f1020防火墙，

1.1  Host与设备直连，无法登录设备

1. 故障描述

Host通过网线与设备业务接口相连，IP地址已配置为同一网段，在Host上无法Ping通设备或访问设备Web页面。

图1-1 组网图

2. 常见原因

本类故障的常见原因主要包括：

·              物理链路等故障，导致Host与Device之间不通。

·              Device连接Host的接口未配置安全域。

·              Device上未配置放行相应报文的安全策略。

3. 故障分析

本类故障的诊断流程如图1-2所示。

图1-2 Host与设备直连，无法访问设备故障诊断流程图

4. 处理步骤

(1)      执行display security-zone命令，查看连接Host的接口（本例为GigabitEthernet1/0/1）是否已加入安全域。

[Device] display security-zone

Name: Local

Members:

  None

Name: Trust

Members:

  None

Name: DMZ

Members:

  None

Name: Untrust

Members:

  None

Name: Management

Members:

  GigabitEthernet1/0/0

(2)      若接口未加入任何安全域，则配置接口加入安全域（本例为Trust安全域）。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

(3)      配置安全策略，允许Host访问设备。

[Device] security-policy ip

[Device-security-policy-ip] rule name localin

[Device-security-policy-ip-0-localin] source-zone trust

[Device-security-policy-ip-0-localin] destination-zone local

[Device-security-policy-ip-0-localin] source-ip-host 10.1.1.2

[Device-security-policy-ip-0-localin] destination-ip-host 10.1.1.1

[Device-security-policy-ip-0-localin] quit

(4)      如果故障仍然未能排除，请收集如下信息，并联系技术支持人员。

¡  上述步骤的执行结果。

¡  设备的配置文件。