所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S12700 V200R013C00 命令参考

本文档介绍了设备中各特性的配置命令,包括每条命令的功能、格式、参数、视图、缺省级别、使用指南、举例和相关命令。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
IPSG配置命令

IPSG配置命令

命令支持情况

交换机连接ACU2、ET1D2IPS0S00、ET1D2FW00S00、ET1D2FW00S01、ET1D2FW00S02单板的XGE接口不支持IPSG功能。

当ACU2单板接口加入Eth-Trunk接口后,该Eth-Trunk接口上无法使能IPSG功能;当在Eth-Trunk接口上使能了IPSG功能,则ACU2单板接口无法加入该Eth-Trunk接口。

display dhcp static user-bind

命令功能

display dhcp static user-bind命令用来查看静态绑定表信息。

命令格式

display dhcp static user-bind { { interface interface-type interface-number | ip-address ip-address | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]

参数说明

参数

参数说明

取值

interface interface-type interface-number

查看包含指定接口的绑定表项。其中:

  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

ip-address ip-address

查看包含指定IP地址的绑定表项。

X.X.X.X点分十进制形式。

mac-address mac-address

查看包含指定MAC地址的绑定表项。

H-H-H十六进制形式。

vlan vlan-id

查看包含指定VLAN的绑定表项。

整数形式,取值范围是1~4094。

all

查看所有用户的绑定表信息。

-

verbose

查看绑定表的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

对于静态IP用户,通过执行该命令可以查看已配置的静态绑定表信息,包括IP地址、MAC地址、VLAN、接口信息。

使用实例

# 查看所有静态绑定表信息。

<HUAWEI> display dhcp static user-bind all
DHCP static Bind-table:                                  
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
IP Address           MAC Address   VSI/VLAN(O/I/P) Interface
--------------------------------------------------------------------------------
10.1.1.1            0001-0002-0003 10 /-- /--      GE1/0/1 
--------------------------------------------------------------------------------
Print count:      1     Total count:      1

# 查看静态绑定表的详细信息。

<HUAWEI> display dhcp static user-bind all verbose
DHCP static Bind-table:                                  
Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping
--------------------------------------------------------------------------------
 IP Address  : 10.21.21.254                                                     
 MAC Address : --                                                               
 VSI         : --                                                               
 VLAN(O/I/P) : 10  /--  /--                                                     
 Interface   : GE1/0/1                                                         
 IPSG Status : IPv4 effective slot: <1>
--------------------------------------------------------------------------------
Print count:           1          Total count:           1                      
表14-84  display dhcp static user-bind命令显示信息说明

项目

描述

DHCP static Bind-table

静态绑定表。

配置该参数,请参见user-bind static

Flags:O - outer vlan ,I - inner vlan ,P - Vlan-mapping

字母O代表外层VLAN,字母I代表内层VLAN,字母P代表Vlan-mapping。

IP Address

用户的IP地址。

MAC Address

用户MAC地址。

VSI

用户上线的VSI名称。

VLAN(O/I/P)

用户上线时的外层VLAN、内层VLAN或VLAN Mapping信息。

Interface

用户上线的接口。

IPSG Status

已使能IP报文检查功能时,该绑定表对于IP报文检查功能是否生效,包括以下两个状态:
  • IPv4 effective表示IPv4报文已生效,slot: <1>表示生效的槽位为1
  • ineffective表示未生效。

如果未使能IP报文检查功能,则该字段显示值没有意义。

display dhcpv6 static user-bind

命令功能

display dhcpv6 static user-bind命令用来查看IPv6静态绑定表信息。

命令格式

display dhcpv6 static user-bind { { interface interface-type interface-number | ipv6-address { ipv6-address | all } | mac-address mac-address | vlan vlan-id } * | all } [ verbose ]

display dhcpv6 static user-bind ipv6-prefix { prefix/prefix-length | all } [ verbose ]

