S5700 IPSG不生效,终端仍然能ping通交换机

发布时间:  2016-12-22 浏览次数:  153 下载次数:  0
问题描述

S5700-----PC

S5700-EI V200R003C00SPC500

网关在S5700上,PC手动设置地址

大致配置如下:

user-bind static ip-address 10.0.0.2 mac-address 0001-0001-0001 interface GigabitEthernet0/0/1
#
interface GigabitEthernet0/0/1
ip source check user-bind enable

开启接口安全检查后,终端仍然能ping通网关10.0.0.1

处理过程

1、查看配置无问题;

2、查看接口:dis arp确认连接正确,对应接口能学习到终端的arp表项,连接接口已开启ipsg检测;

3、设备一直有ispg拒绝ip丢弃数据的计数,但是PC始终是能ping通交换机上的管理ip;

由于交换机默认开启icmp快回,只要有arp表项,接口会自动相应icmp请求,关闭icmp-reply fast问题解决

根因
ipsg生效,icmp快回导致ping一直正常。
解决方案

关闭icmp快回功能。

建议与总结
测试ipsg功能建议最好是下挂两台pc互相ping测试,不论什么测试最好别用交换机本身来做被测试端,交换机的cpcar、icmp-reply fast等特性都会导致某些测试异常。

END