13.1DHCPv6 Snooping命令
13.1.1clear dhcpv6 snooping bindings learning
命令功能
在特权模式下使用clear dhcpv6 snooping binding learning命令来清除DHCP绑定数据库中动态绑定的条目。
命令语法
clear dhcpv6 snooping bindings ( learning | manual ) ( ipv6 IP-ADDRESS | mac MAC-ADDRESS | vlan VLAN-ID | interface IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| ipv6 IP-ADDRESS |
清除指定IPv6地址的绑定条目 |
IPv6地址 |
| mac MAC-ADDRESS |
清除指定MAC地址的绑定条目 |
MAC地址 |
| vlan VLAN-ID |
清除指定VLAN的绑定条目 |
1-4094 |
| interface IFNAME |
清除指定端口名称的绑定条目 |
支持物理端口和聚合端口 |
命令模式
特权模式
默认配置
无
使用说明
该命令用于清除DHCPv6 snooping绑定条目。
举例说明
配置清除DHCPv6 snooping所有动态绑定条目
Switch# clear dhcpv6 snooping bindings learning
相关命令
show dhcpv6 snooping binding
13.1.2clear dhcpv6 snooping statistics
命令功能
在特权模式下使用clear dhcpv6 snooping statistics命令来清除DHCPv6 snooping统计信息。
命令语法
clear dhcpv6 snooping statistics
命令模式
特权模式
默认配置
无
使用说明
该命令用于清除DHCPv6 snooping计数信息。
举例说明
配置清除DHCPv6 snooping计数
Switch# clear dhcpv6 snooping statistics
相关命令
show dhcpv6 snooping statistics
13.1.3dhcpv6 snooping
命令功能
在全局配置模式下使用dhcpv6 snooping命令配置交换机全局使能DHCPv6 snooping。
使用此命令的no格式恢复为默认设置。
命令语法
dhcpv6 snooping
no dhcpv6 snooping
命令模式
全局配置模式
默认配置
默认情况下,DHCPv6 snooping未使能。
使用说明
必需在全局使能DHCPv6 snooping,才可以使DHCPv6 snooping的配置生效。
只有在全局配置模式下使用dhcpv6 snooping vlan vlan-id命令在VLAN上使能snooping,DHCPv6 snooping才会起作用。
可以在特权模式下使用show dhcpv6 snooping config命令验证配置是否启用
举例说明
配置使能DHCPv6 snooping
Switch# configure terminal
Switch(config)# dhcpv6 snooping
相关命令
dhcpv6 snooping vlan
show dhcpv6 snooping config
13.1.4dhcpv6 snooping binding
命令功能
在全局配置模式下,使用dhcpv6 snooping binding命令配置DHCPv6 snooping绑定数据库以及向数据库中添加静态绑定条目。
命令语法
dhcpv6 snooping binding mac MAC-ADDRESS vlan VLAN-ID ipv6 IP-ADDRESS interface IFNAME expiry SECONDS
no dhcpv6 snooping bindings ( ipv6 IP-ADDRESS | mac MAC-ADDRESS | vlan VLAN-ID | interface IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| mac MAC-ADDRESS |
指定MAC地址 |
MAC地址 |
| vlan VLAN-ID |
指定VLAN 序号。 |
1-4094 |
| ipv6 IP-ADDRESS |
指定IPv6地址 |
IPv6地址 |
| interface IFNAME |
指定添加或删除绑定条目的接口 |
支持物理端口和聚合端口 |
| expiry SECONDS |
指定时间间隔(单位为秒)后绑定条目无效。范围为0到86400 |
0-86400 秒 |
命令模式
全局配置模式
默认配置
无
使用说明
当你在测试或调试交换机时使用该条命令。
在DHCPv6 snooping绑定数据库中,每一个数据条目都有一个IPv6地址,一个关联的MAC地址,一个租约时间,提供绑定数据的接口,以及该接口属于的VALN。
在特权模式下,使用show dhcpv6 snooping binding命令显示配置的绑定信息。
举例说明
为在VLAN1的接口eth-0-1上配置一个DHCPv6 snooping 绑定,MAC地址为0001.000c.01ef,IPv6地址为2001:1::1,过期时间为1000秒
Switch# configure terminal
Switch(config)# dhcpv6 snooping binding mac 0001.000c.01ef vlan 1 ipv6 2001:1::1 interface eth-0-1 expiry 1000
相关命令
show dhcpv6 snooping binding
13.1.5dhcpv6 snooping no-binding vlan
命令功能
在全局配置模式下使用dhcpv6 snooping no-binding vlan命令配置交换机使能DHCPv6 snooping不记录指定vlan的动态表项。使用命令相应的no形式恢复为默认设置。
命令语法
dhcpv6 snooping no-binding vlan VLAN-RANGE
no dhcpv6 snooping no-binding vlan VLAN-RANGE
| 参数 |
参数说明 |
参数取值 |
| VLAN-RANGE |
指定使能不记录dhcpv6 snooping动态表项的VLAN范围,以‘-’ 和‘,’符号相连接,如 “1-10,15,20,30-40”. |
1-4094 |
命令模式
全局配置模式
默认配置
默认情况下DHCPv6 snooping不记录动态表项在所有VLAN都未使能。
使用说明
你可以输入VLAN序号指定单独一个VLAN ID,或者输入几个VLAN序号使用逗号间隔,或输入一个VLAN范围使用连字号间隔,或输入VLAN开始ID和VLAN结束ID使用空格间隔。使能了不记录动态表项功能后,该VLAN对应的DHCPv6 snooping动态表项会被删除。
举例说明
在VLAN10上配置DHCP snooping no-binding
Switch# configure terminal
Switch(config)# dhcpv6 snooping no-binding vlan 10
相关命令
无
13.1.6dhcpv6 snooping database
命令功能
在全局配置模式下,使用dhcpv6 snooping database命令位置交换机的DHCPv6 snooping绑定数据库代理。
使用此命令的no格式重置保存延期时间。
命令语法
dhcpv6 snooping database auto-save interval SECONDS
| 参数 |
参数说明 |
参数取值 |
| interval SECONDS |
指定保存绑定数据库的时间间隔 (单位为秒) 。 |
15-2000 秒 |
命令模式
全局配置模式
默认配置
默认时间间隔为600秒。
使用说明
DHCPv6 snooping绑定数据库存储在flash:/dhcpv6snooping中。
举例说明
配置DHCPv6 snooping自动保存数据库时间间隔为120秒
Switch# configure terminal
Switch(config)# dhcpv6 snooping database auto-save interval 120
相关命令
dhcpv6 snooping
dhcpv6 snooping binding
13.1.7dhcpv6 snooping interface-id format
命令功能
在全局配置模式下,使用dhcpv6 snooping interface-id format命令配置插入报文中的interface-id的格式。使用此命令的no格式恢复interface-id格式的默认值。
命令语法
dhcpv6 snooping interface-id ( vlan VLAN-ID | ) format { vlan-id | ifname | hostname | mac | string STRING }
no dhcpv6 snooping interface-id ( vlan VLAN-ID | ) format
| 参数 |
参数说明 |
参数取值 |
| vlan VLAN-ID |
若指定VLAN,则仅会配置属于该VLAN的DHCPv6报文中的interface-id选项的格式 |
1-4094 |
| vlan-id |
interface-id中插入接收到报文中的svlan id |
- |
| ifname |
interface-id中插入接收客户端报文的二层物理口的名字 |
- |
| hostname |
interface-id中插入交换机的主机名 |
- |
| mac |
interface-id中插入接收客户端报文的接口mac地址 |
- |
| string STRING |
interface-id中插入用户自定义字符串 |
- |
命令模式
全局配置模式
默认配置
默认格式为vlan:ifname:hostname:mac:
使用说明
interface-id的格式可以是vlan id,接口名称,主机名,mac地址和用户自定义字符串几种关键字的组合,可以设置需要显示在interface-id中的关键字。
若指定VLAN,则仅会配置属于该VLAN的DHCPv6报文中的interface-id选项的格式;若不指定VLAN,则会配置接口收到的所有DHCPv6报文中的interface-id选项的格式。
如果端口也配置了option18的格式,则在该端口下的DHCPv6报文中插入option18选项时优先使用端口下的格式配置
举例说明
配置interface-id的格式
Switch# configure terminal