参数说明

参数

参数说明

取值

interface interface-type interface-number

查看指定接口的绑定表。
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

ipv6-address ipv6-address

查看指定IPv6地址的绑定表。

32位16进制数,格式为X:X::X:X

mac-address mac-address

查看指定MAC地址的绑定表。

H-H-H十六进制形式。

vlan vlan-id

查看指定VLAN的绑定表。

整数形式,取值范围是1~4094。

ipv6-prefix

查看IPv6前缀绑定表信息。

-

prefix/prefix-length

查看指定IPv6前缀的绑定表项信息。

prefix为32位16进制数,格式为X:X::X:X。

prefix-length为整数形式,取值范围是1~128。

all

查看所有的绑定表信息。

-

verbose

查看绑定表相关的详细信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

对于静态IPv6地址用户,通过执行该命令可以查看已配置的静态绑定表信息。包括IPv6地址、MAC地址、VLAN、接口信息。

若网络中存在PD用户则设备中将包含有IPv6前缀绑定表,使用命令display dhcpv6 static user-bind ipv6-prefix将查看IPv6前缀静态绑定表信息。

使用实例

# 查看DHCPv6静态绑定表信息。

<HUAWEI> display dhcpv6 static user-bind all
DHCPV6 static Bind-table:                                                       
Flags:O - outer vlan ,I - inner vlan ,P - map vlan                              
IP Address                      MAC Address     VSI/VLAN(O/I/P) Interface       
--------------------------------------------------------------------------------
fc00:1::1                       0001-0002-0003  10  /--  /--    --              
--------------------------------------------------------------------------------
Print count:           1          Total count:           1                      
# 查看DHCPv6静态绑定表的详细信息。
<HUAWEI> display dhcpv6 static user-bind all verbose
DHCPV6 static Bind-table:                                  
--------------------------------------------------------------------------------
 IP Address  : fc00:1::1                                                     
 MAC Address : 0001-0002-0003                                                   
 VSI         : --                                                               
 VLAN(O/I/P) : 10  /--  /--                                                     
 Interface   : --                                                         
 IPSG Status : IPv6 effective slot: <1>
--------------------------------------------------------------------------------
Print count:           1          Total count:           1                      
# 查看IPv6前缀静态绑定表信息。
<HUAWEI> display dhcpv6 static user-bind ipv6-prefix all
PD static Bind-table:                                                           
Flags:O - outer vlan ,I - inner vlan ,P - map vlan                              
IPv6 Prefix                     MAC Address     VSI/VLAN(O/I/P) Interface       
--------------------------------------------------------------------------------
fc00:1000::12/32                0001-0002-0003  10  /--  /--    --              
--------------------------------------------------------------------------------
Print count:           1          Total count:           1                      
表14-85  display dhcpv6 static user-bind命令显示信息说明。

项目

描述

DHCPV6 static Bind-table

DHCPv6静态绑定表。

配置该参数,请参见user-bind static

Flags:O - outer vlan ,I - inner vlan ,P - map vlan

字母O代表外层VLAN,字母I代表内层VLAN,字母P代表Map VLAN。

IPv6 Prefix

用户的IPv6前缀。

IP Address

用户的IPv6地址。

MAC Address

用户MAC地址。

VSI

用户上线的VPN实例名。

VLAN(O/I/P)

用户上线时的外层VLAN、内层VLAN或VLAN Mapping信息。

Interface

用户上线的接口。

IPSG Status

已使能IP报文检查功能时,该绑定表对于IP报文检查功能是否生效,包括以下两个状态:
  • IPv6 effective表示IPv6报文已生效,slot: <1>表示生效的槽位为1
  • ineffective表示未生效。

如果未使能IP报文检查功能,则该字段显示值没有意义。

display ip source check user-bind

命令功能

display ip source check user-bind命令用来查看IPSG的配置信息。

命令格式

display ip source check user-bind interface interface-type interface-number

参数说明

参数 参数说明 取值
interface interface-type interface-number 显示指定接口的IP报文检查功能配置信息,这里通过接口类型和接口编号来指定接口。
  • interface-type表示接口类型。

  • interface-number表示接口编号。

-

视图

所有视图

缺省级别

1:监控级

使用指南

通过执行该命令可以查看接口下的IP报文检查功能的配置信息,包括IP报文的检查项、IP报文检查的告警功能配置信息

使用实例

# 查看接口GE1/0/1下的IP报文检查功能的配置信息。
<HUAWEI> display ip source check user-bind interface gigabitethernet 1/0/1
 ipv4 source check user-bind enable                                                                                                 
 ipv6 source check user-bind enable 
 ip source check user-bind check-item ip-address                                
 ip source check user-bind alarm enable                                         
 ip source check user-bind alarm threshold 200       
表14-86  display ip source check user-bind命令输出信息描述

