终端PC无法PING通S7506E网关IPv6地址问题处理经验

S7506E设备为下联终端的IPv6网关，当终端上已存在IPv6 ND表项时，IPv6终端无法访问（及PING通）S7506E交换机IPv6地址。

通过在IPv6终端上抓包发现，当终端发出ICMPv6 NS报文后，终端网卡能够收到S7506E设备发出的ICMPv6 NA报文，但是后续终端没有发出ICMPv6单播请求报文，在CMD PING中显示为“一般故障。”无法通信。如下为分析过程：

以在MAC地址为FC-4D-D4-38-1A-FA的终端测试观察。

当该终端已经获取到IPv6地址后，终端访问网关S7506E的2405:6f00:212a:8000::1 IPv6地址不通，如图1所示：

                                    图1

在该终端无法PING通S7506E网关IPv6地址时，发现该终端已安装并启用赛门铁克安全软件，如图2、图3：

                                图2

                                    图3

故障时，抓包发现，终端的网卡能够正常的发送ICMPv6 NS报文，并且网卡已收到了S7506E回应的ICMPv6 NA报文（源IPv6地址=2405:6f00:212a:8000::1，目的IPv6地址=2405:6f00:212a:8000:688b:4788:1214:337e）。

但是，终端在收到ICMPv6 NA报文后，没有正常的发送ICMPv6请求报文（源IPv6地址=2405:6f00:212a:8000:688b:4788:1214:337e，目的IPv6地址=2405:6f00:212a:8000::1）如图4：（ICMPv6 NA报文作用类似于IPv4中的ARP报文，终端收到ICMPv6 NA报文后，便得知了IPv6地址对应的MAC地址）

                                    图4

既然网卡已收到ICMPv6 NA报文，但是CMD PING显示“一般故障。”且终端没有发送正常的ICMPv6请求，怀疑测试终端上运行的安全软件将其阻止。为验证怀疑点，将测试终端赛门铁克安全软件卸载，并根据赛门铁克软件要求重启测试终端。如图5：

                                图5

测试终端重启后，此时终端上已没有部署赛门铁克软件。在测试终端上PING S7506E上的IPv6地址2405:6f00:212a:8000::1测试，发现能够正常通信。如图6：

                                    图6

在能够正常PING通时，抓包观察。发现终端收到ICMPv6 NA报文后，能够正常发送ICMPv6请求报文，并正常接收ICMPv6回应报文。如图7：

                                    图7

根据上述分析测试，判定该故障与终端上部署的赛门铁克安全软件有关。该软件造成终端在接收到ICMPv6 NA报文后，无法发送ICMPv6单播请求报文，导致PING IPv6地址“一般故障”，无法通信。

对于终端无法访问网关地址的问题，可以采用案例中的方式，通过抓包分析报文交互过程，来确认，是否由于第三方软件导致报文丢弃。