我很緊張讓設備就這樣離開,因為我不明白為什麼它會這樣運作。
我們安裝了新的 Sonicwall 來取代舊的 Cisco ASA。
剛完成基本設置,使用 ASA 中的相同 IP:(此處組成 IP,但使用相同的子網路)
X0區域網路:172.16.5.2/30
X1 廣域網路:216.40.5.100/30
然後我為他們的內部子網之一添加路由......
10.1.0.0/16 到 X0 LAN 連接埠上的閘道器 172.16.5.1(172.16.5.1 是 MPLS 提供者路由器,具有通往 10.1.0.0 網路的路由)
所以,我設定了這個。不起作用。 10.1.0.0 網路無法 ping Sonicwall 且無法上網,Sonicwall 無法 ping 10.1.0.0 網路。
現在,為了測試一些東西,我打開了 Sonicwall 上的 X2 端口,並將其置於第 2 層橋接模式,並將其綁定到 X0 LAN 連接埠。我沒有將任何東西連接到 X2,只是啟用了橋接 - X0 LAN 和 X1 WAN 仍然是唯一正在使用的連接埠。神奇的是,一切都開始運作了。我為更多內部網路添加了額外的路由,設定了必要的防火牆/nat 規則,一切都 100% 正常運作。
如果我關閉連接埠 X2 並移除網橋,一切都會崩潰。
我完全不明白為什麼添加這座看似無用的橋樑卻能讓事情在這裡發揮作用。請注意,思科上沒有橋接設定。我設定過很多 Sonicwall,但從來沒有遇到過類似的情況。
這是螢幕截圖介面。
答案1
您沒有提及您的防火牆是如何設定的。通常 X0 是 LAN,X1 是 WAN。因此預設情況下,從 X1 到 X0 的流量會被阻止。但我認為這不是問題所在。
10.1.0.0/16 在 sonicwall 上沒有到 172.16.5.1 的可路由介面。子網路遮罩阻止了它。即使新增靜態路由,仍然需要 10.1.xx 子網路上的路由介面才能路由出去。否則,SW 可能會將封包轉送到 X1 介面。
就橋接而言,我也不知道為什麼會起作用。看起來它可能正在利用橋接中的錯誤?
我想我的這個答案可能偏離了方向。如果是的話我就刪了..
答案2
根據第 2 層橋接的 SonicWALL 文件:
第 2 層橋接旁路是目前在 SonicWALL NSA E7500 上實施的實體 X0-X1 介面旁路中繼。此功能有時稱為“無法連線”,這意味著如果 SonicWALL 設備遇到硬體或軟體故障,LAN-WAN 連線將恢復為直通連線。當旁路中繼關閉時,網路流量在 X0 和 X1 介面之間暢通無阻。當旁路中繼開啟時,網路流量由 SonicWALL 裝置上執行的 SonicOS 增強版處理。
因此,透過橋接介面並包含故障介面(X2 未連接到任何東西),它似乎可以正常工作,因為它繞過了 SonicOS 增強型作業系統控制並直接通過線路。
話雖如此,這似乎可以被視為一個複雜的故障排除步驟,以查看配置中的某些內容正在阻止常規設定下的連接。檢查防火牆規則?