dncp snoop联动 ip source guard拦截异常

在vlan视图下调用了IPSG后无法所有终端无法通信。

查看配置：

下联口开启了dhcp snooping，且开启ip verify source ip-address mac-address

interface GigabitEthernet1/0/1

port link-mode bridge

port link-type hybrid

undo port hybrid vlan 1

port hybrid vlan 33 to 35 tagged

port hybrid vlan 11 71 untagged

port hybrid pvid vlan 11

broadcast-suppression 20

stp edged-port

ip verify source ip-address mac-address

dhcp snooping binding record

上联口配置了为信任：

interface Bridge-Aggregation2

description TO_CSTZ-KF1F-C1001_C1101-HSW-S6520X

port link-type trunk

undo port trunk permit vlan 1

port trunk permit vlan 2 to 4094

link-aggregation mode dynamic

dhcp snooping trust

#

display ip source binding看是有对应表项的，且是vlan11下学习到的。

Vlan11下发ip source guard后，vlan  11内的所有端口都会下发一条deny acl 规则，上行端口没有配置ip verify source trust，导致回程报文匹配上该deny acl规则丢弃；

建议在上行聚合成员口下配置ip verify source trust，或者将ip verify source ip-address mac-address改为在端口下配置，正常都是配置在端口下。

【命令】

ip verify source trust

undo ip verify source trust

【缺省情况】

未配置IPv4接口绑定功能的信任接口。

【视图】

二层以太网接口视图

【缺省用户角色】

network-admin

【使用指导】

当某个接口配置为IPv4接口绑定功能的信任接口后，接口上配置的IPv4接口绑定功能不生效，对于本接口收到的IPv4报文放行，不过滤。

当某个VLAN配置了IPv4接口绑定功能后，在该VLAN所属的某个二层以太网接口上配置了IPv4接口绑定功能的信任接口功能，则该接口的IPv4接口绑定功能不生效。

【举例】

# 在二层以太网接口GigabitEthernet1/0/1上配置IPv4接口绑定功能的信任接口。

<Sysname> system-view

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] ip verify source trust