S5700配置了DHCP Snooping和IP报文检查功能后某些用户无法上网

发布时间:  2015-03-19 浏览次数:  577 下载次数:  0
问题描述

S5700作为内网网关和DHCP服务器,配置了DHCP SnoopingIP报文检查功能后,下接某些用户无法上网,ping不通网关。

拓扑:



处理过程

1.检查设备配置无问题:

#                                                                             

dhcp enable                                                                    

#                                                                              

dhcp snooping enable ipv4 
#

interface Vlanif10

 ip address 10.1.1.1 255.255.255.0

 dhcp select interface
#

interface GigabitEthernet0/0/1

#
interface GigabitEthernet0/0/2

 ip source check user-bind enable

 ip source check user-bind alarm enable

#

interface GigabitEthernet0/0/3

 ip source check user-bind enable

 ip source check user-bind alarm enable

#


2.连接PC的接口都配置了IP报文检查,怀疑不能上网的PC更改了IP地址或MAC地址。


3.查看某个出问题的PCIP地址和MAC地址,并用命令display dhcp snooping user-bind all其和设备上的动态绑定表做对比,发现该IPMAC在表中没有对应关系,也没有该PC所连交换机接口的对应表项。


4.核实该IP地址为手工配置的非动态获取,之后在全局为静态IP的地址配置user-bind static静态绑定表,问题解决。

根因

设备配置了对进行报文的绑定表检查时,如果没有静态用户的绑定表,那么所有的静态用户的转发报文都将被丢弃。

建议与总结

当配置了DHCP Snooping功能时,对于动态用户会自动生成动态绑定表,而对于静态用户,DHCP Snooping功能无法自动生成绑定表。因此在进行报文的绑定表检查时,如果没有静态用户的绑定表,那么所有的静态用户的转发报文都将被丢弃。为了能使静态用户的报文被正常转发,需要执行user-bind static命令配置静态绑定表。

END