Switch(config)# dhcpv6 snooping interface-id format vlan ifname string abc123
相关命令
dhcpv6 snooping interface-id option
13.1.8dhcpv6 snooping interface-id option
命令功能
在全局配置模式下,使用dhcpv6 snooping interface-id option命令使能报文中插入interface-id 选项功能。使用此命令的no格式去使能插入interface-id选项功能。
命令语法
dhcpv6 snooping interface-id option
no dhcpv6 snooping interface-id option
命令模式
全局配置模式
默认配置
默认未使能插入interface-id选项
使用说明
无
举例说明
配置DHCPv6 snooping启用interface-id选项
Switch# configure terminal
Switch(config)# dhcpv6 snooping interface-id option
相关命令
dhcpv6 snooping interface-id format
13.1.9dhcpv6 snooping interface-id policy
命令功能
在全局配置模式下,使用dhcpv6 snooping interface-id policy命令配置对于已经携带interface-id选项的报文的策略。使用此命令的no格式恢复interface-id策略的默认值。
命令语法
dhcpv6 snooping interface-id policy ( drop | keep | replace )
no dhcpv6 snooping interface-id policy
| 参数 |
参数说明 |
参数取值 |
| drop |
如果报文中已经携带interface-id,丢掉该报文 |
- |
| keep |
如果报文中已经携带interface-id,转发时保持其内容不变 |
- |
| replace |
如果报文中已经携带interface-id,转发时用新产生的替换报文中已经携带的interface-id内容 |
- |
命令模式
全局配置模式
默认配置
默认策略是替换interface-id
使用说明
如果端口也配置了option18的策略,则在该端口下的DHCPv6报文中插入option18选项时优先遵循端口下的策略配置
举例说明
配置DHCPv6 snooping对于interface-id选项的策略为replace
Switch# configure terminal
Switch(config)# dhcpv6 snooping interface-id policy replace
相关命令
dhcpv6 snooping interface-id option
13.1.10dhcpv6 snooping option18 format
命令功能
在端口配置模式下,使用dhcpv6 snooping option18 format命令配置插入报文中的option18的格式。使用此命令的no格式恢复option18格式的默认值。
命令语法
dhcpv6 snooping option18 ( vlan VLAN-ID | ) format { vlan-id | ifname | hostname | mac | string STRING }
no dhcpv6 snooping option18 ( vlan VLAN-ID | ) format
| 参数 |
参数说明 |
参数取值 |
| vlan VLAN-ID |
若指定VLAN,则仅会配置属于该VLAN的DHCPv6报文中的option18选项的格式 |
1-4094 |
| vlan-id |
option18中插入接收到报文中的svlan id |
- |
| ifname |
option18中插入接收客户端报文的二层物理口的名字 |
- |
| hostname |
option18中插入交换机的主机名 |
- |
| mac |
option18中插入接收客户端报文的接口mac地址 |
- |
| string STRING |
option18中插入用户自定义字符串 |
- |
命令模式
端口配置模式
默认配置
默认格式为vlan:ifname:hostname:mac:
使用说明
option18的格式可以是vlan id,接口名称,主机名,mac地址和用户自定义字符串几种关键字的组合,可以设置需要显示在option18中的关键字。
若指定VLAN,则仅会配置属于该VLAN的DHCPv6报文中的option18选项的格式;若不指定VLAN,则会配置接口收到的所有DHCPv6报文中的Option18选项的格式。
举例说明
配置option18的格式
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcpv6 snooping option18 format vlan ifname string abc123
相关命令
dhcpv6 snooping option18 option
13.1.11dhcpv6 snooping option18
命令功能
在端口配置模式下,使用dhcpv6 snooping option18 option命令使能报文中插入option18 选项功能。使用此命令的no格式去使能插入option18选项功能。
命令语法
dhcpv6 snooping option18
no dhcpv6 snooping option18
命令模式
端口配置模式
默认配置
默认未使能插入option18选项
使用说明
无
举例说明
配置DHCPv6 snooping启用option18选项
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcpv6 snooping option18
相关命令
dhcpv6 snooping option18 format
13.1.12dhcpv6 snooping option18 policy
命令功能
在端口配置模式下,使用dhcpv6 snooping option18 policy命令配置对于已经携带option18选项的报文的策略。使用此命令的no格式恢复option18策略的默认值。
命令语法
dhcpv6 snooping option18 policy ( drop | keep | replace )
no dhcpv6 snooping option18 policy
| 参数 |
参数说明 |
参数取值 |
| drop |
如果报文中已经携带option18,丢掉该报文 |
- |
| keep |
如果报文中已经携带option18,转发时保持其内容不变 |
- |
| replace |
如果报文中已经携带option18,转发时用新产生的替换报文中已经携带的option18内容 |
- |
命令模式
端口配置模式
默认配置
默认策略是保持option18不变
使用说明
无
举例说明
配置DHCPv6 snooping对于option18选项的策略为replace
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcpv6 snooping option18 policy replace
相关命令
dhcpv6 snooping option18 option
13.1.13dhcpv6 snooping remote-id format
命令功能
在全局配置模式下,使用dhcpv6 snooping remote-id format命令配置插入报文中的remote-id的格式。使用此命令的no格式恢复remote-id格式的默认值。
命令语法
dhcpv6 snooping remote-id ( vlan <1-4094> | ) format { duid | vlan-id | ifname | hostname | mac | string STRING }
no dhcpv6 snooping remote-id ( vlan <1-4094> | ) format
| 参数 |
参数说明 |
参数取值 |
| vlan VLAN-ID |
若指定VLAN,则仅会配置属于该VLAN的DHCPv6报文中的option37选项的格式 |
- |
| duid |
remote-id中包含设备的DUID |
- |
| vlan-id |
客户端所在的vlan id |
- |
| ifname |
接收客户端报文的二层物理口的名字 |
- |
| hostname |
remote-id中插入交换机的主机名 |
- |
| mac |
remote-id中插入接收客户端报文的接口mac地址 |
- |
| string STRING |
remote-id中插入用户自定义字符串 |
- |
命令模式
全局配置模式
默认配置
默认格式为MAC
使用说明
Remote-id的格式可以是vlan id,接口名称,duid三种关键字的组合,可以设置需要显示在remote-id中的关键字。
举例说明
配置remote-id的格式
Switch# configure terminal
Switch(config)# dhcpv6 snooping remote-id format duid vlan ifname
相关命令
dhcpv6 snooping remote-id option
13.1.14dhcpv6 snooping remote-id option
命令功能
在全局配置模式下,使用dhcpv6 snooping remote-id option命令使能报文中插入remote-id 选项功能。使用此命令的no格式去使能插入remote-id选项功能。
命令语法
dhcpv6 snooping remote-id option
no dhcpv6 snooping remote-id option
命令模式
全局配置模式
默认配置
默认未使能插入remote-id选项
使用说明
无
举例说明
配置DHCPv6 snooping启用remote-id选项
Switch# configure terminal
Switch(config)# dhcpv6 snooping remote-id option
相关命令
dhcpv6 snooping remote-id format
13.1.15dhcpv6 snooping remote-id policy
命令功能
在全局配置模式下,使用dhcpv6 snooping remote-id policy命令配置对于已经携带remote-id选项的报文的策略。使用此命令的no格式恢复remote-id策略的默认值。
命令语法
