- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
10-IP Source Guard配置
本章節下載: 10-IP Source Guard配置 (289.78 KB)
目 錄
1.5.2 與DHCP Snooping配合的IPv4動態綁定功能配置舉例
1.5.3 與DHCP Relay配合的IPv4動態綁定功能配置舉例
1.5.5 與DHCPv6 Snooping配合的IPv6動態綁定表項配置舉例
本係列產品未形成IRF時,適用本手冊中的“分布式設備”的情況;形成IRF後則適用本手冊中的“分布式IRF設備”的情況。有關IRF特性的詳細介紹,請參見“IRF配置指導”。
通過在設備接入用戶側的端口上啟用IP Source Guard功能,可以對端口收到的報文進行過濾控製,防止非法報文通過端口,從而限製了對網絡資源的非法使用(比如非法主機仿冒合法用戶IP接入網絡),提高了端口的安全性。
IP Source Guard在端口上用於過濾報文的特征項包括:源IP地址、源MAC地址。這些特征項可單獨或組合起來與端口進行綁定,形成綁定表項,具體包括:IP、MAC、IP+MAC。
如圖1-1所示,配置了IP Source Guard的端口接收到報文後查找IP Source Guard綁定表項,如果報文中的特征項與綁定表項中記錄的特征項匹配,則端口轉發該報文,否則做丟棄處理。綁定功能是針對端口的,一個端口配置了綁定功能後,僅該端口被限製,其他端口不受該綁定影響。
圖1-1 IP Source Guard功能示意圖
通過手工配置產生綁定表項來完成端口的控製功能,隻有端口收到的報文的IP地址、MAC地址與端口上配置的綁定表項的各參數完全匹配時,報文才可以在該端口被正常轉發,其它報文都不能被轉發,該表項適用於檢查端口上接入用戶的合法性,特別是局域網絡中主機數較少且主機使用靜態配置IP地址的情況,比如在接入某重要服務器的端口上配置綁定表項,僅允許該端口接收或者發送與該服務器通信的報文。
l IPv4靜態表項:使用手工配置的IPv4靜態綁定表項來過濾端口收到的IPv4報文,或者與ARP Detection功能配合使用檢查接入用戶的合法性;
l IPv6靜態表項:使用手工配置的IPv6靜態綁定表項來過濾端口收到的IPv6報文。
ARP Detection功能的詳細介紹請參考“安全配置指導”中的“ARP攻擊防禦”。
根據DHCP的相關表項動態生成綁定表項來完成端口控製功能,通常適用於局域網絡中主機較多,並且采用DHCP進行動態主機配置的情況。其原理是每當DHCP為用戶分配IP地址而生成一條DHCP表項時,動態綁定功能就相應地增加一條綁定表項以允許該用戶訪問網絡。如果某個用戶私自設置IP地址,則不會觸發設備生成相應的DHCP表項,因此動態綁定功能也不會增加相應的訪問規則來允許該用戶訪問網絡。
l IPv4動態綁定:根據DHCP Snooping表項或DHCP Relay表項動態生成綁定表項來過濾端口收到的IPv4報文;
l IPv6動態綁定:根據DHCPv6 Snooping表項動態生成綁定表項來過濾端口收到的IPv6報文。
l DHCP Snooping和DHCP Relay功能的詳細介紹請參考“三層技術-IP業務配置指導”中的“DHCP中繼”。
l DHCPv6 Snooping功能的詳細介紹請參考“三層技術-IP業務配置指導”中的“DHCPv6 Snooping”。
加入聚合組或加入業務環回組的端口上不能配置IP Source Guard功能,反之亦然。
IPv4靜態綁定表項必須與端口上配置的IPv4動態綁定功能配合使用才能生效,動態綁定功能的具體配置請參見“1.2.2 配置IPv4動態綁定功能”。
表1-1 配置IPv4靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置端口的IPv4靜態綁定表項 |
ip source binding { ip-address ip-address | ip-address ip-address mac-address mac-address | mac-address mac-address } |
必選 缺省情況下,端口上無IPv4靜態綁定表項 |
l 一個表項不能在同一個端口上重複綁定,但可以在不同端口上綁定。
l 配置靜態表項時,如果係統中已經存在相同內容的動態表項,則新添加的靜態表項將會覆蓋已有的動態表項。
配置了IPv4動態綁定功能的端口,可利用配置的IPv4靜態綁定表項和從DHCP模塊獲取的IPv4動態綁定表項對端口轉發的報文進行過濾:
l IPv4靜態綁定表項的配置請參考“1.2.1 配置IPv4靜態綁定表項”。
l 在二層以太網端口上,IP Source Guard可與DHCP Snooping配合,通過獲取IP地址動態分配時產生的DHCP Snooping表項來生成動態綁定表項;
l 在三層以太網端口或VLAN接口上,IP Source Guard可與DHCP Relay配合,通過獲取IP地址跨網段動態分配時產生的DHCP Relay表項來生成動態綁定表項。
動態綁定表項中可能包含的內容有:MAC地址、IP地址、VLAN信息、入端口信息及表項類型(DHCP Snooping或DHCP Relay),其中MAC地址、IP地址和VLAN信息的包含情況由動態綁定配置決定。IP Source Guard把這些動態綁定表項下發到端口後,可對端口上轉發的報文進行過濾。
