Instalei um novo Sonicwall no DC do provedor de MPLS, fiz funcionar por sorte, mas não tenho ideia de POR QUE está funcionando assim

Instalei um novo Sonicwall no DC do provedor de MPLS, fiz funcionar por sorte, mas não tenho ideia de POR QUE está funcionando assim

Estou nervoso em deixar o dispositivo assim porque não faz sentido para mim POR QUE está funcionando assim.

Colocamos o novo Sonicwall para substituir um Cisco ASA antigo.

Acabei de fazer a configuração básica, usando os mesmos IP's do ASA: (inventando IP's aqui mas usando as mesmas sub-redes)

LAN X0: 172.16.5.2/30

WAN X1: 216.40.5.100/30

Então adiciono rota para uma de suas sub-redes internas...

10.1.0.0/16 para gateway 172.16.5.1 na porta LAN X0 (172.16.5.1 é o roteador do provedor MPLS, que tem rota indo para a rede 10.1.0.0)

Então, eu configurei isso. Não funciona. A rede 10.1.0.0 não consegue fazer ping na Sonicwall e não consegue acessar a Internet, a Sonicwall não consegue fazer ping na rede 10.1.0.0.

AGORA, só para testar algo, liguei a porta X2 no Sonicwall, coloquei-a no modo Layer 2 Bridge e liguei-a à porta LAN X0. Não conecto nada ao X2, apenas habilitei a ponte - X0 LAN e X1 WAN ainda são as únicas portas em uso. Magicamente, tudo começa a funcionar. Adicionei rotas adicionais para mais redes internas, configurei as regras de firewall/nat necessárias, tudo funciona 100%.

Se eu desligar a porta X2 e remover a ponte, tudo cai.

Estou completamente perplexo sobre por que adicionar esta ponte, que é aparentemente inútil, faria as coisas funcionarem aqui. Veja bem, não havia configuração de ponte no Cisco. Eu configurei muitos Sonicwall e nunca tive uma situação semelhante.

Aqui está uma captura de tela dointerfaces.

Responder1

Você não menciona como o seu Firewall está configurado. Normalmente X0 é LAN e X1 é WAN. Portanto, por padrão, o tráfego de X1 a X0 é bloqueado. Mas não creio que esse seja o problema.

O 10.1.0.0/16 não possui uma interface roteável para 172.16.5.1 no SonicWall. as máscaras de sub-rede impedem isso. mesmo se você adicionar uma rota estática, ainda precisará de uma interface de roteamento na sub-rede 10.1.xx para poder rotear. caso contrário, o SW provavelmente encaminhará os pacotes para a interface X1.

no que diz respeito à ponte, também não tenho ideia de por que isso funciona. Parece que ele está explorando um bug na ponte?

Acho que posso estar muito errado com esta resposta. Vou deletar se estiver..

Responder2

De acordo com a documentação da SonicWALL sobre a ponte da Camada 2:

Layer 2 Bridge Bypass é um relé de bypass de interface física X0-X1 atualmente implementado no SonicWALL NSA E7500. Esse recurso às vezes é conhecido como “falha na conexão”, o que significa que a conexão LAN-WAN reverte para uma conexão direta se o dispositivo SonicWALL sofrer uma falha de hardware ou software. Quando o relé de bypass está fechado, o tráfego de rede flui sem impedimentos entre as interfaces X0 e X1. Quando a retransmissão de bypass está aberta, o tráfego de rede é controlado pelo SonicOS Enhanced em execução no dispositivo SonicWALL.

Portanto, parece que, ao fazer a ponte entre a interface e incluir uma interface com falha (X2 não conectado a nada), ele está funcionando porque está ignorando os controles do SonicOS Enhanced OS e passando direto pelo fio.

Dito isto, parece que isso pode ser visto como uma etapa elaborada de solução de problemas para ver se algo na configuração está bloqueando as conexões na configuração normal. Verifique as regras do firewall?

informação relacionada