所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S1720, S2700, S5700, S6720 V200R012(C00&C20) 配置指南-安全

本文档介绍了安全的配置,具体包括ACL配置、本机防攻击配置、MFF配置、攻击防范配置、流量抑制及风暴控制配置、ARP安全配置、端口安全配置、DHCP Snooping配置、ND Snooping配置、PPPoE+配置、IPSG配置、SAVI配置、URPF配置、Keychain配置、MPAC配置、PKI配置、业务与管理隔离配置、安全风险查询配置
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置MFF功能后用户不能上网

配置MFF功能后用户不能上网

故障现象

设备配置完MFF功能后,下接的用户不能上网。

操作步骤

  1. 执行命令display mac-forced-forwarding vlan vlan-id,检查MFF生成信息。

    • 如果输出信息中User IP和User MAC字段的显示内容为空,表示主机信息未生成,请执行步骤2。
    • 如果输出信息中Gateway MAC字段的显示内容为空,表示没有学习到网关MAC,请执行步骤3。

  2. MFF主机信息未生成排查过程
    1. 检查用户绑定表项是否生成

      用户类型 使用命令 输出处理
      动态用户 display dhcp snooping user-bind vlan vlan-id
      • 如果输出信息中没有用户IP对应的绑定表项,请执行步骤b。
      • 如果输出信息中有用户IP对应的绑定表项,说明用户已成功上线,请执行步骤c。
      静态用户 display dhcp static user-bind vlan vlan-id
      • 如果输出信息中没有对应用户IP的绑定表项,执行步骤b。
      • 如果输出信息中有对应用户IP的绑定表项,说明用户已成功上线,请执行步骤c。

    2. 检查用户相关配置是否正确

      用户类型 检查项 检查方法 输出处理
      动态用户 用户接口是否使能DHCP Snooping功能 进入用户接口视图,执行命令display this,检查是否有dhcp snooping enable命令。 如果没有,请在接口视图下执行命令dhcp snooping enable配置。此命令也可以在VLAN视图下执行,需保证用户接口加入到该VLAN中。
      网络接口是否为“信任”状态 进入网络接口视图,执行命令display this,检查是否有dhcp snooping trusted命令。 如果没有,请在接口视图下执行命令dhcp snooping trusted配置。也可以在VLAN视图下执行命令dhcp snooping trusted配置。需保证接口已加入该VLAN。
      用户是否成功上线 在确保用户接口使能DHCP Snooping功能、网络接口为“信任”状态后,执行命令display dhcp snooping user-bind vlan vlan-id,查看DHCP Snooping表项。 如果不存在用户IP对应的DHCP Snooping表项,说明用户没有成功上线,请参考开启DHCP Snooping功能后部分用户无法正常获取IP地址开启DHCP Snooping功能后所有用户无法正常获取IP地址解决用户不能成功上线问题。
      静态用户 静态网关地址是否正确配置 进入配置MFF的VLAN视图,执行命令display this,检查是否有mac-forced-forwarding static-gateway ip-address &<1-16>命令,并检查静态网关IP地址是否与静态用户IP地址属于同一网段。 如果没有或者静态用户IP地址与静态网关IP地址不在同一网段,请执行命令mac-forced-forwarding static-gateway ip-address &<1-16>配置与静态用户在同一网段的静态网关。
      静态用户是否正确配置 进入系统视图,执行命令display dhcp static user-bind vlan vlan-id,检查是否有指定IP的静态用户绑定表项。 如果没有,请执行命令user-bind static配置。

      如果表中检查项均正确或者修改配置后问题仍然存在,请执行下一步。

    3. 检查MFF相关配置是否正确

      • 进入用户接口视图,执行命令display this,查看接口是否加入配置MFF的VLAN。如果没有加入,请执行相应命令加入。
      • 进入网络接口视图,执行命令display this,查看该接口上是否配置有mac-forced-forwarding network-port命令,如果没有,请执行该命令配置。

  3. MFF未学习到网关MAC排查过程
    1. 检查设备是否接收到网关的ARP应答报文

      用户视图下执行命令debugging ethernet packet arp interface interface-type interface-number,查看设备是否接收到来自网关的ARP应答报文:

      • 如果没有接收到ARP应答报文,静态用户请执行步骤b,动态用户请执行步骤c。

    2. 检查设备到网关的链路是否有问题

      从设备Ping网关以检查路由是否可达:
      • 如果Ping不通,请先根据排除路由故障。
      • 如果能Ping通,请执行步骤c

    3. 检查ARP应答报文是否被丢弃

      • 系统视图、VLAN视图或接口视图下执行命令display this查看是否配置了ARP报文限速。

        如果配置了ARP报文限速“arp anti-attack rate-limit”,配置的阈值过小,则有可能ARP应答报文被丢弃。使用命令arp anti-attack rate-limit可以修改速率抑制大小。

      • 进入使能MFF功能的VLAN视图,执行命令mac-forced-forwarding gateway-detect [ interval interval-time ]启动MFF网关定时探测功能,以重新发送ARP请求获取网关的MAC地址。

翻译
下载文档
更新时间:2018-12-24

文档编号:EDOC1100038434

浏览量:34452

下载量:977

平均得分:
本文档适用于这些产品
相关版本
相关文档
Share
上一页 下一页