问题描述:
H3C防火墙为桥接部署,并配置 SVI 地址进行管理,上联接口设备针对下联接口设各进行 PING 检测,发现数据包有去无回,后在 H3C SecPathF100-C-A6 设备上抓包发现,该ping 包为正常,目的设备有进行回应,且防火墙也收到了回包,但防火墙没有通过上联接口进一步转发,而是莫名的将该回复包丢弃。可确认路由没有任何问题,反向访问流量正常发送。
- 2024-10-08提问
- 举报
-
(0)
最佳答案
1、看下交换机有没有口阻塞
2、看下vrrp主备是否正常
- 2024-10-08回答
- 评论(1)
- 举报
-
(0)
没有阻塞口,防火墙已经收到的数据包,是在防火墙本身丢的包。 VRRP的主备是没有问题的
1、PC ping防火墙172.16.1.253检查是否丢包
2、有条件的话:两个核心交换机到F100-C-A6中间再加一个零配置的交换机(通过交换机去透传两个核心的VRRP报文)试试,看看还丢不丢包,判断是不是到两个核心的防火墙自身二层接口透传VRRP报文有问题
3、确保F100上面的全通策略优先级最高
- 2024-10-08回答
- 评论(4)
- 举报
-
(0)
并且,核心交换机上存在多个SVI地址, 并且这些SVI地址都有发布到IPsec中, PC1去ping其他的SVI地址是可以通的。
1、 ping 防火墙本身172.16.1.253是正常的,没有任何问题 2、主要不是VRRP的事情,因为ping的是交换机真实SVI地址,VRRP主要是描述一下当前架构,核心交换机1是VRRP的master,所以VRRP的VIP也是在核心交换机1上面,因此也跟着不同了。 3、F100上只有一条permit any any 没有多余的策略了,同时路由只有静态路由,存在去往192.168.1.0/24网段的明细路由 4、使用核心交换机1去ping 192.168.1.0/24网段的IP是可以正常通的
并且,核心交换机上存在多个SVI地址, 并且这些SVI地址都有发布到IPsec中, PC1去ping其他的SVI地址是可以通的。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
没有阻塞口,防火墙已经收到的数据包,是在防火墙本身丢的包。 VRRP的主备是没有问题的