项目

描述

ipv4 source check user-bind enable

已使能IPv4报文检查功能。

ipv6 source check user-bind enable

已使能IPv6报文检查功能。

ip source check user-bind check-item ip-address

IP报文检查项,表示对IP报文的哪些项进行检查。

可配置的选项包括:IP、MAC、VLAN、Interface。

通过ip source check user-bind check-item(接口视图)命令和ip source check user-bind check-item(VLAN视图)配置。

ip source check user-bind alarm enable

已使能IP报文检查告警功能。

通过ip source check user-bind alarm enable命令配置。

ip source check user-bind alarm threshold 200

配置的IP报文告警阈值。

通过ip source check user-bind alarm threshold 命令配置。

display ip source-trail

命令功能

display ip source-trail命令用来查看IP Source Trail的跟踪结果。

命令格式

display ip source-trail [ ip-address ip-address [ slot slot-id | verbose ] ]

参数说明

参数 参数说明 取值
ip-address ip-address 目的IP地址。 点分十进制格式。
slot slot-id 槽位号。如果指定槽位号,则只显示该槽位单板的IP Source Trail统计结果。 根据设备实际配置情况选取。
verbose 按详细模式显示结果。如果不选择此参数,则按简要模式显示结果。 -

视图

所有视图

缺省级别

1:监控级

使用指南

执行ip source-trail命令10分钟后,设备完成对配置的IP地址的源追踪。此时执行display ip source-trail命令,查看IP Source Trail的跟踪结果。

如果不指定IP地址,即display ip source-trail命令不带参数查询时,以简要模式显示所有IP Source Trail的统计结果。

如果需要查询指定单板的源跟踪情况,可以指定slot slot-id进行查询。按槽号查询显示的内容格式和简要模式查询显示的内容格式相同。

对于除诊断视图之外的其他视图,每个目的IP地址按照流量从大到小的顺序最多显示前8个流的源追踪信息。对于诊断视图,每个目的IP地址按照流量从大到小的顺序最多显示前128个流的源追踪信息。

使用实例

# 查询IP Source Trail的所有跟踪统计结果。

<HUAWEI> display ip source-trail
 Destination Address: 10.0.0.1       
   SrcAddr         SrcIF      Bytes      Pkts       Bits/s     Pkts/s
   ----------------------------------------------------------------------
   10.0.0.2        GE2/0/1    2.211G     49.250M    41.252M    114.791K
   10.0.0.7        GE2/0/1    5.392M     120.057K   3.183M     8.859K
   10.0.0.8        GE2/0/1    4.862M     108.259K   3.263M     9.082K
   10.0.0.4        GE2/0/1    4.291M     95.554K    3.263M     9.083K
   10.0.0.6        GE2/0/1    3.313M     73.773K    3.264M     9.084K
   10.0.0.3        GE2/0/1    2.253M     50.178K    3.266M     9.089K
   10.0.0.9        GE2/0/1    1.560M     34.750K    3.268M     9.096K
   10.0.0.5        GE2/0/1    1.153M     25.675K    3.271M     9.104K
 Destination Address: 10.1.1.2        
   SrcAddr         SrcIF      Bytes      Pkts       Bits/s     Pkts/s
   ----------------------------------------------------------------------
   10.1.1.100      GE2/0/1    5.433M     120.964K   3.184M     8.861K
   10.1.1.104      GE2/0/1    5.025M     111.889K   3.263M     9.081K
   10.1.1.107      GE2/0/1    4.659M     103.721K   3.263M     9.082K
   10.1.1.103      GE2/0/1    4.577M     101.907K   3.263M     9.082K
   10.1.1.101      GE2/0/1    3.598M     80.126K    3.264M     9.083K
   10.1.1.105      GE2/0/1    3.028M     67.420K    3.264M     9.085K
   10.1.1.106      GE2/0/1    1.438M     32.027K    3.269M     9.098K
   10.1.1.102      GE2/0/1    1.193M     26.583K    3.271M     9.103K
 Destination Address: 10.1.1.3        
   SrcAddr         SrcIF      Bytes      Pkts       Bits/s     Pkts/s
   ----------------------------------------------------------------------
   -               -          -          -          -          -
 Destination Address: 10.1.1.4        
   SrcAddr         SrcIF      Bytes      Pkts       Bits/s     Pkts/s
   ----------------------------------------------------------------------
   -               -          -          -          -          -             

