IPSG配置命令
- 命令支持情况
- display dhcp static user-bind
- display dhcpv6 static user-bind
- display ip source check user-bind
- display ip source-trail
- display mac-address snooping
- ip anti-attack source-ip equals destination-ip drop
- ip source check user-bind alarm enable
- ip source check user-bind alarm threshold
- ip source check user-bind check-item(接口视图)
- ip source check user-bind check-item(VLAN视图)
- ip source check user-bind enable
- ip source-trail
- reset ip source-trail
- user-bind static
- user-bind ip sticky-mac
命令支持情况
交换机连接ACU2、ET1D2IPS0S00、ET1D2FW00S00、ET1D2FW00S01、ET1D2FW00S02单板的XGE接口不支持IPSG功能。
当ACU2单板接口加入Eth-Trunk接口后,该Eth-Trunk接口上无法使能IPSG功能;当在Eth-Trunk接口上使能了IPSG功能,则ACU2单板接口无法加入该Eth-Trunk接口。
display dhcp static user-bind
命令格式
display dhcp static user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]
参数说明
参数 |
参数说明 |
取值 |
---|---|---|
interface interface-type interface-number |
查看包含指定接口的绑定表项。其中:
|
- |
ip-address ip-address |
查看包含指定IP地址的绑定表项。 |
X.X.X.X点分十进制形式。 |
mac-address mac-address |
查看包含指定MAC地址的绑定表项。 |
H-H-H十六进制形式。 |
vlan vlan-id |
查看包含指定VLAN的绑定表项。 |
整数形式,取值范围是1~4094。 |
all |
查看所有用户的绑定表信息。 |
- |
verbose |
查看绑定表的详细信息。 |
- |
使用实例
# 查看所有静态绑定表信息。
<HUAWEI> display dhcp static user-bind all DHCP static Bind-table: Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping IP Address MAC Address VSI/VLAN(O/I/P) Interface -------------------------------------------------------------------------------- 10.1.1.1 0001-0002-0003 10 /-- /-- GE1/0/1 -------------------------------------------------------------------------------- Print count: 1 Total count: 1
# 查看静态绑定表的详细信息。
<HUAWEI> display dhcp static user-bind all verbose DHCP static Bind-table: Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping -------------------------------------------------------------------------------- IP Address : 10.21.21.254 MAC Address : -- VSI : -- VLAN(O/I/P) : 10 /-- /-- Interface : GE1/0/1 IPSG Status : IPv4 effective slot: <1> -------------------------------------------------------------------------------- Print count: 1 Total count: 1
项目 |
描述 |
---|---|
DHCP static Bind-table |
静态绑定表。 配置该参数,请参见user-bind static。 |
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping |
字母O代表外层VLAN,字母I代表内层VLAN,字母P代表Vlan-mapping。 |
IP Address |
用户的IP地址。 |
MAC Address |
用户MAC地址。 |
VSI |
用户上线的VSI名称。 |
VLAN(O/I/P) |
用户上线时的外层VLAN、内层VLAN或VLAN Mapping信息。 |
Interface |
用户上线的接口。 |
IPSG Status |
已使能IP报文检查功能时,该绑定表对于IP报文检查功能是否生效,包括以下两个状态:
如果未使能IP报文检查功能,则该字段显示值没有意义。 |
display dhcpv6 static user-bind
命令格式
display dhcpv6 static user-bind { { interface interface-type interface-number | ipv6-address { ipv6-address | all } | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]
display dhcpv6 static user-bind ipv6-prefix { prefix/prefix-length | all } [ verbose ]