dhcpv6 snooping remote-id policy ( drop | keep | replace )
no dhcpv6 snooping remote-id policy
| 参数 |
参数说明 |
参数取值 |
| drop |
如果报文中已经携带remote-id,丢掉该报文 |
- |
| keep |
如果报文中已经携带remote-id,转发时保持其内容不变 |
- |
| replace |
如果报文中已经携带remote-id,转发时用新产生的替换报文中已经携带的remote-id内容 |
- |
命令模式
全局配置模式
默认配置
默认策略是替换remote-id
使用说明
如果端口也配置了option37的策略,则在该端口下的DHCPv6报文中插入option37选项时优先遵循端口下的策略配置
举例说明
配置DHCPv6 snooping对于remote-id选项的策略为replace
Switch# configure terminal
Switch(config)# dhcpv6 snooping remote-id policy replace
相关命令
dhcpv6 snooping remote-id option
13.1.16dhcpv6 snooping option37 format
命令功能
在端口配置模式下,使用dhcpv6 snooping option37 format命令配置插入报文中的option37的格式。使用此命令的no格式恢复option37格式的默认值。
命令语法
dhcpv6 snooping option37 ( vlan VLAN-ID | ) format { duid | vlan-id | ifname | hostname | mac | string STRING }
no dhcpv6 snooping option37 ( vlan VLAN-ID | ) format
| 参数 |
参数说明 |
参数取值 |
| vlan VLAN-ID |
若指定VLAN,则仅会配置属于该VLAN的DHCPv6报文中的option37选项的格式 |
1-4094 |
| duid |
系统的DUID |
- |
| vlan-id |
option37中插入接收到报文中的svlan id |
- |
| ifname |
option37中插入接收客户端报文的二层物理口的名字 |
- |
| hostname |
option37中插入交换机的主机名 |
- |
| mac |
option37中插入接收客户端报文的接口mac地址 |
- |
| string STRING |
option37中插入用户自定义字符串 |
- |
命令模式
端口配置模式
默认配置
默认格式为mac
使用说明
option37的格式可以是vlan id,接口名称,主机名,mac地址和用户自定义字符串几种关键字的组合,可以设置需要显示在option37中的关键字。
若指定VLAN,则仅会配置属于该VLAN的DHCPv6报文中的option37选项的格式;若不指定VLAN,则会配置接口收到的所有DHCPv6报文中的option37选项的格式。
举例说明
配置option37的格式
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcpv6 snooping option37 format vlan ifname string abc123
相关命令
dhcpv6 snooping option37 option
13.1.17dhcpv6 snooping option37
命令功能
在端口配置模式下,使用dhcpv6 snooping option37 option命令使能报文中插入option37 选项功能。使用此命令的no格式去使能插入option37选项功能。
命令语法
dhcpv6 snooping option37
no dhcpv6 snooping option37
命令模式
端口配置模式
默认配置
默认未使能插入option37选项
使用说明
无
举例说明
配置DHCPv6 snooping启用option37选项
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcpv6 snooping option37
相关命令
dhcpv6 snooping option37 format
13.1.18dhcpv6 snooping option37 policy
命令功能
在端口配置模式下,使用dhcpv6 snooping option37 policy命令配置对于已经携带option37选项的报文的策略。使用此命令的no格式恢复option37策略的默认值。
命令语法
dhcpv6 snooping option37 policy ( drop | keep | replace )
no dhcpv6 snooping option37 policy
| 参数 |
参数说明 |
参数取值 |
| drop |
如果报文中已经携带option37,丢掉该报文 |
- |
| keep |
如果报文中已经携带option37,转发时保持其内容不变 |
- |
| replace |
如果报文中已经携带option37,转发时用新产生的替换报文中已经携带的option37内容 |
- |
命令模式
端口配置模式
默认配置
默认策略是保持option37不变
使用说明
无
举例说明
配置DHCPv6 snooping对于option37选项的策略为replace
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcpv6 snooping option37 policy replace
相关命令
dhcpv6 snooping option37 option
13.1.19dhcpv6 snooping trust
命令功能
在端口配置模式下使用dhcpv6 snooping trust命令配置接口对DHCPv6 snooping为信任接口。
使用此命令的no格式恢复为默认设置。
命令语法
dhcpv6 snooping trust
no dhcpv6 snooping trust
命令模式
端口配置模式
默认配置
默认情况下,为DHCPv6 snooping不信任接口。
使用说明
配置连接DHCPv6服务器或其他交换机或路由器的接口为信任接口。配置连接DHCPv6客户端的接口为不信任接口。
举例说明
配置接口为DHCPv6 snooping信任接口
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcpv6 snooping trust
相关命令
show dhcpv6 snooping trusted-sources
13.1.20dhcpv6 snooping no-binding
命令功能
在端口配置模式下使用dhcpv6 snooping no-binding命令配置接口对DHCPv6 snooping不记录动态表项。使用命令相应的no形式恢复为默认设置。
命令语法
dhcpv6 snooping no-binding
no dhcpv6 snooping no-binding
命令模式
端口配置模式
默认配置
默认情况下,DHCPv6 snooping会记录动态表项。
使用说明
端口下使能不记录动态表项功能后,会删除对应端口的用户绑定表项。
举例说明
配置接口使能DHCPv6 snooping no-binding功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# dhcpv6 snooping no-binding
相关命令
无
13.1.21dhcpv6 snooping vlan
命令功能
在全局配置模式下使用dhcpv6 snooping vlan命令配置交换机在VLAN使能DHCPv6 snooping。使用此命令的no格式恢复为默认设置。
命令语法
dhcpv6 snooping vlan VLAN-RANGE
no dhcpv6 snooping vlan VLAN-RANGE
| 参数 |
参数说明 |
参数取值 |
| VLAN-RANGE |
指定使能DHCP snooping的VLAN ID或VLAN的范围。 |
1-4094 |
命令模式
全局配置模式
默认配置
默认情况下DHCPv6 snooping在所有VLAN都未使能。
使用说明
你可以输入VLAN序号指定单独一个VLAN ID,或者输入几个VLAN序号使用逗号间隔,或输入一个VLAN范围使用连字号间隔,或输入VLAN开始ID和VLAN结束ID使用空格间隔。在VLAN上使能DHCPv6 snooping 前,必须先全局使能DHCPv6 snooping。
举例说明
在VLAN10上配置DHCPv6 snooping
Switch# configure terminal
Switch(config)# dhcpv6 snooping vlan 10
相关命令
show dhcpv6 snooping config
13.1.22debug dhcpv6 snooping
命令功能
使用此命令可以打开dhcpv6 snooping的模块的调试功能。
在原命令之前加上关键字“no”,关闭调试功能。
命令语法
debug dhcpv6 snooping ( events | error | dump | packet | all )
no debug dhcpv6 snooping ( events | error | dump | packet | all )
| 参数 |
参数说明 |
参数取值 |
| events |
调试dhcpv6 snooping事件信息 |
- |
| error |
调试dhcpv6 snooping错误信息 |
- |
| packet |
调试dhcpv6 snooping的数据包信息 |
- |
| dump |
以十六进制调试dhcpv6 snooping的数据包信息 |
- |
| all |
上面提到的所有调试信息 |
- |
命令模式
特权模式
默认配置
无
使用说明
使用“terminal monitor”打印消息
举例说明
使用如下命令,打开D snooping的所有调试信息
Switch# debug dhcpv6 snooping all
相关命令
terminal monitor
show logging buffer
13.1.23show dhcpv6 snooping binding
命令功能
在特权模式下使用show dhcpv6 snooping binding命令显示设备DHCPv6 snooping绑定数据库和所有接口的配置信息。
命令语法
