Назад | Перейти на главную страницу

Пало-Альто и 802.1q

У меня есть брандмауэр Пало-Альто, подключенный к ссылке, на которой работает 802.1q, и провайдер назначил для нас конкретную VLAN.

Однако я не могу пинговать другой конец ссылки, если я заменю брандмауэр Palo Alto на коммутатор Cisco, он будет работать отлично.

На Пало-Альто я настроил интерфейс уровня 3 (ethernet 1/1) без IP-адреса, затем я создал вспомогательный интерфейс (ethernet1 / 1.20), у него есть IP-адрес, и я установил тег (20) на быть идентификатором 802.1q VLAN. К этому интерфейсу подключен виртуальный маршрутизатор со статическими маршрутами, направляющими весь трафик на IP-адрес назначения.

Я очистил все правила брандмауэра и настроил все разрешения для тестирования.

Когда я пытаюсь выполнить эхо-запрос на другом конце ссылки, я получаю ответы ICMP «хост недоступен» и вижу, что брандмауэр разрешает трафик.

Учитывая, что коммутатор Cisco работает отлично, мне, должно быть, не хватает чего-то очевидного, предложения приветствуются.

Решение проблемы состояло в том, чтобы назначить зону безопасности для внешнего интерфейса, после чего я смог связаться с другим сайтом. Это связано с блокировкой по умолчанию межзонального трафика.