S5700 (V200R005C00SPC500)内网用户个别终端无法上网
问题描述
S5700 内网用户部分终端无法上网
组网:S5700----S1700----PC
在S1700下接多个同网段的PC,网关在S5700上,PC见二层数据互访正常,但是部分终端无法ping通网关
处理过程
1、检查S5700下行接口的mac学习情况
<Huawei>display mac-address
MAC address table of slot 0:
-------------------------------------------------------------------------------
MAC Address VLAN/ PEVLAN CEVLAN Port Type LSP/LSR-ID
VSI/SI MAC-Tunnel
-------------------------------------------------------------------------------
5489-981b-6174 1 - - GE0/0/1 security -
-------------------------------------------------------------------------------
Total matching items on slot 0 displayed = 1
下行接口只学习到一个mac地址,type为security,确认接口配置了端口安全功能
2、检查设备接口配置
interface GigabitEthernet0/0/1
port link-type access
loopback-detect enable
port-security enable //该接口开启看端口安全
port-isolate enable group 1
port description desktop
接口未手动修改端口安全动态MAC学习限制数量,默认情况为1,导致只有一个终端能上网。
根因
默认端口安全动态MAC学习限制数量为1,小于实际需求的数量导致部分终端不能上网
解决方案
解决方案一:取消端口安全
接口下undo port-security enable
解决方案二:修改端口安全MAC地址学习数量
在接口下port-security max-mac-num 5
建议与总结
在配置端口安全时,需要结合自己使用的场景要求配置合适的参数
