问题描述
组网拓扑如图所示,USG6000串接在AR1和SW1之间做二层透传,在不影响影响AR1和SLW1的配置情况下,USG6000应该如何配置
解决方案
1、点击网络==》接口,选中G1/0/0和G1/0/1将接口配置为trunk模式,如果USG透传多个vlan,在trunk vlan ID里面添加对应vlan,如果只透传一个vlan,添加vlan 1即可
2、选择网络==》安全区域==》选择安全区域,双机右侧未加入的安全区域的接口,将防火墙的G1/0/0和G1/0/1加入到安全区域,可以将两个接口加入到不同的安全区域
3、选择策略==》安全策略,策略里面有一条default安全策略,将该安全策略动作修改为“允许”即可
https://support.huawei.com/enterprise/en/knowledge/KB1000610545
问题描述
USG6330的G1/0/1和G1/0/5均配为Access vlan 9。
Router能ping通USG6330和核心SW,但核心SW只能ping通USG6330,不能ping通Router
告警信息
无
处理过程
a) 检查策略,全允许
firewall zone trust
set priority 85
add interface GigabitEthernet0/0/0
add interface GigabitEthernet1/0/5
add interface Vlanif9
#
firewall zone untrust
set priority 5
add interface GigabitEthernet1/0/1
#
security-policy
default action permit
b) 测试USG(1.252)到Router(1.253)和SW(1.254)的连通性,OK
c) SW ping router时检查会话表
无会话
d) 通过镜像, 只有ICMP请求USG已收到报文,但没有会话表。考虑是否会话表的目的IP有变化?
e) 检查详细配置,发现有Trust到Untrust的源NAT
nat-policy
rule name "nat _internet"
source-zone trust
destination-zone untrust
action nat easy-ip
二层透明模式不需要NAT。去掉后问题解决。
根因
配置问题二层透明模式不需要NAT
解决方案
取消Trust到Untrust的源NAT
建议与总结
在经过常规排查手段后,要仔细分析配置文件,寻找可能引发此问题的配置项。
https://support.huawei.com/enterprise/en/knowledge/EKB1100014640
支付宝微信扫一扫,打赏作者吧~本文链接:https://www.kinber.cn/post/4084.html 转载需授权!
推荐本站淘宝优惠价购买喜欢的宝贝:
您阅读本篇文章共花了: 
