三层交换机IP Source Guard典型配置举例

H3C S5130-EI IP Source Guard 配置举例

目录

1 简介 (1)

2 配置前提 (1)

3 基于IPv4 静态绑定的IP Source Guard配置举例 (1)

3.1 组网需求 (1)

3.2 配置思路 (2)

3.3 使用版本 (2)

3.4 配置注意事项 (2)

3.5 配置步骤 (2)

3.5.1 Device A的配置 (2)

3.5.2 Device B的配置 (3)

3.6 验证配置 (4)

3.7 配置文件 (4)

4 基于DHCP Snooping动态绑定的IP Source Guard配置举例 (6)

4.1 组网需求 (6)

4.2 配置思路 (6)

4.3 使用版本 (6)

4.4 配置步骤 (6)

4.4.1 配置DHCP服务器 (6)

4.4.2 配置Device (7)

4.4.3 配置DHCP客户端 (7)

4.5 验证配置 (7)

4.6 配置文件 (8)

5 基于DHCP中继动态绑定的IP Source Guard配置举例 (8)

5.1 组网需求 (8)

5.2 配置思路 (9)

5.3 使用版本 (9)

5.4 配置步骤 (9)

5.4.1 配置DHCP服务器 (9)

5.4.2 配置Device (10)

5.4.3 配置DHCP客户端 (10)

5.5 验证配置 (11)

5.6 配置文件 (11)

6 基于IPv6 静态绑定表项与DHCPv6 Snooping动态绑定的IP Source Guard配置举例 (12)

6.1 组网需求 (12)

6.2 配置思路 (12)

6.3 使用版本 (12)

6.4 配置注意事项 (13)

6.5 配置步骤 (13)

6.6 验证配置 (13)

6.7 配置文件 (14)

7 相关资料 (14)

1 简介

本文档介绍IP Source Guard 的配置举例。

IP Source Guard 功能用于对端口收到的报文进行过滤控制，以防止非法用户报文通过。

配置了IP Source Guard 功能的端口只转发与绑定表项匹配的报文。IP Source Guard 绑定表项可以通过手工配置（命令行手工配置产生静态绑定表项）和动态获取（根据DHCP 的相关表项动态生成绑定表项）两种方式生成。

2 配置前提

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文假设您已了解本文档中的IP Source Guard 特性。

3 基于IPv

4 静态绑定的IP Source Guard配置举例

3.1 组网需求

如图 1 所示，在一个小型网络中，各主机和服务器均使用静态配置的IPv4 地址。要求在Device A和Device B上配置IP Source Guard全局静态绑定表项和端口静态绑定表项，并在端口下开启IP Source Guar d功能（IP+MAC绑定），对Device A和Device B接收到的报文进行过滤，以防止非法用户报文通过。

具体需求如下：

?Device A 的端口GE1/0/1 允许Host A 发送的IP 报文通过。

?Device A 的所有端口都允许Host B 发送的IP 报文通过。

?Device B 的端口GE1/0/1 只允许Host A 和Host B 发送的IP 报文通过。

?Device B 的端口GE1/0/2 只允许File Server 发送的IP 报文通过。

图1 基于IPv4 静态绑定的IP Source Guard 组网图

3.2 配置思路

由于各主机和服务器都是用静态IP 地址和固定MAC 地址，因此若要实现Device A 的某个端口上仅允许特定主机通过，可在端口下配置IP Source Guard 静态绑定表项；若要实现允许特定主机的报文通过Device A 的任意端口，则需要配置IP Source Guard 全局静态绑定表项。若要实现Device B 的某个端口上仅允许特定主机通过，可在端口下配置IP Source Guard 静态绑定表项。

3.3 使用版本

本举例是在S5130EI_E-CMW710-R3106 版本上进行配置和验证的。

3.4 配置注意事项

IP Source Guard功能静态绑定表项中的VLAN参数不作为过滤报文的特征项，VLAN参数指定与否，不影响IP Source Guard功能对报文的过滤结果。

