交换机---SecPath F5000---交换机
跨防火墙F5000 ping同网段,未调用ACL
X.X.254.49 ping X.X.128.1 通
X.X.254.49 ping X.X.128.2 不通,抓包只有request没有reply
同一个网段而且没有ACL;BAG1和BAG2的配置也是一样的。
ping测试的情况按理说应该是一致的,但是抓包显示通过BAG1能收到ICMP回包而通过BAG2却无法收到
端口配置、VLAN配置、BAG口配置都是一样的
reply包流量方向是BAG2-BAG1-X.X.254.49
(0)
最佳答案
在交换机上ping地址
debugging security-policy packet,确认是否存在丢包。
*Jul 21 10:28:08:800 2017 F1000-AK135-IRF FILTER/7/PACKET: -COntext=1; The packe
t is permitted. Src-ZOne=Local, Dst-ZOne=Management;If-In=InLoopBack0(132), If-O
ut=Reth11(134); Packet Info:Src-IP=184.5.0.104, Dst-IP=184.7.0.100, VPN-Instance
=,Src-Port=8, Dst-Port=0, Protocol=ICMP(1), Application=ICMP(22742), ACL=none, R
ule-ID=none.
如果存在The packet is denied字段,说明存在由于安全策略导致的丢包。
(2) 打开debugging ip packet调试命令,确认是否有丢包。
该命令用来打开ip报文转发调试开关。该报文的调试信息各字段解释如下
IP层将报文送到上层 |
|
接收/发送报文的接口 |
|
IP协议版本号 |
|
Sending the packet from local at interface-type interface-number |
|
可以通过该信息来分析报文是否丢弃。
(3) 打开调试命令debugging ip error,debug ip info acl查看丢包的原因。
该命令用来打开IP转发错误调试信息开关。调试信息字段描述如下:
通过debugging信息来判断丢包的原因。
故障诊断命令命令 |
说明 |
display arp |
显示ARP表项。检查设备ARP学习的接口是否正确 |
display current-configuration | include lsr-id |
显示当前的MPLS LSR ID |
display fib |
显示FIB信息。检查设备到某一目的IP网段的FIB表项是否存在 |
display interface |
显示指定接口的相关信息 |
display ip interface brief |
显示三层接口的IP基本配置信息 |
display ip routing-table |
显示路由表中当前激活路由的摘要信息。检查设备到某一目的IP网段的路由是否存在 |
display session |
显示会话信息 |
display this |
显示当前视图下生效的配置 |
interface |
进入接口视图 |
dis nat outbound |
查看nat outbound配置信息 |
Release MBUF! Phase Num is num, Service ID is id, Bitmap is %#lx! |
|
通过debugging信息来判断丢包的原因。
故障诊断命令命令 |
说明 |
display arp |
显示ARP表项。检查设备ARP学习的接口是否正确 |
display current-configuration | include lsr-id |
显示当前的MPLS LSR ID |
display fib |
显示FIB信息。检查设备到某一目的IP网段的FIB表项是否存在 |
display interface |
显示指定接口的相关信息 |
display ip interface brief |
显示三层接口的IP基本配置信息 |
display ip routing-table |
显示路由表中当前激活路由的摘要信息。检查设备到某一目的IP网段的路由是否存在 |
display session |
显示会话信息 |
display this |
显示当前视图下生效的配置 |
interface |
进入接口视图 |
dis nat outbound |
查看nat outbound配置信息 |
(0)
暂无评论
问题解决了,配置防火墙会话同步功能之后就好了。
session synchronization enable 命令用来开启会话业务热备份功能
(0)
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论