IP-MAC地址捆绑后不能ping通网关或上网

发布时间:  2012-07-17 浏览次数:  148 下载次数:  0
问题描述

用户配置IP和MAC绑定,配置完成后,被绑定的PC不能ping网关,取消绑定后可以ping通网关,PC和防火墙之间仅仅通过一个二层交换机转发。防火墙配置如下:

#
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
#
firewall mac-binding enable
firewall mac-binding 172.16.12.1 78e7-d181-072e
#
interface Vlanif1
ip address 172.16.12.254 255.255.255.0
#
firewall zone trust
set priority 85
add interface Vlanif1

告警信息
处理过程

1、检查配置无问题,绑定的ip地址和mac地址均是正确。

2、在未绑定时通过disp arp 能够看到pc的mac地址,但是绑定后看不到pc的mac地址。但是通过disp mac-address能够看到该pc的mac地址。

3、绑定的PC上ping网关不通,但是在墙上有该pc过来的会话,说明pc能够正确学习到网关的mac地址,但是无回包,怀疑防火墙将其丢弃。

4、再次确认配置,发现用的网关是在vlanif接口下配置,通过交换口必须在在绑定命令后面加上vlan id,修改防火墙配置加上vid后,问题处理。

根因

1、配置问题。

2、学习arp问题。

3、其他。

建议与总结
交换口通过VLANIF虚拟为路由口以及在路由口上建立子接口场景下需要配置上vid参数。

END