防火墙上IP+MAC绑定-MAC地址不正确导致部分用户业务中断

发布时间:  2016-09-13 浏览次数:  321 下载次数:  0
问题描述

防火墙通过交换机连接用户群。

防火墙每隔8小时(有时1-2天)下挂的IP+MAC绑定的用户业务出现中断,Ping不通网关192.168.0.253,不绑定MAC地址的没有问题,重启防火墙后又恢复正常。

图1 组网图:


告警信息

处理过程

1 是否配置路由策略

2 防火墙安全策略是否打开

根因

首先,在Eudemon上依次Ping已经做了绑定的IP地址。其中部分可以Ping通,部分不通。在不通的IP地址中,解除绑定功能后,发现部分IP地址对应的MAC地址明显错误,修改后可以Ping通。


firewall mac-binding enable


firewall mac-binding 192.168.0.3 00e0-620a-e707 ------ping不通


将此表项删除后再Ping,ARP表项如下:


IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE


VLAN/PVC


------------------------------------------------------------------------------


192.168.0.3 01e0-6f50-7de0 D GE0/0/0


------------------------------------------------------------------------------


Total:7 Dynamic:6 Static:0 Interface:1

解决方案

根据上述ARP表中IP地址和MAC地址的对应关系,重新配置IP+MAC绑定如下:

firewall mac-binding 192.168.0.3 01e0-6f50-7de0 -----可以ping通

根据步骤1将不通的绑定项一一删除,再Ping通,然后再根据ARP表中IP地址和MAC地址的对应关系重新配置IP+MAC绑定。

建议与总结

需要做IP+MAC绑定的IP地址和MAC地址的对应关系,一定要确认正确,否则导致Ping不通。如果PC机的IP地址动态分配,不适合做IP+MAC绑定。

如果接口为三层接口,做IP+MAC绑定时,需要注意VLAN ID的配置。V100R005版本,如果接口为VLANIF或子接口,即ARP表项中VLAN ID显示不为空,必须配置VLAN ID。V100R005之前的版本不需要。

如果接口与VPN实例绑定,即ARP表中的VPN-INSTANCE显示不为空,在配置IP+MAC绑定时必须配置对应的VPN实例。

二层IP+MAC绑定时,必须配置VLAN ID。

END