web-dev-qa-db-ja.com

パロアルトと802.1q

802.1qを実行するリンクに接続されたパロアルトファイアウォールがあり、プロバイダーが使用する特定のVLAN)を割り当てています。

ただし、リンクのもう一方の端にpingを実行できません。パロアルトファイアウォールをCiscoスイッチに置き換えると、完全に機能します。

Palo Altoで、IPアドレスのないレイヤー3インターフェイス(イーサネット1/1)を構成し、次にサブインターフェイス(ethernet1/1.20)を作成しました。これには、IPアドレスがあり、タグ(20)を次のように設定しました。 802.1q VLAN IDです。このインターフェイスに接続されているのは、すべてのトラフィックを宛先IPアドレスに転送する静的ルートを持つ仮想ルーターです。

すべてのファイアウォールルールをクリアし、テスト用にすべての許可を構成しました。

リンクのもう一方の端にpingを実行しようとすると、ICMP「Hostunreachable」応答が返され、ファイアウォールがトラフィックを許可していることがわかります。

Ciscoスイッチが完全に正常に動作することを考えると、明らかな何かが欠けているに違いありません。

1
ServerMonkey

この問題の解決策は、外部インターフェイスにセキュリティゾーンを割り当てることでした。完了すると、他のサイトにアクセスできるようになりました。これは、ゾーン間トラフィックのデフォルトブロックが原因です。

0
ServerMonkey