技术文档
当前位置:技术文档

H3C S5130S-EI交换机能抓到其他接口单播流量

来源:未知 时间:2021-07-12 12:30
 

      两台S5130S-EI交换机做了IRF2,终端pc接在slot1上,抓包pc接在slot2上。PC和服务器同网段。

  终端pc和服务器同网段,pc访问服务器业务正常,业务为tcp流量。抓包pc只要接到slot2上开启抓包就能抓包终端pc的单播流量。在设备上查看接口mac地址学习正常

  过程分析在交换机上display mac-address查看终端pc和服务器的mac学习正常。

  查看目的地址的交换机底层mac信息

  slot2底层无目的mac信息。

  slot1底层有目的mac

  流量从服务器到交换机,从lot2转发到slot1。因为slot2的底层没有slot1的mac所以会以广播的形式发送。抓包pc和服务器属于同网段所以能抓到报文。

  解决方法IRF设备通常有多个成员设备,为了避免不必要的广播报文,以及提高报文转发的速度,需要所有成员设备拥有同样的MAC地址表。开启全局的MAC地址同步功能后,设备会在所有成员设备间进行MAC地址表的同步。

  [system] mac-address mac-roaming enable

  正常情况下终端pc访问服务器时首先会发arp广播报文,这样slot1和slot2都能学习到终端pc的mac。但是现场没有开启stp 边缘端口,抓包pc接入之后导致stp重新计算,导致接口下mac刷新。又因此时客户端pc和服务器之间交互的是单播报文,从而slot2无法学习到终端pc的mac。所以交换机上需要同时开启边缘端口。

  [SW-GigabitEthernet1/0/3]stp edged-port

  或者全局关闭stp(不推荐)

  [SW]undo stp global enable


上一篇:防火墙SSL VPN短信认证原理
下一篇:option43配置错误的解决方法
   蜀ICP备2020034250号-1   川公网安备 51010802000119号

售前客服

售前客服

电话:028-83252151

传真:028-85259033

咨询热线:15378180513
在线客服