S7500交换机使用AM绑定后无法学习到ARP的解决办法

S7500交换机使用AM绑定后无法学习到ARP的解决办法

 

一      问题描述：

S7500交换机在31xx以后的版本可以支持AM user-bind绑定，将端口、IP、MAC三者绑定。但实际使用过程中发现，绑定后的端口下联用户有时无法学习到相应的ARP。

二      过程分析：

由于AM绑定实际是下发了两条acl。第一条是拒绝所有的报文通过。第二条是允许符合绑定条件的IP报文通过。而ARP没有被允许通过。因此，会出现绑定后无法学习ARP的问题。

三      解决方法：

1、设置端口绑定后，可以手工配置一条4000以上的ACL，允许ARP报文通过。

[7506]display acl config 4001

Link ACL  4001, 1 rule,
 rule 0 permit arp ingress any egress any

定义该acl后，下发在使用am绑定了的端口下：

[7506]dis cu int g6/0/1

#

interface GigabitEthernet6/0/1

am user-bind ip-addr 1.1.1.1 mac-addr 0000-0000-0001

 qos

 packet-filter inbound user-group 4001 rule 0 system-index 3

#

2、可以手工配置一条5000以上的ACL，允许ARP报文通过。

[7506]dis acl config 5000

User ACL  5000, 1 rule,

 rule 0 permit 0806 ffff 16

0806为ARP报文的协议类型，ffff为0806的掩码，表示需要匹配这两个字节。16为报文的偏移量。

这条acl的含义就是，在偏移量为16的地方匹配两个字节，如果等于0806，则允许该报文通过。

定义该acl后，下发在使用am绑定了的端口下：

[7506]dis cu int g6/0/1

#

interface GigabitEthernet6/0/1

am user-bind ip-addr 1.1.1.1 mac-addr 0000-0000-0001

 qos

 packet-filter inbound user-group 5000 rule 0 system-index 3

#