防火墙透明串联在服务器汇聚交换机与核心交换机之间策略全通无任何限制导致业务不通

最可能的原因是防火墙的Web管理服务占用了TCP 80端口。在透明模式下，防火墙自己的IP地址可能仍在网络中生效，导致发往服务器80端口的请求，在到达防火墙时被其自身的Web服务截获，从而无法转发给后端服务器。

解决方法：

1. 修改防火墙的Web管理端口，例如改为9090。

   # 以H3C设备为例

   [Sysname] ip http port 9090

2. 重启Web服务或保存配置后，再次尝试访问服务器的80端口。

一、最常见、最典型原因（优先级从高到低）

1. 二层 MAC 地址学习 / 转发被阻断（最常见）

• 防火墙未学习到服务器 / 网关 MAC
• 或防火墙接口未加入正确 VLAN
• 或接口是 access 而不是 trunk

• 直连交换机正常
• 串墙后 80 不通、ping 可能也不通
• 抓包能看到请求进墙，但不出墙 / 回包丢了

• 确认墙两侧接口都是 Trunk，允许业务 VLAN 通过
• 防火墙透明模式下，接口要加入对应 VLAN（很多设备默认只放 VLAN1）
• 查看防火墙 MAC 地址表，是否学到服务器 MAC

2. TCP 代理 / 会话异常 / 半开连接拦截

• 开启 TCP 代理、SYN 代理、TCP 状态检查
• 强制三次握手、超时清理、异常报文丢弃

• 简单 ping 可能通
• HTTP 80 建连失败 / 建连后断连
• 跳过墙完全正常

• 关闭：TCP 代理、SYN Flood 防护、会话严格检查
• 或在全通策略里关闭 应用层检测、IPS、文件过滤（你提到了 IPS，极大概率是它）

3. IPS / 入侵防御 / 文件过滤误拦截（你明确提到了）

• 串墙 80 不通
• 关 IPS / 文件过滤 立刻恢复
• 日志里出现：HTTP 协议异常、恶意文件、攻击特征、超长报文等

• 临时 全局关闭 IPS、AV、文件过滤、协议异常检测
• 再测试 80 业务是否恢复
• 恢复后再逐步开策略，定位具体特征码

4. MTU 不一致 / TCP MSS 问题

• 增加报文长度（加标签、加校验）
• 或接口 MTU 比交换机小

• TCP 建连正常，一传输大包就断
• HTTP 打不开页面 / 超时
• 直连正常

• 统一两侧接口 MTU 为 1500
• 开启 TCP MSS clamping（MSS 1420 左右）

5. STP 环路防护 / 端口阻塞

• 把墙一侧端口置为 blocking
• 或墙自身开启 STP 导致阻塞

• 时通时不通
• 刚插上正常，过一会儿断

• 墙接口关闭 STP 或设为 edge port
• 交换机对接墙的口设为 PortFast / 边缘端口

6. 单向流量、来回路径不一致（“来回走不同路”）

• 核心 ↔ 汇聚多链路
• 路由不对称
• 三层网关在核心，服务器网关不在墙

• 请求能到服务器
• 服务器回包走捷径不回墙
• 墙丢包

• 确保来回路径都经过防火墙
• 或临时关闭会话状态检测（严格会话）

二、快速定位步骤（你照着做就行）

1. 先完全关闭 IPS、文件过滤、防攻击、应用识别

   再测试 80，能通则是这些功能拦的。
2. 检查接口模式：
   • 交换机 ↔ 墙：必须都是 Trunk
   • 墙接口放通所有业务 VLAN
3. 关闭 TCP 代理、SYN 代理、严格会话检查。
4. 查看防火墙会话表、丢包日志、IPS 日志：

   看是否有 deny、reset、attack 记录。
5. 两侧抓包：
   • 进墙能抓到请求
   • 出墙没有回应 → 墙内部丢弃
   • 基本就是上述某一种。