深信服自助服务平台

下一代防火墙AF

【AF】总部华为交换机与分支NGAF互联通信失败

搜本产品

【AF】总部华为交换机与分支NGAF互联通信失败

更新时间：2023-06-13 23:16:13

某客户处部署一台AF用于对服务器数据安全防护，防火墙路由模式部署。WAN口经PTN设备连接到总部的华为核心交换机，在通信正常情况下，两端直连地址无法正常通信，双方均抓到接口的ARP请求。

AF配置wan口IP地址10.209.212.29，对端华为核心设备配置IP地址为10.209.212.25。通信无法建立拓扑如下：

arp无法请求到总部MAC地址，手动添加无效，无法访问。

1.首先排查为物理线路检查，物理线路无误，总部分支均通过PTN设备；与物理链路无关

2.PTN为透明设备，不会携带任何信息，只进行转发；与PTN设备无关

3.检查光模块，与接口自适，接口数率等问题；经修改检测，均无异常，排除以上故障；

4.接口互相抓包，不断发ping包检测，检查到双方均有对方的ARP请求，出现ARP请求，通讯无法建立，找到问题因应：物理链路无误，接口协商无误，模块无误，PTN转发无误。

5.通过华为交换机抓包分析，从分支上来的数据包携带VLAN3256标签数据，如下：

问题还是出在核心交换机，在数据协商均无异常，能抓取到ARP数据包请求条件下，进一步对数据包分析，分支携带3256标签，修改交换机配置后通讯成功。在分支专线出口处不仅仅有PTN设备，在楼下还有一台交换设备，打上了3256的vlan标签。

1、修改华为核心交换机如图，双方建立连接，防火墙默认常规配置，如下：

2、修改以上配置，两端成功建立连接。

分支与总部专线互联的情况下，认真核实，数据包所经过的设备，设备是否为透明设备，是否携带VLAN信息。需要同步两端配置才能进行通讯。