目  錄

1 IP Source Guard

1.1 IP Source Guard配置命令

1.1.1 display ip source binding

1.1.2 display ip verify source excluded

1.1.3 display ipv6 source binding

1.1.4 display ipv6 source binding pd

1.1.5 ip source binding (interface view)

1.1.6 ip source binding (system view)

1.1.7 ip verify source

1.1.8 ip verify source exclude

1.1.9 ipv6 source binding (interface view)

1.1.10 ipv6 source binding (system view)

1.1.11 ipv6 verify source

 

1 IP Source Guard

1.1  IP Source Guard配置命令

1.1.1  display ip source binding

display ip source binding命令用來顯示IPv4綁定表項信息。

【命令】

display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ arp-snooping-vlan | dhcp-relay | dhcp-server | dhcp-snooping | dot1x ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

static：顯示配置的靜態綁定表項。

vpn-instance vpn-instance-name：顯示指定VPN實例的動態綁定表項，vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示顯示公網的動態綁定表項。

arp-snooping-vlan：顯示VLAN下ARP snooping模塊生成的動態綁定表項。

dhcp-relay：顯示DHCP中繼模塊生成的動態綁定表項。

dhcp-server：顯示DHCP服務器模塊生成的動態綁定表項。

dhcp-snooping：顯示DHCP Snooping模塊生成的動態綁定表項。

dot1x：顯示802.1X模塊生成的動態綁定表項。指定該參數時，必須同時指定802.1X用戶接入的slot信息，才能顯示相應表項。

ip-address ip-address：顯示指定IPv4地址的綁定表項，ip-address表示綁定的IPv4地址。

mac-address mac-address：顯示指定MAC地址的綁定表項，mac-address表示綁定的MAC地址，格式為H-H-H。

vlan vlan-id：顯示指定VLAN的綁定表項，vlan-id表示綁定的VLAN ID，取值範圍為1～4094。

interface interface-type interface-number：顯示指定接口的綁定表項，interface-type interface-number表示綁定的接口類型和接口編號。

slot slot-number：顯示指定成員設備上的綁定表項，slot-number表示設備在IRF中的成員編號。如果未指定本參數，則顯示主設備上的綁定表項。

【舉例】

# 顯示公網所有接口的IPv4綁定表項和全局的IPv4靜態綁定表項。

<Sysname> display ip source binding

Total entries found: 5

IP Address      MAC Address    Interface                VLAN Type

10.1.0.5        040a-0000-4000 GE1/0/1                  1    DHCP snooping

10.1.0.6        040a-0000-3000 GE1/0/1                  1    DHCP snooping

10.1.0.7        040a-0000-2000 GE1/0/1                  1    DHCP snooping

10.1.0.8        040a-0000-1000 GE1/0/2                  N/A  DHCP relay

10.1.0.9        040a-0000-2000 GE1/0/2                  N/A  Static

表1-1 display ip source-binding命令顯示信息描述表

字段	描述
Total entries found	查詢到的綁定表項總數
IP Address	綁定表項的IPv4地址（N/A表示該表項不綁定IP地址）
MAC Address	綁定表項的MAC地址（N/A表示該表項不綁定MAC地址）
Interface	綁定表項所屬的接口（N/A表示該表項為全局綁定）
VLAN	綁定表項所屬的VLAN（N/A表示該表項中沒有VLAN信息）
Type	綁定表項類型： ·     Static表示配置的靜態綁定表項，IP Source Guard模塊用該表項過濾報文，並且配合其它模塊提供相應的安全服務 ·     ARP snooping vlan表示VLAN下ARP Snooping模塊生成的動態綁定表項，IP Source Guard模塊用該表項過濾報文 ·     802.1X表示來源於802.1X模塊的動態綁定表項，IP Source Guard模塊用該表項過濾報文 ·     DHCP relay表示DHCP中繼模塊生成的動態綁定表項，IP Source Guard模塊用該表項過濾報文 ·     DHCP server表示DHCP服務器模塊生成的動態綁定表項，用於配合其它模塊提供相應的安全服務 ·     DHCP snooping表示DHCP Snooping模塊生成的動態綁定表項，IP Source Guard模塊用該表項過濾報文

