usg3030接口开启快速转发导致业务不通

发布时间:  2014-09-11 浏览次数:  227 下载次数:  0
问题描述

 
usg2110与usg3030建立ipsec隧道,从pc1 ping pc2能通,从pc2ping pc1不通。
告警信息
无。
处理过程
1  在防火墙上查看源地址为192.168.100.2目的地址为192.168.10.2的会话,没有会话。

2 在防火墙上用192.168.10.2起环回地址,ping 192.168.100.2 ,能ping通,证明数据流能到防火墙。

3 查看接口下有快速转发配置:
   ip fast-forwarding qff
  关闭快速转发后解决。
根因
1 数据流没有到达防火墙。
2 没有命中感兴趣数据流。
建议与总结
USG3000、E200、E100E/E200S IPSec业务只在非快转流程里实现,必须关闭快转才能实现。

END