目  錄

1 IP Source Guard

1.1 IP Source Guard配置命令

1.1.1 display ip source binding

1.1.2 display ipv6 source binding static

1.1.3 ip source binding

1.1.4 ip verify source

1.1.5 ipv6 source binding

1.1.6 ipv6 verify source

1.1.7 reset ip source binding

1.1.8 reset ipv6 source binding

 

1 IP Source Guard

1.1  IP Source Guard配置命令

1.1.1  display ip source binding

display ip source binding命令用來顯示IPv4綁定表項信息。

【命令】

display ip source binding [ static | [ vpn-instance vpn-instance-name ] [ dhcp-relay | dhcp-server | dhcp-snooping ] ] [ ip-address ip-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

static：顯示配置的靜態綁定表項。

vpn-instance vpn-instance-name：顯示指定VPN的動態綁定表項，vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示顯示公網的動態綁定表項。

dhcp-relay：顯示DHCP中繼模塊生成的動態綁定表項。

dhcp-server：顯示DHCP服務器模塊生成的動態綁定表項。

dhcp-snooping：顯示DHCP snooping模塊生成的動態綁定表項。

ip-address ip-address：顯示指定IPv4地址的綁定表項，ip-address表示綁定的IPv4地址。

mac-address mac-address：顯示指定MAC地址的綁定表項，mac-address表示綁定的MAC地址，格式為H-H-H。

vlan vlan-id：顯示指定VLAN的綁定表項，vlan-id表示綁定的VLAN ID，取值範圍為1～4094。

interface interface-type interface-number：顯示指定接口的綁定表項，interface-type interface-number表示綁定的接口類型和接口編號。

slot slot-number：顯示指定成員設備上的綁定表項，slot-number表示設備在IRF中的成員編號。

【使用指導】

·     如果不指定任何參數，則顯示公網所有接口的IPv4綁定表項。

·     如果不指定接口號和成員設備編號，則顯示IRF中所有接口的IPv4綁定表項。

【舉例】

# 顯示公網所有接口的IPv4綁定表項。

<Sysname> display ip source binding

Total entries found: 5

IP Address      MAC Address    Interface                VLAN Type

10.1.0.5        040a-0000-4000 XGE1/0/1                 1    DHCP snooping

10.1.0.6        040a-0000-3000 XGE1/0/1                 1    DHCP snooping

10.1.0.7        040a-0000-2000 XGE1/0/1                 1    DHCP snooping

10.1.0.8        040a-0000-1000 Vlan3                    N/A  DHCP relay

10.1.0.9        040a-0000-1000 Vlan3                    N/A  Static

表1-1 display ip source-binding命令顯示信息描述表

字段	描述
Total entries found	查詢到的綁定表項總數
IP Address	綁定表項的IPv4地址
MAC Address	綁定表項的MAC地址（N/A表示該表項不綁定MAC地址）
Interface	綁定表項所屬的接口
VLAN	綁定表項所屬的VLAN（N/A表示該表項中沒有VLAN信息）
Type	綁定表項類型： ·     Static表示配置的靜態綁定表項 ·     DHCP relay表示DHCP中繼模塊生成的動態綁定表項 ·     DHCP server表示DHCP服務器模塊生成的動態綁定表項 ·     DHCP snooping表示DHCP snooping模塊生成的動態綁定表項

 

【相關命令】

·     ip source binding

·     ip verify source

1.1.2  display ipv6 source binding static

display ipv6 source binding static命令用來顯示IPv6靜態綁定表項信息。

【命令】

display ipv6 source binding static [ ip-address ipv6-address ] [ mac-address mac-address ] [ vlan vlan-id ] [ interface interface-type interface-number ] [ slot slot-number ]

