabitEthernet1/0/1上允許MAC地址為0001-0203-0407的數據終端Host B發送的IP報文通過。
[DeviceA-GigabitEthernet1/0/1] ip source binding mac-address 0001-0203-0407
[DeviceA-GigabitEthernet1/0/1] quit
# 在Device A上顯示IPv4靜態綁定表項,可以看出以上配置成功。
<DeviceA> display ip source binding static
Total entries found: 2
IP address MAC address Interface VLAN Type
192.168.0.1 0001-0203-0406 N/A N/A Static
N/A 0001-0203-0407 GE1/0/1 N/A Static
DHCP客戶端通過Device的接口GigabitEthernet1/0/1接入網絡,通過DHCP服務器獲取IPv4地址。
具體應用需求如下:
· Device上使能DHCP Snooping功能,保證客戶端從合法的服務器獲取IP地址,且記錄客戶端IPv4地址及MAC地址的綁定關係。
· 在接口GigabitEthernet1/0/1上啟用IPv4動態綁定功能,利用動態生成的DHCP Snooping表項過濾接口接收的報文,隻允許通過DHCP服務器動態獲取IP地址的客戶端接入網絡。DHCP服務器的具體配置請參見“三層技術-IP業務配置指導”中的“DHCP服務器”。
圖1-3 配置與DHCP Snooping配合的IPv4動態綁定功能組網圖
(1) 配置DHCP Snooping
# 配置各接口的IP地址(略)。
# 開啟DHCP Snooping功能。
<Device> system-view
[Device] dhcp snooping enable
# 設置與DHCP服務器相連的接口GigabitEthernet1/0/2為信任接口。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] dhcp snooping trust
[Device-GigabitEthernet1/0/2] quit
(2) 配置IPv4接口綁定功能
# 開啟接口GigabitEthernet1/0/1的IPv4接口綁定功能,綁定源IP地址和MAC地址,並啟用接口的DHCP Snooping 表項記錄功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address
[Device-GigabitEthernet1/0/1] dhcp snooping binding record
[Device-GigabitEthernet1/0/1] quit
# 顯示接口GigabitEthernet1/0/1從DHCP Snooping獲取的動態表項。
[Device] display ip source binding dhcp-snooping
Total entries found: 1
IP address MAC address Interface VLAN Type
192.168.0.1 0001-0203-0406 GE1/0/1 1 DHCP snooping
接口GigabitEthernet1/0/1在配置IPv4接口綁定功能之後,會根據該表項進行報文過濾。
Switch通過接口Vlan-interface100和Vlan-interface200分別與客戶端Host和DHCP服務器相連。Switch上使能DHCP中繼功能。
具體應用需求如下:
· Host通過DHCP中繼從DHCP服務器上獲取IP地址。
· 在接口Vlan-interface100上啟用IPv4動態綁定功能,利用Switch上生成的DHCP中繼表項,過濾接口接收的報文。
圖1-4 配置動態綁定功能組網圖
(1) 配置IPv4動態綁定功能
# 配置各接口的IP地址(略)。
# 在接口Vlan-interface100上開啟IPv4接口綁定功能,綁定源IP地址和MAC地址。
<Switch> system-view
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] ip verify source ip-address mac-address
[Switch-Vlan-interface100] quit
(2) 配置DHCP中繼
# 開啟DHCP服務。
[Switch] dhcp enable
# 開啟DHCP中繼用戶地址表項記錄功能。
[Switch] dhcp relay client-information record
# 配置接口Vlan-interface100工作在DHCP中繼模式。
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] dhcp select relay
# 指定DHCP服務器的地址。
[Switch-Vlan-interface100] dhcp relay server-address 10.1.1.1
[Switch-Vlan-interface100] quit
# 顯示生成的IPv4動態綁定表項信息。
[Switch] display ip source binding dhcp-relay
Total entries found: 1
IP address MAC address Interface VLAN Type
192.168.0.1 0001-0203-0406 Vlan100 100 DHCP relay
IPv6客戶端通過Device的接口GigabitEthernet1/0/1接入網絡。要求在Device上配置IPv6靜態綁定表項,使得接口GigabitEthernet1/0/1上隻允許Host(MAC地址為0001-0202-0202、IPv6地址為2001::1)發送的IPv6報文通過。
圖1-5 配置IPv6靜態綁定表項組網圖