# 查询对IP地址10.0.0.1的源跟踪情况,详细模式显示。

<HUAWEI> display ip source-trail ip-address 10.0.0.1 verbose
 Destination Address: 10.0.0.1       
 -------------------------------------------------------------
   Source address       : 10.0.0.3
   Source interface     : GE2/0/1
   Bytes                : 14.691M
   Pkts                 : 327.050K
   Average rate(Bits/s) : 297.062K
   Average rate(Pkts/s) : 826
   Realtime rate(Pkts/s): 929
   Maximal rate(Pkts/s) : 930
   Start time           : 2008-11-19  16:28:16
   End time             : 2008-11-19  16:34:53
   -----------------------------------------------------------
   Source address       : 10.0.0.9
   Source interface     : GE2/0/1
   Bytes                : 14.622M
   Pkts                 : 325.505K
   Average rate(Bits/s) : 296.921K
   Average rate(Pkts/s) : 826
   Realtime rate(Pkts/s): 929
   Maximal rate(Pkts/s) : 930
   Start time           : 2008-11-19  16:28:14
   End time             : 2008-11-19  16:34:51
   -----------------------------------------------------------    
表14-87  display ip source-trail命令显示信息说明

项目

描述

SrcAddr

Source address

报文的源IP地址。

SrcIF

Source interface

源接口,是指从设备的哪个接口收到的报文。

Bytes

从该源IP地址收到的字节总数。

Pkts

从该源IP地址收到的报文总数。

Bits/s

Average rate(Bits/s)

该IP地址发过来的数据流的平均速率,单位是比特/秒。

Pkts/s

Average rate(Pkts/s)

该IP地址发过来的数据流的平均速率,单位是报文/秒。

Realtime rate(Pkts/s)

该IP地址发过来的数据流的实时速率(当前速率)。

Maximal rate(Pkts/s)

该IP地址发过来的数据流的最大实时速率。

Start time

该IP地址发过来的数据流的开始时间。

End time

该IP地址发过来的数据流的结束时间(如果查询时数据流还没有结束就是查询时的时间)。

相关主题

display mac-address snooping

命令功能

display mac-address snooping命令用来查看根据绑定表生成的Snooping类型MAC表项

命令格式

display mac-address snooping [ interface-type interface-number | vlan vlan-id ] * [ verbose ]

参数说明

参数 参数说明 取值
interface-type interface-number
显示指定接口的静态MAC表项。
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

vlan vlan-id

显示在指定VLAN内的所有接口的静态MAC表项。

整数形式,取值范围是1~4094

verbose

显示详细静态MAC表项信息。

-

视图

所有视图

缺省级别

1:监控级

使用指南

当在接口视图下执行user-bind ip sticky-mac命令后,设备将根据绑定表生成Snooping类型MAC表项,表项中包含用户MAC、所属VLAN等信息。使用命令display mac-address snooping可查看根据绑定表生成的Snooping类型MAC表项,其中若不指定具体接口或VLAN参数,将显示设备所有的Snooping类型MAC表项。

使用实例

# 查看设备根据绑定表生成的Snooping类型MAC表项。

<HUAWEI> display mac-address snooping
------------------------------------------------------------------------------- 
MAC Address    VLAN/VSI/BD                          Learned-From        Type       
------------------------------------------------------------------------------- 
0000-c102-0602 10/-/-                             GE1/0/1             snooping     
------------------------------------------------------------------------------- 
Total items displayed = 1
表14-88  display mac-address snooping命令输出信息描述

项目

描述

MAC Address

用户MAC地址。

VLAN/VSI/BD

VLAN、VSI或VD名称。

Learned-From

用户所连接的接口号。

Type

MAC表项类型。包含:
  • static:静态MAC地址表项类型。
  • blackhole:黑洞MAC地址表项类型。
  • dynamic:动态MAC地址表项类型。
  • security:安全动态MAC表项类型。
  • sticky:Sticky MAC表项类型。
  • snooping:根据绑定表生成的Snooping类型MAC表项。

ip anti-attack source-ip equals destination-ip drop

命令功能

ip anti-attack source-ip equals destination-ip drop命令用来开启丢弃源IP地址与目的IP地址相同的IP报文的功能。

undo ip anti-attack source-ip equals destination-ip drop命令用来关闭丢弃源IP地址与目的IP地址相同的IP报文的功能。

