一开始以这个拓扑图来配置,子接口配置如下
FW1:
interface GigabitEthernet1/0/0.1
vlan-type dot1q 1
ip address 192.168.1.254 255.255.255.0
service-manage ping permit
FW2:
interface GigabitEthernet1/0/0.1
vlan-type dot1q 1
ip address 192.168.2.254 255.255.255.0
service-manage ping permit
子接口配置IP地址,vlan-type dot1q 1 表示该子接口划入的VLAN;防火墙上安全策略以放通,子接口也加入安全区域,FW1和FW2分别配置192.168.2.0/24,192.168.1.0/24的静态路由,此时PC1 ping PC2不通,PC1 ping FW1直连接口也不通,再从FW1 ping PC1仍然不通,此时在FW1 g1/0/0口抓包,信息如下:
发现报文携带VLAN tag 1
原因分析:
原因是子接口只能识别携带tag的报文,即使是vlan 1,也必须携带tag。
拓扑改进
此时按照规划配置vlan和防火墙子接口,PC1成功ping通PC2。