NE40E ping不通直连的Eudemon防火墙后面的用户地址

发布时间:  2012-07-26 浏览次数:  204 下载次数:  0
问题描述
NE40E一端接公网,一端双链路下挂两台Eudemon防火墙,NE40E上配置两条静态路由指向防火墙后的用户网段,下一跳地址分别为直连的防火墙接口地址。测试时发现用户到外网的业务不通。
      
告警信息

      
处理过程
经测试,在NE40E上行的设备上tracert防火墙后用户地址时,发现最后一跳为NE40E,到防火墙就没有了回应。根据现象怀疑是NE40E与防火墙之间的链路有问题,于是在NE40E上ping与直连的防火墙地址,情况良好,没有问题。将其中一台防火墙换为交换机,下挂PC,PC配置防火墙接口地址,发现在NE40E上ping PC地址时,PC收不到ping包,反而收到查询另一个防火墙接口MAC地址的ARP报文,源地址为NE40E接交换机的接口地址。正常情况下,PC应该收到查询自己网络地址,也就是交换机替代的那个防火墙的接口地址的MAC的ARP报文,据此,怀疑是NE40E上的静态路由配置错误。经检查,用户在NE40E上两条到用户网段的静态路由配置错误,下一跳地址配反了,所以当NE40E的在发ping报文时,之前的ARP请求带了错误的IP地址。
      
根因
由于为新建网络,首先怀疑是链路问题,排除链路问题后,再检查是否是路由问题,排除路由问题后,可以检查是否为策略问题。
      
建议与总结
遇到类似的不通问题时,首先可以通过ping和tracert的命令进行初步定位,然后根据结果进一步查路由,有时候通过简单的抓包可以发现问题。
      

END