問題描述:
防火牆F100-C-G5 ,打開鏈路下ARP功能,IP + MAC地址綁定, 確省策略是放行,從動態ARP列表將掃描到的IP添加到靜態IP+MAC列表,然後點擊開啟IP + MAC地址綁定,然後綁定的終端無法正常上網,如果關閉IP + MAC地址綁定,電腦終端是正常上網的。
組網及組網描述:
專線--》防火牆---〉交換機---》電腦終端
- 2025-04-29提問
- 舉報
-
(0)
最佳答案
終端直連防火牆上網正常,進行ip-mac綁定後,無法上網。
關鍵配置:
ip-mac binding enable
ip-mac binding no-match action deny
ip-mac binding ipv4 100.64.34.134 mac-address 7440-4aa0-7852
ip-mac binding ipv4 192.168.156.118 mac-address 011d-bcf8-4e1b
過程分析
安全策略放通區域為any-any,不涉及被安全策略阻斷的問題。
查看會話發現無回包:
<H3C>display session table ipv4 source-ip 192.168.156.118 destination-ip 114.114.114.114 verbos
Slot 1:
Initiator:
Source IP/port: 192.168.156.118/1
Destination IP/port: 114.114.114.114/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Vlan-interface100
Source security zone: Trust
Responder:
Source IP/port: 114.114.114.114/146
Destination IP/port: 100.64.34.134/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: Dialer0
Source security zone: Untrust
State: ICMP_REQUEST
Application: ICMP
Rule ID: 1
Rule name: test
Start time: 2021-11-16 15:50:58 TTL: 30s
Initiator->Responder: 4 packets 240 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 1
隨後通過抓包及debug發現報文在dialer口被丟掉:
*Nov 16 15:49:11:384 2021 H3C IPFW/7/IPFW_INFO:
MBUF was intercepted! Phase Num is 0(pre all), Service ID is 3(ip mac), Bitmap is 1000000000000000, return 1(0:continue, 1:dropped, 2:consumed, 3:enqueued, 4:relay)! Interface is Dialer0,
s= 114.114.114.114, d= 100.64.34.134, protocol= 1, pktid = 64507.
原因分析:配置IP-MAC綁定功能的設備接收到用戶報文後,會提取報文頭中的源IP地址和源MAC地址,並與IP-MAC綁定表項進行匹配。
來自外網的報文並沒有建立IP-MAC的表項關係,所以被丟棄。
解決方法
在內網接口下配置IP-MAC的綁定,但是要注意防火牆的版本是否支持。
- 2025-04-29回答
- 評論(0)
- 舉報
-
(0)
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明
暫無評論