eth-trunk子接口没有加入安全域,导致无法ping通

发布时间:  2012-07-18 浏览次数:  132 下载次数:  3
问题描述

网络图如下:

 

从S9300上pingSACG设备上子接口地址无法ping通。

  
告警信息
处理过程

1、在S9300上pingNE40-E上的地址,通。证明s9300与NE40-E之间无问题;

2、在NE40-E上ping SACG的子接口地址,不通。检查NE40、S9300、sacg上的路由,均无问题;证明问题出在NE40-E与sacg上。

3、在NE40-E和sacg上查看arp学习情况,都能学习到,证明2设备间的链路没有问题;

4、删除NE40-E和sacg上子接口的配置,直接采用主接口配置。2者可以互通;

5、检查2者配置,发现SACG上的eth-trunk子接口未加入到安全域中,导致该问题产生。

6、把子接口加入到安全域中后,问题解决。 

根因

1、链路问题;

2、路由问题;

3、设备问题;

4、配置问题; 

建议与总结
当防火墙启用子接口后,一定不要忘记把实际参与数据包转发的接口加入到安全域中。  

END