#原创分享#AF为何不转发vlan数据？

一、背景
客户网络环境，两个路由器（一个属于vlan5,一个vlan20）-核心交换机，先上一台防火墙，拓扑变成两个路由器（一个属于vlan5,一个vlan20）-防火墙-核心交换机，核心交换机上面有属于Vlan5和vlan20的网段，外联路由器的接口一个是Vlan5，一个是vlan20,防火墙下联交换机是trunk口，正常的透明模式，但是到Vlan5的数据就是不通，变更为原来的拓扑就正常，难道真的是和思科的路由器对接有问题？事情不应该是这样的。

二、对象

设备调试人员

三、解决过程

1、肯定是检查防火墙的应用控制策略了，但是查看是any-any全部放通的，策略应该没有问题。

2、开启设备的直通模式，查看是否有其他安全策略拦截，但是没有任何拦截日志显示，这个是什么，没有任何拦截还是不通。

3、开启终极奥义，抓包看看数据已经在防火墙的vlna5接口发送出去，但是对端没有回应，但是也有发现一个问题，为啥ttl突然消耗这么多，先当个未解之谜，但是数据包是已经转发出去了

4、数据包已经转发了，对端没回，为啥呢，想到是不是对端绑定过mac地址，查看mac学习，确实没有学习到对端mac。难道问题已经确定了？怀着忐忑的心情去问了一下对端，对端没有绑定mac，那就不是这个问题了。（确定mac是否学习到，可以在防护墙里面通过arp查看），再去分析数据包。

5、分析数据包发现思科上面用了生成树的私有生成树协议，难道通过防火墙去和对面协议生成树了，而且生成树学习的也有问题。修改成通用生成树协议后，访问正常。

四、总结

对于网络上面的问题，有问题的时候要看下是否协议问题，对已改问题在贡献一份文档秘籍。

明白了，私有协议造成的问题

您好，感谢您参与社区原创分享计划5，您的文章已被收录到计划中，交由专家评审小组评审，分享奖励将在活动结束后统一安排发放！分享越多，奖励越多，期待您更多的精彩分享哦！:感恩:

干货满满，感谢楼主的分享！

楼主根据数据包来分析网络问题的思路很好，建议后续遇到此类的问题都可以先抓取对应异常的数据包来分析一波。
AF默认的应用控制策略会拦截所有经过AF的数据包，遇到此类问题可以先在AF上开启全局直通（非针对单个IP地址或者IP段）或者二层直通测试，一般由于应用控制策略拦截的数据包会正常被打上不丢包的标记从而放行，同时可以根据直通日志提示去调整对应的策略

刚好想学习这个，感谢分享