问题描述:
s5110下新建vlan98接口并配置195.1.2.254作为此vlan网关。原有聚合组状态为放通vlan1000,并加入成员,此时vlan1000下主机访问正常,先在聚合组中加入配置放通vlan98,vlan98下主机ping195.1.2.254通。但ping局域网内其他地址不通。此时做了抓包。输入如下配置
acl 3333加入两条规则分别是允许源地址和目的地址为195.1.2.12
debuging ip packet acl 3333
t d
t m
输入以上命令后在195.1.2.12主机上ping100.64.1.1(上连F1030防火墙地址)但抓包没反应。在交换机上输入ping -a 195.1.2.12 100.64.1.1此时有结果如下。为什么在主机上ping没有显示呢?
现有网络结构是s5110上联F1030防火墙。两台设备使用vlan1000相连f1030上vlan1000接口地址是100.64.1.1/24,s5110的vlan1000地址是100.64.1.253/24,在s5110上配置默认路由指向100.64.1.1,F1030上配置策略路由,且S5110上的ip地址范围下一跳为100.64.1.253.现这种结构的下两台设备的vlan1000都能正常访问外网及内部服务器。
在F1030上配置把新加的195.1.2.0网段添加到dmz域(vlan1000也在此域中)策略路由中添加此地址段,域间策略保持不变。
此时在s5110上输入ping -a 195.1.2.254 100.64.1.1在防火墙上查看会话为以下状态
后在s5110下195.1.2.12主机ping 100.64.1.1却实现两种结果。第一次时能正确的出现上图那样的会话结果。但发出安全域与上图不同为untrust。这点不明白为啥。后来因编辑时间过长提交时重新登录导致写的内容丢失再次编辑后做到这一步时发现会话里什么都没有了。更不明白是什么原因
此次多做一个测试就是在局域网内用两台主机通过浏览器访问195.1.2.12:80,转发情况都是对的。从f1030的vlan1000转发出去
发现主机对外访问时防火墙发送的选路也是正常的
可是都是正常的为什么就是访问不到呢?还应该查哪里呢?烦请工程师和各位高手指点。谢谢。
组网及组网描述:
- 2020-11-11提问
- 举报
-
(0)
最佳答案
您好,请知:
关于PING不通防火墙上的地址,以下是排查要点,请参考:
1、需确保与防火墙的互联配置、路由配置已完成。
2、防火墙上涉及到的端口需加入安全域并放通安全策略或域间策略,尤其是到LOCAL域的策略,LOCAL域分别作为源和目的进行放通。
- 2020-11-11回答
- 评论(2)
- 举报
-
(0)
防火墙和s5110之间的连接都没问题。除了vlan1000以外还有一个网段网关在5110上都能ping通,所以互联的链路和路由设置应该没问题。 2.这个vlan98是在s5110上建立的。在防火墙上没有这个vlan接口没法放进安全域,但我把vlan98的网段放在地址组里,在地址组上选择属于dmz安全域。这种方式可以吧。 3.现在放通了dmz、trust、untrust、local到local的访问。也放通了local到dmz、local、trust、untrust、any的策略 但我发现在交换机上做带源地址的ping时防火墙能接收到这条会话。但用主机ping时却收不到。因为主机是虚机。是连在vm环境下的分布式交换机上。分布式交换机通过聚合口连在s5110上。在交换机上能看到这台主机的arp信息。如何能查看到这台虚机是否发出数据包呢?
感谢指导。问题找到了。谢谢
问题得到解决。解决的经验是:
1.主机为虚拟机连接到虚拟分布式交换机的情况,一定要确认分布式交换机的负载均衡算法一定要与交换机匹配。虚机适时要重启,以确保发出正确的包。
2.没有回包的确要检查安全域等设置。
3,最终问题是出现在路由上。路由的回包没走策略路由导致主机收不到。主机发起ping操作时又主机所在网段网关转发给所在设备由默认路由转发到防火墙。防火墙根据域间策略放通后再根据策略路由经过匹配到的接口转发出去了。回包时由这个接口收到后问题就出现在这里,收到回包后我的理解是再次查找策略路由,由策略路由选中的接口转发,但事实并非如此,收到回包时直接查询静态路由中有没有匹配项,如果没有就由默认路由通路转发出去,经过抓包查看到prompt: Sending IP packet received from interface GigabitEthernet1/0/10 at interface GigabitEthernet1/0/23.由10号接口接收的数据经23口发出去了。此时10号接口接收的是ping的回包,如果正常查询策略路由是无论如何都会查到回包目的地址该由哪个口转发,但事实是经23口转发了,这个23口就是默认路由指向的接口。想到此在静态路由中加入新加195网段要转发至哪个接口的下一跳,添加后都通了。
感谢参与回答的工程师的指点。谢谢。
- 2020-11-12回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
s5110上建立的vlan98在F1030上没有建立vlan这时候需要建立并加入安全域吗?现在只是建立了地址组并把这个组放在dmz域了。这个dmz域成员包括vlan1000接口和实际的物理接口和物理接口上的聚合组接口。刚才看了dmz、trust、untrust、local域对local域都已经放通了。一会做下你建议的那几个调试命令看看是否能发现什么。谢谢
试一下看看 ,一般ping不通基本都是配置问题,设备出问题的概率极低。
Sending, interface = GigabitEthernet1/0/23 version = 4, headlen = 20, tos = 0 pktlen = 383, pktid = 32320, offset = 0, ttl = 58, protocol = 17 checksum = 25261, s = 202.113.15.2, d = 195.1.2.12 channelID = 0, vpn-InstanceIn = 0, vpn-InstanceOut = 0. prompt: Sending IP packet received from interface GigabitEthernet1/0/10 at interface GigabitEthernet1/0/23. Payload: UDP source port = 53, destination port = 53174 checksum = 0x592c, length = 363. 看到了这样一条信息就是prompt:那一条,10和23都是本地的接口是不是这里形成环路了?现在是局域网内ping主机能通。但主机ping别的还是不同。
防火墙如果来回接口不一样的话会被丢弃的。建议保证流量来回路径保持一致。若实在不行可以开松散模式规避(不建议):session state-machine mode loose
感谢指导,最后查到问题所在了。没使用您不建议的那个配置。谢谢