USG6300 专线连NE设备,专线互联地址互相ping不通

发布时间:  2016-12-13 浏览次数:  324 下载次数:  0
问题描述
用户反馈防火墙USG6300和NE通过运营商专线直连后互ping不通。防火墙上与NE同网段互ping不通,用多台PC替换防火墙互联NE没问题。

 

处理过程

1、检查基本配置信息

防火墙端互联口接口加入untrust区域,默认安全策略已经放行,接口下开启service-manage ping permit

interface GigabitEthernet0/0/5
 alias datacenter2
 ip address 172.16.100.54 255.255.255.252
 service-manage http permit
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
 service-manage snmp permit
 service-manage telnet permit

2、防火墙侧做流统,没学到对端(NE:172.16.100.53)arp导致丢包

3、使用pc替换防火墙与对端互联,pc配置互联ip 172.16.100.54 ping对端正常,pc上也能学习到arp

3、进一步在防火墙上五元组抓包,查看结果对端已经回应了arp应答

 

防火墙上的debug信息也能看到相同的结果

*1.1184577454 liulonggou-USG6320 ARP/7/arp_send:Send an ARP Packet, operation : 1, sender_eth_addr : 34a2-a2b8-ae2e,sender_ip_addr : 172.16.100.54, target_eth_addr : 0000-0000-0000, target_ip_addr : 172.16.100.53
2016-09-24 19:49:32 liulonggou-USG6320 %%01SHELL/4/LOGINFAIL(l): access type:telnet User root login failed from 114.33.249.89(times=1).
*1.1184581464 liulonggou-USG6320 ARP/7/arp_send:Send an ARP Packet, operation : 1, sender_eth_addr : 34a2-a2b8-ae2e,sender_ip_addr : 172.16.100.54, target_eth_addr : 0000-0000-0000, target_ip_addr : 172.16.100.53
*1.1184585484 liulonggou-USG6320 ARP/7/arp_send:Send an ARP Packet, operation : 1, sender_eth_addr : 34a2-a2b8-ae2e,sender_ip_addr : 172.16.100.54, target_eth_addr : 0000-0000-0000, target_ip_addr : 172.16.100.53

4、进一步抓包查看,发现NE上应该配置了vlan,发过来的报文带vlan 102,需要用子接口和对端对接,修改之后可以ping通

 

使用端口镜像抓包也能看到同样的效果,问题解决!

 

根因
NE上配置了vlan,发过来的报文带vlan 102的tag
解决方案

需要用子接口和对端对接

建议与总结

现在很多pc的网卡都能接收带vlan tag的报文,发送的报文也能设置成带vlan tag的,所以简单的使用pc替换方法,不能证明对端发过来的报文就没带tag,最终得抓包看原始报文!

END