show dhcpv6 snooping binding ( (all | manual | learning ) ( ipv4 IP-ADDRESS | mac MAC-ADDRESS | vlan VLAN-ID | interface IFNAME | ) summary | )
| 参数 |
参数说明 |
参数取值 |
| all |
显示所有绑定条目 |
- |
| manual |
显示静态绑定条目 |
- |
| learning |
显示动态绑定条目 |
- |
| mac MAC-ADDRESS |
指定MAC地址 |
MAC地址 |
| vlan VLAN-ID |
指定VLAN 序号。 |
1-4094 |
| ipv4 IP-ADDRESS |
指定IP地址 |
IPv4 地址 |
| interface IFNAME |
指定添加或删除绑定条目的接口 |
支持物理端口和聚合端口 |
| summary |
显示DHCPv6 snooping绑定的概要信息 |
- |
命令模式
特权模式
默认配置
无
使用说明
如果使能了DHCPv6 snooping功能,即使接口变为断开状态,交换机也不会删除静态配置的绑定条目。
举例说明
显示DHCPv6 snooping绑定信息
Switch# show dhcpv6 snooping binding all
DHCPv6 snooping binding table:
VLAN MAC Address Interface Lease(s) IPv6 Address
============================================================
1 0001.0001.0001 eth-0-2 static 1:1::1:1
Switch# show dhcpv6 snooping binding summary
Total 1 DHCPv6 snooping binding entries
0 learning entry, 1 configured entry
相关命令
dhcpv6 snooping binding
13.1.24show dhcpv6 snooping config
命令功能
在特权模式下使用show dhcpv6 snooping config命令显示DHCPv6 snooping配置。
命令语法
show dhcpv6 snooping config
命令模式
特权模式
默认配置
无
使用说明
该命令用于显示DHCPv6 snooping配置信息。
举例说明
显示dhcpv6 snooping配置信息
Switch# show dhcpv6 snooping config
dhcpv6 snooping service: enabled
dhcpv6 snooping switch: enabled
dhcpv6 snooping vlan 3
相关命令
dhcpv6 snooping
dhcpv6 snooping vlan
13.1.25show dhcpv6 snooping trusted-sources
命令功能
在特权模式下使用show dhcpv6 snooping trusted-sources命令显示DHCPv6 snooping的信任端口。
命令语法
show dhcpv6 snooping trusted-sources
命令模式
特权模式
默认配置
无
使用说明
该命令用于显示DHCPv6 snooping信任端口。
举例说明
显示dhcpv6 snooping信任端口
Switch# show dhcpv6 snooping trusted-source
List of DHCPv6 snooping trusted interface(s):
============================================================
eth-0-20
相关命令
dhcpv6 snooping trust
13.1.26show dhcpv6 snooping statistics
命令功能
在特权模式下使用show dhcpv6 snooping statistics命令显示DHCPv6 snooping统计信息。
命令语法
show dhcpv6 snooping statistics
命令模式
特权模式
默认配置
无
使用说明
该命令用于显示DHCPv6 snooping统计信息。
举例说明
显示DHCPv6 snooping统计信息
Switch# show dhcpv6 snooping statistics
DHCPv6 snooping statistics:
============================================================
DHCPv6 packets 137
Packets forwarded 137
Packets invalid 0
Packets dropped 0
相关命令
clear dhcpv6 snooping statistics
13.2ND Snooping命令
13.2.1ipv6 nd snooping vlan
命令功能
用该命令在VLAN使能ND snooping。使用此命令的no格式在VLAN上去使能ND snooping。
命令语法
ipv6 nd snooping vlan VLAN-RANGE enable
no ipv6 nd snooping vlan VLAN-RANGE enable
| 参数 |
参数说明 |
参数取值 |
| VLAN-RANGE |
指定使能ND snooping的VLAN ID或VLAN的范围。 |
1-4094 |
命令模式
全局配置模式
默认配置
Disable
使用说明
同一个vlan只能在非dhcpv6-only模式下使能或者dhcpv6-only模式下使能,不可同时使能。
举例说明
下面的实例显示如何在VLAN10上使能ND snooping
Switch# configure terminal
Switch(config)# ipv6 nd snooping vlan 10 enable
下面的实例显示如何在VLAN10上关闭ND snooping
Switch# configure terminal
Switch(config)# no ipv6 nd snooping vlan 10 enable
相关命令
无
13.2.2ipv6 nd snooping vlan dhcpv6-only
命令功能
用该命令开启DHCPv6 Only场景下VLAN的ND snooping功能。使用此命令的no格式关闭DHCPv6 Only场景下VLAN的ND snooping功能。
命令语法
ipv6 nd snooping vlan VLAN-RANGE enable dhcpv6-only
no ipv6 nd snooping vlan VLAN-RANGE enable
| 参数 |
参数说明 |
参数取值 |
| VLAN-RANGE |
指定使能ND snooping的VLAN ID或VLAN的范围。 |
1-4094 |
命令模式
全局配置模式
默认配置
Disable
使用说明
同一个vlan只能在非dhcpv6-only模式下使能或者dhcpv6-only模式下使能,不可同时使能。
举例说明
下面的实例显示如何在dhcpv6-only模式下,在VLAN10上使能ND snooping
Switch# configure terminal
Switch(config)# ipv6 nd snooping vlan 10 enable dhcpv6-only
下面的实例显示如何在dhcpv6-only模式下,在VLAN10上关闭ND snooping
Switch# configure terminal
Switch(config)# no ipv6 nd snooping vlan 10 enable dhcpv6-only
相关命令
无
13.2.3ipv6 nd snooping static-prefix
命令功能
用该命令全局配置静态前缀管理表,用no命令删除静态前缀管理表。
命令语法
ipv6 nd snooping static-prefix ADDR/LEN vlan VLAN_ID
no ipv6 nd snooping static-prefix ADDR/LEN vlan VLAN_ID
| 参数 |
参数说明 |
参数取值 |
| ADDR |
ipv6地址 |
X:X:X:X:X:X:X:X |
| LEN |
ipv6地址前缀长度 |
1-127 |
| VLAN_ID |
VLAN ID |
1-4094 |
命令模式
全局配置模式
默认配置
无
使用说明
静态前缀管理表与动态前缀管理表共享规格。ipv6前缀地址不可以是组播地址、是全0地址、linklocal地址。
举例说明
下面的实例显示如何配置静态前缀管理表
Switch# configure terminal
Switch(config)# ipv6 nd snooping static-prefix 2003::/64 vlan 10
下面的实例显示如何删除静态前缀管理表
Switch# configure terminal
Switch(config)# no ipv6 nd snooping static-prefix 2003::/64 vlan 10
相关命令
无
13.2.4ipv6 nd snooping detect
命令功能
使用该命令使能全局定时探测,用no命令关闭全局定时探测功能。
命令语法
ipv6 nd snooping detect enable
no ipv6 nd snooping detect enable
命令模式
全局配置模式
默认配置
Disable
使用说明
动态绑定表一旦创建,如果全局定时探测功能打开,那么动态绑定表中的接口会周期性的往外发DAD-NS报文,如果在规定时间内收到NA回复,说明用户是在线的,更新动态绑定表的老化时间即可;如果在规定时间内没收到NA回复,说明用户不在线了,该动态绑定表需要删除。
举例说明
下面的实例显示如何使能全局定时探测功能
Switch# configure terminal
Switch(config)# ipv6 nd snooping detect enable
下面的实例显示如何关闭全局定时探测功能
Switch# configure terminal
Switch(config)# no ipv6 nd snooping detect enable
相关命令
无
13.2.5ipv6 nd snooping detect transmit
命令功能
使用该命令配置全局定时发送NS报文的的探测次数和探测时间间隔,用no命令恢复默认的探测次数和探测间隔。
命令语法
ipv6 nd snooping detect transmit TIMES interval INTERVAL
no ipv6 nd snooping detect transmit interval
| 参数 |