3.5 配置步骤

3.5.1 Device A的配置

# 创建VLAN 10，并将端口GigabitEthernet1/0/1～GigabitEthernet1/0/3 加入VLAN 10。

system-view

[DeviceA] vlan 10

[DeviceA-vlan10] port gigabitethernet 1/0/1 to gigabitethernet 1/0/3

[DeviceA-vlan10] quit

# 配置VLAN 接口10 的IP 地址。

[DeviceA] interface vlan-interface 10

[DeviceA-Vlan-interface10] ip address 192.168.0.10 255.255.255.0

[DeviceA-Vlan-interface10] quit

# 在端口GigabitEthernet1/0/1、GigabitEthernet1/0/2 上配置IP Source Guard 端口绑定功能，绑定源IP 地址和MAC 地址。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] ip verify source ip-address mac-address

[DeviceA-GigabitEthernet1/0/2] quit

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip verify source ip-address mac-address

# 在端口GigabitEthernet1/0/1 上配置只允许MAC 地址为00-01-02-03-04-01 、IP 地址为

192.168.0.1 的终端Host A 发送的IP 报文通过。

[DeviceA-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address

0001-0203-0401

[DeviceA-GigabitEthernet1/0/1] quit

# 在Device A 上配置允许MAC 地址为00-01-02-03-04-02、IP 地址为192.168.0.2 的终端Host B 发送的IP 报文通过。

[DeviceA] ip source binding ip-address 192.168.0.2 mac-address 0001-0203-0402

3.5.2 Device B的配置

# 创建VLAN 10，并将端口GigabitEthernet1/0/1 加入VLAN 10。

system-view

[DeviceB] vlan 10

[DeviceB-vlan10] port gigabitethernet 1/0/1

[DeviceB-vlan10] quit

# 配置VLAN 接口10 的IP 地址。

[DeviceB] interface vlan-interface 10

[DeviceB-Vlan-interface10] ip address 192.168.0.100 255.255.255.0

[DeviceB-Vlan-interface10] quit

# 创建VLAN 20，并将端口GigabitEthernet1/0/2 加入VLAN 20。

[DeviceB] vlan 20

[DeviceB-vlan20] port gigabitethernet 1/0/2

[DeviceB-vlan20] quit

# 配置VLAN 接口20 的IP 地址。

[DeviceB] interface vlan-interface 20

[DeviceB-Vlan-interface20] ip address 192.168.2.100 255.255.255.0

[DeviceB-Vlan-interface20] quit

# 在端口GigabitEthernet1/0/1 上配置IP Source Guard 端口绑定功能，绑定源IP 地址和MAC 地址。

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ip verify source ip-address mac-address

# 配置在Device B 的GigabitEthernet1/0/1 上只允许MAC 地址为00-01-02-03-04-01 且IP 地址为192.168.0.1 的终端Host A 与MAC 地址为00-01-02-03-04-02 且IP 地址为192.168.0.2 的终端Host B 发送的IP 报文通过。

[DeviceB-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.1 mac-address

0001-0203-0401

[DeviceB-GigabitEthernet1/0/1] ip source binding ip-address 192.168.0.2 mac-address

0001-0203-0402

[DeviceB-GigabitEthernet1/0/1] quit

# 在端口GigabitEthernet1/0/2 上配置IP Source Guard 端口绑定功能，绑定源IP 地址和MAC

地址。

[DeviceB] interface gigabitethernet 1/0/2

[DeviceB-GigabitEthernet1/0/2] ip verify source ip-address mac-address

# 配置在Device B 的GigabitEthernet1/0/2 上只允许MAC 地址为00-01-02-03-04-03 与IP 地址为

192.168.2.3 的终端File server 发送的IP 报文通过。

[DeviceB-GigabitEthernet1/0/2] ip source binding ip-address 192.168.2.3 mac-address

0001-0203-0403

[DeviceB-GigabitEthernet1/0/2] quit

3.6 验证配置

完成上述配置后，Host A、Host B 可以ping 通Device A、Device B 上三层接口的IP 地址；File

server 可以ping 通Device B 上Vlan-interface20 的IP 地址。且在Device A 和Device B 上可

以查看到已配置成功的I P Source Guard 静态绑定表项。

# 在Device A 上显示静态绑定表项。

display ip source binding static

Total entries found: 2

IP Address MAC Address Interface VLAN Type

192.168.0.2 0001-0203-0402 N/A N/A Static

192.168.0.1 0001-0203-0401 GE1/0/1 N/A Static

# 在Device B 上显示静态绑定表项。

display ip source binding static

Total entries found: 3

IP Address MAC Address Interface VLAN Type

192.168.0.1 0001-0203-0401 GE1/0/1 N/A Static

192.168.0.2 0001-0203-0402 GE1/0/1 N/A Static

192.168.2.3 0001-0203-0403 GE1/0/2 N/A Static

保持上述配置不变，将Host B 改为通过端口GE1/0/1 接入Device A，仍然可以ping 通Device A，因为全局静态绑定表项不检查端口的绑定关系。

