USG防火墙直连交换机,相互无法ping通
而笔记本直连交换机是可以相互ping通的。
原因:
华为USG不像 思科ASA,本地接口可以直接ping通
USG防火墙默认直连也不通,本地所有接口属于 local安全区域
需要写策略放行才可以。
怎么配置
USG ping untrust对端的设备
untrust对端设备ping USG untrust接口IP
USG ping trust 对端的设备
trust对端设备ping USG trust接口IP
防火墙trust 接口ping 对端
security-policy
rule name Allow_Local_to_Trust_Ping
source-zone local
destination-zone trust
source-address any(或具体的local地址范围,但local地址通常指防火墙本身)
destination-address any(例如,您要ping的目标网段)
service icmp
action permit
#trust区域 ping防火墙trust IP
security-policy
rule name Allow_Trust_to_Local_Ping
source-zone trust
destination-zone local
source-address any(或具体的local地址范围,)
destination-address any
service icmp
action permit
#untrust区域的也按以上的加上策略
总结排查流程
物理接口 → IP地址与路由 → 安全区域绑定 → 包过滤策略 → Local域安全策略 → 高级安全功能 → 对端设备。
按照这个顺序,绝大部分直连ping不通的问题都能定位。您遇到的"需要放行local to trust"是USG防火墙的一个常见特性,因为local域默认没有全通策略,需要管理员显式配置。
USG上的策略查看命令
display security-policy rule all
查看某1条策略, 后面加name
HRP_M<USG>display security-policy rule name localinside
2026-01-18 11:38:48.586 +08:00
(54093719 times matched)
rule name localinside
source-zone Inside
destination-zone local
action permit查看某1条策略的明细,展开object, 后面加verbose
HRP_M<USG>display security-policy rule name localinside verbose
2026-01-18 11:39:15.864 +08:00
(54093720 times matched)
rule name localinside
source-zone Inside
destination-zone local
action permit查看某个流量是否有策略匹配
display firewall session table 后面加源目 zone, 源目IP, port
display firewall session table source-zone trust destination-zone untrust source inside 10.34.1.1 destination global 223.5.5.5 destination-port global 443