表1-2 配置IPv4動態綁定功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入接口視圖 |
interface interface-type interface-number |
- |
|
配置IPv4動態綁定功能 |
ip verify source { ip-address | ip-address mac-address | mac-address } |
必選 缺省情況下,端口上未配置IPv4動態綁定功能 |
l IPv4動態綁定功能中所指的“接口”可以為二層以太網端口、三層以太網端口、VLAN接口或端口組。三層以太網端口是指被配置為三層模式的以太網端口,有關以太網端口模式切換的操作,請參見“二層技術-以太網交換配置指導”中的“以太網端口配置”。
l 接口下的IPv4動態綁定功能可多次配置,最後一次的配置生效。
l 若要通過獲取DHCP相關表項來實現IPv4動態綁定功能,請保證網絡中的DHCP Snooping或DHCP Relay配置有效且工作正常,DHCP Snooping配置的具體介紹請參見“三層技術-IP業務配置指導”中的“DHCP Snooping”,DHCP Relay配置的具體介紹請參見“三層技術-IP業務配置指導”中的“DHCP 中繼”。
l 雖然IP Source Guard的動態表項是通過獲取DHCP的相關表項而生成,但生成的IP Source Guard動態綁定表項數目並不與對應的DHCP表項數目保持一致,實際使用過程中,請以IP Source Guard實際生成的表項數目為準。
IPv4綁定表項數目的最大值用於限製端口上允許添加的IPv4靜態綁定表項和IPv4動態綁定表項的數量總和。當端口上的IPv4綁定表項數目達到指定的最大值時,端口將不再允許添加新的IPv4綁定表項。
表1-3 配置IPv4綁定表項數目的最大值
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置IPv4綁定表項數目的最大值 |
ip verify source max-entries number |
可選 缺省情況下,IPv4綁定表項數目的最大值為256 |
如果要配置的IPv4綁定表項數目的最大值小於當前端口上已存在的IPv4綁定表項總數,則該最大值可以配置成功,且原有的表項不受影響,但端口將不再允許新增IPv4綁定表項,除非端口上的IPv4綁定表項數目減少到小於此最大值。
加入聚合組或加入業務環回組的端口上不能配置IP Source Guard功能,反之亦然。
IPv6靜態綁定表項必須與端口上配置的IPv6動態綁定功能配合使用才能生效,動態綁定功能的具體配置請參見“1.3.2 配置IPv6動態綁定功能”。
表1-4 配置IPv6靜態綁定表項
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置端口的IPv6靜態綁定表項 |
ipv6 source binding { ipv6-address ipv6-address | ipv6-address ipv6-address mac-address mac-address | mac-address mac-address } |
必選 缺省情況下,端口上無IPv6靜態綁定表項 |
l 同一個表項不能在同一個端口上重複綁定,但可以在不同端口上綁定。
l 綁定表項中的MAC地址不能為全0、全F(廣播MAC)和組播MAC。綁定表項中的IPv6地址必須為單播地址,不能為全0地址、組播地址、環回地址。
l 配置靜態表項時,如果係統中已經存在相同內容的動態表項,則新添加的靜態表項將會覆蓋已有的動態表項。
配置了IPv6動態綁定功能的端口,利用配置的IPv6靜態綁定表項和從DHCP模塊獲取的IPv4動態綁定表項對端口轉發的報文進行過濾:
l IPv6靜態綁定表項的配置請參考“1.3.1 配置IPv6靜態綁定表項”。
l 在二層以太網端口上,IP Source Guard可與DHCPv6 Snooping配合,通過獲取IPv6地址動態分配時產生的DHCPv6 Snooping表項來生成動態綁定表項。
動態綁定表項中可能包含的內容有:MAC地址、IPv6地址、VLAN信息、入端口信息及表項類型(DHCPv6 Snooping),其中MAC地址、IPv6地址和VLAN信息的包含情況由動態綁定配置決定。IP Source Guard把這些動態綁定表項下發到端口後,可對端口上轉發的報文進行過濾。
表1-5 配置IPv6動態綁定功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口、端口組視圖 |
interface interface-type interface-number |
- |
|
配置IPv6動態綁定功能 |
ipv6 verify source { ipv6-address | ipv6-address mac-address | mac-address } |
必選 缺省情況下,端口上未配置IPv6動態綁定功能 |