参数说明
参数 |
参数说明 |
取值 |
---|---|---|
interface interface-type interface-number |
查看指定接口的绑定表。
|
- |
ipv6-address ipv6-address |
查看指定IPv6地址的绑定表。 |
32位16进制数,格式为X:X::X:X |
mac-address mac-address |
查看指定MAC地址的绑定表。 |
H-H-H十六进制形式。 |
vlan vlan-id |
查看指定VLAN的绑定表。 |
整数形式,取值范围是1~4094。 |
ipv6-prefix |
查看IPv6前缀绑定表信息。 |
- |
prefix/prefix-length |
查看指定IPv6前缀的绑定表项信息。 |
prefix为32位16进制数,格式为X:X::X:X。 prefix-length为整数形式,取值范围是1~128。 |
all |
查看所有的绑定表信息。 |
- |
verbose |
查看绑定表相关的详细信息。 |
- |
使用指南
对于静态IPv6地址用户,通过执行该命令可以查看已配置的静态绑定表信息。包括IPv6地址、MAC地址、VLAN、接口信息。
若网络中存在PD用户则设备中将包含有IPv6前缀绑定表,使用命令display dhcpv6 static user-bind ipv6-prefix将查看IPv6前缀静态绑定表信息。
使用实例
# 查看DHCPv6静态绑定表信息。
<HUAWEI> display dhcpv6 static user-bind all
DHCPV6 static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - map vlan
IP Address MAC Address VSI/VLAN(O/I/P) Interface
--------------------------------------------------------------------------------
fc00:1::1 0001-0002-0003 10 /-- /-- --
--------------------------------------------------------------------------------
Print count: 1 Total count: 1
<HUAWEI> display dhcpv6 static user-bind all verbose DHCPV6 static Bind-table: -------------------------------------------------------------------------------- IP Address : fc00:1::1 MAC Address : 0001-0002-0003 VSI : -- VLAN(O/I/P) : 10 /-- /-- Interface : -- IPSG Status : IPv6 effective slot: <1> -------------------------------------------------------------------------------- Print count: 1 Total count: 1
<HUAWEI> display dhcpv6 static user-bind ipv6-prefix all
PD static Bind-table:
Flags:O - outer vlan ,I - inner vlan ,P - map vlan
IPv6 Prefix MAC Address VSI/VLAN(O/I/P) Interface
--------------------------------------------------------------------------------
fc00:1000::12/32 0001-0002-0003 10 /-- /-- --
--------------------------------------------------------------------------------
Print count: 1 Total count: 1
项目 |
描述 |
---|---|
DHCPV6 static Bind-table |
DHCPv6静态绑定表。 配置该参数,请参见user-bind static |
Flags:O - outer vlan ,I - inner vlan ,P - map vlan |
字母O代表外层VLAN,字母I代表内层VLAN,字母P代表Map VLAN。 |
IPv6 Prefix |
用户的IPv6前缀。 |
IP Address |
用户的IPv6地址。 |
MAC Address |
用户MAC地址。 |
VSI |
用户上线的VPN实例名。 |
VLAN(O/I/P) |
用户上线时的外层VLAN、内层VLAN或VLAN Mapping信息。 |
Interface |
用户上线的接口。 |
IPSG Status |
已使能IP报文检查功能时,该绑定表对于IP报文检查功能是否生效,包括以下两个状态:
如果未使能IP报文检查功能,则该字段显示值没有意义。 |
display ip source check user-bind
参数说明
参数 | 参数说明 | 取值 |
---|---|---|
interface interface-type interface-number | 显示指定接口的IP报文检查功能配置信息,这里通过接口类型和接口编号来指定接口。
|
- |
使用实例
<HUAWEI> display ip source check user-bind interface gigabitethernet 1/0/1 ipv4 source check user-bind enable ipv6 source check user-bind enable ip source check user-bind check-item ip-address ip source check user-bind alarm enable ip source check user-bind alarm threshold 200
