USG9520 V300R001C20SPC200 域间策略不生效

发布时间:  2015-09-16 浏览次数:  182 下载次数:  0
问题描述

配置域间策略协议放行不生效,只有配置了firewall packet-filter default permit all 可以连通。

处理过程

1、查询配置正常,配置策略全放行。

policy interzone trust untrust inbound

policy 5

action permit

2、配置firewall packet-filter default permit all 后配置访问正常,但配置详细deny 不生效;

3、策略修改后有一定的生效时间,配置后几分钟测试,无法解决。

4、配置debug查询:

步骤一:

acl 3333

    rule 5 pemit icmp //

帮助看下后面命令,尽量细化

步骤二:

//确保此时没有其它icmp杂包,不然20个不够

t d

t m

debugging dataplane trace acl 3333 number 20

步骤三:

开始

ping测试

步骤四:

反馈信息

undo debugging dataplane trace

u t d

u t m

核实到包过滤原因导致阻止

# <PACKET-TRACER:1/3/9:638128895> ICMP: 10.180.255.1:3872 -> 10.180.244.6:2048 pkt-id:2054
 
DROP-PACKET:Default packet filter DENY

5、并通过:display ip route  IP display fib IP 的信息采集查看路由后出接口到底是哪个,属于什么域间?

核实域间关系是否正常。

6、配置acl加速[USG9000] acl accelerate enable  命令后问题解决。


根因

防火墙修改域间策略配置后,内部需要一个acl加速处理过程,然后生成的加速结构才是真正报文转发时匹配策略用。

解决方案

配置acl加速[USG9000acl accelerate enable  命令后问题解决。

END