参数说明 |
参数取值 |
| TIMES |
探测次数 |
1-10次 |
| INTERVAL |
探测时间间隔 |
500-10000毫秒 |
命令模式
全局配置模式
默认配置
默认次数是2次,默认时间间隔是1000毫秒
使用说明
以默认的探测次数和探测时间间隔为例,接口每1000毫秒发一次NS,如果2000毫秒内收到NA回复,那继续更新动态绑定表的老化时间,并继续往外发NS探测;如果2000毫秒内没收到NA回复,则说明用户不在线了,表项删除。
举例说明
下面的实例显示如何配置定时探测的次数和时间间隔
Switch# configure terminal
Switch(config)# ipv6 nd snooping detect transmit 2 interval 2000
下面的实例显示如何恢复默认的定时探测的次数和时间间隔
Switch# configure terminal
Switch(config)# ipv6 nd snooping detect transmit interval
相关命令
无
13.2.6ipv6 nd snooping transmit
命令功能
使用该命令配置临时发送NS报文的的探测次数和探测时间间隔,用no命令恢复默认的探测次数和探测间隔。
命令语法
ipv6 nd snooping transmit TIMES interval INTERVAL
no ipv6 nd snooping transmit interval
| 参数 |
参数说明 |
参数取值 |
| TIMES |
探测次数 |
1-10次 |
| INTERVAL |
探测时间间隔 |
500-10000毫秒 |
命令模式
全局配置模式
默认配置
默认次数是2次,默认时间间隔是1000毫秒
使用说明
这个探测主要针对接口收到NA报文,与已有的动态绑定表比较时,接口不一致触发此探测。以默认的探测次数和探测时间间隔为例,接口每1000毫秒发一次NS,如果2000毫秒内收到NA回复,那继续更新动态绑定表的老化时间,并继续往外发NS探测;如果2000毫秒内没收到NA回复,则说明用户不在线了,表项删除。
举例说明
下面的实例显示如何配置临时探测的次数和时间间隔
Switch# configure terminal
Switch(config)# ipv6 nd snooping transmit 2 interval 2000
下面的实例显示如何恢复默认的临时探测的次数和时间间隔
Switch# configure terminal
Switch(config)# ipv6 nd snooping transmit interval
相关命令
无
13.2.7ipv6 nd snooping max-userbind-number
命令功能
使用该命令配置动态绑定表的最大个数,用no命令恢复动态绑定表的最大个数的默认值。
命令语法
ipv6 nd snooping max-userbind-number NUM
no ipv6 nd snooping max-userbind-number
| 参数 |
参数说明 |
参数取值 |
| NUM |
动态绑定表的最大个数 |
1-2048 |
命令模式
全局配置模式
默认配置
2048
使用说明
无
举例说明
下面的实例显示如何配置最大绑定表的个数
Switch# configure terminal
Switch(config)# ipv6 nd snooping max-userbind-number 1000
下面的实例显示如何恢复最大绑定表的个数的默认值
Switch# configure terminal
Switch(config)# no ipv6 nd snooping max-userbind-number
相关命令
无
13.2.8ipv6 nd snooping max-prefix-number
命令功能
使用该命令配置前缀管理表的最大个数,用no命令恢复前缀管理表的最大个数的默认值。
命令语法
ipv6 nd snooping max-prefix-number NUM
no ipv6 nd snooping max-prefix-number
| 参数 |
参数说明 |
参数取值 |
| NUM |
前缀管理表的最大个数 |
1-2048 |
命令模式
全局配置模式
默认配置
2048
使用说明
这个最大值规格是动态绑定表和静态绑定表共享。
举例说明
下面的实例显示如何配置最大前缀管理表的个数
Switch# configure terminal
Switch(config)# ipv6 nd snooping max-prefix-number 1000
下面的实例显示如何恢复最大前缀管理表个数的默认值
Switch# configure terminal
Switch(config)# no ipv6 nd snooping max-prefix-number
相关命令
无
13.2.9ipv6 nd snooping trust
命令功能
使用该命令在端口上配置nd snooping trust功能,使用no命令删除端口上nd snooping trust功能。
命令语法
ipv6 nd snooping trust
no ipv6 nd snooping trust
命令模式
端口配置模式
默认配置
untrust
使用说明
一个接口不能同时配置trust和trust dhcpv6-only。如果一个接口没有配置trust vlan,那么该接口下的所有的vlan都是trust的,如果配置了trust vlan,那么该接口的某些vlan是trust的。
举例说明
下面的实例显示如何在接口上配置nd snooping trust功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# ipv6 nd snooping trust
下面的实例显示如何在接口上删除nd snooping trust功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no ipv6 nd snooping trust
相关命令
无
13.2.10ipv6 nd snooping trust vlan
命令功能
使用该命令在端口的vlan上配置nd snooping trust功能,使用no命令删除端口的vlan上nd snooping trust功能。
命令语法
ipv6 nd snooping trust vlan VLAN_RANGE
no ipv6 nd snooping trust vlan VLAN_RANGE
| 参数 |
参数说明 |
参数取值 |
| VLAN-RANGE |
指定某个VLAN ID或VLAN的范围。 |
1-4094 |
命令模式
端口配置模式
默认配置
untrust
使用说明
一个接口不能同时配置trust和trust dhcpv6-only。如果一个接口没有配置trust vlan,那么该接口下的所有的vlan都是trust的,如果配置了trust vlan,那么该接口的某些vlan是trust的。
举例说明
下面的实例显示如何在接口上配置nd snooping trust vlan功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# ipv6 nd snooping trust vlan 10
下面的实例显示如何在接口上删除nd snooping trust vlan 功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no ipv6 nd snooping trust vlan 10
相关命令
无
13.2.11ipv6 nd snooping trust dhcpv6-only
命令功能
使用该命令在端口上配置nd snooping trust dhcpv6-only功能,使用no命令删除端口上nd snooping trust dhcpv6-only功能。
命令语法
ipv6 nd snooping trust dhcpv6-only
no ipv6 nd snooping trust
命令模式
端口配置模式
默认配置
untrust
使用说明
一个接口不能同时配置trust和trust dhcpv6-only。如果一个接口没有配置trust vlan,那么该接口下的所有的vlan都是trust的,如果配置了trust vlan,那么该接口的某些vlan是trust的。
举例说明
下面的实例显示如何在接口上配置nd snooping trust dhcpv6-only功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# ipv6 nd snooping trust dhcpv6-only
下面的实例显示如何在接口上删除nd snooping trust dhcpv6-only功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no ipv6 nd snooping trust
相关命令
无
13.2.12ipv6 nd snooping trust dhcpv6-only vlan
命令功能
使用该命令在端口的vlan上配置nd snooping trust dhcpv6-only功能,使用no命令删除端口的vlan上nd snooping trust dhcpv6-only功能。
命令语法
ipv6 nd snooping trust dhcpv6-only vlan VLAN_RANGE
no ipv6 nd snooping trust vlan VLAN_RANGE
| 参数 |
参数说明 |
参数取值 |
| VLAN-RANGE |
指定某个VLAN ID或VLAN的范围。 |
1-4094 |
命令模式
端口配置模式
默认配置
untrust
使用说明
一个接口不能同时配置trust和trust dhcpv6-only。如果一个接口没有配置trust vlan,那么该接口下的所有的vlan都是trust的,如果配置了trust vlan,那么该接口的某些vlan是trust的。
举例说明
下面的实例显示如何在接口上配置nd snooping trust dhcpv6-only vlan功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# ipv6 nd snooping trust dhcpv6-only vlan 10
下面的实例显示如何在接口上删除nd snooping trust dhcpv6-only vlan 功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no ipv6 nd snooping trust vlan 10
相关命令
无
13.2.13ipv6 nd snooping check
