当我们需要在基础设施中设置 DMZ 时,我们的 Sonicwall 供应商提供了 NSA240 并将其联网。尽管 VPN 用户会定期放弃 DNS 和终端服务,但配置正确且看起来正确。供应商无法解决,因此呼叫升级到 Sonicwall。
Sonicwall 支持工程师查看后得出结论,X0 (LAN) 和 X2 (DMZ) 接口连接到同一交换机,因此这就是问题所在。他观察到,来自连接的 VPN 用户对 LAN 域控制器的 ping 请求从 VPN 客户端 IP 转发 (x0) 到 DC IP,但从 DC IP 到 VPN 客户端 IP 的 ping 响应在 X2 上,日志副本详述如下:-
2011 年 2 月 2 日 10:47:49.272 X1*(hc) X0 192.168.1.245 192.168.1.8 IP ICMP -- 已转发 2011 年 2 月 2 日 10:47:49.272 -- X0* 192.168.1.245 192.168.1.8 IP ICMP -- 已转发 2011 年 2 月 2 日 10:47:49.272 X2*(i) -- 192.168.1.8 192.168.1.245 IP ICMP -- 已接收
- X0——局域网
- X1-广域网
- X2-非军事区
Sonicwall 工程师的结论是,我们要么需要为 X2 使用单独的交换机,要么为两者使用一个 VLAN 交换机。
我是公司的软件工程师,我们还没有收到供应商的回复,所以我现在很迷茫。我们需要购买这些附加设备吗?或者 NSA240 上还有其他配置可供我们使用吗?
答案1
需要使用 VLAN 交换机或重新配置现有网络