Cisco APIC L4-L7 FW 非管理模式，无法通信

kinntoki

    现在有两个EPG 下面各有一个3层BD，每个BD有两个子网，各有一个子网用于连接服务器。服务器网关在BD的子网里。每个BD的另一个子网用于连接paloalto防火墙。防火墙作为L4-L7设备写入两个EPG通信的合约内，防火墙使用单链路连接leaf。现在每个服务器均能ping通本侧FW的子接口地址，但都无法ping通需要过FW的流量，FW上已放行所有，查看无匹配。将L4-L7从合约撤出两个服务器可通信。

    BD作为2层，服务器网关在FW上时L4-L7通信正常。BD作为3层是是否可以用上述办法通信，是否配置存在问题或不可以使用子接口？

haizi595610

kinntoki

弄通了，L4-L7需使用PBR重定向至合约中的FW，将FW接口属于的两个BD的EP dataplan learning不勾选，L4-L7合约选择FW两个接口所在的BD不是终端EPG对应的BD。