防火墙透明模式，DHCP在路由器上，终端无法获取IP地址

透明模式下，防火墙本质是二层桥，但默认会拦广播 / 多播和未知单播；DHCP 是 UDP 67/68 的广播，被防火墙策略拦住，就拿不到地址。
下面按 “最常见原因 → 必做配置 → 排查步骤” 给你一套直接能用的方案（以华三 SecPath 系列为例）。
一、最常见原因（90% 都是这几条）
安全策略只放了 Trust→Untrust，没放 Untrust→Trust
DHCP 流程：
终端（Trust）→ 发 DISCOVER（广播）→ 路由器（Untrust）回 OFFER/ACK → 必须 双向放行。
透明模式下没开 DHCP 透传 / 没放通 UDP 67/68
很多防火墙透明模式默认：
拦截广播报文
拦截 UDP 67/68（DHCP）
导致 DISCOVER 到不了路由器，或 OFFER 回不来。
接口域划分错了
上联路由器口：Untrust
下联交换机 / 终端口：Trust
搞反或都放一个域，策略不生效。
交换机 / 路由器上有 DHCP Snooping、端口隔离、VLAN 不匹配
上联口没设为 信任端口，会丢弃 DHCP 报文。
二、华三防火墙透明模式必做配置（直接抄）
1）全局开启透明桥 + DHCP 透传
bash
运行
system-view
firewall transparent-mode # 全局透明模式
dhcp enable # 开启DHCP功能
dhcp relay transparent # 透明模式下DHCP透传（关键）
2）接口加入桥、划域
bash
运行
interface GigabitEthernet1/0/1 # 接路由器
port link-mode bridge
zone untrust
interface GigabitEthernet1/0/2 # 接内网交换机
port link-mode bridge
zone trust
3）安全策略：双向放通 DHCP（重点）
bash
运行
# Trust → Untrust（终端发请求）
security-policy
rule name TtoU
source-zone trust
destination-zone untrust
service dhcp
service udp-dhcp-client # 68
service udp-dhcp-server # 67
action pass

# Untrust → Trust（路由器回包）
rule name UtoT
source-zone untrust
destination-zone trust
service dhcp
service udp-dhcp-client
service udp-dhcp-server
action pass
简单粗暴也可以先：双向 any any pass，验证是否策略问题，再收紧。
三、快速排查步骤（从易到难）
终端侧
plaintext
ipconfig /release
ipconfig /renew
出现 169.254.x.x → 没收到 DHCP OFFER，问题在中间设备。
防火墙抓包（最直接）
plaintext
debugging enable
debugging dhcp packet
terminal debugging
看是否：
收到终端 DISCOVER
转发给路由器
收到路由器 OFFER
发回给终端
卡在某一步就是策略 / 透传没开。
路由器侧
DHCP 地址池是否正常、地址是否耗尽
接口是否 UP、VLAN 是否正确
没有 ACL 拦 UDP 67/68。
交换机侧
下联口：关闭端口隔离、关闭 DHCP Snooping 或设为信任
上联防火墙口：同样设为信任。
四、一句话总结
透明模式不是 “直通不管”，DHCP 广播必须：
开启 DHCP 透传
安全策略 双向放通 UDP 67/68（DHCP）
接口域 上联 Untrust、下联 Trust

安全策略怎么配的？配置方便发一下吗？

您手动给终端配置个和网关相同的地址，ping网关看能不能通，如果能通可能是您dhcp配置的有问题，有可能是您防火墙安全策略对应的端口号未放通；如果不能通，那您需要检测一下防火墙上的对应接口安全域是否添加，接口vlan是否放通，同时检查安全策略，可以测试安全策略全通的情况。

发一下配置文件看一下，是不是配置错了。

除了策略排查，二层透明部署需要排查以下方面：

1.vlan 标签

确认防火墙的上下级设备互联是否携带Vlan tag，携带的话需要放行对应的Vlan。

2. bridge转发

确认bridge转发模式不是黑洞。

1. 检查未知MAC地址的广播报文处理（核心排查点）

2. 核查安全域与安全策略配置

• 端口划分： 确保连接路由器和交换机的物理端口已切换为二层口，并正确加入了相应的安全域（如Trust和Untrust）。
• 放通策略： 检查域间安全策略，确保双向（Trust到Untrust、Untrust到Trust）均已配置了允许（Permit）动作的策略。
• Local域交互： 如果防火墙自身也需要获取IP或存在特殊转发逻辑，请检查是否放通了到LOCAL域的访问策略。

3. 检查应用控制与高级防护功能

4. 抓包验证与DHCP服务器端排查

• 镜像抓包： 在连接防火墙的核心交换机上配置端口镜像，抓取防火墙上下联口的报文。观察终端的DHCP Discover是否发出，以及服务器的DHCP Offer是否返回但被防火墙丢弃。
• 绕过测试： 将终端直接连接到路由器的LAN口进行测试。如果直连可以正常获取IP，说明路由器及DHCP服务本身正常，故障点锁定在防火墙；如果直连也无法获取，需检查路由器的DHCP地址池是否耗尽、网段掩码是否匹配等基础配置。