USG550和S9303对接业务不通

发布时间:  2013-12-17 浏览次数:  279 下载次数:  0
问题描述
USG5550防火墙通过interface GigabitEthernet0/0/4上行与对端S9303对接,对端S9303端口配置为trunk口,与USG5550对接的IP地址配在vlan 100的三层接口上。USG5550上行接口Ethernet 0/0/6属于untrust域,对接后业务不通,在防火墙上无法ping通S9303的VLANIF接口地址。
告警信息
NA
处理过程
把S9303的interface GigabitEthernet1/0/1接口改为Access模式,对接OK。
根因
在S9303上的配置如下:
interface Vlanif100
  description to_USG550_GigabitEthernet0/0/4
  ip address X.X.X.X 255.255.255.0
 
interface GigabitEthernet1/0/1
  description to_USG550_GigabitEthernet0/0/4
  portswitch
  port link-type trunk
  undo port trunk allow-pass vlan 1
  port trunk allow-pass vlan 100
  undo shutdown
 
在USG550上的配置如下:
interface GigabitEthernet0/0/4
  description To_S9303_G1/0/1
  ip address Y.Y.Y.Y 255.255.255.0

对端S9303设备接口为trunk模式,USG上行端口是access,因此报文不能通过对端S9303的trunk口,导致业务不通。
建议与总结
USG工作在三层,可看作是路由器,端口为access方式与对端设备对接,所以将将对端设备接口改为access模式也可以正常对接。

END