S5700-SI配置IPSG後不符合綁定規則的PC仍然能ping通(tōng)S5700上(shàng)的網關地址
2014/12/25 23:49:04點擊:
問題描述
某局點客戶在S5700上(shàng)配置IPSG功能,在全局綁定PC的IP+MAC,接入一台不符合綁定規則的PC,仍然能ping通(tōng)位于S5700上(shàng)的網關地址。
解決方案
解決方案
# 在連接HostA的GE0/0/1接口使能IP報文檢查功能。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] ip source check user-bind enable
配置靜态綁定表項
# 配置HostA為靜态綁定表項。
[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001
例如以上(shàng)綁定規則,接入的PC不符合綁定規則仍然能ping通(tōng)位于S5700-SI上(shàng)的網關地址,查看資料後發現盒式交換機默認開(kāi)啓了快回功能,關閉快回:
undo icmp-reply fast
再次ping網關已經不能ping通(tōng),這是由于開(kāi)啓快回ICMP包直接就在接口把目的和(hé)源倒換一下就回包了,不會(huì)上(shàng)送CPU以及控制(zhì)層面進行(xíng)處理(lǐ)。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] interface gigabitethernet 0/0/1
[Switch-GigabitEthernet0/0/1] ip source check user-bind enable
配置靜态綁定表項
# 配置HostA為靜态綁定表項。
[Switch] user-bind static ip-address 10.0.0.1 mac-address 0001-0001-0001
例如以上(shàng)綁定規則,接入的PC不符合綁定規則仍然能ping通(tōng)位于S5700-SI上(shàng)的網關地址,查看資料後發現盒式交換機默認開(kāi)啓了快回功能,關閉快回:
undo icmp-reply fast
再次ping網關已經不能ping通(tōng),這是由于開(kāi)啓快回ICMP包直接就在接口把目的和(hé)源倒換一下就回包了,不會(huì)上(shàng)送CPU以及控制(zhì)層面進行(xíng)處理(lǐ)。
- 上(shàng)一篇:數(shù)通(tōng)産品S交換機配置策略路由時(shí),如何指定某網段中的部分IP不 2014/12/25
- 下一篇:S5700交換機接口開(kāi)啓環路檢測down後再無法使用故障 2014/12/25