l 若要通過獲取DHCP相關表項來實現IPv6動態綁定功能,請保證網絡中的DHCPv6 Snooping配置有效且工作正常,配置的具體介紹請分別參見“三層技術-IP業務配置指導”中的“DHCPv6”和“三層技術-IP業務配置指導”中的“IPv6基礎”。
l IPv6動態綁定功能可多次配置,最後一次的配置生效。
l 雖然IP Source Guard的動態表項是通過獲取DHCP的相關表項而生成,但生成的IP Source Guard動態綁定表項數目並不與對應的DHCP表項數目保持一致,實際使用過程中,請以IP Source Guard實際生成的表項數目為準。
IPv6綁定表項數目的最大值用於限製端口上允許添加的IPv6靜態綁定表項和IPv6動態綁定表項的數量總和。當端口上的IPv6綁定表項數目達到指定的最大值時,端口將不再允許添加新的IPv6綁定表項。
表1-6 配置IPv6綁定表項數目的最大值
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入二層以太網端口視圖 |
interface interface-type interface-number |
- |
|
配置IPv6綁定表項數目的最大值 |
ipv6 verify source max-entries number |
可選 缺省情況下,IPv6綁定表項數目的最大值為256 |
如果要配置的IPv6綁定表項數目的最大值小於當前端口上已存在的IPv6綁定表項總數,則該最大值可以配置成功,且原有的表項不受影響,但端口將不再允許新增IPv6綁定表項,除非端口上的IPv6綁定表項數目減少到小於最大值。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後IP Source Guard的運行情況,通過查看顯示信息驗證配置的效果。
表1-7 IP Source Guard顯示和維護(IPv4)
|
操作 |
命令 |
|
顯示靜態綁定表項信息 (分布式設備) |
display ip source binding static [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示靜態綁定表項信息 (分布式IRF設備) |
display ip source binding static [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示綁定表項信息(分布式設備) |
display ip source binding [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示綁定表項信息(分布式IRF設備) |
display ip source binding [ interface interface-type interface-number | ip-address ip-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
表1-8 IP Source Guard顯示和維護(IPv6)
|
操作 |
命令 |
|
顯示IPv6靜態綁定表項信息 (分布式設備) |
display ipv6 source binding static [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPv6靜態綁定表項信息 (分布式IRF設備) |
display ipv6 source binding static [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPv6綁定表項信息(分布式設備) |
display ipv6 source binding [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示IPv6綁定表項信息(分布式IRF設備) |
display ipv6 source binding [ interface interface-type interface-number | ipv6-address ipv6-address | mac-address mac-address ] [ chassis chassis-number slot slot-number ] [ | { begin | exclude | include } regular-expression ] |
如圖1-2所示,Host A與Host B分別與Device B的端口GigabitEthernet1/0/2、GigabitEthernet1/0/1相連;Host C與Device A的端口GigabitEthernet1/0/2相連。Device B接到Device A的端口GigabitEthernet1/0/1上。各主機均使用靜態配置的IP地址。
通過在Device A和Device B上配置IPv4靜態綁定表項,可以滿足以下各項應用需求:
l Device A的端口GigabitEthernet1/0/2上隻允許Host C發送的IP報文通過。
l Device A的端口GigabitEthernet1/0/1上隻允許Host A發送的IP報文通過。
