FAQ-S5700-SI配置IPSG后不符合绑定规则的PC仍然能ping通S5700上的网关地址

发布时间:  2016-12-20 浏览次数:  211 下载次数:  0
问题描述
某局点客户在S5700上配置IPSG功能,在全局绑定PC的IP+MAC,接入一台不符合绑定规则的PC,仍然能ping通位于S5700上的网关地址。


解决方案
# 在连接HostA的GE0/0/1接口使能IP报文检查功能。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] ip source check user-bind enable
配置静态绑定表项
# 配置HostA为静态绑定表项。
[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001
例如以上绑定规则,接入的PC不符合绑定规则仍然能ping通位于S5700-SI上的网关地址,查看资料后发现盒式交换机默认开启了快回功能,关闭快回:
undo icmp-reply fast
再次ping网关已经不能ping通,这是由于开启快回ICMP包直接就在接口把目的和源倒换一下就回包了,不会上送CPU以及控制层面进行处理。

END