ACG1000的GE4/0和GE5/0分别与出口防火墙和核心相连,透明部署,业务侧无感知。
防火墙与核心交换机在同一网段,二者可以相互ping通。
但是ACG和防火墙或者核心无法实现互通。
首先,查看三者的ARP信息,发现ACG可以学到FW和SW的arp信息。
但是防火墙以及核心上均看不到ACG的arp信息,所以导致无法ping通。
在防火墙上查看,发现启了三层vlan接口,但是同网段是走二层的。
查看防火墙接口信息,发现为trunk接口:
# interface GigabitEthernet1/0/3
port link-mode bridge
port link-type trunk
port trunk permit vlan all
combo enable copper //PVID为1
#
同样,核心所在的接口也是trunk类型。
原因分析:Trunk接口发出的报文带有vlan-tag,ACG的桥接口不会解析带有tag的报文,只支持转发、审计及控制等。
在ACG上启用子接口,来终结vlan。
然后把子接口加入到同一个桥口。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作