S7502E IP Source Guard 匹配 DHCP Snooping表项案例

设备及版本：S7502E 7624P01 ADCampus 五期B03

组网：leaf-access-pc 全部直连

问题描述：leaf上开启了IP Source Guard 功能，当leaf口UP/DOWN后，出现部分PC ping通网关，但是无法跨三层访问

10.68.101.128和10.68.101.133 是两台PC 的ip，当出现问题时（ 10.68.101.133网络不通）使用 Display ip source binding 命令查看，如下图所示

发现 10.68.101.133 没有对应的DHCP snooping 表项，但是有ARP snooping表项。

经核实ARP Snooping 的生产只有符合ARP特征即可，一条报文即可生成，安全性不高，因此并不用于过滤报文。

表1-1 IPv4动态绑定功能信息表

leaf下行口UP/down后，DHCP Snooping 表项消失是因为，用户被下线了。DHCP Snooping表项消失，IP Source Guard 无法根据DHCP Snooping表项动态生成ip source binding表项，因此无法跨三层访问

如下图所示，在leaf下行口shutdown后的动作（保持在线或者下线）是由MAC认证服务器设置的，如果下图中的Port-down keep online 如果是enable，在shutdown动作后，用户仍会在线，否则用户会被踢下线。

在控制器侧，修改服务器下发授权信息时携带端口down后所采取的动作为enable。