S7606做二层转发,下行挂的终端PC去dhcp server获取IP地址
现场反馈部分终端无法获取地址,在我司交换机S7606上下行口镜像抓包对比发现是S7606将丢弃。设备收到server回复的offer报文没有从下行口发给终端
镜像上行TG2/0/1、TG2/0/2和下行G3/0/15 有discover和offer
镜像下行3/0/15,只有discover
可以判断设备将报文丢弃
查看上行口的offer报文,发现其源MAC为0,而能获取到地址的终端收到的offer报文其源MAC为网关MAC
但我司交换机对于源MAC为0的报文是丢弃的,认为其实异常报文,不会正常转发
------------------------------------------------------
Pri 12, Group 2,usedEntries 39,mode Double, physlice 2/3/
=========================================
acl type usedEntries[39]
=========================================
[92 ]STM_DENYALL 1
[7 ]RX IPv4 Super High 2
[8 ]RX IPv4 High 5
[9 ]RX IPv4 Middle High 4
[10 ]RX IPv4 Middle 26
[64 ]Zero-Mac-Deny 1
======================================
[H3C-probe]debug qacl show sl 2 chi 0 verbose 0 acl-type 64
========
Acl-Type Zero-Mac-Deny, Stage IFP, Pipe 0, OuterPort, Installed, Active
Prio Mjr/Sub 524/2, Group 2 [2], Slice/Idx 6/50, Entry 31, Double: 10290/11314
Rule Match --------
Ports: 0x000000000000001fffffffffffe; 0x200000000001fffffffffffffff
Source mac: 0000-0000-0000, FFFF-FFFF-FFFF
Actions --------
Deny
[H3C-probe]
Marvel的交换机目前实现也是一样,都是丢弃
友商DHCP server版本问题。
注:有时候华为交换机能正常转发的问题,客户会要规避方法,以前老版本(V5)可以通过MQC实现,其优先级比Zero-Mac-Deny高,可以匹配放行。目前没有好的规避方法,关闭源MAC检测也没用:undo mac-address static source-check enable。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作