• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

S5110下vlan不能ping通F1030的地址

  • 0关注
  • 1收藏,1512浏览
heaven 零段
粉丝:0人 关注:0人

问题描述:

s5110下新建vlan98接口并配置195.1.2.254作为此vlan网关。原有聚合组状态为放通vlan1000,并加入成员,此时vlan1000下主机访问正常,先在聚合组中加入配置放通vlan98,vlan98下主机ping195.1.2.254通。但ping局域网内其他地址不通。此时做了抓包。输入如下配置

acl 3333加入两条规则分别是允许源地址和目的地址为195.1.2.12

debuging ip packet acl 3333

t d

t m

输入以上命令后在195.1.2.12主机上ping100.64.1.1(上连F1030防火墙地址)但抓包没反应。在交换机上输入ping -a 195.1.2.12 100.64.1.1此时有结果如下。为什么在主机上ping没有显示呢?


  现有网络结构是s5110上联F1030防火墙。两台设备使用vlan1000相连f1030上vlan1000接口地址是100.64.1.1/24,s5110的vlan1000地址是100.64.1.253/24,在s5110上配置默认路由指向100.64.1.1,F1030上配置策略路由,且S5110上的ip地址范围下一跳为100.64.1.253.现这种结构的下两台设备的vlan1000都能正常访问外网及内部服务器。

在F1030上配置把新加的195.1.2.0网段添加到dmz域(vlan1000也在此域中)策略路由中添加此地址段,域间策略保持不变。

此时在s5110上输入ping -a 195.1.2.254 100.64.1.1在防火墙上查看会话为以下状态


后在s5110下195.1.2.12主机ping 100.64.1.1却实现两种结果。第一次时能正确的出现上图那样的会话结果。但发出安全域与上图不同为untrust。这点不明白为啥。后来因编辑时间过长提交时重新登录导致写的内容丢失再次编辑后做到这一步时发现会话里什么都没有了。更不明白是什么原因

此次多做一个测试就是在局域网内用两台主机通过浏览器访问195.1.2.12:80,转发情况都是对的。从f1030的vlan1000转发出去


发现主机对外访问时防火墙发送的选路也是正常的


可是都是正常的为什么就是访问不到呢?还应该查哪里呢?烦请工程师和各位高手指点。谢谢。


组网及组网描述:


最佳答案

已采纳
粉丝:43人 关注:0人

1、接口(vlan虚接口)加入安全域

2、安全策略放通接口所在安全域到Local域


上述操作还是不行,可以在防火墙上debug看一下,后面可以加ACL明细匹配

debugging security-policy

debugging aspf

debugging ip packet

感谢指导,最后查到问题所在了。没使用您不建议的那个配置。谢谢

heaven 发表时间:2020-11-12 更多>>

s5110上建立的vlan98在F1030上没有建立vlan这时候需要建立并加入安全域吗?现在只是建立了地址组并把这个组放在dmz域了。这个dmz域成员包括vlan1000接口和实际的物理接口和物理接口上的聚合组接口。刚才看了dmz、trust、untrust、local域对local域都已经放通了。一会做下你建议的那几个调试命令看看是否能发现什么。谢谢

heaven 发表时间:2020-11-11

试一下看看 ,一般ping不通基本都是配置问题,设备出问题的概率极低。

骑着乌龟的蜗牛 发表时间:2020-11-11

Sending, interface = GigabitEthernet1/0/23 version = 4, headlen = 20, tos = 0 pktlen = 383, pktid = 32320, offset = 0, ttl = 58, protocol = 17 checksum = 25261, s = 202.113.15.2, d = 195.1.2.12 channelID = 0, vpn-InstanceIn = 0, vpn-InstanceOut = 0. prompt: Sending IP packet received from interface GigabitEthernet1/0/10 at interface GigabitEthernet1/0/23. Payload: UDP source port = 53, destination port = 53174 checksum = 0x592c, length = 363. 看到了这样一条信息就是prompt:那一条,10和23都是本地的接口是不是这里形成环路了?现在是局域网内ping主机能通。但主机ping别的还是不同。

heaven 发表时间:2020-11-11

防火墙如果来回接口不一样的话会被丢弃的。建议保证流量来回路径保持一致。若实在不行可以开松散模式规避(不建议):session state-machine mode loose

骑着乌龟的蜗牛 发表时间:2020-11-11

感谢指导,最后查到问题所在了。没使用您不建议的那个配置。谢谢

heaven 发表时间:2020-11-12
2 个回答
粉丝:133人 关注:6人

您好,请知:

关于PING不通防火墙上的地址,以下是排查要点,请参考:

1、需确保与防火墙的互联配置、路由配置已完成。

2、防火墙上涉及到的端口需加入安全域并放通安全策略或域间策略,尤其是到LOCAL域的策略,LOCAL域分别作为源和目的进行放通。


感谢指导。问题找到了。谢谢

heaven 发表时间:2020-11-12 更多>>

防火墙和s5110之间的连接都没问题。除了vlan1000以外还有一个网段网关在5110上都能ping通,所以互联的链路和路由设置应该没问题。 2.这个vlan98是在s5110上建立的。在防火墙上没有这个vlan接口没法放进安全域,但我把vlan98的网段放在地址组里,在地址组上选择属于dmz安全域。这种方式可以吧。 3.现在放通了dmz、trust、untrust、local到local的访问。也放通了local到dmz、local、trust、untrust、any的策略 但我发现在交换机上做带源地址的ping时防火墙能接收到这条会话。但用主机ping时却收不到。因为主机是虚机。是连在vm环境下的分布式交换机上。分布式交换机通过聚合口连在s5110上。在交换机上能看到这台主机的arp信息。如何能查看到这台虚机是否发出数据包呢?

heaven 发表时间:2020-11-11

感谢指导。问题找到了。谢谢

heaven 发表时间:2020-11-12
heaven 知了小白
粉丝:0人 关注:0人

问题得到解决。解决的经验是:

1.主机为虚拟机连接到虚拟分布式交换机的情况,一定要确认分布式交换机的负载均衡算法一定要与交换机匹配。虚机适时要重启,以确保发出正确的包。

2.没有回包的确要检查安全域等设置。

3,最终问题是出现在路由上。路由的回包没走策略路由导致主机收不到。主机发起ping操作时又主机所在网段网关转发给所在设备由默认路由转发到防火墙。防火墙根据域间策略放通后再根据策略路由经过匹配到的接口转发出去了。回包时由这个接口收到后问题就出现在这里,收到回包后我的理解是再次查找策略路由,由策略路由选中的接口转发,但事实并非如此,收到回包时直接查询静态路由中有没有匹配项,如果没有就由默认路由通路转发出去,经过抓包查看到prompt: Sending IP packet received from interface GigabitEthernet1/0/10 at interface GigabitEthernet1/0/23.由10号接口接收的数据经23口发出去了。此时10号接口接收的是ping的回包,如果正常查询策略路由是无论如何都会查到回包目的地址该由哪个口转发,但事实是经23口转发了,这个23口就是默认路由指向的接口。想到此在静态路由中加入新加195网段要转发至哪个接口的下一跳,添加后都通了。

感谢参与回答的工程师的指点。谢谢。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明