Descripción del problema.
Cuando se hace ping desde el dispositivo servidor al dispositivo termimal, el paquete ping se cae en USG6650, pero cuando se hace ping desde la puerta de enlace del servidor 10.20.12.1 al dispositivo terminal, el ping puede pasar.
Figura 1: Topología
Cuando se hace ping desde el 10.20.12.11 al 10.22.225.18, todos los paquetes se caen. Cuando se hace ping desde 10.20.12.1 hasta 10.22.225.28, todos los paquetes pasan. Verifique en el firewall; se permite el ICMP entre las dos subredes.
Proceso de manejo.
1. Haga ping desde el 10.20.12.11 al 10.22.225.28, y verifique la sesión del firewall en el USG6650, no hay tabla de sesiones.
2. Haga ping del 10.12.11.1 al 10.22.225.28, y verifique la sesión del firewall en el USG6650, allí está la tabla de la sesión y el pase correctos.
3. recuento de tráfico en el firewall, descubra que cuando hace ping desde el 10.20.12.11 al 10.225.28, el puerto de destino es 68.
Figura 2: Puerto destino
Causa principal.
El problema es causado por el software V500R001C30SPC100, es un error de software. Cuando el ICMP pasa por USG6650 con el puerto de destino 68, el firewall de USG lo considerará como el paquete DHCP y lo eliminará.
Solución.
Actualice el software a V500R001C30SPC600 e instale el parche V500R001SPH001.