命令功能
使用该命令在端口上使能NA/NS/RS报文的check功能,使用no命令去使能NA/NS/RS报文的check功能。
命令语法
ipv6 nd snooping check (NA | NS | RS)enable
no ipv6 nd snooping check (NA | NS | RS)enable
| 参数 |
参数说明 |
参数取值 |
| NA |
NA报文 |
- |
| NS |
NS报文 |
- |
| RS |
RS报文 |
- |
命令模式
端口配置模式
默认配置
Disable
使用说明
无
举例说明
下面的实例显示如何在接口上使能NA报文的check功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# ipv6 nd snooping check ns enable
下面的实例显示如何在接口上关闭NA报文的check功能
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no ipv6 nd snooping check ns enable
相关命令
无
13.2.14clear ipv6 nd snooping prefix
命令功能
使用该命令清除前缀管理表。
命令语法
clear ipv6 nd snooping prefix ( dynamic | static | ) ( ipv6-address ADDR/LEN | vlan VLAN_ID | )
| 参数 |
参数说明 |
参数取值 |
| dynamic |
基于动态的 |
- |
| static |
基于静态的 |
- |
| ipv6-address |
基于ipv6-address的 |
- |
| vlan |
基于vlan的 |
- |
| ADDR |
前缀地址 |
- |
| LEN |
前缀长度 |
- |
| VKAN_ID |
VLAN ID |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的实例显示如何在清除所有prefix entry
Switch# clear ipv6 nd snooping prefix
相关命令
无
13.2.15clear ipv6 nd snooping user-bind
命令功能
使用该命令清除动态管理表。
命令语法
clear ipv6 nd snooping user-bind ( ipv6-address IPV6_ADDR | mac-address MAC_ADDR | interface IFNAME | vlan VLAN_ID | )
| 参数 |
参数说明 |
参数取值 |
| ipv6-address |
基于ipv6-address的 |
- |
| mac-address |
基于mac-address的 |
- |
| interface |
基于interface的 |
- |
| vlan |
基于vlan的 |
- |
| IPV6_ADDR |
ipv6地址 |
- |
| MAC_ADDR |
mac地址 |
- |
| IFNAME |
端口名 |
- |
| VLAN_ID |
VLAN ID |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的实例显示如何在清除所有userbind entry
Switch# clear ipv6 nd snooping userbind
相关命令
无
13.2.16clear ipv6 nd snooping statistics
命令功能
使用该命令清除nd snooping的报文统计。
命令语法
clear ipv6 nd snooping statistics ( interface IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| interface |
基于interface的 |
- |
| IFNAME |
端口名 |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的实例显示如何在清除所有nd snooping的报文统计
Switch# clear ipv6 nd snooping statistics
相关命令
无
13.2.17show ipv6 nd snooping prefix
命令功能
使用该命令显示前缀管理表信息。
命令语法
show ipv6 nd snooping prefix ( dynamic | static | ) ( ipv6-address ADDR/LEN | vlan VLAN_ID | )
| 参数 |
参数说明 |
参数取值 |
| dynamic |
基于动态的 |
- |
| static |
基于静态的 |
- |
| ipv6-address |
基于ipv6-address的 |
- |
| vlan |
基于vlan的 |
- |
| ADDR |
前缀地址 |
- |
| LEN |
前缀长度 |
- |
| VKAN_ID |
VLAN ID |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的实例显示如何在显示所有prefix entry信息
Switch# show ipv6 nd snooping prefix
相关命令
无
13.2.18show ipv6 nd snooping prefix detail
命令功能
使用该命令显示前缀管理表详细信息。
命令语法
show ipv6 nd snooping prefix ( dynamic | static | ) ( ipv6-address ADDR/LEN | vlan VLAN_ID | ) detail
| 参数 |
参数说明 |
参数取值 |
| dynamic |
基于动态的 |
- |
| static |
基于静态的 |
- |
| ipv6-address |
基于ipv6-address的 |
- |
| vlan |
基于vlan的 |
- |
| ADDR |
前缀地址 |
- |
| LEN |
前缀长度 |
- |
| VKAN_ID |
VLAN ID |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的实例显示如何在显示所有prefix entry详细信息
Switch# show ipv6 nd snooping prefix detail
相关命令
无
13.2.19show ipv6 nd snooping user-bind
命令功能
使用该命令显示动态绑定表。
命令语法
show ipv6 nd snooping user-bind ( ipv6-address IPV6_ADDR | mac-address MAC_ADDR | interface IFNAME | vlan VLAN_ID | )
| 参数 |
参数说明 |
参数取值 |
| ipv6-address |
基于ipv6-address的 |
- |
| mac-address |
基于mac-address的 |
- |
| interface |
基于interface的 |
- |
| vlan |
基于vlan的 |
- |
| IPV6_ADDR |
ipv6地址 |
- |
| MAC_ADDR |
mac地址 |
- |
| IFNAME |
端口名 |
- |
| VLAN_ID |
VLAN ID |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的实例显示如何在显示所有userbind entry信息
Switch# show ipv6 nd snooping userbind
相关命令
无
13.2.20show ipv6 nd snooping statistics
命令功能
使用该命令显示nd snooping的报文统计。
命令语法
show ipv6 nd snooping statistics ( interface IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| interface |
基于interface的 |
- |
| IFNAME |
端口名 |
- |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的实例显示如何在显示所有nd snooping的报文统计
Switch# show ipv6 nd snooping statistics
相关命令
无
13.2.21show ipv6 nd snooping global information
命令功能
使用该命令显示nd snooping的相关信息。
命令语法
show ipv6 nd snooping global information
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的实例显示如何在显示nd snooping的相关信息
Switch# show ipv6 nd snooping userbind
相关命令
无
13.3IPv6 ND RA Guard命令
13.3.1ipv6 nd raguard log enable
命令功能
使用此命令全局使能或去使能ND RA log功能。
命令语法
ipv6 nd raguard log enable
no ipv6 nd raguard log enable
命令模式
全局配置模式
默认配置
Disable
使用说明
使能了ND RA guard log功能后,RA报文被丢弃时会打印一条information级别log。
举例说明
下面的实例显示如何使能ND RA guard log
Switch# configure terminal
Switch(config)# ipv6 nd raguard log enable
下面的实例显示如何去使能ND RA guard log
Switch# configure terminal
Switch(config)# no ipv6 nd raguard log enable
相关命令
ipv6 nd raguard role
13.3.2ipv6 nd raguard policy
命令功能
使用此命令全局创建或删除ND RA guard策略。
命令语法
ipv6 nd raguard policy POLICY_NAME
no ipv6 nd raguard policy POLICY_NAME
| 参数 |
参数说明 |
参数取值 |
| POLICY_NAME |
策略名称 |
名字长度不得超过31,并且它的首字母必须是’a’-‘z’, ‘A’-‘Z’或者’0’-‘9’ |
