1682090498,CRM论坛（CRMbbs.com）——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容，欢迎向我们投稿，共建CRM多元化生态体系，创建CRM客户管理一体化生态解决方案。内容来源：知了社区z6Kl9 z6Kl9 九段 粉丝：47人 关注：2人

问题描述：

在外配置防火墙时遇到一问题，网口直连管理口，一直ping不通，打了400，400告诉我要写interzone policy default by-priority命令才允许报文转发，管理口不是独立的吗？不应该不通的啊

最佳答案

可以命令行看下这个接口是否的确是管理口，也就是management域，一般管理口是可以直接登录的。

interzone policy default by-priority命令用来配置允许设备按照域之间的优先级进行转发，高优先级到低优先级的业务默认允许通过，低优先级到高优先级默认禁止通过。域内都允许通过。

vd Root id 1 # zone name Management id 0 priority 100 import interface GigabitEthernet0/0 zone name Local id 1 priority 100 zone name Trust id 2 priority 85 zone name DMZ id 3 priority 50 zone name Untrust id 4 priority 5 switchto vd Root zone name Management id 0 ip virtual-reassembly zone name Local id 1 ip virtual-reassembly zone name Trust id 2 ip virtual-reassembly zone name DMZ id 3 ip virtual-reassembly zone name Untrust id 4 ip virtual-reassembly # 管理口确实是在管理域的，

z6Kl9

如果0口的确加入管理域，接口的确有地址，接口已经up了，还是无法ping通，那可以加上interzone policy default by-priority，再测试。

V

防火墙管理口也要加入到域里，例如放到Manage域（这个域需要是你创建的），然后放配置从Manage到Local的域间策略，允许源地址通过。

默认属于管理域，

z6Kl9

你正在,F1000-A-EI