我很紧张,因为我不知道它为什么会这样工作。
我们引入了新的 Sonicwall 来替换旧的 Cisco ASA。
刚刚完成了基本设置,使用来自 ASA 的相同 IP:(在这里组成 IP,但使用相同的子网)
X0局域网:172.16.5.2/30
X1 广域网:216.40.5.100/30
然后我为他们的一个内部子网添加路由......
10.1.0.0/16 到 X0 LAN 端口上的网关 172.16.5.1(172.16.5.1 是 MPLS 提供商路由器,具有到 10.1.0.0 网络的路由)
所以我设置了这个。不起作用。10.1.0.0 网络无法 ping 通 Sonicwall,无法上网,Sonicwall 无法 ping 通 10.1.0.0 网络。
现在,为了测试一些东西,我打开了 Sonicwall 上的 X2 端口,并将其置于第 2 层桥接模式,并将其绑定到 X0 LAN 端口。我没有将任何东西连接到 X2,只是启用了桥接 - X0 LAN 和 X1 WAN 仍然是唯一正在使用的端口。神奇的是,一切都开始正常工作。我为更多内部网络添加了额外的路由,设置了必要的防火墙/nat 规则,一切都 100% 正常工作。
如果我关闭端口 X2 并移除桥接器,一切都会崩溃。
我完全搞不懂为什么添加这个看似无用的桥接器会让事情在这里顺利进行。请注意,思科上没有桥接设置。我已经设置了很多 Sonicwall,从来没有遇到过类似的情况。
以下是接口。
答案1
您没有提到防火墙是如何设置的。通常 X0 是 LAN,X1 是 WAN。因此默认情况下,从 X1 到 X0 的流量被阻止。但我不认为这是问题所在。
10.1.0.0/16 没有可路由到 SonicWall 上的 172.16.5.1 的接口。子网掩码阻止了它。即使添加静态路由,您仍然需要 10.1.xx 子网上的路由接口才能路由出去。否则,SW 可能会将数据包转发到 X1 接口。
至于桥接,我也不知道它为什么会起作用。看起来它可能是利用了桥接中的错误?
我认为我的回答可能偏离了主题。如果偏离了主题,我会删除它。
答案2
根据 SonicWALL 关于第 2 层桥接的文档:
第 2 层桥接旁路是目前在 SonicWALL NSA E7500 上实施的物理 X0-X1 接口旁路中继。此功能有时称为“无法接线”,这意味着如果 SonicWALL 设备遇到硬件或软件故障,LAN-WAN 连接将恢复为直通连接。当旁路中继关闭时,网络流量在 X0 和 X1 接口之间畅通无阻。当旁路中继打开时,网络流量由在 SonicWALL 设备上运行的 SonicOS Enhanced 处理。
因此,看起来,通过桥接接口并包含一个故障接口(X2 未连接任何东西),它是可以工作的,因为它绕过了 SonicOS 增强型操作系统控制并直接通过电线。
话虽如此,这似乎可以看作是一个复杂的故障排除步骤,以查看配置中的某些内容是否阻止了常规设置下的连接。检查防火墙规则?