Я нервничаю, оставляя устройство в таком состоянии, потому что не понимаю, ПОЧЕМУ оно работает именно так.
Мы установили новый Sonicwall вместо старого Cisco ASA.
Только что выполнил базовую настройку, используя те же IP-адреса из ASA: (здесь придумываем IP-адреса, но используем те же подсети)
X0 ЛВС: 172.16.5.2/30
X1 WAN: 216.40.5.100/30
Затем я добавляю маршрут для одной из их внутренних подсетей...
10.1.0.0/16 к шлюзу 172.16.5.1 на порту LAN X0 (172.16.5.1 — маршрутизатор провайдера MPLS, у которого есть маршрут, идущий в сеть 10.1.0.0)
Итак, я настроил это. Не работает. Сеть 10.1.0.0 не может пинговать Sonicwall и не может выйти в интернет, Sonicwall не может пинговать сеть 10.1.0.0.
ТЕПЕРЬ, просто чтобы проверить кое-что, я включил порт X2 на Sonicwall, перевел его в режим моста 2-го уровня и привязал его к порту X0 LAN. Я ничего не подключаю к X2, просто включил мост — X0 LAN и X1 WAN по-прежнему единственные используемые порты. Волшебным образом все начинает работать. Я добавил дополнительные маршруты для большего количества внутренних сетей, настроил необходимые правила брандмауэра/NAT, все работает на 100%.
Если я отключу порт X2 и уберу мост, все отключится.
Я совершенно не понимаю, почему добавление этого моста, который, по-видимому, бесполезен, заставило бы все работать здесь. Заметьте, на Cisco не было настройки моста. Я настраивал много Sonicwall и никогда не сталкивался с подобной ситуацией.
Вот скриншотинтерфейсы.
решение1
Вы не упоминаете, как настроен ваш брандмауэр. Обычно X0 — это LAN, а X1 — WAN. Так что по умолчанию трафик от X1 к X0 блокируется. Но я не думаю, что это проблема.
У 10.1.0.0/16 нет маршрутизируемого интерфейса к 172.16.5.1 на SonicWall. Маски подсети не позволяют это сделать. Даже если вы добавите статический маршрут, вам все равно понадобится интерфейс маршрутизации в подсети 10.1.xx, чтобы иметь возможность маршрутизировать данные. В противном случае SW, скорее всего, перенаправит пакеты на интерфейс X1.
Что касается моста, я тоже не знаю, почему это работает. Похоже, что это может эксплуатировать ошибку в мосте?
Думаю, я, возможно, отклонился от темы с этим ответом. Если это так, я его удалю..
решение2
Согласно документации SonicWALL по мостовому соединению уровня 2:
Layer 2 Bridge Bypass — это физическое реле обхода интерфейса X0-X1, в настоящее время реализованное на SonicWALL NSA E7500. Эта функция иногда известна как «fail to wire», что означает, что соединение LAN-WAN возвращается к прямому соединению, если устройство SonicWALL сталкивается с аппаратным или программным сбоем. Когда реле обхода замкнуто, сетевой трафик беспрепятственно проходит между интерфейсами X0 и X1. Когда реле обхода разомкнуто, сетевой трафик обрабатывается SonicOS Enhanced, работающей на устройстве SonicWALL.
Таким образом, судя по всему, при соединении интерфейса мостом и включении неисправного интерфейса (X2 ни к чему не подключен) он работает, поскольку обходит элементы управления операционной системы SonicOS Enhanced и работает напрямую по проводу.
При этом, похоже, это можно рассматривать как сложный шаг по устранению неполадок, чтобы увидеть, что что-то в конфигурации блокирует соединения при обычной настройке. Проверить правила брандмауэра?