 

【相關命令】

·     ip source binding

·     ip verify source

1.1.2  display ip verify source excluded

display ip verify source excluded命令用來顯示IP Source Guard免過濾條件生效情況。

【命令】

display ip verify source excluded [ vlan start-vlan-id [ to end-vlan-id ] ] [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

vlan start-vlan-id [ to end-vlan-id ]：顯示指定VLAN內的信息，start-vlan-id表示起始VLAN ID，end-vlan-id表示結束VLAN ID，取值範圍均為1～4094，end-vlan-id的值要大於或等於start-vlan-id的值。

slot slot-number：顯示指定成員設備上的信息，slot-number表示設備在IRF中的成員編號。如果未指定本參數，則顯示所有設備上的信息。

【舉例】

# 顯示設備上所有的IP Source Guard免過濾條件生效情況。

<Sysname> display ip verify source excluded

Slot:

  Start VLAN ID        End VLAN ID    Status

  1                    20             Active

  24                   50             Active

  200                  300            Inactive

# 顯示IP Source Guard免過濾VLAN（VLAN3、VLAN5～VLAN10）生效情況。

<Sysname> display ip verify source excluded vlan 3

Slot:

  VLAN ID: 3

  Status: Active

 

<Sysname> display ip verify source excluded vlan 5 to 10

Slot:

  Start VLAN ID        End VLAN ID    Status

  5                    10             Active

表1-2 display ip verify source excluded命令顯示信息描述表格

字段	描述
Start VLAN ID	免過濾VLAN的起始VLAN ID
End VLAN ID	免過濾VLAN的結束VLAN ID
Status	免過濾條件生效狀態，取值為： ·     Active：已生效 ·     Inactive：未生效

 

【相關命令】

·     ip verify source exclude

1.1.3  display ipv6 source binding

display ipv6 source binding命令用來顯示IPv6地址綁定表項信息。

【命令】

display ipv6 source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcpv6-server | dhcpv6-snooping | dot1x ] ] [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

static：顯示配置的靜態地址綁定表項。

vpn-instance vpn-instance-name：顯示指定VPN實例的動態地址綁定表項，vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示顯示公網的動態地址綁定表項。

dhcpv6-server：顯示DHCPv6服務器模塊生成的動態地址綁定表項。

dhcpv6-snooping：顯示DHCPv6 Snooping模塊生成的動態地址綁定表項。

dot1x：顯示802.1X模塊生成的動態地址綁定表項。指定該參數時，必須同時指定802.1X用戶接入的slot信息，才能顯示相應表項。

ip-address ipv6-address：顯示指定IPv6地址的地址綁定表項，ipv6-address表示綁定的IPv6地址。

mac-address mac-address：顯示指定MAC地址的地址綁定表項，mac-address表示綁定的MAC地址，格式為H-H-H。

vlan vlan-id：顯示指定VLAN的地址綁定表項，vlan-id表示綁定的VLAN ID，取值範圍為1～4094。

interface interface-type interface-number：顯示指定接口的地址綁定表項，interface-type interface-number表示綁定的接口類型和接口編號。

slot slot-number：顯示指定成員設備上的地址綁定表項，slot-number表示設備在IRF中的成員編號。如果未指定本參數，則顯示主設備上的地址綁定表項。

