S5700-V200R003C00SPC300,IPSG不生效

发布时间:  2016-06-25 浏览次数:  136 下载次数:  0
问题描述

1.TOP:




场景:s5700做网关,client1地址为192.168.91.222,路由器内网网关地址192.168.91.1

问题:在S5700 vlan2下调用IPSG检测后,终端无法联网

处理过程

1,首先查看S5700配置:

user-bind static ip-address 192.168.91.222 mac-address 000e-c6c0-c94d vlan 2

vlan 2
  ip source check user-bind enable

interface Vlanif2
  ip address 192.168.92.1 255.255.255.0
  ip address 192.168.91.253 255.255.255.0 sub
  dhcp select global

interface GigabitEthernet0/0/2
  port link-type access
  port default vlan 2
#
interface GigabitEthernet0/0/3
  port link-type access
  port default vlan 2

ip route-static 0.0.0.0 0.0.0.0 192.168.91.1

(网络规划问题不是本次讨论的话题,暂不考虑)


2,查看ARP表:

[Huawei]dis arp
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE INTERFACE      VPN-INSTANCE     
                                          VLAN
------------------------------------------------------------------------------
192.168.91.253  7ca2-3e8e-7b83            I -  Vlanif2
192.168.91.1    c447-3f06-c0c9  20        D-0  GE0/0/2
192.168.91.222  000e-c6c0-c94d  17        D-0  GE0/0/3
                                          2

对应列表中红的IP和MAC,vlan,与绑定列表的完全吻合,正常


3.对比前面的上行口配置,发现也是属于vlan2,此考虑到数据回包的时候,带了公网的地址和上行路由器的MAC,此不在绑定列表中,由此导致问题


4.查看此版本IPSG绑定列表的要求:

在VLAN视图下:

  • VLAN+IP
  • VLAN+MAC
  • VLAN+IP+MAC
  • VLAN+IP+Interface
  • VLAN+MAC+Interface
  • VLAN+IP+MAC+Interface


5.在USER-BIND列表中增加MAC和vlan的绑定(考虑到外网的地址不固定,无法绑定),配置如下:

user-bind static mac-address 7ca2-3e8e-7b83 vlan 2
user-bind static ip-address 192.168.91.222 mac-address 000e-c6c0-c94d vlan 2

再次测试还是无法联网


6.怀疑是和绑定列表中的某些条件会检测,再核实资料查看,发现如下问题:

缺省情况下:

VLAN视图下IP报文检查选项 源IP地址、源MAC地址和接口
接口视图下的IP报文检查选项 源IP地址、源MAC地址和VLAN


根因

最后得出原因是在缺省情况下,无论是在vlan还是在接口下配置IPSG检测,都会检测IP+MAC,由此导致问题出现


PC:具体检查项可以使用命令调整,  ip source check user-bind check-item { ip-address | mac-address | interface 

但客户的需求是要绑定IP和MAC,故无法调整检测项

解决方案
改为在接口下调用IPSG检测功能解决问题

END