NIP6555E（V600R007C00）单机直路部署不同VLAN业务中断

1.NIP6555E版本：V600R007C00SPC200

2.组网概述:客户端网关部署在核心交换机，上网行为管理到出口防火墙使用VLAN互联，NIP和WAF二层透明接入（单机直路部署）透传VLAN，接收业务流量用于入侵防护干预转发并上报日志。

3.问题描述：1）客户端可以访问防火墙内网接口地址，客户端访问公网地址不通；2）跳过网御星云WAF，NIP6555E上连出口防火墙问题依然存在，通过五元组抓包能抓到流量，会话表可见；3）跳过NIP6555E，上网行为管理上连网御星云WAF无问题

4.组网拓扑：

无告警，可看到流量日志和会话表。

1.    使用五元组抓包是能看到流量的，流量已经到达了NIP6555E入侵防御上，查看相关接口也已经加入了安全域并且相关策略已放通

2.    检查交换机与NIP6555E接口对配置，接口对，即从一个接口进入的流量固定从另一个接口转发出去，不需要查询路由表或MAC地址表，同时也放通了相应的VLAN

3.    查看防火墙会话表和抓包详细信息，业务从内网出去带VLAN11标签通过NIP6555E，但是从外网回来的报文带VLAN19标签，NIP6555E默认开启VLAN关联功能，检验来回VLAN是否一致。

NIP入侵防御缺省情况下VLAN无关联处于关闭状态，隔离不同VLAN的流量

NIP6555E默认VLAN无关联功能关闭（隔离不同VLAN流量），检验来回VLAN是否一致，假如不一致，报文被丢弃。因此导致业务不通。开启NIP6555E的VLAN无关联功能后(关联检测不同VLAN流量)，NIP6555E不做VLAN一致性检验，业务恢复。

我们在NIP部署时要确认好接口的接口模式，接口的安全区域，来回VLAN是否一致，来回路径是否一致。