缺省情况下,设备不丢弃源IP地址与目的IP地址相同的IP报文。

命令格式

ip anti-attack source-ip equals destination-ip drop { all | slot slot-id }

undo ip anti-attack source-ip equals destination-ip drop { all | slot slot-id }

参数说明

参数

参数说明

取值

all

所有单板,包括主控板和接口板。

-

slot slot-id

指定槽位号。

根据设备的实际配置选取。

视图

系统视图

缺省级别

2:配置级

使用指南

通常情况下,源IP地址与目的IP地址相同的IP报文可以被正常转发。当管理员判断该类型的IP报文为攻击报文时(比如流量过大),可以执行本命令开启丢弃该类型IP报文的功能。

使用实例

# 在所有单板上开启丢弃源IP地址与目的IP地址相同的IP报文的功能。

<HUAWEI> system-view
[HUAWEI] ip anti-attack source-ip equals destination-ip drop all

ip source check user-bind alarm enable

命令功能

ip source check user-bind alarm enable命令用来使能IP报文检查告警功能。

undo ip source check user-bind alarm enable命令用来去使能IP报文检查告警功能。

缺省情况下,未使能IP报文检查告警功能。

命令格式

ip source check user-bind alarm enable

undo ip source check user-bind alarm enable

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

执行本命令可以使能IP报文检查告警功能,当丢弃的报文超过告警阈值时,设备向网管发送告警信息。

前置条件

需要在接口下执行命令ip source check user-bind enable使能IP报文的检查功能。

后续任务

当执行该命令使能告警功能后,需要执行命令ip source check user-bind alarm threshold配置告警阈值。

使用实例

# 使能接口GE1/0/1的IP报文检查告警功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind alarm enable

ip source check user-bind alarm threshold

命令功能

ip source check user-bind alarm threshold命令用来配置IP报文检查告警阈值。

undo ip source check user-bind alarm threshold命令用来恢复IP报文检查告警阈值为缺省值。

缺省情况下,IP报文检查告警阈值为100。

命令格式

ip source check user-bind alarm threshold threshold

undo ip source check user-bind alarm threshold

参数说明

参数 参数说明 取值
threshold 指定IP报文检查功能的告警阈值 整数形式,取值范围1~1000。

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

使能了IP报文的告警功能后,可以通过本命令设置IP报文检查的告警阈值。

前置条件

需要执行命令ip source check user-bind alarm enable使能IP报文检查告警功能。

使用实例

# 设置接口GE1/0/1的IP报文检查告警阈值为200。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind alarm enable
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind alarm threshold 200

ip source check user-bind check-item(接口视图)

命令功能

ip source check user-bind check-item命令用来配置接口下的IP报文检查项。

undo ip source check user-bind check-item命令用来恢复接口下的IP报文检查项为缺省值。

缺省情况下,接口下的IP报文检查项包括IP地址、MAC地址、VLAN和接口。

命令格式

ip source check user-bind check-item { ip-address | mac-address | vlan } *

undo ip source check user-bind check-item

参数说明

参数 参数说明 取值
ip-address 指定检查IP报文的IP地址是否匹配绑定表。 -
mac-address 指定检查IP报文的MAC地址是否匹配绑定表。 -
vlan 指定检查IP报文的VLAN信息是否匹配绑定表。 -

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在配置IP报文的绑定表检查功能时,执行本命令可以灵活的指定接口下IP报文的检查项。当设备接收到IP报文时,按照设置的检查项对其进行匹配检查,只有通过检查的报文才能被转发,否则被丢弃。IP报文的可选的检查项包括:源IP地址、源MAC地址、VLAN,接口信息为必查项。