# 在接口GigabitEthernet1/0/1上開啟IPv6接口綁定功能,綁定源IP地址和MAC地址。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
# 在接口GigabitEthernet1/0/1上配置IPv6靜態綁定表項,綁定源IP地址和MAC地址,隻允許IPv6地址為2001::1且MAC地址為00-01-02-02-02-02的IPv6報文通過。
[Device-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0001-0202-0202
[Device-GigabitEthernet1/0/1] quit
# 在Device上顯示IPv6靜態綁定表項,可以看出以上配置成功。
[Device] display ipv6 source binding static
Total entries found: 1
IPv6 address MAC address Interface VLAN Type
2001::1 0001-0202-0202 GE1/0/1 N/A Static
DHCPv6客戶端通過Device的接口GigabitEthernet1/0/1接入網絡,通過DHCPv6服務器獲取IPv6地址。
具體應用需求如下:
· Device上使能DHCPv6 Snooping功能,保證客戶端從合法的服務器獲取IP地址,且記錄客戶端IPv6地址及MAC地址的綁定關係。
· 在接口GigabitEthernet1/0/1上啟用IPv6動態綁定功能,利用動態生成的DHCPv6 Snooping表項過濾接口接收的報文,隻允許通過DHCPv6服務器動態獲取IP地址的客戶端接入網絡。
圖1-6 配置與DHCPv6 Snooping配合的IPv6動態綁定功能組網圖
(1) 配置DHCPv6 Snooping
# 全局使能DHCPv6 Snooping功能。
<Device> system-view
[Device] ipv6 dhcp snooping enable
# 配置接口GigabitEthernet1/0/2為信任接口。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ipv6 dhcp snooping trust
[Device-GigabitEthernet1/0/2] quit
(2) 配置IPv6接口綁定功能
# 開啟接口GigabitEthernet1/0/1的IPv6接口綁定功能,綁定源IP地址和MAC地址,並啟用接口的DHCPv6 Snooping表項記錄功能。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address
[Device-GigabitEthernet1/0/1] ipv6 dhcp snooping binding record
[Device-GigabitEthernet1/0/1] quit
# 客戶端通過DHCPv6 server成功獲取IP地址之後,通過執行以下命令可查看到已生成的IPv6動態綁定表項信息。
[Device] display ipv6 source binding dhcpv6-snooping
Total entries found: 1
IPv6 address MAC address Interface VLAN Type
2001::1 040a-0000-0001 GE1/0/1 1 DHCPv6 snooping
接口GigabitEthernet1/0/1在配置IPv6接口綁定功能之後,會根據該表項進行報文過濾。
Switch通過接口Vlan-interface3和Vlan-interface2分別與客戶端和DHCPv6服務器相連。通過在Switch上使能DHCPv6中繼功能,實現如下需求:
· 客戶端通過DHCPv6中繼從DHCPv6服務器上獲取IPv6地址。
· 在接口Vlan-interface3上啟用IPv6動態綁定功能,利用Switch上生成的DHCPv6中繼表項,過濾接口接收的報文。
圖1-7 配置與DHCPv6中繼配合的IPv6動態綁定功能組網圖
(1) 配置DHCPv6中繼
# 創建VLAN、將接口加入到VLAN,並配置VLAN接口的IPv6地址(略)。
# 配置接口Vlan-interface3工作在DHCPv6中繼模式。
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ipv6 dhcp select relay
# 開啟DHCPv6中繼用戶地址表項記錄功能。
[Switch-Vlan-interface3] ipv6 dhcp relay client-information record
# 指定DHCPv6服務器的地址。
[Switch-Vlan-interface3] ipv6 dhcp relay server-address 2::2
[Switch-Vlan-interface3] quit
# 在接口Vlan-interface3上開啟IPv6接口綁定功能,綁定源IP地址和MAC地址。
<Switch> system-view
[Switch] interface vlan-interface 3
[Switch-Vlan-interface3] ipv6 verify source ip-address mac-address
[Switch-Vlan-interface3] quit
# 顯示生成的IPv6動態綁定表項信息。
[Switch] display ipv6 source binding dhcpv6-relay
Total entries found: 1
IP address MAC address Interface VLAN Type
1::2 0001-0203-0406 Vlan3 3 DHCPv6 relay
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
