ACG1000透明部署桥接口地址无法ping通两端设备

ACG1000的GE4/0和GE5/0分别与出口防火墙和核心相连，透明部署，业务侧无感知。

防火墙与核心交换机在同一网段，二者可以相互ping通。

但是ACG和防火墙或者核心无法实现互通。

首先，查看三者的ARP信息，发现ACG可以学到FW和SW的arp信息。

但是防火墙以及核心上均看不到ACG的arp信息，所以导致无法ping通。

在防火墙上查看，发现启了三层vlan接口，但是同网段是走二层的。

查看防火墙接口信息，发现为trunk接口：

# interface GigabitEthernet1/0/3

 port link-mode bridge

 port link-type trunk

 port trunk permit vlan all

 combo enable copper        //PVID为1

#

同样，核心所在的接口也是trunk类型。

原因分析：Trunk接口发出的报文带有vlan-tag，ACG的桥接口不会解析带有tag的报文，只支持转发、审计及控制等。

在ACG上启用子接口，来终结vlan。

然后把子接口加入到同一个桥口。