1676537465,

组网及说明

防火墙串联二层部署

告警信息

暂无告警

问题描述

现场二层部署，开局放了全通策略，割接完毕后收紧策略，安全策略里限制了明细的源目地址

防火墙下行终端出现V6地址冲突，随后过墙V6业务全部不通，需要放全通的v6安全策略后才能恢复，后续重新收紧，业务依旧正常。

过程分析

全通策略开启日志记录，发现只有如下地址的icmp报文会命中

 

HZEDWFWm001CHS-F1090 FILTER/6/FILTER_ZONE_EXECUTION_ICMPV6: SrcZoneName(1025)=Untrust;DstZoneName(1035)=Trust;Type(1067)=ACL6;SecurityPolicy(1072)=test;RuleID(1078)=2;Protocol(1001)=IPv6-ICMP;SrcIPv6Addr(1036)=XXX;XXX::XXX;DstIPv6Addr(1037)=ff02::1:ff00:0;Icmpv6Type(1064)=OTHER(135);Icmpv6Code(1065)=0;MatchCount(1069)=89;Event(1048)=Deny;

目的地址是ff02::1:ff00:0 的icmpv6报文是V6的NS报文，NS报文具体构成如下：

 

解决方法

防火墙二层部署需要额外放通目的地址是ff02::1:ff00:0的icmpv6报文，这样NS报文才能正常透传

 

防火墙三层部署不需要单独放通，原因是三层默认放通了上本机的icmpv6报文

CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。本文来源：知了社区基于知识共享署名-相同方式共享3.0中国大陆许可协议,防火墙二层部署需要单独放通NS报文的安全策略