来回数据路径不一致导致无法通信

发布时间:  2012-07-18 浏览次数:  112 下载次数:  0
问题描述

Router——USG——SW——pc1

                                      |

                                     pc2

1. USG做透明模式

2. pc1与router内部接口在统一个网段,网关指向router(交换机上也有该网段的地址)

3.pc1与pc2不在统一个网段,网关指向SW

现象为:1. pc2不能ping通pc1

                 2. pc1能ping通router

                 3. pc2能ping通router

告警信息
处理过程

在防火墙的全局模式下关闭链路的会话检测功能,即:

undo firewall session link-state check

根因

分析:

发:pc2给pc1发数据时,把数据发给网关SW,SW发现是直连的路由直接发给了pc1

回: pc1给pc2发数据,因为不在同一个网段,pc1会把数据发给网关router,router查路由表发给SW,SW直接把数据发给pc2

很明显是来回的路径不一致

防火墙在默认情况下是把状态检测打开的,当回包到达防火墙的时候,防火墙仅仅是收到了一个回复的数据包,这个时候防火墙会直接丢弃,因此就造成了无法ping通

建议与总结

如果出现来回路径不一致情况,不管是在路由模式下,还是在透明模式下,此时默认都是开启的链路状态检测。要解决这个问题,关闭链路状态检测即可,即:

undo firewall session link-state check

END