记华三S5130S交换机配置IP Source Guard后未生效的场景

Posted RunningWind

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记华三S5130S交换机配置IP Source Guard后未生效的场景相关的知识,希望对你有一定的参考价值。

在S5130S物理端口下做IP Source Guard 绑定,发现配置静态绑定之后,该功能未生效。

附:在vlan 虚接口下调用了ACL,ACL内容为禁止高危病毒端口及允许特定网段访问特定网段

如下为官方手册指导

 

 

 

 交换机上配置如下:

interface Vlan-interface1
 ip address 192.168.1.254 255.255.255.0
 packet-filter 3100 inbound

interface GigabitEthernet1/0/21
 ip verify source ip-address mac-address
 ip source binding ip-address 192.168.1.66 mac-address 0001-0000-0001

 

发现在vlan虚接口中关闭包过滤时,IP Source Guard就生效了

在交换机上查看协议的生效顺序:

[H3C-probe]debug  qacl show acl-prioinfo slot 1

 

可看到相关包过滤和IP Source Guard的相关内容,发现包过滤的优先级是8,IP source guard优先级是4,包过滤是比绑定优先的,所以两个同时配置,导致IP Source Guard 不生效。

28    PortBind Default                   FALSE       4         5    

29    PortBind Bind                      FALSE       4         7

192   PktFilter UDF on PORT              FALSE       8         25   

193   PktFilter UDF on VRF               FALSE       8         4    

194   PktFilter UDF on RPORT             FALSE       8         18   

195   PktFilter UDF on RPORT sub         FALSE       8         11   

196   OPEN FLOW GLOBAL MACIP DEFAULT     FALSE       10        8

经过确认,在S5130S交换机上vlan虚接口调用ACL和物理接口下配置IP Source Guard 两者同时配置只会生效优先级高的 其他型号产品暂不明确

以上是关于记华三S5130S交换机配置IP Source Guard后未生效的场景的主要内容,如果未能解决你的问题,请参考以下文章

记华三S5130S交换机配置IP Source Guard后未生效的场景

记华三S5130S交换机配置IP Source Guard后未生效的场景

记华三S5130S交换机配置IP Source Guard后未生效的场景

记华三S5130S交换机配置IP Source Guard后未生效的场景

华三交换机查看ip地址

华三内网拓扑