项目 |
描述 |
---|---|
ipv4 source check user-bind enable |
已使能IPv4报文检查功能。 |
ipv6 source check user-bind enable |
已使能IPv6报文检查功能。 |
ip source check user-bind check-item ip-address |
IP报文检查项,表示对IP报文的哪些项进行检查。 可配置的选项包括:IP、MAC、VLAN、Interface。 通过ip source check user-bind check-item(接口视图)命令和ip source check user-bind check-item(VLAN视图)配置。 |
ip source check user-bind alarm enable |
已使能IP报文检查告警功能。 |
ip source check user-bind alarm threshold 200 |
配置的IP报文告警阈值。 |
display ip source-trail
参数说明
参数 | 参数说明 | 取值 |
---|---|---|
ip-address ip-address | 目的IP地址。 | 点分十进制格式。 |
slot slot-id | 槽位号。如果指定槽位号,则只显示该槽位单板的IP Source Trail统计结果。 | 根据设备实际配置情况选取。 |
verbose | 按详细模式显示结果。如果不选择此参数,则按简要模式显示结果。 | - |
使用指南
执行ip source-trail命令10分钟后,设备完成对配置的IP地址的源追踪。此时执行display ip source-trail命令,查看IP Source Trail的跟踪结果。
如果不指定IP地址,即display ip source-trail命令不带参数查询时,以简要模式显示所有IP Source Trail的统计结果。
如果需要查询指定单板的源跟踪情况,可以指定slot slot-id进行查询。按槽号查询显示的内容格式和简要模式查询显示的内容格式相同。
对于除诊断视图之外的其他视图,每个目的IP地址按照流量从大到小的顺序最多显示前8个流的源追踪信息。对于诊断视图,每个目的IP地址按照流量从大到小的顺序最多显示前128个流的源追踪信息。
使用实例
# 查询IP Source Trail的所有跟踪统计结果。
<HUAWEI> display ip source-trail Destination Address: 10.0.0.1 SrcAddr SrcIF Bytes Pkts Bits/s Pkts/s ---------------------------------------------------------------------- 10.0.0.2 GE2/0/1 2.211G 49.250M 41.252M 114.791K 10.0.0.7 GE2/0/1 5.392M 120.057K 3.183M 8.859K 10.0.0.8 GE2/0/1 4.862M 108.259K 3.263M 9.082K 10.0.0.4 GE2/0/1 4.291M 95.554K 3.263M 9.083K 10.0.0.6 GE2/0/1 3.313M 73.773K 3.264M 9.084K 10.0.0.3 GE2/0/1 2.253M 50.178K 3.266M 9.089K 10.0.0.9 GE2/0/1 1.560M 34.750K 3.268M 9.096K 10.0.0.5 GE2/0/1 1.153M 25.675K 3.271M 9.104K Destination Address: 10.1.1.2 SrcAddr SrcIF Bytes Pkts Bits/s Pkts/s ---------------------------------------------------------------------- 10.1.1.100 GE2/0/1 5.433M 120.964K 3.184M 8.861K 10.1.1.104 GE2/0/1 5.025M 111.889K 3.263M 9.081K 10.1.1.107 GE2/0/1 4.659M 103.721K 3.263M 9.082K 10.1.1.103 GE2/0/1 4.577M 101.907K 3.263M 9.082K 10.1.1.101 GE2/0/1 3.598M 80.126K 3.264M 9.083K 10.1.1.105 GE2/0/1 3.028M 67.420K 3.264M 9.085K 10.1.1.106 GE2/0/1 1.438M 32.027K 3.269M 9.098K 10.1.1.102 GE2/0/1 1.193M 26.583K 3.271M 9.103K Destination Address: 10.1.1.3 SrcAddr SrcIF Bytes Pkts Bits/s Pkts/s ---------------------------------------------------------------------- - - - - - - Destination Address: 10.1.1.4 SrcAddr SrcIF Bytes Pkts Bits/s Pkts/s ---------------------------------------------------------------------- - - - - - -