前置条件

需要在接口视图下执行命令ip source check user-bind enable使能IP报文的检查功能。

注意事项

当存在大量绑定表信息时,配置IP报文检查功能后会花费很长时间进行IP报文检查,因此会影响IP报文的转发效率。

该命令只对动态绑定表生效,对静态绑定表不会生效。对于静态绑定,IP报文的检查功能会根据静态绑定表中已配置的表项进行匹配检查。

使用实例

# 使能接口GE1/0/1的IP报文检查功能,检查IP报文的IP地址是否匹配绑定表。
<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind enable
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind check-item ip-address

ip source check user-bind check-item(VLAN视图)

命令功能

ip source check user-bind check-item命令用来配置基于VLAN的IP报文检查项。

undo ip source check user-bind check-item命令用来恢复VLAN下的IP报文检查项为缺省值。

缺省情况下,VLAN下IP报文检查项包括IP地址、MAC地址、VLAN和接口。

命令格式

ip source check user-bind check-item { ip-address | mac-address | interface } *

undo ip source check user-bind check-item

参数说明

参数 参数说明 取值
ip-address 指定检查IP报文的IP地址和VLAN是否匹配绑定表。 -
mac-address 指定检查IP报文的MAC地址和VLAN是否匹配绑定表。 -
interface 指定检查IP报文的接口信息和VLAN是否匹配绑定表。 -

视图

VLAN视图

缺省级别

2:配置级

使用指南

应用场景

在配置IP报文的绑定表检查功能时,执行本命令可以灵活的指定VLAN下IP报文的检查项。当设备接收到IP报文时,按照设置的检查项对其进行匹配检查,只有通过检查的报文才能被转发,否则被丢弃。IP报文的可选的检查项包括:源IP地址、源MAC地址、接口,VLAN信息为必查项。

前置条件

需要在VLAN视图下执行命令ip source check user-bind enable使能IP报文的检查功能。

注意事项

当存在大量绑定表信息时,使能IP报文检查功能后会花费很长时间进行IP报文检查,因此会影响IP报文的转发效率。

该命令只对动态绑定表生效,对静态绑定表不会生效。对于静态绑定,IP报文的检查功能会根据静态绑定表中已配置的表项进行匹配检查。

使用实例

# 使能VLAN100的IP报文检查功能,检查IP报文的IP地址是否匹配绑定表。

<HUAWEI> system-view
[HUAWEI] vlan 100
[HUAWEI-vlan100] ip source check user-bind enable
[HUAWEI-vlan100] ip source check user-bind check-item ip-address

ip source check user-bind enable

命令功能

ip source check user-bind enable命令用来使能IP报文检查功能。

undo ip source check user-bind enable命令用来去使能IP报文检查功能。

缺省情况下,未使能IP报文检查功能。

命令格式

ip source check user-bind enable

undo ip source check user-bind enable

ipv4 source check user-bind enable

undo ipv4 source check user-bind enable

ipv6 source check user-bind enable

undo ipv6 source check user-bind enable

参数说明

视图

VLAN视图、GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

在网络中经常出现利用仿冒合法用户的源IP、MAC等信息的报文访问或攻击网络的情况,导致合法用户无法获得稳定、安全的网络服务。配置IP报文检查功能,可以防范上述情况的发生。

当使能了IP报文的检查功能后,默认会对IP报文中的IP、MAC、VLAN、接口信息进行绑定表匹配检查。同时也可以执行命令ip source check user-bind check-item(接口视图)或者ip source check user-bind check-item(VLAN视图)灵活配置IP报文的检查项。只有与绑定表匹配的IP报文才能被转发,否则被丢弃。

前置条件

由于该功能是基于绑定表进行匹配检查的,因此:
  • 对于DHCP用户,需要使能DHCP Snooping自动生成动态绑定表。
  • 对于静态配置IP的用户,需要手工配置静态绑定表。
  • 对于自动地址分配方式获取IPv6地址的用户,需要使能ND Snooping自动生成动态绑定表。

注意事项

通过命令ip source check user-bind enable使能IP报文检查功能后,设备将对用户IP报文的源IPv4地址和源IPv6地址都进行检查。配置文件会显示为:
 ipv4 source check user-bind enable 
 ipv6 source check user-bind enable   

如果只想对IPv4报文或者IPv6报文进行检查,则需要执行ipv4 source check user-bind enable或者ipv6 source check user-bind enable

当ACU2单板接口加入Eth-Trunk接口后,该Eth-Trunk接口上无法使能IPSG功能;当在Eth-Trunk接口上使能了IPSG功能,则ACU2单板接口无法加入该Eth-Trunk接口。

