S5130-HI交换机MAC地址绑定

参考手册 IP Source Guard快速配置指南

应该使用这个命令验证

1.5  验证配置

# 在Switch A上显示IPv4静态绑定表项配置成功。

[SwitchA] display ip source binding static

在S5130-HI交换机上配置了 ip source binding，但用 dis mac 命令查不到，这个问题在于您混淆了交换机的两种不同功能表项：IP Source Guard (IPSG) 绑定表 与 MAC 地址表。简单地讲，你用错了查询命令。

 原因分析：两种表项的区别

1. IP Source Guard 绑定表（您配置的表）： 由 ip source binding ip-address mac-address 命令生成，是一张安全过滤表，专门用于防止IP/MAC欺骗。它的作用不是帮助交换机转发数据，而是强行规定“只有特定IP/MAC组合的报文才被允许从这个端口通过”。您应该用命令 display ip source binding 来查询此表。

2. MAC 地址表（您查询的表）： 由 display mac-address 命令显示，它记录了MAC地址与交换机端口的对应关系，是设备用来进行二层转发的寻址依据。ip source binding 命令通常不会自动将条目加入此表。

 常见疑问解答

• 问：配置后功能生效了吗？
  答： ip source binding 命令只是创建了规则，需要 ip verify source 指令配合才能真正生效。同时，请确保没有配置 ip-mac binding no-match action deny 指令误拦截了流量。

• 问：如何验证绑定是否生效？
  答： 在用户视图执行 display ip source binding 或 display ip source binding static。如果配置无误，应该能看到您绑定的IP和MAC地址条目。

 问题定位与解决步骤

请通过 Console 口登录交换机，按以下步序排查：

1. 检查绑定表是否生成且正确：执行命令 display ip source binding。确认 Type 显示为 Static，并且IP和MAC地址与您的配置一致。

   • 如果表项不存在：进入对应接口视图，核对 ip source binding ip-address x.x.x.x mac-address xxxx-xxxx-xxxx 是否有输入错误。

2. 确认‘开关’是否已开启：这一步骤最容易遗漏。进入绑定IP的接口视图（如 GE1/0/XX），执行命令 display this，检查是否包含 ip verify source ip-address mac-address。

   • 如果没有此配置，请在相应接口上执行：ip verify source ip-address mac-address。

3. 排除上层配置冲突：检查 display this 的输出，是否存在 packet-filter（包过滤）等配置，这类配置优先级更高，可能会使IPSG失效。

   • 如果存在冲突，需要妥善调整配置，例如通过 undo packet-filter 命令移除。

4. 若要查看MAC地址表：如果您的目的是管理MAC地址表，应使用 mac-address static 命令进行配置，并使用 display mac-address static 来查询。

一、核心原因

• ip source binding：属于IP Source Guard，只做入方向 IP+MAC 校验，用来防 IP 仿冒，不会写入二层 MAC 地址表H3C。
• display mac-address：查看的是二层转发 MAC 地址表，由交换机自动学习终端流量或手动静态配置生成H3C。
• 结论：绑定了 ip source binding，在 MAC 表里查不到是正常的。

二、正确查看绑定

三、想让 MAC 表也有（两种办法）

1）动态学习（推荐）

2）手动配置静态 MAC

四、常见排查

• 端口是否配置port-security或mac-address-limit，会阻止 MAC 学习：

• 端口是否down、VLAN 是否正确、终端是否发流量。