IPV6经过防火墙（透明）直连ping不通

1、故障背景

  场景拓扑

故障现象描述

IPV6专线经过二层交换机和透明防火墙连接到核心交换机，核心交换机配置IPV6地址后ping不通直连网关地址

2、故障排查

2.1 故障定位

环境问题

2.2 故障原因分析

1、S5700的25口是上联口，26口是下连口接防火墙，防火墙下联是核心，IPV6在核心交换机的三层口配置，防火墙是透明模式 2、防火墙上没有放行IPV6策略，远程协助用户配置后还是ping不通V6网关地址 3、防火墙上抓包查看v6的ping包已经发出去了，但是没收到回报，从S5700上镜像抓包发现g0/26口没有发送reply报文

4、查看二层交换机S57收发的报文进行对比，存在差异，S57发出去的报文源MAC地址是核心交换机的，目的MAC是专线对端，但是对端会包的目的MAC却是S57的MAC，S57收到的正常报文目的MAC应该是和核心交换机的MAC地址才对。

综上判断是S5700交换机收到专线的reply包后没有转发给防火墙，且收发包存在MAC不一致现象。

3、故障解决方案/规避方案

清除专线对端设备的IPV6neighbor  或者等待专线对端设备的邻居表老化重新学习MAC

以上两种方式再重新学习邻居后可解决问题，最终IPV6可达