У меня есть брандмауэр Пало-Альто, подключенный к ссылке, на которой работает 802.1q, и провайдер назначил для нас конкретную VLAN.
Однако я не могу пинговать другой конец ссылки, если я заменю брандмауэр Palo Alto на коммутатор Cisco, он будет работать отлично.
На Пало-Альто я настроил интерфейс уровня 3 (ethernet 1/1) без IP-адреса, затем я создал вспомогательный интерфейс (ethernet1 / 1.20), у него есть IP-адрес, и я установил тег (20) на быть идентификатором 802.1q VLAN. К этому интерфейсу подключен виртуальный маршрутизатор со статическими маршрутами, направляющими весь трафик на IP-адрес назначения.
Я очистил все правила брандмауэра и настроил все разрешения для тестирования.
Когда я пытаюсь выполнить эхо-запрос на другом конце ссылки, я получаю ответы ICMP «хост недоступен» и вижу, что брандмауэр разрешает трафик.
Учитывая, что коммутатор Cisco работает отлично, мне, должно быть, не хватает чего-то очевидного, предложения приветствуются.
Решение проблемы состояло в том, чтобы назначить зону безопасности для внешнего интерфейса, после чего я смог связаться с другим сайтом. Это связано с блокировкой по умолчанию межзонального трафика.