S5700接口错误配置port bridge enable导致另外两台直连的设备不能互相ping通

发布时间:  2016-04-16 浏览次数:  452 下载次数:  0
问题描述

拓扑图:

网络中戴尔和H3C是直连的设备,互联VLAN为VLAN 100,且能够互相ping通。管理接口都是三层口,直接配置管理IP,不是二层接口划入VLAN起VLANIF的方式。

故障现象:S5700接入网络后,就会导致戴尔和H3C直连不通。

处理过程

1.未接入S5700,正常情况下戴尔交换机的ARP表项:

Daier#sho arp
Protocol    Address         Age(min)  Hardware Address    Interface  VLAN             CPU
-----------------------------------------------------------------------------------------
Internet    10.10.10.30           3   70:f9:6d:52:f7:95   Ma 0/0      -               CP
Internet    10.10.10.108          0   00:1e:67:23:cc:d5   Ma 0/0      -               CP
Internet    192.168.100.5         -   00:01:e8:82:4a:b5      -       Vl 100           CP
Internet    192.168.100.30        3   70:f9:6d:52:f7:95   Gi 0/1     Vl 100           CP    //关于H3C的ARP表项
Internet    192.168.100.31        3   04:fe:8d:e8:c7:9b   Gi 0/2     Vl 100           CP    //关于S5700的ARP表项

2.接入S5700后,戴尔交换机的ARP表项:

Daier#sho arp           
Protocol    Address         Age(min)  Hardware Address    Interface  VLAN             CPU
-----------------------------------------------------------------------------------------
Internet    10.10.10.30           0   70:f9:6d:52:f7:95   Ma 0/0      -               CP
Internet    10.10.10.108          0   00:1e:67:23:cc:d5   Ma 0/0      -               CP
Internet    192.168.100.5         -   00:01:e8:82:4a:b5      -       Vl 100           CP
Internet    192.168.100.30        0   70:f9:6d:52:f7:95   Gi 0/2     Vl 100           CP    //关于H3C的ARP表项,从G0/0/2口学习到(接S5700的接口)
Internet    192.168.100.31        0   04:fe:8d:e8:c7:9b   Gi 0/2     Vl 100           CP    //关于S5700的ARP表项

3.抓包分析:

戴尔—>S5700,出方向抓包:戴尔交换机有发给S5700关于H3C 192.168.100.30的免费ARP报文。

S5700—>戴尔,出方向抓包:S5700有发给戴尔关于H3C 192.168.100.30的免费ARP报文,这样就导致中间戴尔交换机从S5700学习到关于H3C的ARP表项。

4.排查配置:

S5700:
interface GigabitEthernet0/0/1
  port default vlan 100
  port bridge enable        //S5700接口下配置了port bridge enable
#
经测试,接口下删除port bridge enable这条命令后,问题解决。


 

根因

port bridg enable命令用来使能端口桥功能,即接口支持同源同宿报文的转发。 同源同宿报文即源MAC地址和目的MAC地址均在设备的同一接口上学习到的报文。缺省情况下,设备不转发同源同宿报文,当接口收到这种报文时,设备判断为非法报文并直接丢弃该报文。

配置端口桥功能后,当接口收到同源同宿报文时,若设备上的MAC地址表中存在与该报文的目的MAC地址对应的表项,则将报文从本接口转发出去。

从交换机层面来看,"广播地址能够被所有的物理接口学习到",所以启用了端口桥功能的接口在收到免费ARP广播后,也会从本接口发送出去。
戴尔交换机G0/0/1接口收到H3C设备发送的免费ARP报文后,从G0/0/2接口转发给S5700,S5700 G0/0/1接口下由于配置了port bridge enable使能端口桥功能,导致G0/0/1收到的免费ARP广播报文又从G0/0/1接口发回去,最终戴尔交换机上关于H3C 192.168.100.30的ARP表项是从S5700学习到。

解决方案

S5700接口下:undo port bridge enable取消使能端口桥功能。

END