S5700配置了DHCP Snooping和IP报文检查功能后某些用户无法上网

S5700作为内网网关和DHCP服务器，配置了DHCP Snooping和IP报文检查功能后，下接某些用户无法上网，ping不通网关。

拓扑：

1.检查设备配置无问题：

#                                                                             

dhcp enable                                                                    

#                                                                              

dhcp snooping enable ipv4 
#

interface Vlanif10

 ip address 10.1.1.1 255.255.255.0

 dhcp select interface
#

interface GigabitEthernet0/0/1

#
interface GigabitEthernet0/0/2

 ip source check user-bind enable

 ip source check user-bind alarm enable

#

interface GigabitEthernet0/0/3

 ip source check user-bind enable

 ip source check user-bind alarm enable

#

2.连接PC的接口都配置了IP报文检查，怀疑不能上网的PC更改了IP地址或MAC地址。

3.查看某个出问题的PC的IP地址和MAC地址，并用命令display dhcp snooping user-bind all将其和设备上的动态绑定表做对比，发现该IP和MAC在表中没有对应关系，也没有该PC所连交换机接口的对应表项。

4.核实该IP地址为手工配置的非动态获取，之后在全局为静态IP的地址配置user-bind static静态绑定表，问题解决。

设备配置了对进行报文的绑定表检查时，如果没有静态用户的绑定表，那么所有的静态用户的转发报文都将被丢弃。

当配置了DHCP Snooping功能时，对于动态用户会自动生成动态绑定表，而对于静态用户，DHCP Snooping功能无法自动生成绑定表。因此在进行报文的绑定表检查时，如果没有静态用户的绑定表，那么所有的静态用户的转发报文都将被丢弃。为了能使静态用户的报文被正常转发，需要执行user-bind static命令配置静态绑定表。