l Device B的端口GigabitEthernet1/0/2上隻允許Host A發送的IP報文通過。
l Device B的端口GigabitEthernet1/0/1上隻允許使用IP地址192.168.0.2/24的主機發送的IP報文通過,即允許Host B更換網卡後仍然可以使用該IP地址與Host A互通。
(1) 配置Device A
# 在端口GigabitEthernet1/0/2上配置IPv4動態綁定功能,綁定源IP地址和MAC地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 配IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0405、IP地址為192.168.0.3的Host C發送的IP報文通過端口GigabitEthernet1/0/2。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.3 mac-address 0001-0203-0405
[DeviceA-GigabitEthernet1/0/2] quit
# 在端口GigabitEthernet1/0/1上配置IPv4動態綁定功能,綁定源IP地址和MAC地址。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的Host A發送的IP報文通過端口GigabitEthernet1/0/1。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[DeviceA-GigabitEthernet1/0/1] quit
# 在端口GigabitEthernet1/0/2上配置IPv4動態綁定功能,綁定源IP地址和MAC地址。
[DeviceB] interface gigabitethernet1/0/2
[DeviceB-GigabitEthernet1/0/2] ip verify source ip-address mac-address
# 配置IPv4靜態綁定表項,隻允許MAC地址為0001-0203-0406、IP地址為192.168.0.1的Host A發送的IP報文通過端口GigabitEthernet1/0/2。
[DeviceB-GigabitEthernet1/0/2] ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0406
[DeviceB-GigabitEthernet1/0/2] quit
# 在GigabitEthernet1/0/1上配置IPv4動態綁定功能,綁定源IP地址。
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip verify source ip-address
# 配置IPv4靜態綁定表項,隻允許IP地址為192.168.0.2的主機發送的IP報文通過端口GigabitEthernet1/0/1。
[DeviceB-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.2
[DeviceB-GigabitEthernet1/0/1] quit
# 在Device A上顯示IPv4靜態綁定表項配置成功。
[DeviceA] display ip source binding static
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0405 192.168.0.3 N/A GE1/0/2 Static
0001-0203-0406 192.168.0.1 N/A GE1/0/1 Static
# 在Device B上顯示IPv4靜態綁定表項配置成功。
[DeviceB] display ip source binding static
Total entries found: 2
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 N/A GE1/0/2 Static
N/A 192.168.0.2 N/A GE1/0/1 Static
Device通過端口GigabitEthernet1/0/1和GigabitEthernet1/0/2分別與客戶端Host和DHCP server相連。
具體應用需求如下:
l Host通過DHCP server獲取IP地址。
l Device上使能DHCP Snooping功能,記錄Host的DHCP Snooping表項。
l 在端口GigabitEthernet1/0/1上啟用IPv4動態綁定功能,利用記錄的DHCP Snooping表項過濾端口轉發的報文,僅允許通過DHCP server動態獲取IP地址的客戶端可以接入網絡。
DHCP server的具體配置請參考“三層技術-IP業務配置指導”中的“DHCP服務器”。
圖1-3 配置與DHCP Snooping配合的IPv4動態綁定功能組網圖
(1) 配置DHCP Snooping
# 開啟DHCP Snooping功能。
<Device> system-view
