USG6000 IP-Mac绑定表里的终端无法上网

发布时间:  2016-11-27 浏览次数:  247 下载次数:  0
问题描述

USG6000配置IP-MAC绑定,完全匹配表项的终端无法上网

处理过程

1、首先确认配置以及设备上的ARP表项

 IP-MAC绑定表为  firewall mac-binding 192.168.0.117 78e4-004a-d313

display arp查看改地址的ARP表项为

根据配置与ARP表项可以看到,IP地址与MAC地址对应关系正确

2、流统确认设备丢弃原因,随机用该地址访问外网地址流统如下

丢弃原因为REQUEST_ARP_Drop_ORG_PACKET,原因为ARP请求被丢弃,的确是设备上丢弃了报文

3、核对设备其他配置,内网口使用的二层口配置Vlanif接口作为路由口,而IP—MAC绑定的注意事项中提到

   由于不同VLAN中可能存在相同的IP地址,为了能正确查找对应的表项,对于以下两种情况,必须配置vid参数,将其与对应的VLAN进行关联:

  • 将工作在二层模式下的接口通过VLANIF虚拟为路由口,用于转发VLAN内的报文。
  • 在路由口上建立子接口,并且通过vlan-type dot1q命令指定该子接口所属VLAN,用于转发VLAN内的报文。

   对于不属于VLAN的接口,则不需要配置vid参数。

4、绑定表添加VID参数之后测试,符合绑定表里的MAC地址可以上网

根因
由于内网接口工作在二层模式,使用的VLANIF接口用于转发VLAN内的报文,而该场景下IP-MAC绑定必须关联VID(即VLAN)IP-MAC绑定的功能才会生效
解决方案

在IP-MAC绑定表里添加VID之后实现,即firewall mac-binding 192.168.0.117 78e4-004a-d313 vid 1之后该MAC地址可以正常上网
建议与总结

防火墙接口工作在二层模式或者通过子接口封装VLAN时,IP-MAC绑定必须关联VID才能实现

不同VLAN中可能存在相同的IP地址,为了能正确查找对应的表项,对于以下两种情况,必须配置vid参数,将其与对应的VLAN进行关联:

  • 将工作在二层模式下的接口通过VLANIF虚拟为路由口,用于转发VLAN内的报文。
  • 在路由口上建立子接口,并且通过vlan-type dot1q命令指定该子接口所属VLAN,用于转发VLAN内的报文。

对于不属于VLAN的接口,则不需要配置vid参数。

END