网络拓扑

下图是简化的拓扑,如图,两地使用 L2TP 进行互联,配置好了各自的静态路由,此时左侧网络内的 PC1 能 Ping 通右侧网络内的 PC2 ,但是右侧网络内的 PC2 却不能 Ping 通左侧网络内的 PC1

同时网关 192.168.2.1 和 192.168.1.1 能相互 Ping 通,只有 192.168.2.1 下的设备 Ping 通 192.168.1.0/24

简化的拓扑

排障过程

  1. 检查互联路由,确认 L2TP 连接正常,已允许转发 192.168.2.0/24 内的流量

  2. 各静态路由设置正确

  3. 在互联路由上进行抓包

    发现从 192.168.2.2 的 ICMP 数据包到达了 192.168.1.2 ,reply 包已经返回到互联网关,但是没有返回到 PC2

    由于互联路由上联到主路由2 (ip route static 0.0.0.0/0 192.168..2.1)考虑在主路由2上被丢包的可能性,在主路由2上抓包

  4. 在主路由2上进行抓包

如图,发现返回的数据包被丢弃,原因是未命中会话表

参考华为文档:USG6600 二层组网防火墙丢包问题分析 进行排障

发现 PC2 到 PC1 的 ICMP 数据包是在 GE0/0/6 发出的,回程数据包是在 VLANIF1 发出的,两侧接口并不匹配,请求报文和回应报文的接口不一致,于是被 FW 丢包

解决方案

根据华为文档的提示,请求报文和回应报文的接口不一致,全局开启 FW 的 VLAN 无关联功能,问题解决

vlan obsoue enable