S5700交换机做2层时IPSG功能在vlan下启用不生效

发布时间:  2015-06-30 浏览次数:  201 下载次数:  1
问题描述
在接入交换机上配置IPSG vlan下启用不生效
告警信息

处理过程

1.查看需要绑定的PC IPMAC是否和绑定的一致,检查结果一致。

2.查看交换机配置是否正确,检查结果正确。

3.查看交换机告警信息,交换机无告警信息。

4.通过ping网关做测试,抓取接入交换机上下行接口流量分析,得出5700下行口可以收到PC机发送的ICMP请求,但是收不到应答报文,S5700上行口技能收到PC的请求报文也能收到网关的应答报文。

5.拨打华为400售后电话定位,经过分析得出接入交换机上行口也透传了需要做IPSG的vlan,网关的应答报文到达S5700上行口时交换机也会对IP,MAC进行检查,查看绑定表中无对应项会丢弃该应答报文,在上行口下取消IPSG功能后IPSG也不生效,所以得出结论在S5700交换机做2层接入时无法在vlan下启用IPSG功能,只能在接口启用。



根因

在交换机做2层时,在vlan下启用IPSG报文会对上行口收到的流量也做IP,MAC检查,由于上行口收到的流量无法确定MAC地址

解决方案

在全局下做好绑定表后,在所有需要检查的端口启用IPSG功能

建议与总结

建议如果对安全性要求很高,只能在2层交换机端口下启用IPSG功能

END