USG9520 配置了vlanif 1接口,直连无法ping通

发布时间:  2016-10-29 浏览次数:  649 下载次数:  0
问题描述
uSUG9520 配置了vlanif 1接口,无法ping通。

防火墙的版本如下:
VRP (R) Software, Version 5.160 (USG9520 V500R001C30SPC100)

防火墙的配置截取如下:

interface Vlanif1
 ip address 172.16.1.27 255.255.255.0
 alias vlan1
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage telnet permit

firewall zone trust
 set priority 85
 add interface Vlanif1

security-policy
 default action permit

interface GigabitEthernet1/0/0
 portswitch
 description TO-CE12800-XG7/0/2
 undo shutdown                           
 port link-type trunk
 port trunk allow-pass vlan 1 to 4094
处理过程
从防火墙的配置中,可以看到接口访问管理开启了ping,也将vlanif 1 接口放到了trust区域,默认放行了所有的区域的安全策略。

防火墙ping对端交换机地址,回包超时:

ping 172.16.1.28
  PING 172.16.1.28: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out
    Request time out

  --- 172.16.1.28 ping statistics ---
    5 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

在防火墙上查看arp表项如下,可以看到没有对端设备地址的动态arp表项。

display arp interface vlan 1
2016-10-12 13:37:41.100
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE
                                          VLAN/CEVLAN PVC                     
------------------------------------------------------------------------------
172.16.1.27     2c9d-1e4a-5302            I -         Vlanif1
------------------------------------------------------------------------------
Total:1         Dynamic:0       Static:0     Interface:1    Remote:0 

但是在对端交换机侧可以学到防火墙地址的arp:

<HUAWEI>display arp interface vlan 1
ARP Entry Types: D - Dynamic, S - Static, I - Interface
EXP: Expire-time

IP ADDRESS      MAC ADDRESS    EXP(M) TYPE/VLAN INTERFACE       VPN-INSTANCE
------------------------------------------------------------------------------
172.16.1.28     2c9d-1e4a-1f03        I         Vlanif1         
172.16.1.1      0023-eb07-6900   20   D/1       Eth-Trunk3      
172.16.1.27     2c9d-1e4a-5302   20   D/1       10GE7/0/2       
------------------------------------------------------------------------------
Total:3         Dynamic:2       Static:0    Interface:1

但是对端交换机ping不通防火墙:

<HUAWEI>ping 172.16.1.27
  PING 172.16.1.27: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out

  --- 172.16.1.27 ping statistics ---
    4 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

另外交换机侧与防火墙对接接口的配置如下:

  port link-type trunk
  port trunk allow-pass vlan 2 to 4094

以上信息说明,交换机侧的配置没有问题,vlan透传也是正常的,arp表项也学习正常。防火墙侧的配置看起来也没有什么问题,但是为什么会学不到arp表项呢?

查看防火墙对接交换机接口配置。

 port link-type trunk
 port trunk allow-pass vlan 1 to 4094

怀疑是没有pvid vlan导致,造成对端ping过来的报文没有打上vlan 1 的标签,所以不通。但是该型号防火墙和版本不支持port trunk pvid vlan 1 ,也不支持在trunk接口模式下配置port default vlan  1。

请用户将接口改成 hybrid 模式,hybrid模式支持配置port default vlan 以及 port trunk allow-vlan。

port link-type hybrid
port default vlan 1
port trunk allow-vlan 1 to 4094

更改成以上配置后交换机和防火墙可以互ping,且也能学到arp表项了。
根因

防火墙usg9520 v5版本,接口作为二层接口,且接口类型为trunk的时候,没有默认vlan(pvid vlan),造成对端交换机ping过来的包无法打上vlan 1的标签(对端的pvid vlan 为1,发出来时会剥离标签),所以互ping不通。

解决方案
有两个方案:

1、交换机侧对接接口的pvid vlan改成别的vlan(建议是不用的vlan),使发出的报文带着vlan标签,到防火墙侧直接允许通过

2、防火墙侧改成hybrid接口类型,配置默认vlan(hybrid类型配置默认vlan的命令为port default vlan ):

 port link-type hybrid
 port default vlan 1
 port trunk allow-vlan 1 to 4094
建议与总结

一般情况下,我们所遇见的设备接口做二层的时候,接口上透传及默认vlan是都是1,所以在常规思维下,很少考虑到接口没有默认vlan的情况,这一点是需要注意的。

附:

各类型接口对数据帧的处理方式

接口类型

对接收不带Tag的报文处理

对接收带Tag的报文处理

发送帧处理过程

Access接口

接收该报文,并打上缺省的VLAN ID。

  • 当VLAN ID与缺省VLAN ID相同时,接收该报文。
  • 当VLAN ID与缺省VLAN ID不同时,丢弃该报文。

先剥离帧的PVID Tag,然后再发送。

Trunk接口

  • 打上缺省的VLAN ID,当缺省VLAN ID在允许通过的VLAN ID列表里时,接收该报文。

  • 打上缺省的VLAN ID,当缺省VLAN ID不在允许通过的VLAN ID列表里时,丢弃该报文。
  • 当VLAN ID在接口允许通过的VLAN ID列表里时,接收该报文。
  • 当VLAN ID不在接口允许通过的VLAN ID列表里时,丢弃该报文。
  • 当VLAN ID与缺省VLAN ID相同,且是该接口允许通过的VLAN ID时,去掉Tag,发送该报文。
  • 当VLAN ID与缺省VLAN ID不同,且是该接口允许通过的VLAN ID时,保持原有Tag,发送该报文。

Hybrid接口

  • 打上缺省的VLAN ID,当缺省VLAN ID在允许通过的VLAN ID列表里时,接收该报文。

  • 打上缺省的VLAN ID,当缺省VLAN ID不在允许通过的VLAN ID列表里时,丢弃该报文。
  • 当VLAN ID在接口允许通过的VLAN ID列表里时,接收该报文。
  • 当VLAN ID不在接口允许通过的VLAN ID列表里时,丢弃该报文。

当VLAN ID是该接口允许通过的VLAN ID时,发送该报文。可以通过命令设置发送时是否携带Tag。

 

END