パロアルトと802.1q

802.1qを実行するリンクに接続されたパロアルトファイアウォールがあり、プロバイダーが使用する特定のVLAN）を割り当てています。

ただし、リンクのもう一方の端にpingを実行できません。パロアルトファイアウォールをCiscoスイッチに置き換えると、完全に機能します。

Palo Altoで、IPアドレスのないレイヤー3インターフェイス（イーサネット1/1）を構成し、次にサブインターフェイス（ethernet1/1.20）を作成しました。これには、IPアドレスがあり、タグ（20）を次のように設定しました。 802.1q VLAN IDです。このインターフェイスに接続されているのは、すべてのトラフィックを宛先IPアドレスに転送する静的ルートを持つ仮想ルーターです。

すべてのファイアウォールルールをクリアし、テスト用にすべての許可を構成しました。

リンクのもう一方の端にpingを実行しようとすると、ICMP「Hostunreachable」応答が返され、ファイアウォールがトラフィックを許可していることがわかります。

Ciscoスイッチが完全に正常に動作することを考えると、明らかな何かが欠けているに違いありません。