命令模式
全局配置模式
默认配置
默认未配置
使用说明
支持配置128条ND RA guard策略。
举例说明
下面的实例显示如何创建ND RA guard策略
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
下面的实例显示如何删除ND RA guard策略
Switch# configure terminal
Switch(config)# no ipv6 nd raguard policy p1
相关命令
ipv6 nd raguard apply-policy
13.3.3ipv6 nd raguard role
命令功能
使用此命令配置端口的ND RA guard角色。
命令语法
ipv6 nd raguard role ( host | router )
no ipv6 nd raguard role
| 参数 |
参数说明 |
参数取值 |
| host |
主机模式,此端口接收到的RA报文都会被丢弃 |
- |
| router |
路由器模式,此端口接收到的RA报文都会被转发 |
- |
命令模式
端口配置模式
默认配置
默认未配置
使用说明
支持在二层口或者二层聚合口上配置
举例说明
下面的实例显示如何配置端口ND RA guard 角色为host
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# ipv6 nd raguard role host
下面的实例显示如何删除端口ND RA guard 角色
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no ipv6 nd raguard role
相关命令
无
13.3.4ipv6 nd raguard apply-policy
命令功能
使用此命令配置端口应用ND RA guard策略。
命令语法
ipv6 nd raguard apply-policy POLICY_NAME
no ipv6 nd raguard apply-policy
| 参数 |
参数说明 |
参数取值 |
| POLICY_NAME |
策略名称 |
名字长度不得超过31,并且它的首字母必须是’a’-‘z’, ‘A’-‘Z’或者’0’-‘9’ |
命令模式
端口配置模式
默认配置
默认未配置
使用说明
支持在二层口或者二层聚合口上配置
举例说明
下面的实例显示如何配置端口ND RA guard策略
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# exit
Switch(config)# interface eth-0-1
Switch(config-if)# ipv6 nd raguard apply-policy p1
下面的实例显示如何删除端口ND RA guard策略
Switch# configure terminal
Switch(config)# interface eth-0-1
Switch(config-if)# no ipv6 nd raguard apply-policy
相关命令
ipv6 nd raguard policy
13.3.5match mac-address
命令功能
使用此命令设置ND RA guard策略匹配的MAC ACL。
命令语法
match mac-address MAC_ACL
no match mac-address
| 参数 |
参数说明 |
参数取值 |
| MAC_ACL |
MAC ACL名称 |
- |
命令模式
IPv6 ND RA guard策略模式
默认配置
默认未配置
使用说明
如果应用到接口上的ND RA guard策略的MAC ACL或者ACE没有配置,那么RA报文不会被MAC ACl丢弃。
如果应用到接口上的ND RA guard策略的MAC ACL和ACE都配置了,RA报文匹配了ACE,如果ACE的action是deny,那么RA报文会被丢弃;如果ACE的action是permit,那么RA报文不会被MAC ACL丢弃。
如果应用到接口上的ND RA guard策略的MAC ACL和ACE都配置了,RA报文不匹配ACE,不管ACE的action是deny还是permit,RA报文都会被丢弃。
ND RA guard策略的MAC ACL只会检查RA报文的源MAC地址是否与ACE的源MAC地址匹配。
举例说明
下面的实例显示如何设置ND RA guard策略匹配的MAC ACL
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# match mac-address mac_acl
下面的实例显示如何删除ND RA guard策略匹配的MAC ACL
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# no match mac-address
相关命令
ipv6 nd raguard policy
13.3.6match ipv6 source-address
命令功能
使用此命令设置ND RA guard策略匹配RA报文源IPv6地址的IPv6 ACL。
命令语法
match ipv6 source-address IPv6_ACL
no match ipv6 source-address
| 参数 |
参数说明 |
参数取值 |
| IPv6_ACL |
IPv6 ACL名称 |
- |
命令模式
IPv6 ND RA guard策略模式
默认配置
默认未配置
使用说明
如果应用到接口上的ND RA guard策略的源IPv6地址ACL或者ACE没有配置,那么RA报文不会被IPv6 ACl丢弃。
如果应用到接口上的ND RA guard策略的源IPv6地址ACL和ACE都配置了,RA报文匹配了ACE,如果ACE的action是deny,那么RA报文会被丢弃;如果ACE的action是permit,那么RA报文不会被IPv6 ACL丢弃。
如果应用到接口上的ND RA guard策略的源IPv6地址ACL和ACE都配置了,RA报文不匹配ACE,不管ACE的action是deny还是permit,RA报文都会被丢弃。
ND RA guard策略的源IPv6地址ACL只会检查RA报文的源IPv6地址是否与ACE的源IPv6地址匹配。
举例说明
下面的实例显示如何设置ND RA guard策略匹配RA报文源IPv6地址的IPv6 ACL
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# match ipv6 source-address ipv6_acl
下面的实例显示如何删除ND RA guard策略匹配RA报文源IPv6地址的IPv6 ACL
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# no match ipv6 source-address
相关命令
ipv6 nd raguard policy
13.3.7match ipv6 ra-prefix
命令功能
使用此命令设置ND RA guard策略匹配RA报文的prefix information选项的RA prefix IPv6 ACL。
命令语法
match ipv6 ra-prefix IPv6_ACL
no match ipv6 ra-prefix
| 参数 |
参数说明 |
参数取值 |
| IPv6_ACL |
IPv6 ACL名称 |
- |
命令模式
IPv6 ND RA guard策略模式
默认配置
默认未配置
使用说明
如果应用到接口上的ND RA guard策略的RA prefix IPv6 ACL或者ACE没有配置,那么RA报文不会被IPv6 ACl丢弃。
如果应用到接口上的ND RA guard策略的RA prefix IPv6 ACL和ACE都配置了,RA报文匹配了ACE,如果ACE的action是deny,那么RA报文会被丢弃;如果ACE的action是permit,那么RA报文不会被IPv6 ACL丢弃。
如果应用到接口上的ND RA guard策略的RA prefix IPv6 ACL和ACE都配置了,RA报文不匹配ACE,不管ACE的action是deny还是permit,RA报文都会被丢弃。
ND RA guard策略的RA prefix IPv6 ACL只会检查RA报文的prefix information选项是否与ACE的源IPv6地址匹配。
举例说明
下面的实例显示如何设置ND RA guard策略匹配RA报文prefix information选项的RA prefix IPv6 ACL
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# match ipv6 ra-prefix prefix_acl
下面的实例显示如何删除ND RA guard策略匹配RA报文prefix information选项的RA prefix IPv6 ACL
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# no match ipv6 ra-prefix
相关命令
ipv6 nd raguard policy
13.3.8hop-limit
命令功能
使用此命令设置ND RA guard策略匹配的hop-limit最大值与最小值 。
命令语法
hop-limit ( maximum <1-255> | minimum <1-255> )
no hop-limit ( maximum | minimum )
| 参数 |
参数说明 |
参数取值 |
| maximum |
RA报文hop-limit的最大值 |
1-255 |
| minimum |
RA报文hop-limit的最小值 |
1-255 |
命令模式
IPv6 ND RA guard策略模式
默认配置
maximum为255,minimum为1
使用说明
最大值需要大于等于最小值
举例说明
下面的实例显示如何设置ND RA guard策略匹配的hop-limit最大值
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# hop-limit maximum 200
下面的实例显示如何恢复ND RA guard策略匹配的hop-limit最大值
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# no hop-limit maximum
相关命令
ipv6 nd raguard policy
13.3.9preference maximum
命令功能
使用此命令设置ND RA guard策略匹配的preference最大值。
命令语法
preference maximum ( high | medium | low )