【舉例】

# 顯示公網所有接口的IPv6地址綁定表項和全局的IPv6靜態地址綁定表項。

<Sysname> display ipv6 source binding

Total entries found: 2

IPv6 Address         MAC Address    Interface               VLAN Type

2012:1222:2012:1222: 000f-2202-0435 GE1/0/1                 1    DHCPv6 snooping

2012:1222:2012:1222

2012:1222:2012:1222: 000f-2202-0436 GE1/0/1                 N/A  Static

2012:1222:2012:1223

表1-3 display ipv6 source-binding命令顯示信息描述表

字段	描述
Total entries found	查詢到的地址綁定表項總數
IPv6 Address	地址綁定表項的IPv6地址（N/A表示該表項不綁定IPv6地址）
MAC Address	地址綁定表項的MAC地址（N/A表示該表項不綁定MAC地址）
Interface	地址綁定表項所屬的接口（N/A表示該表項為全局綁定）
VLAN	地址綁定表項所屬的VLAN（N/A表示該表項沒有VLAN信息）
Interface	地址綁定表項所屬的接口
Type	地址綁定表項類型： ·     Static表示配置的IPv6靜態地址綁定表項，該表項被IP Source Guard模塊用於過濾報文，並且配合其它模塊提供相應的安全服務 ·     DHCPv6 sever表示DHCPv6服務器模塊生成的動態地址綁定表項，該表項上報給控製器，以便控製器了解用戶的上下線情況，而不直接用於過濾報文 ·     DHCPv6 snooping表示DHCPv6 Snooping模塊生成的動態地址綁定表項，IP Source Guard模塊用該表項過濾報文 ·     802.1X表示來源於802.1X模塊的動態地址綁定表項，IP Source Guard模塊用該表項過濾報文

 

【相關命令】

·     ipv6 source binding

·     ipv6 verify source

1.1.4  display ipv6 source binding pd

display ipv6 source binding pd命令用來顯示IPv6前綴綁定表項信息。

【命令】

display ipv6 source binding pd [ vpn-instance vpn-instance-name ] [ prefix prefix/prefix-length ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

vpn-instance vpn-instance-name：顯示指定VPN實例的IPv6前綴綁定表項信息，vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示顯示公網的IPv6前綴綁定表項信息。

prefix prefix/prefix-length：顯示指定IPv6前綴/前綴長度對應的IPv6前綴綁定表項信息，其中，prefix-length取值範圍為1～128。如果未指定本參數，則顯示所有IPv6前綴/前綴長度對應的IPv6前綴綁定表項信息。

mac-address mac-address：顯示指定MAC地址的IPv6前綴綁定表項信息，mac-address表示綁定的MAC地址，格式為H-H-H。如果未指定本參數，則顯示所有MAC地址對應的IPv6前綴綁定表項信息。

vlan vlan-id：顯示指定VLAN內的IPv6前綴綁定表項信息，vlan-id表示綁定的VLAN ID，取值範圍為1～4094。如果未指定本參數，則顯示所有VLAN內的IPv6前綴綁定表項信息。

interface interface-type interface-number：顯示指定接口的IPv6前綴綁定表項信息，interface-type interface-number表示綁定的接口類型和接口編號。如果未指定本參數，則顯示所有MAC地址對應的IPv6前綴綁定表項信息。

slot slot-number：顯示指定成員設備上的前綴綁定表項，slot-number表示設備在IRF中的成員編號。如果未指定本參數，則顯示主設備上的前綴綁定表項。

【使用指導】

IPv6前綴綁定表項是通過動態獲取方式生成的，目前隻支持從DHCPv6 Snooping獲取該表項信息。

【舉例】

# 顯示所有的IPv6前綴綁定表項。

<Sysname> display ipv6 source binding pd

Total entries found: 3

IPv6 prefix          MAC address     Interface      VLAN  Type

2012:1111::/64       000f-2202-0435  GE1/0/1        1     DHCPv6 snooping

2012:2222::/64       000f-2202-0436  GE2/0/1        2     DHCPv6 snooping

表1-4 display ipv6 source binding pd命令顯示信息描述表

字段	描述
Total entries found	查詢到的前綴綁定表項總數
IPv6 prefix	前綴綁定表項的IPv6前綴/前綴長度
MAC address	前綴綁定表項的MAC地址（N/A表示該表項不綁定MAC地址）
Interface	前綴綁定表項所屬的接口（N/A表示該表項為全局綁定），當表項類型為ND RA時，此項顯示為“N/A”
VLAN	前綴綁定表項所屬的VLAN（N/A表示該表項中沒有VLAN信息）
Type	綁定表項類型： ·     DHCPv6 snooping：表示DHCPv6 Snooping模塊生成的動態前綴綁定表項

