防火墙与交换机直连不能ping通

发布时间:  2014-11-27 浏览次数:  743 下载次数:  0
问题描述
Eudemon1000E-X5与S5700直连,各自配置一个管理地址,且在同一网段 。防火墙与交换机相连的接口为三层接口,用户将接口Portswitch转换为二层接口,允许通过vlan 20 。查看防火墙和交换机的MAC地址和ARP表,能相互学习到MAC地址和ARP表,但不能ping通
告警信息
处理过程
1.检查配置,两端的接口均为trunk口,且允许通过vlan 20
2.查看端口状态,两端接口都是UP状态,且用户反馈将防火墙更换为交换机,就能Ping通,说明网线可用
3.查看物理接口是否加入域,用户将接口加入untrust
4.观察设备的包过滤,用户将local和untrust的两个方向均放行,且没有配置其他的限制策略
5.查看MAC表和ARP表,两端都能互相学习到两个表项
6.查看防火墙上vlanif的接口是否加入域,VLANif的接口没有加入域里
根因
由于防火墙现在的接口作为二层接口,Ip地址配置在VLANif的接口上,而防火墙上vlanif的接口没有加入域,只是将物理接口加入域,使得下连的交换机无法ping 通
解决方案
将防火墙上vlanif的接口加入域里,问题解决
建议与总结
在做防火墙与下层交换机连接,特别是防火墙是二层接口与下面连接,除了将物理接口加入域,容易忽略将VLANif的接口也加入域
同时,本案例中,给出了直连ping通的一个检查思路
1.从物理上开始排查,端口是否up ,如果物理上都没有up ,排查物理链路,如果是光路,还需检查光模块的好坏,是否华为认证
2.如果接口的物理up,但协议down,此时需要排查两端接口的参数是否对应,协商,双工,速率等参数是否一致
3.如果接口up,则需查看路由,对应直连链路来说,只需检查两端的互联地址是否在同一网段
4.对于防火墙来说,存在域的概念,需要将接口加入域,除了物理接口,还有虚接口
5.查看包过滤和配置的策略是否限制了两端的Ip地址
6.最后再来查看MAC和ARP表项,两端能否学习到,对于防火墙,如果三层接口没有加入域,能学到mac和arp,但还是不能Ping 通

END