802.1qを実行するリンクに接続されたパロアルトファイアウォールがあり、プロバイダーが使用する特定のVLAN)を割り当てています。
ただし、リンクのもう一方の端にpingを実行できません。パロアルトファイアウォールをCiscoスイッチに置き換えると、完全に機能します。
Palo Altoで、IPアドレスのないレイヤー3インターフェイス(イーサネット1/1)を構成し、次にサブインターフェイス(ethernet1/1.20)を作成しました。これには、IPアドレスがあり、タグ(20)を次のように設定しました。 802.1q VLAN IDです。このインターフェイスに接続されているのは、すべてのトラフィックを宛先IPアドレスに転送する静的ルートを持つ仮想ルーターです。
すべてのファイアウォールルールをクリアし、テスト用にすべての許可を構成しました。
リンクのもう一方の端にpingを実行しようとすると、ICMP「Hostunreachable」応答が返され、ファイアウォールがトラフィックを許可していることがわかります。
Ciscoスイッチが完全に正常に動作することを考えると、明らかな何かが欠けているに違いありません。
この問題の解決策は、外部インターフェイスにセキュリティゾーンを割り当てることでした。完了すると、他のサイトにアクセスできるようになりました。これは、ゾーン間トラフィックのデフォルトブロックが原因です。