【視圖】

任意視圖

【缺省用戶角色】

network-admin

network-operator

【參數】

ip-address ipv6-address：顯示指定IPv6地址的靜態綁定表項，ipv6-address表示綁定的IPv6地址。

mac-address mac-address：顯示指定MAC地址的靜態綁定表項，mac-address表示綁定的MAC地址，格式為H-H-H。

vlan vlan-id：顯示指定VLAN的靜態綁定表項，vlan-id表示綁定的VLAN ID，取值範圍為1～4094。

interface interface-type interface-number：顯示指定接口的靜態綁定表項，interface-type interface-number表示綁定的接口類型和接口編號。

slot slot-number：顯示指定成員設備上的靜態綁定表項，slot-number表示設備在IRF中的成員編號。

【使用指導】

·     如果不指定任何參數，則顯示公網所有的IPv6靜態綁定表項。

·     如果不指定接口號和成員設備編號，則顯示IRF中所有接口的IPv6靜態綁定表項。

【舉例】

# 顯示所有接口的IPv6靜態綁定表項。

<Sysname> display ipv6 source binding static

Total entries found: 1

IPv6 Address         MAC Address    Interface               VLAN Type

2012:1222:2012:1222: 000f-2202-0436 XGE1/0/1                N/A  Static

2012:1222:2012:1223

表1-2 display ipv6 source-binding命令顯示信息描述表

字段	描述
Total entries found	查詢到的靜態綁定表項總數
IPv6 Address	靜態綁定表項的IPv6地址
MAC Address	靜態綁定表項的MAC地址（N/A表示該表項不綁定MAC地址）
VLAN	靜態綁定表項所屬的VLAN（N/A表示該表項沒有VLAN信息）
Interface	靜態綁定表項所屬的接口
Type	綁定表項類型：Static表示配置的靜態綁定表項

 

【相關命令】

·     ipv6 source binding

·     ipv6 verify source

1.1.3  ip source binding

ip source binding命令用來配置IPv4靜態綁定表項。

undo ip source binding命令用來刪除當前接口配置的IPv4靜態綁定表項。

【命令】

ip source binding ip-address ip-address [ mac-address mac-address ] [ vlan vlan-id ]

undo ip source binding ip-address ip-address [ mac-address mac-address ] [ vlan vlan-id ]

【缺省情況】

接口上無IPv4靜態綁定表項。

【視圖】

以太網端口/VLAN接口

【缺省用戶角色】

network-admin

【參數】

ip-address ip-address：指定靜態綁定表項的IPv4地址。其中ip-address表示綁定的IPv4地址，必須為A、B、C三類地址之一，不能為127.x.x.x和0.0.0.0。

mac-address mac-address：指定靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址，格式為H-H-H，取值不能為全0、全F（廣播MAC）和組播MAC。

vlan vlan-id：指定靜態綁定表項的VLAN。其中vlan-id表示綁定的VLAN ID，取值範圍為1～4094。（僅在以太網端口視圖下支持）

 

【使用指導】

IPv4靜態綁定表項用於過濾接口收到的IPv4報文，或者與ARP Detection功能配合使用檢查接入用戶的合法性。

加入業務環回組的接口上不能配置靜態綁定表項。

【舉例】

# 在接口Ten-GigabitEthernet1/0/1上配置一條IPv4靜態綁定表項，僅允許源IP地址為192.168.0.1且源MAC地址為0001-0001-0001的報文通過。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] ip source bindng ip-address 192.168.0.1 mac-address 0001-0001-0001

【相關命令】

·     display ip source binding

1.1.4  ip verify source

ip verify source命令用來配置IPv4端口綁定功能。

undo ip verify source命令用來恢複缺省情況。

【命令】

ip verify source ip-address [ mac-address ]

undo ip verify source

【缺省情況】

接口的IPv4端口綁定功能處於關閉狀態。

【視圖】

以太網端口/VLAN接口

【缺省用戶角色】

network-admin

【參數】

ip-address：表示綁定源IPv4地址，即根據接口收到的報文的源IPv4地址對報文進行過濾。

mac-address：表示綁定源MAC地址，即根據接口收到的報文的源MAC地址對報文進行過濾。若指定了本參數，則隻有接口上收到的報文的源IPv4地址和源MAC地址都與某動態綁定表項匹配，該報文才能被正常轉發，否則將被丟棄。