# 查询对IP地址10.0.0.1的源跟踪情况,详细模式显示。
<HUAWEI> display ip source-trail ip-address 10.0.0.1 verbose Destination Address: 10.0.0.1 ------------------------------------------------------------- Source address : 10.0.0.3 Source interface : GE2/0/1 Bytes : 14.691M Pkts : 327.050K Average rate(Bits/s) : 297.062K Average rate(Pkts/s) : 826 Realtime rate(Pkts/s): 929 Maximal rate(Pkts/s) : 930 Start time : 2008-11-19 16:28:16 End time : 2008-11-19 16:34:53 ----------------------------------------------------------- Source address : 10.0.0.9 Source interface : GE2/0/1 Bytes : 14.622M Pkts : 325.505K Average rate(Bits/s) : 296.921K Average rate(Pkts/s) : 826 Realtime rate(Pkts/s): 929 Maximal rate(Pkts/s) : 930 Start time : 2008-11-19 16:28:14 End time : 2008-11-19 16:34:51 -----------------------------------------------------------
项目 |
描述 |
---|---|
SrcAddr Source address |
报文的源IP地址。 |
SrcIF Source interface |
源接口,是指从设备的哪个接口收到的报文。 |
Bytes |
从该源IP地址收到的字节总数。 |
Pkts |
从该源IP地址收到的报文总数。 |
Bits/s Average rate(Bits/s) |
该IP地址发过来的数据流的平均速率,单位是比特/秒。 |
Pkts/s Average rate(Pkts/s) |
该IP地址发过来的数据流的平均速率,单位是报文/秒。 |
Realtime rate(Pkts/s) |
该IP地址发过来的数据流的实时速率(当前速率)。 |
Maximal rate(Pkts/s) |
该IP地址发过来的数据流的最大实时速率。 |
Start time |
该IP地址发过来的数据流的开始时间。 |
End time |
该IP地址发过来的数据流的结束时间(如果查询时数据流还没有结束就是查询时的时间)。 |
display mac-address snooping
使用指南
当在接口视图下执行user-bind ip sticky-mac命令后,设备将根据绑定表生成Snooping类型MAC表项,表项中包含用户MAC、所属VLAN等信息。使用命令display mac-address snooping可查看根据绑定表生成的Snooping类型MAC表项,其中若不指定具体接口或VLAN参数,将显示设备所有的Snooping类型MAC表项。
使用实例
# 查看设备根据绑定表生成的Snooping类型MAC表项。
<HUAWEI> display mac-address snooping ------------------------------------------------------------------------------- MAC Address VLAN/VSI/BD Learned-From Type ------------------------------------------------------------------------------- 0000-c102-0602 10/-/- GE1/0/1 snooping ------------------------------------------------------------------------------- Total items displayed = 1
ip anti-attack source-ip equals destination-ip drop
命令功能
ip anti-attack source-ip equals destination-ip drop命令用来开启丢弃源IP地址与目的IP地址相同的IP报文的功能。
undo ip anti-attack source-ip equals destination-ip drop命令用来关闭丢弃源IP地址与目的IP地址相同的IP报文的功能。
缺省情况下,设备不丢弃源IP地址与目的IP地址相同的IP报文。
ip source check user-bind alarm enable
命令功能
ip source check user-bind alarm enable命令用来使能IP报文检查告警功能。
undo ip source check user-bind alarm enable命令用来去使能IP报文检查告警功能。
缺省情况下,未使能IP报文检查告警功能。
使用指南
应用场景
执行本命令可以使能IP报文检查告警功能,当丢弃的报文超过告警阈值时,设备向网管发送告警信息。
前置条件
需要在接口下执行命令ip source check user-bind enable使能IP报文的检查功能。
后续任务
当执行该命令使能告警功能后,需要执行命令ip source check user-bind alarm threshold配置告警阈值。
ip source check user-bind alarm threshold
命令功能
ip source check user-bind alarm threshold命令用来配置IP报文检查告警阈值。
undo ip source check user-bind alarm threshold命令用来恢复IP报文检查告警阈值为缺省值。
缺省情况下,IP报文检查告警阈值为100。
命令格式
ip source check user-bind alarm threshold threshold
undo ip source check user-bind alarm threshold
使用指南
应用场景
使能了IP报文的告警功能后,可以通过本命令设置IP报文检查的告警阈值。
前置条件
需要执行命令ip source check user-bind alarm enable使能IP报文检查告警功能。
使用实例
# 设置接口GE1/0/1的IP报文检查告警阈值为200。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind alarm enable
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind alarm threshold 200
