USG6530在透明模式下无法透传EIGRP报文

发布时间:  2016-02-22 浏览次数:  185 下载次数:  0
问题描述

 友商设备启用EIGRP路由协议,华为设备USG6530启用二层透明模式,部署在友商设备之间,部署前,客户网络通讯正常,部署USG6530后,无法ping通对端节点,无法透过USG6530正常通讯。

处理过程
1.使用两台pc机接在防火墙端口上,测试透明模式功能,结果通讯正常。
2.接入原来网络,从远端ping测,使用USG6530抓包,分析相关报文。
根因

USG防火墙透明接入时,默认情况EIGRP报文受安全策略控制,EIGRP报文会被防火墙阻断,交换机和路由器的EIGRP邻居就是down的状态,本端设备无法正常学习到对端的路由信息。

解决方案

在USG6530上配置相关的策略,放行Eigrp报文,确保网络中两台设备之间的Eigrp邻居关系处在正常状态,配置脚本可参加下面示例。

ip service-set EIGRP type object

service 0 protocol 88

 

rule name 2WAY_EIGRP

source-zone trust

source-zone untrust

destination-zone trust 

destination-zone untrust

service EIGRP

action permit

建议与总结

在跨厂商进行设备对接情景下,不仅要分析通用协议相关报文,还要分析厂商使用的私有协议报文。

END