如果修改Host B 的IP 地址，则无法ping 通Device A，因为此时不满足IP+MAC 的绑定关系。

如果修改Host A 的IP 地址或接入端口，则无法ping 通Device A，因为此时不满足IP+MAC+

端口的绑定关系。

3.7 配置文件

?DeviceA

#

ip source binding ip-address 192.168.0.2 mac-address 0001-0203-0402

#

vlan 10

#

interface Vlan-interface10

ip address 192.168.0.10 255.255.255.0

#

interface GigabitEthernet1/0/1

port access vlan 10

ip verify source ip-address mac-address

ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0401 #

interface GigabitEthernet1/0/2

port access vlan 10

ip verify source ip-address mac-address

#

interface GigabitEthernet1/0/3

port access vlan 10

#

?DeviceB

#

vlan 10

#

vlan 20

#

interface Vlan-interface10

ip address 192.168.0.100 255.255.255.0

#

interface Vlan-interface20

ip address 192.168.2.100 255.255.255.0

#

interface GigabitEthernet1/0/1

port access vlan 10

ip verify source ip-address mac-address

ip source binding ip-address 192.168.0.1 mac-address 0001-0203-0401 ip source binding ip-address 192.168.0.2 mac-address 0001-0203-0402 #

interface GigabitEthernet1/0/2

port access vlan 20

ip verify source ip-address mac-address

ip source binding ip-address 192.168.2.3 mac-address 0001-0203-0403 #

4 基于DHCP Snooping动态绑定的IP Source Guard配置举例

4.1 组网需求

如图

2

所示，DHCP客户端通过Device的端口GE1/0/1 接入网络，利用DHCP服务器获取IPv4 地址。

具体应用需求如下：

?Device 上使能DHCP Snooping 功能，保证客户端从合法的服务器获取IP 地址。

?在端口GE1/0/1 上启用IPv4 动态绑定功能，通过DHCP Snooping 功能获取的用户信息来生成IP Source Guard 动态绑定表项（IP+MAC 绑定），并利用该表项对端口GE1/0/1 接收

到的报文进行过滤，防止非法用户报文通过。

图2 基于DHCP Snooping 动态绑定的IP Source Guard 组网图

4.2 配置思路

?为了保证客户端从合法的服务器获取IP 地址，需要将Device 与DHCP 服务器相连的端口配置为信任端口（缺省情况下，使能了DHCP Snooping 功能的设备上所有端口均为不信任

端口）。

?在Device 与客户端相连的端口上启用DHCP Snooping 表项记录功能（缺省为关闭），以使Device 能监听该端口上接收的报文、生成DHCP Snooping 表项。

4.3 使用版本

本举例是在S5130EI_E-CMW710-R3106 版本上进行配置和验证的。

4.4 配置步骤

4.4.1 配置DHCP服务器

本例以H3C S5130-EI 系列交换机作为DHCP 服务器为例，说明DHCP 服务器的基本配置。

# 配置VLAN 接口1 的IP 地址，并将其配置为工作在DHCP 服务器模式。

system-view

[DHCPserver] interface vlan-interface 1

[DHCPserver-Vlan-interface1] ip address 192.168.0.2 24

[DHCPserver-Vlan-interface1] dhcp select server

[DHCPserver-Vlan-interface1] quit

# 启用DHCP 服务。

[DHCPserver] dhcp enable

# 配置DHCP 地址池1，用来为192.168.0.0/24 网段内的客户端分配IP 地址和网络配置参数。

[DHCPserver] dhcp server ip-pool 1

[DHCPserver-dhcp-pool-1] network 192.168.0.0 24

[DHCPserver-dhcp-pool-1] expired day 7

[DHCPserver-dhcp-pool-1] quit

4.4.2 配置Device

# 开启DHCP Snooping 功能。

system-view

[Device] dhcp snooping enable

# 设置与DHCP 服务器相连的端口GigabitEthernet1/0/2 为DHCP Snooping 信任端口。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] dhcp snooping trust

