S5100交换机开启ARP DETECTION后内网电脑不能共享文件的问题
- 1关注
- 1收藏,1809浏览
问题描述:
路由器设置好ADSL拨号,开启 DHCP服务,LAN口IP 为192.168.88.1/24
S5100交换机的GE1/0/1接口连接路由器的LAN口
PC1连接交换机的GE1/0/2口,PC2连接交换机的GE1/0/3口,自动获取IP上网
在PC1和PC2上设置好文件夹的共享(两台PC的操作系统均为WIN7 64旗舰版),在不对交换机进行任何配置的时候,可以正常共享文件。
在对交换机进行了如下配置之后,上外网正常,内网不能共享,根本看不到对方。是ARP的防御功能会限制内网的电脑共享文件吗?
交换机的配置(软件版本为V3)
开启DHCP-SNOOPING
建立VLAN 2
将端口GE1/0/1-1/0/10划分给VLAN2
设置GE1/0/1端口为DHCP-SNOOPING TRUST,arp detection trust
在vlan2 下开启 arp detection
端口2和端口3开启arp rate-limit,arp rate-limit 30
在系统视图下,配置arp protective-down recover enable
配置一条静态路由ip route-static 0.0.0.0 0.0.0.0 192.168.88.1(这条路由应该不用配置吧)
如果想实现既可以进行ARP防御,又能够使内网电脑共享文件正常,应该如何配置呢?
组网及组网描述:
internet--普通路由器--H3C S5100--PC1,PC2
- 2018-09-02提问
- 举报
-
(0)
最佳答案
ARP用户合法性检查是根据ARP报文中源IP地址和源MAC地址检查用户是否是所属VLAN所在端口上的合法用户,包括基于配置规则的检查、基于IP Source Guard静态绑定表项的检查、基于DHCP Snooping安全表项的检查、基于802.1X安全表项的检查和OUI MAC地址的检查。而现在情况是交换机开启dhcp snooping在两台电脑地址都在路由器获取情况下,arp detection不会对共享流量拦截,是不是配置ARP限速导致的问题呢?因为arp限速会将超出部分直接丢弃。交换机默认是50,30太小了。
- 2018-09-02回答
- 评论(0)
- 举报
-
(0)
楼上回答的很专业,明天我再试试更改ARP rate-limit值,看看能否正常共享,或者不限速,看看是否正常
今天又试了一下,不开启端口的ARP rate-limit一样不能共享文件,上外网正常,这次,GE1/0/20上联的路由器,PC接1/0/18和1/0/19端口.
当一台PC尝试访问其他PC的共享文件夹时,交换机上联路由器的端口1/0/20会时断时通
H3C]dis cu
#
sysname H3C
#
radius scheme system
#
domain system
#
vlan 1
#
vlan 2
arp detection enable
arp restricted-forwarding enable
#
interface Vlan-interface1
#
interface Aux1/0/0
#
interface GigabitEthernet1/0/1
#
interface GigabitEthernet1/0/2
#
interface GigabitEthernet1/0/3
#
interface GigabitEthernet1/0/4
#
interface GigabitEthernet1/0/5
#
interface GigabitEthernet1/0/6
#
interface GigabitEthernet1/0/7
#
interface GigabitEthernet1/0/8
dhcp-snooping trust
#
interface GigabitEthernet1/0/9
#
interface GigabitEthernet1/0/10
port access vlan 2
#
interface GigabitEthernet1/0/11
port access vlan 2
#
interface GigabitEthernet1/0/12
port access vlan 2
#
interface GigabitEthernet1/0/13
port access vlan 2
#
interface GigabitEthernet1/0/14
port access vlan 2
#
interface GigabitEthernet1/0/15
port access vlan 2
#
interface GigabitEthernet1/0/16
port access vlan 2
#
interface GigabitEthernet1/0/17
port access vlan 2
#
interface GigabitEthernet1/0/18
port access vlan 2
#
interface GigabitEthernet1/0/19
port access vlan 2
#
interface GigabitEthernet1/0/20
port access vlan 2
dhcp-snooping trust
arp detection trust
#
interface GigabitEthernet1/0/21
port access vlan 2
#
interface GigabitEthernet1/0/22
port access vlan 2
#
interface GigabitEthernet1/0/23
port access vlan 2
#
interface GigabitEthernet1/0/24
port access vlan 2
#
interface GigabitEthernet1/0/25
shutdown
port access vlan 2
#
interface GigabitEthernet1/0/26
shutdown
port access vlan 2
#
interface GigabitEthernet1/0/27
shutdown
port access vlan 2
#
interface GigabitEthernet1/0/28
shutdown
port access vlan 2
#
interface NULL0
#
dhcp-snooping
#
ip route-static 0.0.0.0 0.0.0.0 192.168.88.1 preference 60
#
user-interface aux 0
user-interface vty 0 4
#
return
- 2018-09-03回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论