[Device] dhcp-snooping
# 設置與DHCP server相連的端口GigabitEthernet1/0/2為信任端口。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] dhcp-snooping trust
[Device-GigabitEthernet1/0/2] quit
(2) 配置IPv4動態綁定功能
# 配置端口GigabitEthernet1/0/1的IPv4動態綁定功能,綁定源IP地址和MAC地址。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address
[Device-GigabitEthernet1/0/1] quit
# 顯示端口GigabitEthernet1/0/1上的綁定表項信息。
[Device] display ip source binding
Total entries found: 1
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 1 GE1/0/1 DHCP-SNP
# 顯示DHCP Snooping已有的動態表項,查看其是否和端口GigabitEthernet1/0/1獲取的動態表項一致。
[Device] display dhcp-snooping
DHCP Snooping is enabled.
The client binding table for all untrusted ports.
Type : D--Dynamic , S--Static , R--Recovering
Type IP Address MAC Address Lease VLAN SVLAN Interface
==== =============== ============== ============ ==== ===== =================
D 192.168.0.1 0001-0203-0406 86335 1 N/A GigabitEthernet1/0/1
--- 1 dhcp-snooping item(s) found ---
從以上顯示信息可以看出,端口GigabitEthernet1/0/1在配置IPv4動態綁定功能之後根據獲取的DHCP Snooping表項產生了動態綁定表項。
Switch通過接口Vlan-interface100和Vlan-interface200分別與客戶端Host和DHCP server相連。Switch上使能DHCP Relay功能。
具體應用需求如下:
l Host(MAC地址為0001-0203-0406)通過DHCP relay從DHCP server上獲取IP地址。
l 在接口Vlan-interface100上啟用IPv4動態綁定功能,利用Switch上生成的DHCP Relay表項過濾端口轉發的報文,僅允許通過DHCP server動態獲取IP地址的客戶端可以接入網絡。
圖1-4 配置動態綁定功能組網圖
(1) 配置IPv4動態綁定功能
# 配置各接口的IP地址(略)。
# 在接口Vlan-interface100上配置IPv4動態綁定功能,綁定源IP地址和MAC地址。
<Switch> system-view
[Switch] vlan 100
[Switch-Vlan100] quit
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] ip verify source ip-address mac-address
[Switch-Vlan-interface100] quit
(2) 配置DHCP Relay
# 使能DHCP服務。
[Switch] dhcp enable
# 配置DHCP服務器的地址。
[Switch] dhcp relay server-group 1 ip 10.1.1.1
# 配置接口Vlan-interface100工作在DHCP中繼模式。
[Switch] interface vlan-interface 100
[Switch-Vlan-interface100] dhcp select relay
# 配置接口Vlan-interface100對應服務器組1。
[Switch-Vlan-interface100] dhcp relay server-select 1
[Switch-Vlan-interface100] quit
# 顯示生成的IPv4綁定表項信息。
[Switch] display ip source binding
Total entries found: 1
MAC Address IP Address VLAN Interface Type
0001-0203-0406 192.168.0.1 100 Vlan100 DHCP-RLY
IPv6客戶端通過Device的端口GigabitEthernet1/0/1接入網絡。要求在Device上配置IPv6靜態綁定表項,使得端口GigabitEthernet1/0/1上隻允許Host(MAC地址為0001-0202-0202、IPv6地址為2001::1)發送的IPv6報文通過。
圖1-5 配置IPv6靜態綁定表項組網圖