使用实例

# 使能接口GE1/0/1的IPv4和IPv6报文检查功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ip source check user-bind enable

# 使能接口GE1/0/1的IPv4报文检查功能。

<HUAWEI> system-view
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] ipv4 source check user-bind enable

ip source-trail

命令功能

ip source-trail命令用来配置基于目的IP地址查找攻击源。

undo ip source-trail命令用来取消对目的IP地址的源追踪功能。

缺省情况下,未使能IP源追踪功能。

命令格式

ip source-trail ip-address ip-address

undo ip source-trail ip-address ip-address

参数说明

参数 参数说明 取值
ip-address 目的IP地址。表示对该地址进行源追踪。 点分十进制格式。

视图

系统视图

缺省级别

2:配置级

使用指南

对配置的地址打开源追踪功能,以此地址为目的地址的流量统计信息会被记录下来。系统最多支持32个目的IP地址的源追踪。

说明:

如果设备还没有完成源追踪,display ip source-trail命令查看到的信息是上一次IP Source Trail的跟踪结果。建议在执行ip source-trail ip-address命令10分钟后,再执行display ip source-trail命令。

使用实例

# 对地址10.0.0.1配置源IP追踪功能。

<HUAWEI> system-view
[HUAWEI] ip source-trail ip-address 10.0.0.1

# 取消对地址10.0.0.1配置源IP追踪功能。

[HUAWEI] undo ip source-trail ip-address 10.0.0.1

reset ip source-trail

命令功能

reset ip source-trail命令用来清除IP Source Trail源跟踪的统计结果。

命令格式

reset ip source-trail [ ip-address ip-address ]

参数说明

参数 参数说明 取值
ip-address 目的IP地址。表示对该地址进行源追踪。 点分十进制格式。

视图

用户视图

缺省级别

2:配置级

使用指南

执行本命令后,IP Source Trail源跟踪的统计结果将被清除并且不可恢复。

使用实例

# 清除对IP地址10.0.0.1的源跟踪统计信息。

<HUAWEI> reset ip source-trail ip-address 10.0.0.1

user-bind static

命令功能

user-bind static命令用来配置静态绑定表。

undo user-bind static命令用来删除静态绑定表。

缺省情况下,不存在静态绑定表。

命令格式

user-bind static { { { ip-address | ipv6-address } { start-ip [ to end-ip ] } &<1-10> | ipv6-prefix prefix/prefix-length } | mac-address mac-address } * [ interface interface-type interface-number ] [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]

undo user-bind static [ { ip-address { start-ip [ to end-ip ] } &<1-10> | ipv6-address [ start-ip [ to end-ip ] ] &<1-10> | ipv6-prefix [ prefix/prefix-length ] } | mac-address mac-address | interface interface-type interface-number | vlan vlan-id [ ce-vlan ce-vlan-id ] ] *

参数说明

参数 参数说明 取值
interface interface-type interface-number 指定与用户连接的接口作为静态绑定表项的参数。其中:
  • interface-type表示接口类型。
  • interface-number表示接口编号。

-

ip-address 用户的静态IP为IPv4地址。 -
ipv6-address 用户的静态IP为IPv6地址。 -
start-ip [ to end-ip ] 指定用户的IP地址作为静态绑定表项的参数。其中
  • start-ip表示第一个IP地址。
  • to end-ip表示最后一个IP的标号。end-ip的值必须大于start-ip的值,它和start-ip共同确定一个范围。

如果不指定to end-ip,则只将编号为start-ip的IP地址加入用户的静态绑定表项。

采用关键字to输入的区间不能有交叉,可以输入1~10次。

IPv4地址:X.X.X.X点分十进制形式;IPv6地址:32位16进制数,格式为X:X:X:X:X:X:X:X。
ipv6-prefix prefix/prefix-length 指定IPv6前缀信息。 prefix总长度为128位,通常分为8组,每组为4个十六进制数的形式。格式为X:X:X:X:X:X:X:X。prefix-length为整数形式,取值范围是1~128。
mac-address mac-address 指定用户的MAC地址作为静态绑定表项的参数。 H-H-H十六进制形式。
vlan vlan-id 指定用户所属的VLAN编号作为静态绑定表项的参数。 整数形式,取值范围1~4094。
ce-vlan ce-vlan-id 指定用户从QinQ接口接入的内层VLAN编号作为静态绑定表项的参数。 整数形式,取值范围1~4094。

