记华三S5130S交换机配置IP Source Guard后未生效的场景

在S5130S物理端口下做IP Source Guard 绑定，发现配置静态绑定之后，该功能未生效。

附：在vlan 虚接口下调用了ACL，ACL内容为禁止高危病毒端口及允许特定网段访问特定网段

如下为官方手册指导

 

 

 

 交换机上配置如下：

interface Vlan-interface1
 ip address 192.168.1.254 255.255.255.0
 packet-filter 3100 inbound

interface GigabitEthernet1/0/21
 ip verify source ip-address mac-address
 ip source binding ip-address 192.168.1.66 mac-address 0001-0000-0001

 

发现在vlan虚接口中关闭包过滤时，IP Source Guard就生效了

在交换机上查看协议的生效顺序：

[H3C-probe]debug  qacl show acl-prioinfo slot 1

 

可看到相关包过滤和IP Source Guard的相关内容，发现包过滤的优先级是8，IP source guard优先级是4，包过滤是比绑定优先的，所以两个同时配置，导致IP Source Guard 不生效。

28    PortBind Default                   FALSE       4         5    

29    PortBind Bind                      FALSE       4         7

192   PktFilter UDF on PORT              FALSE       8         25   

193   PktFilter UDF on VRF               FALSE       8         4    

194   PktFilter UDF on RPORT             FALSE       8         18   

195   PktFilter UDF on RPORT sub         FALSE       8         11   

196   OPEN FLOW GLOBAL MACIP DEFAULT     FALSE       10        8

经过确认，在S5130S交换机上vlan虚接口调用ACL和物理接口下配置IP Source Guard 两者同时配置只会生效优先级高的 其他型号产品暂不明确