我有一个帕洛阿尔托防火墙连接到一个运行 802.1q 的链路,并且提供商已经分配了一个特定的 VLAN 供我们使用。
但是,如果我用 Cisco Switch 替换 Palo Alto 防火墙,我无法 ping 连接的另一端,它可以完美运行。
在帕洛阿尔托上,我配置了一个没有 IP 地址的第 3 层接口(以太网 1/1),然后我创建了一个子接口(以太网 1/1.20),它有一个 IP 地址,我将标签(20)设置为是 802.1q VLAN ID。连接到该接口的是一个带有静态路由的虚拟路由器,将所有流量定向到目标 IP 地址。
我已经清除了所有防火墙规则并配置了全部许可以进行测试。
当我尝试 ping 链接的另一端时,我收到 ICMP“主机不可达”响应,我可以看到防火墙允许流量。
鉴于思科交换机工作得非常好,我一定遗漏了一些明显的东西,建议表示赞赏。
该问题的解决方案是为外部接口分配一个安全区域,一旦完成,我就可以到达另一个站点。这是由于对区域间流量的默认阻止。