设备及版本:S7502E 7624P01 ADCampus 五期B03
组网:leaf-access-pc 全部直连
问题描述:leaf上开启了IP Source Guard 功能,当leaf口UP/DOWN后,出现部分PC ping通网关,但是无法跨三层访问
10.68.101.128和10.68.101.133 是两台PC 的ip,当出现问题时( 10.68.101.133网络不通)使用 Display ip source binding 命令查看,如下图所示
发现 10.68.101.133 没有对应的DHCP snooping 表项,但是有ARP snooping表项。
经核实ARP Snooping 的生产只有符合ARP特征即可,一条报文即可生成,安全性不高,因此并不用于过滤报文。
表1-1 IPv4动态绑定功能信息表
接口类型 |
表项来源模块 |
用途 |
二层以太网接口 |
DHCP Snooping、802.1X |
报文过滤 |
ARP Snooping |
配合其它模块(例如MFF)提供相关的安全服务,而不直接用于过滤报文 |
|
三层以太网接口/VLAN接口 |
DHCP中继 |
报文过滤 |
DHCP服务器 |
配合其它模块(例如授权ARP)提供相关的安全服务,而不直接用于过滤报文 |
leaf下行口UP/down后,DHCP Snooping 表项消失是因为,用户被下线了。DHCP Snooping表项消失,IP Source Guard 无法根据DHCP Snooping表项动态生成ip source binding表项,因此无法跨三层访问
如下图所示,在leaf下行口shutdown后的动作(保持在线或者下线)是由MAC认证服务器设置的,如果下图中的Port-down keep online 如果是enable,在shutdown动作后,用户仍会在线,否则用户会被踢下线。
在控制器侧,修改服务器下发授权信息时携带端口down后所采取的动作为enable。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作