# 在端口GigabitEthernet1/0/1上配置IPv6動態綁定功能,綁定源IP地址和MAC地址。
<Device> system-view
[Device] interface gigabitethernet1/0/1
[Device-GigabitEthernet1/0/1] ipv6 verify source ipv6-address mac-address
# 在端口GigabitEthernet1/0/1上配置IPv6靜態綁定表項,綁定源IP地址和MAC地址,隻允許IPv6地址為2001::1且MAC地址為00-01-02-02-02-02的IPv6報文通過。
[Device-GigabitEthernet1/0/1] ipv6 source binding ipv6-address 2001::1 mac-address 0001-0202-0202
[Device-GigabitEthernet1/0/1] quit
# 在Device上顯示IPv6靜態綁定表項配置成功。
[Device] display ipv6 source binding static
Total entries found: 1
MAC Address IP Address VLAN Interface Type
0001-0202-0202 2001::1 N/A GE1/0/1 Static-IPv6
DHCPv6客戶端通過Device的端口GigabitEthernet1/0/1接入網絡,通過DHCPv6 server獲取IPv6地址。
具體應用需求如下:
l Device上使能DHCPv6 Snooping功能,保證客戶端從合法的服務器獲取IP地址,且記錄客戶端IPv6地址及MAC地址的綁定關係。
l 在端口GigabitEthernet1/0/1上啟用IPv6動態綁定功能,利用動態獲取的DHCPv6 Snooping表項過濾端口轉發的報文,隻允許通過DHCPv6 server動態獲取IP地址的客戶端接入網絡。
圖1-6 配置與DHCPv6 Snooping配合的IPv6動態綁定功能組網圖
(1) 配置DHCPv6 Snooping
# 全局使能DHCPv6 Snooping功能。
<Device> system-view
[Device] ipv6 dhcp snooping enable
# 在VLAN 2內使能DHCPv6 Snooping功能。
[Device] vlan 2
[Device-vlan2] ipv6 dhcp snooping vlan enable
[Device] quit
# 配置端口GigabitEthernet1/0/2為信任端口。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] ipv6 dhcp snooping trust
[Device-GigabitEthernet1/0/2] quit
(2) 配置IPv6動態綁定功能
# 配置端口GigabitEthernet1/0/1的IPv6動態綁定功能,綁定源IP地址和MAC地址。
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ipv6 verify source ipv6-address mac-address
[Device-GigabitEthernet1/0/1] quit
# 客戶端通過DHCPv6 server成功獲取IP地址之後,通過執行以下命令可查看到已生成的IPv6動態綁定表項信息。
[Device] display ipv6 source binding
Total entries found: 1
MAC Address IP Address VLAN Interface Type
040a-0000-0001 2001::1 2 GE1/0/1 DHCPv6-SNP
# 顯示DHCPv6 Snooping已有的動態表項,查看其是否和端口GigabitEthernet1/0/1生成的IPv6動態綁定表項一致。
[Device] display ipv6 dhcp snooping user-binding dynamic
IP Address MAC Address Lease VLAN Interface
============================== ============== ========== ==== ==================
2001::1 040a-0000-0001 286 2 GigabitEthernet1/0/1
--- 1 DHCPv6 snooping item(s) found ---
從以上顯示信息可以看出,IP Source Guard通過獲取端口GigabitEthernet1/0/1上產生的DHCPv6 Snooping表項成功生成了IPv6動態綁定表項。
在端口上配置靜態綁定表項、配置動態綁定功能均失敗。
IP Source Guard功能跟聚合端口互斥。在聚合端口下不能配置靜態綁定表項,也不能配置動態綁定功能。
將端口退出已加入的聚合組。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