【使用指導】

配置該功能後，IP Source Guard模塊會通過配置的靜態綁定表項或通過獲取其它模塊表項信息生成的動態綁定表項過濾接口收到的用戶IP報文，符合綁定表項的用戶報文被正常轉發，不符合綁定表項的用戶報文將被丟棄。目前，可為IP Source Guard提供動態綁定表項信息的模塊包括DHCP relay、DHCP snooping、DHCP服務器。其中，DHCP中繼、DHCP snooping模塊生成的動態綁定表項可被IP Source Guard模塊用於過濾報文，DHCP服務器模塊生成的動態綁定表項不被直接用於過濾報文，用於配合其它模塊提供相應的安全服務。

需要注意的是：

·     加入業務環回組的接口上不能配置動態綁定功能。

·     本命令中指定的綁定參數，僅對動態生成的綁定表項有效，是端口使用動態綁定表項過濾報文時關心的報文特征項。如果僅使用靜態綁定表項來過濾端口的報文，則本命令僅用於控製是否開啟端口的報文過濾功能，端口依據配置的靜態綁定表項參數來過濾報文，而不關心本命令中指定的參數。

【舉例】

# 在以太網端口Ten-GigabitEthernet1/0/1上配置IPv4端口綁定功能，根據報文的源IP地址和源MAC地址對端口收到的報文進行過濾。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] ip verify source ip-address mac-address

# 在Vlan-interface100上配置對報文的源IP和MAC地址的IPv4端口綁定功能，根據報文的源IP地址和源MAC地址對接口收到的報文進行過濾。

<Sysname> system-view

[Sysname] interface vlan-interface 100

[Sysname-Vlan-interface100] ip verify source ip-address mac-address

【相關命令】

·     display ip source binding

1.1.5  ipv6 source binding

ipv6 source binding命令用來配置IPv6靜態綁定表項。

undo ipv6 source binding命令用來刪除當前接口配置的IPv6靜態綁定表項。

【命令】

ipv6 source binding ip-address ipv6-address [ mac-address mac-address ] [ vlan vlan-id ]

undo ipv6 source binding ip-address ipv6-address [ mac-address mac-address ] [ vlan vlan-id ]

【缺省情況】

接口上無IPv6靜態綁定表項。

【視圖】

以太網端口/VLAN接口

【缺省用戶角色】

network-admin

【參數】

ip-address ipv6-address：指定靜態綁定表項的IPv6地址。其中ipv6-address表示綁定的IPv6地址，不能為全0地址、組播地址、環回地址。

mac-address mac-address：指定靜態綁定表項的MAC地址。其中mac-address表示綁定的MAC地址，格式為H-H-H，取值不能為全0、全F（廣播MAC）和組播MAC。

vlan vlan-id：指定靜態綁定表項的VLAN。其中vlan-id表示綁定的VLAN ID，取值範圍為1～4094。（僅在以太網端口視圖下支持）

 

【使用指導】

加入業務環回組的接口上不能配置靜態綁定表項。

【舉例】

# 在接口Ten-GigabitEthernet1/0/1上配置一條IPv6靜態綁定表項，僅允許源IPv6地址為2001::1且源MAC地址為0002-0002-0002的報文通過。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0002-0002-0002

