CE12808插入防火墙安全插卡(V500R001)直连不通故障

发布时间:  2016-07-03 浏览次数:  145 下载次数:  1
问题描述
交换机创建三层SVI口连接防火墙的三层子接口无法互相PING通。
告警信息

处理过程
1,检查接口配置,IP地址配置无误,下面为防火墙接口配置。
interface Eth-Trunk2.1
vlan-type dot1q 1
ip address 192.168.1.2 255.255.255.248
vrrp vrid 1 virtual-ip 192.168.1.1 active
alias Eth-Trunk2.1
service-manage http permit
service-manage https permit             
service-manage ping permit
service-manage telnet permit
2,检查区域配置,安全策略全部开放,配置无误。
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface Eth-Trunk2.1
  安全策略:
security-policy
rule name deny_ports
  policy logging
  session logging
  destination-address address-set 服务器地址段
  service 禁止端口135/139/445
  action deny
rule name "permit any"
  policy logging
  session logging
  action permit
3,检查端口PING服务是否开启,确认无误。
4,检查交换机侧端口配置,IP地址无误,trunk链路已经做好配置。
interface Vlanif1
description to NGFW
ip address 192.168.1.4 255.255.255.248
interface Eth-Trunk1
description to FWA-ACTIVE
port link-type trunk
port trunk allow-pass vlan all
根因
由于客户网络环境较为特殊,使用VLAN1作为管理VLAN,而交换机的默认PVID为1,交换机在处理报文的时候,数据帧发出去会剥离vlan1的vlan标签,而在防火墙侧配置是三层子接口 所以防火墙这边只识别带有标签的vlan,所以不通。
解决方案
由于客户网络不能轻易修改管理vlan,只能修改端口PVID,让交换机发出数据帧的时候打上vlan1的标签即可。
防火墙配置不变。
交换机的配置修改为如下即可,修改PVID只要不为vlan1即可
interface Vlanif1
description to NGFW
ip address 192.168.1.4 255.255.255.248
interface Eth-Trunk1
description to FWA-ACTIVE
port link-type trunk
port trunk pvid vlan 4063
port trunk allow-pass vlan all
建议与总结
遇到此类问题,在没有想到这个问题的前提下可以通过查看防火墙会话表,debug,流量统计等方法来解决。

END