ip source check user-bind check-item(接口视图)
命令功能
ip source check user-bind check-item命令用来配置接口下的IP报文检查项。
undo ip source check user-bind check-item命令用来恢复接口下的IP报文检查项为缺省值。
缺省情况下,接口下的IP报文检查项包括IP地址、MAC地址、VLAN和接口。
命令格式
ip source check user-bind check-item { ip-address | mac-address | vlan } *
undo ip source check user-bind check-item
参数说明
参数 | 参数说明 | 取值 |
---|---|---|
ip-address | 指定检查IP报文的IP地址是否匹配绑定表。 | - |
mac-address | 指定检查IP报文的MAC地址是否匹配绑定表。 | - |
vlan | 指定检查IP报文的VLAN信息是否匹配绑定表。 | - |
使用指南
应用场景
在配置IP报文的绑定表检查功能时,执行本命令可以灵活的指定接口下IP报文的检查项。当设备接收到IP报文时,按照设置的检查项对其进行匹配检查,只有通过检查的报文才能被转发,否则被丢弃。IP报文的可选的检查项包括:源IP地址、源MAC地址、VLAN,接口信息为必查项。
前置条件
需要在接口视图下执行命令ip source check user-bind enable使能IP报文的检查功能。
注意事项
当存在大量绑定表信息时,配置IP报文检查功能后会花费很长时间进行IP报文检查,因此会影响IP报文的转发效率。
该命令只对动态绑定表生效,对静态绑定表不会生效。对于静态绑定,IP报文的检查功能会根据静态绑定表中已配置的表项进行匹配检查。
ip source check user-bind check-item(VLAN视图)
命令功能
ip source check user-bind check-item命令用来配置基于VLAN的IP报文检查项。
undo ip source check user-bind check-item命令用来恢复VLAN下的IP报文检查项为缺省值。
缺省情况下,VLAN下IP报文检查项包括IP地址、MAC地址、VLAN和接口。
命令格式
ip source check user-bind check-item { ip-address | mac-address | interface } *
undo ip source check user-bind check-item
参数说明
参数 | 参数说明 | 取值 |
---|---|---|
ip-address | 指定检查IP报文的IP地址和VLAN是否匹配绑定表。 | - |
mac-address | 指定检查IP报文的MAC地址和VLAN是否匹配绑定表。 | - |
interface | 指定检查IP报文的接口信息和VLAN是否匹配绑定表。 | - |
使用指南
应用场景
在配置IP报文的绑定表检查功能时,执行本命令可以灵活的指定VLAN下IP报文的检查项。当设备接收到IP报文时,按照设置的检查项对其进行匹配检查,只有通过检查的报文才能被转发,否则被丢弃。IP报文的可选的检查项包括:源IP地址、源MAC地址、接口,VLAN信息为必查项。
前置条件
需要在VLAN视图下执行命令ip source check user-bind enable使能IP报文的检查功能。
注意事项
当存在大量绑定表信息时,使能IP报文检查功能后会花费很长时间进行IP报文检查,因此会影响IP报文的转发效率。
该命令只对动态绑定表生效,对静态绑定表不会生效。对于静态绑定,IP报文的检查功能会根据静态绑定表中已配置的表项进行匹配检查。
ip source check user-bind enable
命令功能
ip source check user-bind enable命令用来使能IP报文检查功能。
undo ip source check user-bind enable命令用来去使能IP报文检查功能。
缺省情况下,未使能IP报文检查功能。
命令格式
ip source check user-bind enable
undo ip source check user-bind enable
ipv4 source check user-bind enable
undo ipv4 source check user-bind enable
ipv6 source check user-bind enable
undo ipv6 source check user-bind enable
使用指南
应用场景
在网络中经常出现利用仿冒合法用户的源IP、MAC等信息的报文访问或攻击网络的情况,导致合法用户无法获得稳定、安全的网络服务。配置IP报文检查功能,可以防范上述情况的发生。
当使能了IP报文的检查功能后,默认会对IP报文中的IP、MAC、VLAN、接口信息进行绑定表匹配检查。同时也可以执行命令ip source check user-bind check-item(接口视图)或者ip source check user-bind check-item(VLAN视图)灵活配置IP报文的检查项。只有与绑定表匹配的IP报文才能被转发,否则被丢弃。
前置条件
- 对于DHCP用户,需要使能DHCP Snooping自动生成动态绑定表。
- 对于静态配置IP的用户,需要手工配置静态绑定表。
- 对于自动地址分配方式获取IPv6地址的用户,需要使能ND Snooping自动生成动态绑定表。
注意事项
ipv4 source check user-bind enable ipv6 source check user-bind enable
如果只想对IPv4报文或者IPv6报文进行检查,则需要执行ipv4 source check user-bind enable或者ipv6 source check user-bind enable。
当ACU2单板接口加入Eth-Trunk接口后,该Eth-Trunk接口上无法使能IPSG功能;当在Eth-Trunk接口上使能了IPSG功能,则ACU2单板接口无法加入该Eth-Trunk接口。
