acl和ipsg问题

这个建议实际测试一下

在S5135交换机上，当以太网接口同时配置了ACL 2000和IPSG静态绑定时，若ACL允许某IP地址，但IPSG未配置该IP的静态绑定表项，理论上该数据流应被IPSG丢弃，因为IPSG（IP Source Guard）依据绑定表严格检查IP报文的源IP地址，未匹配绑定表的报文将被过滤。

然而，实际测试中数据仍正常通过，可能原因如下：

1. **IPSG未使能或未正确应用**：确认接口是否执行了 `ip source check user-bind enable`，否则IPSG不生效。
2. **ACL优先级或硬件处理顺序**：在部分设备上，ACL与IPSG在硬件中并行处理，若ACL先匹配且放行，可能绕过IPSG检查（取决于具体芯片机制）。
3. **静态绑定表项缺失但存在动态表项（如DHCP Snooping表）**：若该IP地址通过DHCP获取且存在动态绑定表项，IPSG可能仍允许通过。
4. **设备版本Bug或特性限制**：特定版本可能存在IPSG与ACL共存时的处理异常。

结论：按设计，IPSG未绑定的IP应被丢弃；但实测通过，说明IPSG未实际生效或存在其他放行机制。建议检查IPSG使能状态、绑定表项及软件版本说明。

回答：**数据被ACL放行而通过，说明IPSG未实际生效或未正确应用，正常情况下应被IPSG丢弃。**