no preference maximum
| 参数 |
参数说明 |
参数取值 |
| high |
允许preference为low、medium和high的RA报文,丢弃preference为reserve的RA报文preference |
- |
| medium |
允许preference为low和medium的RA报文,丢弃preference为reserve和high的RA报文 |
- |
| low |
允许preference为low的RA报文,丢弃preference为medium、reserve和high的RA报文 |
- |
命令模式
IPv6 ND RA guard策略模式
默认配置
默认未配置
使用说明
如果preference没有配置,不会对RA报文的preference字段做检查
举例说明
下面的实例显示如何设置ND RA guard策略匹配的preference最大值
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# preference maximum high
下面的实例显示如何删除ND RA guard策略匹配的preference最大值
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# no preference maximum
相关命令
ipv6 nd raguard policy
13.3.10managed-config-flag
命令功能
使用此命令设置ND RA guard策略匹配的M标记位。
命令语法
managed-config-flag ( on | off )
no managed-config-flag
| 参数 |
参数说明 |
参数取值 |
| on |
允许M-flag为on的RA报文,丢弃M-flag为off的RA报文 |
- |
| off |
允许M-flag为off的RA报文,丢弃M-flag为on的RA报文 |
- |
命令模式
IPv6 ND RA guard策略模式
默认配置
默认未配置
使用说明
如果M标记位没有配置,不会对RA报文的M标记位字段做检查
举例说明
下面的实例显示如何设置ND RA guard策略匹配的M标记位
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# managed-config-flag on
下面的实例显示如何删除ND RA guard策略匹配的M标记位
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# no managed-config-flag
相关命令
ipv6 nd raguard policy
13.3.11other-config-flag
命令功能
使用此命令设置ND RA guard策略匹配的O标记位。
命令语法
other-config-flag ( on | off )
no other-config-flag
| 参数 |
参数说明 |
参数取值 |
| on |
允许O-flag为on的RA报文,丢弃O-flag为off的RA报文 |
- |
| off |
允许O-flag为off的RA报文,丢弃O-flag为on的RA报文 |
- |
命令模式
IPv6 ND RA guard策略模式
默认配置
默认未配置
使用说明
如果O标记位没有配置,不会对RA报文的O标记位字段做检查
举例说明
下面的实例显示如何设置ND RA guard策略匹配的O标记位
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# other-config-flag on
下面的实例显示如何删除ND RA guard策略匹配的O标记位
Switch# configure terminal
Switch(config)# ipv6 nd raguard policy p1
Switch(config-raguard-policy)# no other-config-flag
相关命令
ipv6 nd raguard policy
13.3.12clear ipv6 nd raguard statistics
命令功能
使用该命令清除ND RA guard的报文统计。
命令语法
clear ipv6 nd raguard statistics ( interface IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
接口名 |
二层口或者二层聚合口 |
命令模式
特权模式
默认配置
无
使用说明
只能清除使能了ND RA guard功能的端口
举例说明
下面的实例显示如何清除所有ND RA guard的报文统计
Switch# clear ipv6 nd raguard statistics
相关命令
show ipv6 nd raguard statistics
13.3.13show ipv6 nd raguard statistics
命令功能
使用该命令显示ND RA guard的报文统计。
命令语法
show ipv6 nd raguard statistics ( interface IFNAME | )
| 参数 |
参数说明 |
参数取值 |
| IFNAME |
接口名 |
二层口或者二层聚合口 |
命令模式
特权模式
默认配置
无
使用说明
只能显示使能了ND RA guard功能的端口
举例说明
下面的实例显示如何显示所有ND RA guard的报文统计
Switch# show ipv6 nd raguard statistics
ND RA guard statistics on: eth-0-1
--------------------------------------------
Total receive : 10
Total drop : 10
Drop for role host : 10
Drop for M-flag : 0
Drop for O-flag : 0
Drop for hoplimit : 0
Drop for preference : 0
Drop for src MAC acl : 0
Drop for src IPv6 address acl : 0
Drop for RA prefix acl : 0
Drop for others : 0
---------------------------------------------
相关命令
clear ipv6 nd raguard statistics
13.3.14show ipv6 nd raguard policy
命令功能
使用该命令显示ND RA guard策略。
命令语法
show ipv6 nd raguard policy ( POLICY_NAME | )
| 参数 |
参数说明 |
参数取值 |
| POLICY_NAME |
策略名称 |
名字长度不得超过31,并且它的首字母必须是’a’-‘z’, ‘A’-‘Z’或者’0’-‘9’ |
命令模式
特权模式
默认配置
无
使用说明
无
举例说明
下面的实例显示如何在显示所有ND RA guard策略
Switch# show ipv6 nd raguard policy
RA guard policy resourse : 1/128
ND RA guard policy: p1
--------------------------------------------
Hoplimit minimum : 1
Hoplimit maximum : 255
Managed-config-flag : -
Other-config-flag : -
Preference maximum : -
Source-mac-address acl : mac_acl
IPv6 source-address acl : -
IPv6 RA-prefix acl : -
---------------------------------------------
相关命令
ipv6 nd raguard policy
13.4设备管理安全命令
13.4.1ipv6 telnet server acl
命令功能
在全局配置模式下,使用该命令可以过滤telnet client ipv6。使用该命令的no形式删除配置。
命令语法
ipv6 telnet server acl NAME
no ipv6 telnet server acl
| 参数 |
参数说明 |
参数取值 |
| NAME |
对应创建的ipv6 access-list名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
不过滤任何telnet client ipv6
使用说明
为了防止网络上的暴力破解,可以使用该命令过滤指定的telnet client ipv6。
在使用此命令前必须先创建access-list。
举例说明
启用telnet acl,仅允许源ip为3001:1::1000的报文
Switch# configure terminal
Switch(config)# ipv6 access-list telnetACL
Switch(config-ip-acl)# permit tcp host 3001:1::1000 any
Switch(config-ip-acl)# exit
Switch(config)# ipv6 telnet server acl telnetACL
相关命令
无
13.4.2ipv6 ssh server acl
命令功能
在全局配置模式下,使用该命令可以过滤ssh client ipv6。使用该命令的no形式删除配置。
命令语法
ipv6 ssh server acl NAME
no ipv6 ssh server acl
| 参数 |
参数说明 |
参数取值 |
| NAME |
对应创建的ipv6 access-list名字 |
不超过40个字符的字符串 |
命令模式
全局配置模式
默认配置
不过滤任何ssh client ipv6
使用说明
为了防止暴力破解,可以使用该命令过滤指定的ssh client ipv6。
在使用此命令前必须先创建access-list。
举例说明
启用ssh acl,仅允许源ip为3001:1::1000的报文
Switch# configure terminal
Switch(config)# ipv6 access-list sshACL
Switch(config-ip-acl)# permit tcp host 3001:1::1000 any
Switch(config-ip-acl)# exit
Switch(config)# ipv6 ssh server acl sshACL
相关命令
无