eth-trunk子接口没有加入安全域，导致无法ping通

发布时间: 2012-07-18 浏览次数: 164 下载次数: 3

问题描述

网络图如下：

从S9300上pingSACG设备上子接口地址无法ping通。

告警信息

无

处理过程

1、在S9300上pingNE40-E上的地址，通。证明s9300与NE40-E之间无问题；

2、在NE40-E上ping SACG的子接口地址，不通。检查NE40、S9300、sacg上的路由，均无问题；证明问题出在NE40-E与sacg上。

3、在NE40-E和sacg上查看arp学习情况，都能学习到，证明2设备间的链路没有问题；

4、删除NE40-E和sacg上子接口的配置，直接采用主接口配置。2者可以互通；

5、检查2者配置，发现SACG上的eth-trunk子接口未加入到安全域中，导致该问题产生。

6、把子接口加入到安全域中后，问题解决。

根因

1、链路问题；

2、路由问题；

3、设备问题；

4、配置问题；

建议与总结

当防火墙启用子接口后，一定不要忘记把实际参与数据包转发的接口加入到安全域中。

END

作者 : h00005327

文档编号： EKB1000006198

故障类型 :