无
某局点防火墙直连ping不通对方的路由器设备,同时查看会话也是没有相应的会话生成。接下来针对此问题进行分析。
1、检查设备的配置
通过搜集现场设备的配置信息如下:
#
interface GigabitEthernet1/0/8
port link-mode route
ip binding vpn-instance test //接口绑定了vpn实例
ip address 12.12.12.12 255.255.255.0
#
security-zone name Trust
import interface GigabitEthernet1/0/8
security-policy ip
rule 3 name test
action pass
source-zone local
destination-zone trust
2、原因分析
经过分析,如果防火墙的接口绑定了vpn实例。那么安全策略在处理报文的时候,安全策略规则里面需要配置相关的vrf实例参数,对指定的vpn实例报文有效。安全策略修改配置之后如下:
security-policy ip
rule 3 name test
action pass
vrf test //需要在安全策略里面也指定策略生效的vpn实例
source-zone local
destination-zone trust
通过修改安全策略配置对指定的vpn实例报文生效,防火墙报文转发问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作