PC2就是不能ping通PC1，求大佬帮忙看看 - ensp吧 - RAT

PC2就是不能ping通PC1，求大佬帮忙看看

level 2

飞鼠☆ 楼主

防火墙USG6000V：
interface GigabitEthernet1/0/1
ip address 172.16.40.1 255.255.255.0
firewall zone trust
add interface GigabitEthernet1/0/1
ip route-static 172.16.200.0 255.255.255.0 GigabitEthernet1/0/1 172.16.40.254
交换机：
interface Vlanif40
ip address 172.16.40.254 255.255.255.0
interface Vlanif200
ip address 172.16.200.254 255.255.255.0
ip route-static 0.0.0.0 0.0.0.0 172.16.40.1
PC1：
172.16.40.101/24
172.16.40.1
PC2：
172.16.200.101/24
172.16.200.254
PC1能ping通PC2，PC2不能ping通PC1。

2026年05月09日 04点05分 1

level 12

耀眼65

没看懂你的操作和思路

2026年05月09日 08点05分 3

飞鼠☆

要是把防火墙换成AR路由器，这么写静态路由，PC2就能ping通PC1，防火墙就不行

2026年05月09日 09点05分

飞鼠☆

目前用的飞塔防火墙，电脑ip都固定了，只有写静态路由，就是华为防火墙这样写不行，换成AR路由器都没问题

2026年05月09日 09点05分

level 1

光影之纵😏

完全没看懂！pc1网关设在防火墙上？pc2网关设在交换机上？

2026年05月10日 23点05分 5

level 1

光影之纵😏

pc1去pingpc2，在交换机上就可以找到了，pc2则无法从交换机找pc1

2026年05月10日 23点05分 6

level 1

光影之纵😏

pc1网关改成254就可以了

2026年05月10日 23点05分 7

飞鼠☆

要是改了，防火墙这个问题就没意义了

2026年05月11日 03点05分

level 2

飞鼠☆ 楼主

对，没看错。PC1网关就是在防火墙上。
相同的设置，防火墙换成AR路由器就没问题

2026年05月11日 03点05分 8

吧务

level 9

我想种太阳

这要求是你自己想的还是在现实环境中这些是必要条件

2026年05月12日 01点05分 9

飞鼠☆

没办法，公司网络已经成型了，用的飞塔防火墙，就是这么设置的。现在要替换成华为防火墙

2026年05月13日 01点05分

level 5

失去过去式

因为华为设备规则：直连网段永远优先，不会走默认路由转发
强制：PC2 访问 PC1 全部绕行上防火墙，不走核心本地三层
用 ACL + 策略路由 / 流策略强行引流，绕过直连路由优先规则
在 Vlanif200接口下应用流策略（入方向）
不同版本流策略应用不太一样vlanIF下应用不了就去接口

2026年05月14日 04点05分 10

飞鼠☆

华为设备规则吗？但是换成AR路由器，一样的设置就没问题

2026年05月15日 08点05分

失去过去式

@飞鼠☆ 换成AR路由器？你这个配置是在现实中更换测试的？还是ENSP中？如果是在ENSP中可以在AR和交换之间抓包看看PC2是否有回包

2026年05月18日 00点05分

1