最近开始着手学习一下HCIA—Security ，用ESNP这个软件这个软件开始模拟实验。在实验中的第一步就遇到一个棘手和奇怪的问题，就是USG6000防火墙直连PC。简单配置一下发现居然无法ping同，在BaiDu上面收缩很多资料发现好像都是不行。比如

在端口下面开通

ervice-manage ping permit 允许ping

但是还是一直无法ping通就是连在防火墙内部都是无法ping同，我对Cisco网络有设备有一定配置基础按这样配置应该是通的，最后还是一直在网上查询，最后在华为的一个技术论坛看到，可能是是我的ESNP模拟器中PC端的。

论坛就是这样解释：

service-manage功能的优先级高于安全策略，只有在报文的入接口开启了访问管理功能，才可以通过对应的接口访问设备。

但是防火墙目前V1、V5不同版本机制有点区别,V1R1版本实测只需要接口放通service-manage ping功能即可实现设备与对端之间的互ping功能,无需放通local与trust之间的域间策略;

V5R1需要放通local与trust之间的策略,设备才能发出ping报文,只是开启接口的service-manage ping功能,只能实现设备被ping通,入方向访问的报文被放通，设备主动发起的ping报文受域间策略控制。

总结：其实就是PC端上面IGMP Version版本 要选择1 就可以了。

这个选择让我这个测试搞了差不多一天（当然不是一天都在研究这个，毕竟要工作。）

如果有需要ENSP模拟软件和USG6000的ISO文件可以私信我。网络和系统等等运维技术大家一起交流。

技术资料：