 

【相關命令】

·     ipv6 source binding

·     ipv6 verify source

1.1.5  ip source binding (interface view)

ip source binding命令用來配置接口的IPv4靜態綁定表項。

undo ip source binding命令用來刪除接口的IPv4靜態綁定表項。

【命令】

ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

undo ip source binding { all | ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

【缺省情況】

接口上未配置IPv4靜態綁定表項。

【視圖】

二層以太網接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【參數】

all：當前接口所有的IPv4靜態綁定表項，本參數隻在undo ip source binding命令中生效。

ip-address ip-address：指定接口的IPv4靜態綁定表項的IPv4地址。其中ip-address表示綁定的IPv4地址，必須為A、B、C三類地址之一，不能為127.x.x.x和0.0.0.0。

mac-address mac-address：指定接口的IPv4靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址，格式為H-H-H，取值不能為全0、全F（廣播MAC）和組播MAC。

vlan vlan-id：指定接口的IPv4靜態綁定表項的VLAN。其中vlan-id表示綁定的VLAN ID，取值範圍為1～4094。本參數僅在二層以太網接口視圖下支持。

【使用指導】

接口的IPv4靜態綁定表項用於過濾接口收到的IPv4報文，或者與ARP Detection功能配合使用檢查接入用戶的合法性。

【舉例】

# 在接口GigabitEthernet1/0/1上配置一條IPv4靜態綁定表項，僅允許源IP地址為192.168.0.1且源MAC地址為0001-0001-0001的報文通過。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001

【相關命令】

·     display ip source binding

·     ip source binding (system view)

1.1.6  ip source binding (system view)

ip source binding命令用來配置全局的IPv4靜態綁定表項。

undo ip source binding命令用來刪除已配置的全局IPv4靜態綁定表項。

【命令】

ip source binding ip-address ip-address mac-address mac-address

undo ip source binding { all | ip-address ip-address mac-address mac-address }

【缺省情況】

未配置全局IPv4靜態綁定表項。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ip-address ip-address：指定全局的IPv4靜態綁定表項的IPv4地址。其中ip-address表示綁定的IPv4地址，必須為A、B、C三類地址之一，不能為127.x.x.x和0.0.0.0。

mac-address mac-address：指定全局的IPv4靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址，格式為H-H-H，取值不能為全0、全F（廣播MAC）和組播MAC。

all：設備上所有全局的IPv4靜態綁定表項，本參數隻在undo ip source binding命令中生效。

【使用指導】

全局的IPv4靜態綁定表項對設備的所有接口都生效。

【舉例】

# 在設備上配置一條全局的IPv4靜態綁定表項，允許源IP地址為192.168.0.1且源MAC地址為0001-0001-0001的報文通過。

<Sysname> system-view

[Sysname] ip source binding ip-address 192.168.0.1 mac-address 0001-0001-0001

【相關命令】

·     display ip source binding

·     ip source binding (interface view)

1.1.7  ip verify source

ip verify source命令用來開啟IPv4接口綁定功能。

undo ip verify source命令用來關閉IPv4接口綁定功能。

【命令】

ip verify source { ip-address | ip-address mac-address | mac-address }

undo ip verify source

【缺省情況】

IPv4接口綁定功能處於關閉狀態。

【視圖】

二層以太網接口視圖

三層聚合子接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【參數】

ip-address：表示綁定源IPv4地址，即根據接口收到的報文的源IPv4地址對報文進行過濾。

ip-address mac-address：表示綁定源IP地址和MAC地址，即接口上收到的報文的源IPv4地址和源MAC地址都與某動態綁定表項匹配，該報文才能被正常轉發，否則將被丟棄。

mac-address：表示綁定源MAC地址，即根據接口收到的報文的源MAC地址對報文進行過濾。

【使用指導】

配置該功能後，IP Source Guard模塊會通過靜態或動態綁定表項過濾接口收到的用戶IP報文，符合綁定表項的用戶報文被正常轉發，不符合綁定表項的用戶報文將被丟棄。

