防火墙跨三层mac地址学习后，绑定ip和mac会生效吗

防火墙版本：V7  R9333P18及之前版本

型号：V7全系列防火墙

组网：防火墙当出口，控制内网电脑上网

需求：在防火墙上配置ip+mac绑定，使得没在表项里边的终端禁止上网。

设备配置：

ip-mac binding enable

ip-mac binding  xxxxx mac-address xxxxx

ip-mac binding no-match action deny

现场配置完后导致断网，即使ip跟mac在列表中的电脑也上不了网。

配置ip+mac绑定后会检查上终端的ip+mac是否在列表中，如果不在则匹配默认动作拒绝。产生断网的原因是终端访问外网的数据可以匹配，电脑的源ip+mac符合表项绑定转发出去，但是外网回复的流量，源ip+mac不符合绑定表项所以丢弃。

此问题解决方法有两种：

第一种：

后续会对实现机制进行优化，使外网回复的流量，源目ip+mac只要任意一种匹配表项即可放通。

第二种：

此功能并不是为了实现不在表项里边电脑上不了网的功能， 而是为了防攻击或防ip欺骗/mac欺骗，将默认动作设置为允许，一旦有欺骗的arp上来后，跟表项去做对比，一旦有ip或mac跟绑定的表项不匹配则拒绝，没有在表项中的则放通。 要实现不在表项里边电脑上不了网的功能，可以用 IP Source Guard的功能来实现。