配置 SonicWALL NSA 2400 以使用两个子网和 L2 桥接模式的建议

这篇文章不是如何配置 SonicWALL NSA 2400 后面的多个子网的远程访问。但是，我几乎一字不差地遇到了这个问题。不幸的是，我们甚至已经向 SonicWALL 支付了费用，但他们还是陷入了困境。

我们之间的不同之处在于，我只是尝试使用第 2 层桥接模式。没有 NAT，没有路由。我们希望 SonicWALL 只做在线监听、阻止除选定 UDP 和 TCP 端口之外的所有流量，并为所有其他不需要的流量（如拒绝服务攻击、防病毒、反间谍软件等）提供状态检查。X1 接口配置在子网 A 上。子网中其余可用的 IP 分配给连接到 X2（DMZ）端口上的交换机的服务器。

直到最近，这种配置都运行良好。但是现在我们面临一个问题。我们使用了整个子网 A，并且需要更多，因此我们被分配了另一个 /28 子网。在此子网中运行的服务器插入端口 X2 上的同一交换机，并且未使用 VLAN，因此我们有两个网络位于同一广播域内。这似乎很好，因为 SonicWALL 应该做的只是数据包检查，而不应该关心通过它的流量的路由方面。我们会让端口 X1 上的网络路由器（我们无法控制）担心实际上位于同一广播域中的两个子网之间的路由。

从互联网上看，此配置工作正常。我们能够访问子网 A 和子网 B 网络。当我们希望两个网络相互通信时，就会出现问题彼此。我们预期两个网络会使用 SonicWALL 另一侧的路由器来相互通信，但我已经证明数据包无法通过 SonicWALL。没有防火墙日志表明它因规则而丢弃通信。相反，当我在 SonicWALL 上执行数据包捕获时，我能够看到数据包从端口 X2 进入，并且未被转发。状态只是显示“已接收”（奇怪的是，在任何文档中都找不到有效状态（文档说“丢弃”是由于防火墙规则而丢弃流量））。

支持人员向我发送了上述帖子中引用的确切文档，但它不适用于这种情况。在与难缠的支持人员交谈了几天后，我最终被建议只添加一条静态路由：

源：任意，目标：子网 B，网关：0.0.0.0，接口 X2。

当前路由表仅包含其自行添加的默认项。因此，即使您对 SonicWALL 一无所知，请告诉我添加上述静态路由是否对任何人都有意义。当前表为：

源：任意，目标：子网 A 网关，网关：0.0.0.0，接口 X1。源：任意，目标：子网 A，网关：0.0.0.0，接口 X1。源：任意，目标：任意，网关：子网 A 网关，接口 X1。

我觉得奇怪的是，所有值都不是 X2。我觉得子网 A 网关是流量从子网 A 流出的唯一原因，但流量如何返回却毫无意义，因为应该保留接口 X2，而上表列出的是 X1。子网 B 能够与互联网通信也很有趣，我认为这是由于最后一条规则。子网 A 和 B 的网关具有相同的 MAC 地址：因此，它能正常工作只是巧合。流量如何从互联网最初流向任一子网仍然毫无意义。