本命令中指定的綁定參數，僅對動態生成的綁定表項有效，是接口使用動態綁定表項過濾報文時關心的報文特征項。如果僅使用靜態綁定表項來過濾接口的報文，則本命令僅用於控製是否開啟接口的報文過濾功能，接口依據配置的靜態綁定表項參數來過濾報文，而不關心本命令中指定的參數。

管理員執行本命令修改綁定規則後，隻對新接入的用戶生效，不會影響已接入用戶。當已接入用戶下線再重新上線後，才會按照新的綁定規則進行檢查。

在同一個接口內，IPv4接口綁定功能可多次配置，最後一次的配置生效。

【舉例】

# 在二層以太網接口GigabitEthernet1/0/1上配置IPv4接口綁定功能，根據報文的源IP地址和源MAC地址對接口收到的報文進行過濾。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ip verify source ip-address mac-address

# 在Vlan-interface100上配置對報文的源IP和MAC地址的IPv4接口綁定功能，根據報文的源IP地址和源MAC地址對接口收到的報文進行過濾。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname-Vlan-interface100] ip verify source ip-address mac-address

【相關命令】

·     display ip source binding

1.1.8  ip verify source exclude

ip verify source exclude命令用來配置IP Source Guard免過濾條件。

undo ip verify source exclude命令用來刪除IP Source Guard免過濾條件。

【命令】

ip verify source exclude vlan start-vlan-id [ to end-vlan-id ]

undo ip verify source exclude vlan start-vlan-id [ to end-vlan-id ]

【缺省情況】

未配置IP Source Guard免過濾條件。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

vlan start-vlan-id [ to end-vlan-id ]：指定IP Source Guard免過濾的VLAN範圍。start-vlan-id表示過濾VLAN的起始VLAN ID，end-vlan-id表示免過濾的終止VLAN ID，取值範圍均為1～4094，end-vlan-id的值要大於或等於start-vlan-id的值。如果不指定end-vlan-id或指定的end-vlan-id和start-vlan-id相同時，則表示隻有一個VLAN，即start-vlan-id。

【使用指導】

配置IP Source Guard免過濾條件後，對收到匹配上免過濾條件的IPv4報文，設備不做IP Source Guard檢查，直接放行。

可以通過多次執行本命令，配置多個IP Source Guard免過濾VLAN，但不同命令中的VLAN範圍不能重疊。

執行undo命令刪除已有的指定VLAN範圍的IP Source Guard免過濾條件時，該VLAN範圍必須和創建免過濾條件時指定的VLAN範圍一致，否則刪除操作無法成功。

【舉例】

# 配置IP Source Guard免過濾的VLAN範圍為VLAN3、VLAN5～VLAN10。

<Sysname> system-view

[Sysname] ip verify source exclude vlan 3

[Sysname] ip verify source exclude vlan 5 to 10

【相關命令】

·     display ip verify source excluded

1.1.9  ipv6 source binding (interface view)

ipv6 source binding命令用來配置接口的IPv6靜態綁定表項。

undo ipv6 source binding命令用來刪除接口配置的IPv6靜態綁定表項。

【命令】

ipv6 source binding { ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

undo ipv6 source binding { all | ip-address ipv6-address | ip-address ipv6-address mac-address mac-address | mac-address mac-address } [ vlan vlan-id ]

【缺省情況】

接口上未配置IPv6靜態綁定表項。

【視圖】

二層以太網接口視圖

三層聚合子接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【參數】

all：當前接口所有的IPv6靜態綁定表項，本參數隻在undo ipv6 source binding命令中生效。

ip-address ipv6-address：指定接口的IPv6靜態綁定表項的IPv6地址。其中ipv6-address表示綁定的IPv6地址，不能為全0地址、組播地址、環回地址。

mac-address mac-address：指定接口的IPv6靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址，格式為H-H-H，取值不能為全0、全F（廣播MAC）和組播MAC。

vlan vlan-id：指定接口的IPv6靜態綁定表項的VLAN。其中vlan-id表示綁定的VLAN ID，取值範圍為1～4094。本參數僅在二層以太網接口視圖下支持。