[Device-GigabitEthernet1/0/2] quit

# 配置端口GigabitEthernet1/0/1 的IP Source Guard 绑定功能，绑定源IP 地址和MAC 地址。

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip verify source ip-address mac-address

# 启用端口GigabitEthernet1/0/1 的DHCP Snooping 表项记录功能。

[Device-GigabitEthernet1/0/1] dhcp snooping binding record

[Device-GigabitEthernet1/0/1] quit

4.4.3 配置DHCP客户端

将终端配置为自动获取IP 地址（具体过程略）。

4.5 验证配置

DHCP 客户端成功获取IP 地址以后，在Device 上可以显示通过DHCP Snooping 模块获取的IP Source Guar d动态绑定表项信息。（以接入四台DHCP客户端为例）

display ip source binding dhcp-snooping

Total entries found: 4

IP Address MAC Address Interface VLAN Type

192.168.0.1 0001-0203-0401 GE1/0/1 1 DHCP snooping

192.168.0.3 0001-0203-0403 GE1/0/1 1 DHCP snooping

192.168.0.4 0001-0203-0404 GE1/0/1 1 DHCP snooping

192.168.0.5 0001-0203-0405 GE1/0/1 1 DHCP snooping

DHCP 客户端均可以ping 通DHCP 服务器接口IP 地址192.168.0.2。

如果DHCP 客户端通过手工配置IP 地址的方式，修改了自身的IP 地址，将无法ping 通DHCP 服务器接口IP 地址。

4.6 配置文件

?Device

#

vlan 1

#

dhcp snooping enable

#

interface GigabitEthernet1/0/1

ip verify source ip-address mac-address

dhcp snooping binding record

#

interface GigabitEthernet1/0/2

dhcp snooping trust

#

5 基于DHCP中继动态绑定的IP Source Guard配置举例

5.1 组网需求

如图3 所示，Device通过接口Vlan-interface10 和Vlan-interface20 分别与DHCP客户端和DHCP 服务器相连。

具体应用需求如下：

?Device 上使能DHCP 中继功能，DHCP 客户端通过Device 从DHCP 服务器获取IP 地址。

?在接口Vlan-interface10 上启用IPv4 动态绑定功能，通过DHCP 中继获取的用户信息来生成IP Source Guard 动态绑定表项（IP+MAC 绑定），并利用该表项对接口Vlan-

interface10收到的报文进行过滤，防止非法用户报文通过。

图3 基于 DHCP 中继动态绑定的 IP Source Guard 组网图

5.2 配置思路

在 Device 上启用 DHCP 中继用户地址表项记录功能（缺省为关闭），以使 Device 能监听该接口上接收的报文、生成 DHCP 中继用户地址表项。

5.3 使用版本

本举例是在 S 5130EI_E-CMW710-R3106 版本上进行配置和验证的。

5.4 配置步骤

5.4.1 配置DHCP 服务器

本例以 H3C S5130-EI 系列交换机作为 DHCP 服务器为例，说明 DHCP 服务器的基本配置。

# 配置 VLAN 接口 20 的 IP 地址，并将其配置为工作在 DHCP 服务器模式。

system-view

[DHCPserver] interface vlan-interface 20

[DHCPserver-Vlan-interface20] ip address 10.10.0.2

[DHCPserver-Vlan-interface20] dhcp select server

[DHCPserver-Vlan-interface20] quit

# 启用 DHCP 服务。

[DHCPserver] dhcp enable

# 配置 DHCP 地址池 1，用来为 192.168.0.0/24 网段内的客户端分配 IP 地址和网络配置参数。

[DHCPserver] dhcp server ip-pool 1

[DHCPserver-dhcp-pool-1] network 192.168.0.0 24

[DHCPserver-dhcp-pool-1] expired day 7

[DHCPserver-dhcp-pool-1] quit

由于DHCP 中继连接客户端的接口IP 地址与DHCP 服务器的IP 地址不在同一网段，因此需要在DHCP 服务器上通过静态路由或动态路由协议保证两者之间路由可达，这里以配置静态路由为例。

