USG5100V300R001 IP-MAC绑定不生效

发布时间:  2015-11-21 浏览次数:  171 下载次数:  0
问题描述

查看配置:

firewall mac-binding enable
firewall mac-binding 172.16.0.3 549f-551d-8fb6
firewall mac-binding 172.16.0.4 a018-22a1-31a3
firewall mac-binding 172.16.0.5 2cc5-d32f-9cc0


可以看到绑定功能打开,也有绑定表,但用户表示一台测试机IP为172.16.0.6没有在绑定表里仍然能上网

处理过程

这里能上网的原因为172.16.0.6没有在绑定表中,所以数据表进入后防火墙不会检查,直接放行。

做以下配置后172.16.0.6不能上网

firewall mac-binding 172.16.0.6 2222-2222-2222


建议与总结

这里IP-MAC不是不生效,对于源IP地址不在地址绑定表中的报文,会直接通过IP-MAC绑定检查。


如果想要实现不在绑定表的都不让上网可以在接口下使用增强模式

[USG5100-GigabitEthernet0/0/1]bind-mode enhanced

表示IP和MAC的绑定模式为增强绑定。对于源IP地址不在地址绑定表中的报文,会直接被丢弃。

END