交换机无法ping通直连的USG6630地址

发布时间:  2016-04-08 浏览次数:  348 下载次数:  0
问题描述

组网拓扑:


旁挂在S9700的两台USG6630防火墙组成双机热备

关键配置:

FW:

interface Vlanif5
ip address 192.168.0.68 255.255.255.248
vrrp vrid 2 virtual-ip 192.168.0.70 active
service-manage ping permit
service-manage telnet permit

security-policy
default action permit

interface Eth-Trunk1
portswitch
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 5 8

firewall zone untrust
set priority 5
add interface Eth-Trunk1

S97

interface Vlanif5
ip binding vpn-instance vpn-intranet
ip address 192.168.0.65 255.255.255.248

interface Eth-Trunk1
description to FW01
port link-type trunk
undo port trunk allow-pass vlan 1
port trunk allow-pass vlan 5 8

从S97带vpn实例ping防火墙VLANIF5 ping 不通

 

 

 

处理过程

1、首先查看S97 和FW的ARP信息都可以查到各自的ARP

2、尝试在交换机上做流统,发现报文发送到防火墙了

3、最后再FW上做流统,查看到丢包原因

HRP_A[MPN-USG6630-01-diagnose]display firewall statistic acl
16:11:21  2016/04/07

Current Show sessions count: 3
  
Protocol(ICMP) SourceIp(192.168.0.65) DestinationIp(192.168.0.68)  
SourcePort(44009) DestinationPort(2048) VpnIndex(public)  
                 RcvnFrag    RcvFrag     Forward     DisnFrag    DisFrag  
Obverse(pkts) : 5           0           0           5           0            
Reverse(pkts) : 0           0           0           0           0         
  
Discard detail information:
  INVALID_ZONE                  :     5

根因
丢包原因是INVALID_ZONE 查看接口是否加入区域 Eth-trunk口已经加入了untrust区域,尝试把Eth-trunk的物理口加入untrust区域提示失败无法加入成员口到这个区域,最后尝试把VLANIF接口加入区域,可以ping通。 根因就是逻辑vlanif接口也需要加入到防火墙的一个区域,不然报文会被丢弃
解决方案
将VLANIF逻辑接口加入一个区域
建议与总结
不只是物理接口需要加入防火墙的区域,逻辑接口也需要

END