S5130S上使用dhcp snooping + arp detection后终端迁移异常

简易拓扑结构

这边现场S5130S是使用dhcp snooping + arp detection的场景；

原来终端接在10.43.252.4接入交换机下，交换机有 dhcp snooping表项和dis ip source binding 表项；

当在 10.43.252.4下串接一台新的接入交换机 10.43.252.240，终端改接到 252.240交换机上，此时 10.43.252.4和 10.43.252.240都有该终端的 dhcp snooping表项，但是此时该终端能获取到IP地址，但是无法ping通网关，只能在 10.43.252.4上reset掉关于该终端的 dhcp snooping表项后，终端才能正常通讯。

1、 现场两个设备上都可以查到dhcp snooping 表项  

1.2、下连交换机的表项

1. PC迁移后能正常使用，但是每120s就需要重新认证802.1X，影响用户正常使用。

该功能需要终端PC具备自动上报用户名密码等功能，可以在重认证时不需要用户反复提交相关信息进行认证，由于现场PC不具备该能力，所以无法使用。

2．配置运行MAC迁移功能后，PC迁移后无法使用，获取不了IP地址

远程排查发现实际只在S5130-S02设备上开启了port-security mac-move permit，而S01上未开启，所以现场将PC从S01设备上的1/0/25口迁移到1/0/24口上后，查看lldp邻居在1/0/24口上，但是ip source bind表项仍显示在1/0/25口下。

<H3C>dis l n l

Chassis ID : * -- -- Nearest nontpmr bridge neighbor

             # -- -- Nearest customer bridge neighbor

             Default -- -- Nearest bridge neighbor

Local Interface Chassis ID      Port ID                    System Name             -

GE1/0/20        2cf0-5d49-a092  2cf0-5d49-a092             -

GE1/0/24        84a9-3e75-041a  84a9-3e75-041a             -

GE1/0/24        2cf0-5dc3-0701  2cf0-5dc3-0701             -

GE1/0/24        a44c-c82d-74e0  a44c-c82d-74e0             -

<H3C>dis ip source binding | in 74e0

10.43.207.21    a44c-c82d-74e0 GE1/0/25                 207  DHCP snooping

10.43.207.21    a44c-c82d-74e0 GE1/0/25                 207  802.1X

在S01上开启MAC迁移功能后，终端在SW01上迁移后，可以重新在新端口上上线，原始端口会将该用户立即进行下线处理。此时终端可以正常发送DHCP discovery报文，并更新dhcp snooping表项。

这种方案可以允许如上图组网中在S01上配置1x认证的端口来回迁移，但是如果是从S01迁移到S02则不行，原因是设备迁移至S02后，S01原来的端口没down，感知不到这个mac迁移到了S02，当前无法解决该问题。

针对当前现场存在跨设备迁移的情形，建议在S01和S02上增加一台汇聚设备，汇聚设备分别下联S01和S02，将1x认证只集中在汇聚上配置。或者改S01和S02为同型号设备后配置堆叠，这样两台设备虚拟成同一台设备，终端迁移后，两台设备上可以相互感知，正常迁移。