[DHCPserver] ip route-static 192.168.0.0 24 10.10.0.1

5.4.2 配置Device

# 创建VLAN 10，并将端口GigabitEthernet1/0/1 加入VLAN 10。

system-view

[Device] vlan 10

[Device-vlan10] port gigabitethernet 1/0/1

[Device-vlan10] quit

# 配置VLAN 接口10 的IP 地址。

[Device] interface vlan-interface 10

[Device-Vlan-interface10] ip address 192.168.0.1 255.255.255.0

[Device-Vlan-interface10] quit

# 创建VLAN 20，并将端口GigabitEthernet1/0/2 加入VLAN 20。

[Device] vlan 20

[Device-vlan20] port gigabitethernet 1/0/2

[Device-vlan20] quit

# 配置VLAN 接口20 的IP 地址。

[Device] interface vlan-interface 20

[Device-Vlan-interface20] ip address 10.10.0.1 255.255.255.0

[Device-Vlan-interface20] quit

# 开启DHCP 服务。

[Device] dhcp enable

# 开启DHCP 中继用户地址表项记录功能。

[Device] dhcp relay client-information record

# 配置接口Vlan-interface10 工作在DHCP 中继模式。

[Device] interface vlan-interface 10

[Device-Vlan-interface10] dhcp select relay

# 在DHCP 中继上指定DHCP 服务器的地址。

[Device-Vlan-interface10] dhcp relay server-address 10.10.0.2

[Device-Vlan-interface10] quit

# 在接口Vlan-interface10 上配置IPv4 接口绑定功能，绑定源IP 地址和MAC 地址。

[Device] interface vlan-interface 10

[Device-Vlan-interface10] ip verify source ip-address mac-address

[Device-Vlan-interface10] quit

5.4.3 配置DHCP客户端

将终端配置为自动获取IP 地址（具体过程略）。

5.5 验证配置

DHCP 客户端成功获取IP 地址以后，在Device 上可以显示通过DHCP relay 模块获取的IP Source Guar d动态绑定表项信息。（以接入四台DHCP客户端为例）

display ip source binding dhcp-relay

Total entries found: 4

IP Address MAC Address Interface VLAN Type

192.168.0.2 0001-0203-0402 Vlan10 10 DHCP relay

192.168.0.3 0001-0203-0403 Vlan10 10 DHCP relay

192.168.0.4 0001-0203-0404 Vlan10 10 DHCP relay

192.168.0.5 0001-0203-0405 Vlan10 10 DHCP relay

DHCP 客户端均可以ping 通DHCP 服务器接口IP 地址10.10.0.2。

如果DHCP 客户端通过手工配置IP 地址的方式，修改了自身的IP 地址，将无法ping 通DHCP 服务器接口IP 地址。

5.6 配置文件

?Device

#

dhcp enable

dhcp relay client-information record

#

vlan 10

#

vlan 20

#

interface Vlan-interface10

ip address 192.168.0.1 255.255.255.0

dhcp select relay

dhcp relay server-address 10.10.0.2

ip verify source ip-address mac-address

#

interface Vlan-interface20

ip address 10.10.0.1 255.255.255.0

#

interface GigabitEthernet1/0/1

port access vlan 10

#

interface GigabitEthernet1/0/2

port access vlan 20

#

6 基于IPv6 静态绑定表项与DHCPv6 Snooping动态绑定的IP Source Guard配置举例

6.1 组网需求

如

图4 所示，File server、Host A、Host B和DHCPv6 服务器都与Device相连。File server静态配置IPv6 地址，Host A和Host B为DHCPv6 客户端。

?在Device 的端口GE1/0/1 上配置IPv6 静态绑定表项和IPv6 绑定功能，使得该端口只允许File server（MAC 地址为0001-0203-0405、IPv6 地址为2001::1）发送的IPv6 报文通过。

?在端口GE1/0/2 和端口GE1/0/3 上启用IPv6 动态绑定功能，通过DHCPv6 Snooping 功能获取的用户信息来生成IP Source Guard 动态绑定表项（IP+MAC 绑定），并利用该表项

对端口接收到的报文进行过滤，防止非法用户报文通过。

图4 基于IPv6 静态绑定表项与DHCPv6 Snooping 动态绑定的IP Source Guard 组网图

6.2 配置思路

?为了保证客户端从合法的服务器获取IP 地址，需要将Device 与DHCPv6 服务器相连的端口配置为信任端口（缺省情况下，使能了DHCPv6 Snooping 功能的设备上所有端口均为不

信任端口）。

?在Device 与DHCPv6 客户端相连的端口上启用DHCPv6 Snooping 表项记录功能（缺省为关闭），以使Device能监听该端口上接收的报文、生成DHCPv6 Snooping 表项。

