评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置IP报文检查功能
背景信息
IPSG可以基于VLAN对IP报文进行检查,也可以基于接口(包括NVE接口)对IP报文进行检查。
CE12800E不支持在NVE接口上配置IP报文检查功能。
当接口和VLAN下同时配置IP报文检查功能时,接口下配置的检查项优先。
操作步骤
- 基于VLAN的IPSG:
- 执行命令system-view,进入系统视图。
- 执行命令vlan vlan-id,进入VLAN视图。
执行命令ip source check user-bind enable,使能IP报文检查功能。
缺省情况下,VLAN内没有使能IP报文检查功能。
执行命令ip source check user-bind check-item { ip-address | mac-address | interface }*,配置IP报文检查项。
缺省情况下,VLAN视图下的IP报文检查选项包括源IP地址、源MAC地址、VLAN和接口。
本命令只对动态绑定表生效,对静态绑定表不生效。对于静态绑定表,IPSG按照静态绑定表配置的表项进行完全匹配。
- 执行命令commit,提交配置。
- 基于接口的IPSG:
- 执行命令system-view,进入系统视图。
- 执行命令interface interface-type interface-number,进入接口视图。
执行命令ip source check user-bind enable,使能IP报文检查功能。
缺省情况下,接口下没有使能IP报文检查功能。
接口配置为信任状态后,不再进行IP报文检查。
执行命令ip source check user-bind check-item { ip-address | mac-address | vlan }*,配置IP报文检查项。
缺省情况下,接口视图下的IP报文检查选项包括源IP地址、源MAC地址、VLAN和接口。
本命令只对动态绑定表生效,对静态绑定表不生效。对于静态绑定表,IPSG按照静态绑定表配置的表项进行完全匹配。
- 执行命令commit,提交配置。
- 基于NVE接口的IPSG:
- 执行命令system-view,进入系统视图。
- 执行命令interface nve nve-number,进入NVE接口视图。
执行命令ip source check user-bind peer-ip peer-ip enable,使能IP报文检查功能。
缺省情况下,NVE接口下没有使能IP报文检查功能。
- 执行命令commit,提交配置。
