Пало-Альто и 802.1q
У меня есть брандмауэр Palo Alto, подключенный к каналу, на котором работает 802.1q, и поставщик назначил нам конкретную VLAN.
Однако я не могу пропинговать другой конец ссылки, если я заменю брандмауэр Пало-Альто коммутатором Cisco, он работает отлично.
На Пало-Альто я настроил интерфейс уровня 3 (ethernet 1/1) без IP-адреса, затем я создал вспомогательный интерфейс (ethernet1/1.20), у него есть IP-адрес, и я установил тег (20) в быть идентификатором VLAN 802.1q. К этому интерфейсу подключен виртуальный маршрутизатор со статическими маршрутами, направляющий весь трафик на IP-адрес назначения.
Я очистил все правила брандмауэра и настроил разрешение на тестирование.
Когда я пытаюсь пропинговать другой конец ссылки, я получаю ответы ICMP "узел недоступен", и я вижу брандмауэр, разрешающий трафик.
Учитывая, что коммутатор Cisco работает отлично, я должен упустить что-то очевидное, предложения приветствуются.
1 ответ
Решение проблемы состояло в том, чтобы назначить зону безопасности внешнему интерфейсу, когда я смог добраться до другого сайта. Это связано с блокировкой по умолчанию для межзонового трафика.