6.3 使用版本

本举例是在S5130EI_E-CMW710-R3106 版本上进行配置和验证的。

6.4 配置注意事项

IP Source Guard功能静态绑定表项中的VLAN参数不作为过滤报文的特征项，VLAN参数指定与否，不影响IP Source Guard功能对报文的过滤结果。

6.5 配置步骤

#配置DHCPv6 服务器和DHCPv6 客户端。（略）

# 配置端口GigabitEthernet1/0/1 的IPv6 Source Guard 绑定功能，绑定源IPv6 地址和MAC 地址。

system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ipv6 verify source ip-address mac-address

# 配置在Device 的端口GigabitEthernet1/0/1 上只允许MAC 地址为00-01-02-03-04-05、IP 地址为2001::1 的终端发送的IP 报文通过。

[Device-GigabitEthernet1/0/1] ipv6 source binding ip-address 2001::1 mac-address 0001-

0203-0405

[Device-GigabitEthernet1/0/1] quit

# 全局使能DHCPv6 Snooping 功能。

[Device] ipv6 dhcp snooping enable

# 配置与DHCPv6 服务器相连的端口GigabitEthernet1/0/4 为DHCP Snooping 信任端口。

[Device] interface gigabitethernet 1/0/4

[Device-GigabitEthernet1/0/4] ipv6 dhcp snooping trust

[Device-GigabitEthernet1/0/4] quit

# 配置端口GigabitEthernet1/0/2 的IPv6 Source Guard 绑定功能，绑定源IPv6 地址和MAC 地址。

[Device] interface gigabitethernet 1/0/2

[Device-GigabitEthernet1/0/2] ipv6 verify source ip-address mac-address

# 启用端口GigabitEthernet1/0/2 的DHCPv6 Snooping 表项记录功能。

[Device-GigabitEthernet1/0/2] ipv6 dhcp snooping binding record

[Device-GigabitEthernet1/0/2] quit

# 配置端口GigabitEthernet1/0/3 的IPv6 Source Guard 绑定功能，绑定源IPv6 地址和MAC 地址。

[Device] interface gigabitethernet 1/0/3

[Device-GigabitEthernet1/0/3] ipv6 verify source ip-address mac-address

# 启用端口GigabitEthernet1/0/3 的DHCPv6 Snooping 表项记录功能。

[Device-GigabitEthernet1/0/3] ipv6 dhcp snooping binding record

[Device-GigabitEthernet1/0/3] quit

6.6 验证配置

File server 可以ping 通DHCPv6 服务器与客户端相连的接口IP 地址。

在Device 上可以查看到已配置成功的IP Source Guard 静态绑定表项。

display ipv6 source binding static

Total entries found: 1

IPv6 Address MAC Address Interface VLAN Type

2001::1 0001-0203-0405 GE1/0/1 N/A Static

客户端通过DHCPv6 服务器成功获取IP 地址之后，通过执行以下命令可查看到已生成的IPv6 动态绑定表项信息。

display ipv6 source binding dhcpv6-snooping

Total entries found: 2

IPv6 Address MAC Address Interface VLAN Type

2001::2 0001-0203-0406 GE1/0/2 1 DHCPv6 snooping

2001::3 0001-0203-0407 GE1/0/3 1 DHCPv6 snooping

DHCPv6 客户端可以ping 通DHCPv6 服务器接口IP 地址。

如果DHCPv6 客户端通过手工配置IP 地址的方式，修改了自身的IP 地址，将无法ping 通DHCPv6 服务器接口IP 地址。

6.7 配置文件

?Device

#

ipv6 dhcp snooping enable

#

interface GigabitEthernet1/0/1

ipv6 verify source ip-address mac-address

ipv6 source binding ip-address 2001::1 mac-address 0001-0203-0405

#

interface GigabitEthernet1/0/2

ipv6 verify source ip-address mac-address

ipv6 dhcp snooping binding record

#

interface GigabitEthernet1/0/3

ipv6 verify source ip-address mac-address

ipv6 dhcp snooping binding record

#

interface GigabitEthernet1/0/4

ipv6 dhcp snooping trust

#

7 相关资料

?H3C S5130-EI 系列以太网交换机安全配置指导-Release 3106

?H3C S5130-EI 系列以太网交换机安全命令参考-Release 3106

本文来源：https://www.bwwdw.com/article/sq5l.html