我有一个 Palo Alto 防火墙连接到运行 802.1q 的链路,并且提供商已为我们分配了一个特定的 VLAN 供我们使用。
但是我无法 ping 通链路的另一端,如果我用 Cisco 交换机替换 Palo Alto 防火墙,它就可以完美运行。
在 Palo Alto 上,我配置了一个没有 IP 地址的 3 层接口 (ethernet 1/1),然后创建了一个子接口 (ethernet1/1.20),它有一个 IP 地址,并且我将标签 (20) 设置为 802.1q VLAN ID。连接到此接口的是一个虚拟路由器,它具有将所有流量定向到目标 IP 地址的静态路由。
我已经清除了所有防火墙规则并配置了许可证以进行测试。
当我尝试 ping 链接的另一端时,我收到 ICMP“主机不可达”响应,并且我可以看到防火墙允许流量。
鉴于思科交换机运行正常,我肯定遗漏了一些明显的特征,欢迎提出建议。
答案1
解决问题的方法是将安全区域分配给外部接口,完成后我就可以访问另一个站点了。这是由于区域间流量的默认阻止。