使用实例
# 使能接口GE1/0/1的IPv4和IPv6报文检查功能。
<HUAWEI> system-view [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] ip source check user-bind enable
# 使能接口GE1/0/1的IPv4报文检查功能。
<HUAWEI> system-view [HUAWEI] interface gigabitethernet 1/0/1 [HUAWEI-GigabitEthernet1/0/1] ipv4 source check user-bind enable
ip source-trail
使用指南
对配置的地址打开源追踪功能,以此地址为目的地址的流量统计信息会被记录下来。系统最多支持32个目的IP地址的源追踪。
如果设备还没有完成源追踪,display ip source-trail命令查看到的信息是上一次IP Source Trail的跟踪结果。建议在执行ip source-trail ip-address命令10分钟后,再执行display ip source-trail命令。
user-bind static
命令格式
user-bind static { { { ip-address | ipv6-address } { start-ip [ to end-ip ] } &<1-10> | ipv6-prefix prefix/prefix-length } | mac-address mac-address } * [ interface interface-type interface-number ] [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]
undo user-bind static [ { ip-address { start-ip [ to end-ip ] } &<1-10> | ipv6-address [ start-ip [ to end-ip ] ] &<1-10> | ipv6-prefix [ prefix/prefix-length ] } | mac-address mac-address | interface interface-type interface-number | vlan vlan-id [ ce-vlan ce-vlan-id ] ] *
参数说明
参数 | 参数说明 | 取值 |
---|---|---|
interface interface-type interface-number | 指定与用户连接的接口作为静态绑定表项的参数。其中:
|
- |
ip-address | 用户的静态IP为IPv4地址。 | - |
ipv6-address | 用户的静态IP为IPv6地址。 | - |
start-ip [ to end-ip ] | 指定用户的IP地址作为静态绑定表项的参数。其中
如果不指定to end-ip,则只将编号为start-ip的IP地址加入用户的静态绑定表项。 采用关键字to输入的区间不能有交叉,可以输入1~10次。 |
IPv4地址:X.X.X.X点分十进制形式;IPv6地址:32位16进制数,格式为X:X:X:X:X:X:X:X。 |
ipv6-prefix prefix/prefix-length | 指定IPv6前缀信息。 | prefix总长度为128位,通常分为8组,每组为4个十六进制数的形式。格式为X:X:X:X:X:X:X:X。prefix-length为整数形式,取值范围是1~128。 |
mac-address mac-address | 指定用户的MAC地址作为静态绑定表项的参数。 | H-H-H十六进制形式。 |
vlan vlan-id | 指定用户所属的VLAN编号作为静态绑定表项的参数。 | 整数形式,取值范围1~4094。 |
ce-vlan ce-vlan-id | 指定用户从QinQ接口接入的内层VLAN编号作为静态绑定表项的参数。 | 整数形式,取值范围1~4094。 |
user-bind ip sticky-mac
命令功能
user-bind ip sticky-mac命令用来使能根据绑定表生成Snooping类型MAC表项功能。
undo user-bind ip sticky-mac命令用来去使能根据绑定表生成Snooping类型MAC表项功能。
缺省情况下,未使能根据绑定表生成Snooping类型MAC表项功能。
使用指南
应用场景
为了防止非法MAC地址用户对网络进行攻击,可以在可能存在非法用户接入的接口下执行命令user-bind ip sticky-mac,关闭该接口动态学习MAC表项的能力,并使设备可以根据DHCP Snooping绑定表、ND Snooping绑定表将从该接口动态学习到的Dynamic类型MAC表项转换成Snooping类型MAC表项(也是一种静态MAC表项)或者根据静态绑定表直接生成Snooping类型MAC表项。
之后,该接口收到的IP报文,只有在报文源MAC地址与静态MAC表项(包括Static类型、Snooping类型等)相匹配的情况下才能够通过该接口,否则报文会被丢弃,这样可以有效防止非法MAC地址用户的攻击。
前置条件
执行user-bind ip sticky-mac命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。
注意事项
对于接口下的合法静态用户,不仅可以通过命令user-bind static配置静态绑定表进而生成静态MAC表项,也可以通过命令mac-address static手工配置静态MAC表项,使其报文能够正常被转发。
配置静态绑定表时,必须至少同时指定MAC地址、VLAN编号和接口三个参数且指定的VLAN必须已经创建,设备才能根据静态绑定表生成Snooping类型的MAC表项。
执行本命令后,如果希望DHCPv6用户也能正常上线,则需要同时使能DHCP Snooping和ND Snooping功能。
命令 |
说明 |
---|---|
使能接口802.1X功能。 |
|
使能接口MAC地址认证功能。 |
|
在接口或VAP模板下应用认证模板。 |
|
配置MAC地址学习功能。 |
|
配置MAC地址学习最大数量。 |
|
配置VLAN Mapping功能。 |
|
配置接口安全功能。 |