【使用指導】

接口的IPv6靜態綁定表項用於過濾接口收到的IPv6報文。

【舉例】

# 在接口GigabitEthernet1/0/1上配置一條IPv6靜態綁定表項，僅允許源IPv6地址為2001::1且源MAC地址為0002-0002-0002的報文通過。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002

【相關命令】

·     display ipv6 source binding

·     display ipv6 source binding pd

·     ipv6 source binding (system view)

1.1.10  ipv6 source binding (system view)

ipv6 source binding命令用來配置全局的IPv6靜態綁定表項。

undo ipv6 source binding命令用來刪除已配置的全局IPv6靜態綁定表項。

【命令】

ipv6 source binding ip-address ipv6-address mac-address mac-address

undo ipv6 source binding { all | ip-address ipv6-address mac-address mac-address }

【缺省情況】

未配置全局IPv6靜態綁定表項。

【視圖】

係統視圖

【缺省用戶角色】

network-admin

【參數】

ip-address ipv6-address：指定全局的IPv6靜態綁定表項的IPv6地址。其中ipv6-address表示綁定的IPv6地址，不能為全0地址、組播地址、環回地址。

mac-address mac-address：指定全局的IPv6靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址，格式為H-H-H，取值不能為全0、全F（廣播MAC）和組播MAC。

all：設備上所有全局的IPv6靜態綁定表項，本參數隻在undo ipv6 source binding命令中生效。

【使用指導】

全局的IPv6靜態綁定表項對設備的所有接口都生效。

【舉例】

# 在設備上配置一條全局的IPv6靜態綁定表項，允許源IPv6地址為2001::1且源MAC地址為0002-0002-0002的報文通過。

<Sysname> system-view

[Sysname] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002

【相關命令】

·     display ipv6 source binding

·     display ipv6 source binding pd

·     ipv6 source binding (interface view)

1.1.11  ipv6 verify source

ipv6 verify source命令用來開啟IPv6接口綁定功能。

undo ipv6 verify source命令用來關閉IPv6接口綁定功能。

【命令】

ipv6 verify source { ip-address | ip-address mac-address | mac-address }

undo ipv6 verify source

【缺省情況】

IPv6接口綁定功能處於關閉狀態。

【視圖】

二層以太網接口視圖

三層聚合子接口視圖

VLAN接口視圖

【缺省用戶角色】

network-admin

【參數】

ip-address：表示綁定源IPv6地址，即根據接口收到的報文的源IPv6地址對報文進行過濾。

ip-address mac-address：表示綁定源IPv6地址和MAC地址，即接口上收到的報文的源IPv6地址和源MAC地址都與某動態綁定表項匹配，該報文才能被正常轉發，否則將被丟棄。

mac-address：表示綁定源MAC地址，即根據接口收到的報文的源MAC地址對報文進行過濾。

【使用指導】

配置該功能後，IP Source Guard模塊會通過靜態或動態綁定表項過濾接口收到的用戶IPv6報文，符合綁定表項的用戶報文被正常轉發，不符合綁定表項的用戶報文將被丟棄。

本命令中指定的綁定參數，僅對動態生成的綁定表項有效，是接口使用動態綁定表項過濾報文時關心的報文特征項。如果僅使用靜態綁定表項來過濾接口的報文，則本命令僅用於控製是否開啟接口的報文過濾功能，接口依據配置的靜態綁定表項參數來過濾報文，而不關心本命令中指定的參數。

管理員執行本命令修改綁定規則後，隻對新接入的用戶生效，不會影響已接入用戶。當已接入用戶下線再重新上線後，才會按照新的綁定規則進行檢查。

在同一個接口內，IPv6接口綁定功能可多次配置，最後一次的配置生效。

【舉例】

# 在二層以太網接口GigabitEthernet1/0/1上配置IPv6接口綁定功能，根據報文的源IPv6地址和源MAC地址對接口收到的報文進行過濾。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address

【相關命令】

·     display ipv6 source binding

·     display ipv6 source binding pd