S5130S和 S7500E 的DHCP Snooping和IPSG故障

交换机非正常的阻挡PC终端的合理数据

1、故障背景 我有一个h3c交换机搭建的局域网。核心交换机是：S7500E。应用地点：学校。 我的接入层交换机（S5130S-52S-EI）所有接入端口有 ip verify source ip-address mac-address 和 dhcp snooping binding record 安全配置。 核心交换机作为所有vlan的DHCP服务器，所有区域的VALN都在核心交换机上有 VLAN interface，且是这些VLAN的网关，每个VLAN大致容纳250台左右终端。 在windows机房教室里，有两台接入层交换机，.23和.24；.23交换机上联到核心交换机S7500E，.23交换机和.24交换机通过级联口（光口）互联。 目前，在此教室的PC终端上看到，所有的pc都配置的自动获取IP地址，且大部分都能上网。 但有六台台式PC终端，虽然也是自动获取IP地址，虽然也有IP地址了，但就是无法上网，连网关都PING不通；已经将彼此的网线互换，以前可以上网的PC依然可以，但以前不能上网的PC依然不可以上网。 这六台PC的IP和交换机接入端口如下： 10.20.210.221 e0be-039a-fe2a .24交换机 GE1/0/11 10.20.210.199 e0be-039b-1af6 .24交换机 GE1/0/10 10.20.210.209 e0be-039b-1df5 .24交换机 GE1/0/17 10.20.210.241 1c69-7afb-d0d4 .23交换机 GE1/0/28 10.20.210.77 e0be-039a-fe38 .23交换机 GE1/0/14 10.20.210.39 e0be-039b-24dc .24交换机 GE1/0/22 注意：这六台电脑都是全新电脑，才到教室的，安装的是win10企业版（总共是13台新电脑）。第一次开机的时候，所有新电脑都能正常上网的。以后每次开机就都有部分新电脑上不了网。 2、排障如下 （1）核心交换机 1）disp dhcp server ip-in-use pool 210 注1：出问题时，没有用此命令，所以没什么参考价值； 注2：且出故障时，还尝试在 dhcp server ip-pool 210 配置模式下，为这六台增加了 static-bind ip-address xxx hardware-address yyy 命令；执行命令后，全部还是无法上网。 2）display ip source binding display ip source binding | i 10.20.210. ... 10.20.210.77 e0be-039a-fe38 Vlan210 210 DHCP server ... 通过结果可知：只有 10.20.210.77 才在核心交换机的 ip source 绑定表中。 3） disp arp vlan 210 count Total number of entries on interface vlan 210: 66 通过结果可知：210 VLAN的 arp 条目还是够用的，因为总共有200多个，目前采用66个。 4）核心交换机有相关利害的配置 dhcp enable dhcp server forbidden-ip 10.20.210.25 10.20.210.30 dhcp server forbidden-ip 10.20.210.250 10.20.210.254 dhcp server ip-pool 210 gateway-list 10.20.210.1 network 10.20.210.0 mask 255.255.255.0 address range 10.20.210.11 10.20.210.254 dns-list 10.20.0.201 10.20.0.200 expired day 0 hour 0 minute 10 # 专门把地址池租期调小了的。 （2）两台接入交换机 1）查看 绑定表 display dhcp snooping binding display ip source binding 通过在接入交换机上使用上面两条命令可得：除了 10.20.210.77外，接入交换上的 dhcp snooping表 和 ip source绑定表 都没有上述六台PC的绑定记录。 2）接入交换机有相关利害的配置 dhcp snooping enable interface range g1/0/1 to g1/0/48 port access vlan 210 stp edged-port ip verify source ip-address mac-address dhcp snooping binding record （3）我临时解决的方案 我尝试在这些PC连接的接入交换机上的接口上配置：undo ip verify source 后，然后，这些PC就都可以上网了。 这个方法也是临时的，我们不能一直 undo ip verify source。我们需要教室区域的网络开启 DAI 和 IPSG 的。 （4）思考 我怀疑是不是这些电脑刚才开机时，自动尝试使用以前用过的IP地址；但是核心交换机并没有同意他们用这些IP地址，从而并没有DHCP ACK包回到这些客户端。 所以，dhcp snooping表 和 ip source绑定表 没有这些PC的记录，因此，接入交换机并不放行这些PC的数据包（非DHCP的）。简而言之，”交换机非正常的阻挡PC终端的合理数据“。 如果真实这样的话，如何解决呢？ 3、问题 为什这6台中有5台动态生成绑定表？如何才能去动态生成呢？ 4、需求 具体要求：windows计算机机房教室的h3c接入交换机连接到这些PC的终端的接口上，既能成功打上 ip verify source，且连接的PC终端又能正常上网。