视图

系统视图

缺省级别

2:配置级

使用指南

应用场景

当配置了DHCP Snooping功能时,对于动态用户会自动生成动态绑定表,而对于静态用户,DHCP Snooping功能无法自动生成绑定表。因此在进行报文的绑定表检查时,如果没有静态用户的绑定表,所有的静态用户的转发报文都将被丢弃。为了能使静态用户的报文被正常转发,需要执行该命令配置静态绑定表。

注意事项

配置静态绑定表之后,当配置报文的绑定表检查时,对于静态用户会根据已配置的静态绑定表项对报文进行检查,对于不匹配的报文,都将被丢弃。

使用实例

# 配置VLAN2内IP地址是10.1.1.1的用户为静态绑定表项。

<HUAWEI> system-view
[HUAWEI] user-bind static ip-address 10.1.1.1 vlan 2

user-bind ip sticky-mac

命令功能

user-bind ip sticky-mac命令用来使能根据绑定表生成Snooping类型MAC表项功能。

undo user-bind ip sticky-mac命令用来去使能根据绑定表生成Snooping类型MAC表项功能。

缺省情况下,未使能根据绑定表生成Snooping类型MAC表项功能。

命令格式

user-bind ip sticky-mac

undo user-bind ip sticky-mac

参数说明

视图

GE接口视图、XGE接口视图、40GE接口视图、100GE接口视图、Eth-Trunk接口视图、端口组视图

缺省级别

2:配置级

使用指南

应用场景

为了防止非法MAC地址用户对网络进行攻击,可以在可能存在非法用户接入的接口下执行命令user-bind ip sticky-mac,关闭该接口动态学习MAC表项的能力,并使设备可以根据DHCP Snooping绑定表、ND Snooping绑定表将从该接口动态学习到的Dynamic类型MAC表项转换成Snooping类型MAC表项(也是一种静态MAC表项)或者根据静态绑定表直接生成Snooping类型MAC表项。

之后,该接口收到的IP报文,只有在报文源MAC地址与静态MAC表项(包括Static类型、Snooping类型等)相匹配的情况下才能够通过该接口,否则报文会被丢弃,这样可以有效防止非法MAC地址用户的攻击。

说明:
  • 查看设备上生成的MAC表项信息请参见命令display mac-address

  • 若某一绑定表项更新,则该绑定表项对应的Snooping类型MAC表项也将同步更新。

前置条件

执行user-bind ip sticky-mac命令之前,需确保已使用命令dhcp snooping enable使能了设备的DHCP Snooping功能。

注意事项

对于接口下的合法静态用户,不仅可以通过命令user-bind static配置静态绑定表进而生成静态MAC表项,也可以通过命令mac-address static手工配置静态MAC表项,使其报文能够正常被转发。

配置静态绑定表时,必须至少同时指定MAC地址、VLAN编号和接口三个参数且指定的VLAN必须已经创建,设备才能根据静态绑定表生成Snooping类型的MAC表项。

执行本命令后,如果希望DHCPv6用户也能正常上线,则需要同时使能DHCP Snooping和ND Snooping功能。

在接口执行本命令时,将不能配置以下命令,反之亦然。

命令

说明

dot1x enable

使能接口802.1X功能。

mac-authen

使能接口MAC地址认证功能。

authentication-profile(接口视图&VAP模板视图)

在接口或VAP模板下应用认证模板。

mac-address learning disable(接口视图和VLAN视图)

配置MAC地址学习功能。

mac-limit

配置MAC地址学习最大数量。

port vlan-mapping vlan map-vlan

port vlan-mapping vlan inner-vlan

配置VLAN Mapping功能。

port-security enable

配置接口安全功能。

使用实例

# 在接口GE1/0/1下使能根据绑定表生成Snooping类型MAC表项功能。

<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] dhcp snooping enable
[HUAWEI] interface gigabitethernet 1/0/1
[HUAWEI-GigabitEthernet1/0/1] user-bind ip sticky-mac
翻译
下载文档
更新时间:2019-04-08

文档编号:EDOC1100065708

浏览量:11634

下载量:202

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页