【相關命令】

·     display ipv6 source binding

1.1.6  ipv6 verify source

ipv6 verify source命令用來配置IPv6端口綁定功能。

undo ipv6 verify source命令用來恢複缺省情況。

【命令】

ipv6 verify source ip-address [ mac-address ]

undo ipv6 verify source

【缺省情況】

接口的IPv6端口綁定功能處於關閉狀態。

【視圖】

以太網端口/VLAN接口

【缺省用戶角色】

network-admin

【參數】

ip-address：表示綁定源IPv6地址，即根據接口收到的報文的源IPv6地址對報文進行過濾。

mac-address：表示綁定源MAC地址，即根據接口收到的報文的源MAC地址對報文進行過濾。

【使用指導】

配置該功能後，IP Source Guard模塊會通過配置的靜態綁定表項來過濾接口收到的用戶IPv6報文，符合綁定表項的用戶報文被正常轉發，不符合綁定表項的用戶報文將被丟棄。

需要注意的是：

·     加入業務環回組的接口上不能配置動態綁定功能。

·     則本命令僅用於控製是否開啟端口的報文過濾功能，端口依據配置的靜態綁定表項參數來過濾報文，而不關心本命令中指定的參數。

【舉例】

# 在以太網端口Ten-GigabitEthernet1/0/1上配置IPv6端口綁定功能。

<Sysname> system-view

[Sysname] interface ten-gigabitethernet 1/0/1

[Sysname-Ten-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address

【相關命令】

·     display ipv6 source binding

1.1.7  reset ip source binding

reset ip source binding命令用來清除IPv4綁定表項。

【命令】

reset ip source binding [ static [ ip-address ip-address ] | [ vpn-instance vpn-instance-name ] [ { dhcp-relay | dhcp-server | dhcp-snooping } [ ip-address ip-address ] ] ]

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【參數】

static：清除靜態綁定表項。

vpn-instance vpn-instance-name：清除指定VPN的動態綁定表項。vpn-instance-name表示MPLS L3VPN的VPN實例名稱，為1～31個字符的字符串，區分大小寫。如果未指定本參數，則表示清除公網的動態綁定表項。

dhcp-relay：清除DHCP中繼模塊生成的動態綁定表項。

dhcp-server：清除DHCP服務器模塊生成的動態綁定表項。

dhcp-snooping：清除DHCP snooping模塊生成的動態綁定表項。

ip-address ip-address：清除指定IPv4地址的綁定表項。其中ip-address表示綁定的源IPv4地址。

【使用指導】

如果不指定任何參數，則清除公網所有的IPv4綁定表項。

【舉例】

# 清除公網所有的IPv4綁定表項。

<Sysname> reset ip source binding

# 清除源IPv4地址為2.2.2.2的IPv4靜態綁定表項。

<Sysname> reset ip source binding static ip-address 2.2.2.2

# 清除VPN 1中的所有IPv4動態綁定表項。

<Sysname> reset ip source binding vpn-instance 1

# 清除VPN 1中的所有來自DHCP relay的IPv4動態綁定表項。

<Sysname> reset ip source binding vpn-instance 1 dhcp-relay

# 清除公網中的來自DHCP relay且源IPv4地址為1.1.1.1的IPv4動態綁定表項。

<Sysname> reset ip source binding dhcp-relay ip-address 1.1.1.1

【相關命令】

·     display ip source binding

·     ip source binding

·     ip verify source

1.1.8  reset ipv6 source binding

reset ipv6 source binding命令用來清除IPv6綁定表項。

【命令】

reset ipv6 source binding [ static [ ip-address ipv6-address ] ]

【視圖】

用戶視圖

【缺省用戶角色】

network-admin

【參數】

static：清除靜態綁定表項。

ip-address ipv6-address：清除指定IPv6地址的綁定表項。其中ipv6-address表示綁定的源IPv6地址。

【使用指導】

如果不指定任何參數，則清除所有的IPv6綁定表項。

【舉例】

# 清除所有的IPv6綁定表項。

<Sysname> reset ipv6 source binding

# 清除源IPv6地址為2000::1的IPv6靜態綁定表項。

<Sysname> reset ipv6 source binding static ip-address 2000::1

【相關命令】

·     display ipv6 source binding

·     ipv6 source binding

·     ipv6 verify source