华三防火墙二层对接思科交换机

检查下安全策略情况

安全策略放行一下local到交换机。 

网关接口IP地址是否方添加对应安全区域了 

1. 华三防火墙的安全策略未放行 Local 域（最常见原因）

• 排查方向：检查防火墙的安全策略，确认是否配置了 Local -> 业务安全域 以及 业务安全域 -> Local 的双向放行规则。
• 注意：很多时候管理员只配置了业务域到 Untrust（外网）的策略，而忽略了防火墙自身（Local）去 Ping 内部业务地址的策略。

2. 思科交换机开启了 DAI（动态ARP检测）或 Port-Security

• 排查方向：
  • DAI (Dynamic ARP Inspection)：检查思科交换机连接防火墙的 Trunk 接口下，是否配置了 ip arp inspection trust。如果没加 trust，交换机会认为防火墙发来的 ARP 报文非法并直接丢弃。
  • Port-Security：检查该接口是否开启了端口安全限制，导致防火墙的 MAC 地址或新的流量被阻断。

3. 终端或交换机的回程路由/网关问题

• 排查方向：确认交换机上终端的默认网关是否准确指向了华三防火墙上的对应 VLAN 接口 IP。如果网关指向错误，终端收到 ICMP 请求后，回包找不到回去的路，也会导致 Ping 不通。

4. 跨厂商 Trunk 封装协议不匹配

• 排查方向：思科交换机默认的 Trunk 封装通常是 dot1q，但部分老型号或特定配置下可能是 isl。确保思科交换机与华三防火墙对接的接口，Trunk 封装协议均为标准的 802.1Q (dot1q)，且允许通过的 VLAN 列表（switchport trunk allowed vlan）包含了所有业务 VLAN。

核心问题与快速排查（极简总结）

1. 最可能的核心原因

• VLAN/Trunk 配置不匹配（思科与华三的 native / 允许 VLAN、PVID 不一致）
• 防火墙二层转发 / ARP 代理未开启，或VLAN 接口未 up
• 终端侧网关配置错误，或存在ARP 欺骗 / 防火墙拦截

2. 快速排查步骤（按优先级）

1. 核对 Trunk 配置一致性
   表格

   功能	思科交换机	华三防火墙	关键检查点
   端口模式	switchport mode trunk	port link-type trunk	必须同为 Trunk 模式
   允许 VLAN	allowed vlan 16-23 500	port trunk permit vlan 16-23 500	业务 VLAN 必须完全一致
   原生 VLAN	native vlan 1000	port trunk pvid vlan 1000	必须相同，否则 VLAN 标签错乱
2. 检查华三防火墙侧配置
   • 确认业务 VLAN 接口已创建并配置 IP：display ip interface brief
   • 确认接口物理 / 协议状态为 Up：display interface brief
   • 开启二层转发相关功能（如arp enable、vlan-interface下的ip enable）
3. 验证 ARP 与连通性
   • 防火墙侧：display arp all，确认终端 ARP 已学习且 MAC 正确
   • 终端侧：arp -a，确认网关 ARP 条目正常，无静态绑定错误
   • 用终端 ping 网关，反向测试是否能通，判断是单向还是双向不通

3. 一句话结论