我在主机能够 ping 通其他它们不应该通信的主机时遇到了问题。
相当简单的网络-相关硬件:
- HP Procurve 2810-24G 交换机
- Juniper Netscreen 208 防火墙
- Netgear GS-108PE 交换机
我只是想实现两个目标:使用 HP 交换机为 Trust 和 DMZ 子网提供服务(使用 VLAN),并运行 802.1Q VLAN 中继到 Netgear 交换机,以便其端口可以访问网络其余部分的多个 VLAN。
我曾经使用相同的 HP 交换机(已发生故障并被更换)执行此操作,之前使用的是 HP Procurve 2400M 交换机。
我配置了 3 个 VLAN:
- ID:1(DEFAULT_VLAN-无法删除)
- ID:2(非军事区)
- ID:3(信任)
我已经将 HP 交换机上的 2 组独立端口指定为 VLAN 2 和 3 的未标记 VLAN 端口。我已经将 2 个“中继”端口指定为 VLAN 2 和 3 的标记 VLAN 端口。这 2 个中继端口连接到 Netgear 交换机上的一个端口和旧 HP 交换机上的一个端口。(主要用于测试)Netgear 和旧 HP 在 VLAN、未标记和中继端口方面的配置与新 HP 类似。
防火墙的 DMZ 和 Trust 接口连接到新 HP 交换机上相应的未标记 VLAN 端口组。防火墙默认设置为阻止几乎所有往返于 DMZ 和 Trust 网络之间的流量,但极少数流量除外。ICMP 肯定会被阻止。
我在所有交换机的 Trust 和 DMZ 端口组上都与互联网建立了连接。问题是,我还可以从 Trust 端口/主机 ping DMZ 端口,任何开关。但我不能从 DMZ 主机 ping 到 Trust 主机。
不用说,这种方法会破坏各部分之间用防火墙隔开的意义。
我尝试将默认 VLAN 从 1 更改为 3,尝试断开非核心交换机的连接,尝试断开任何具有多个接口的设备(例如,一个连接到 VLAN 2,另一个连接到 VLAN 3)。但这些都无法改变我可以从 VLAN 3 端口组上的主机 ping 到 VLAN 2 端口组的事实。
我是不是在做什么蠢事?
答案1
我有一个防火墙策略规则,它导致 ping 能力、ICMP 回显权限隐藏在组服务列表中并限制到某些主机,但我没有看到它。:-0 还遇到了将 VLAN 2 连接到标有该 VLAN ID 的 Netgear 端口的问题,但似乎可以通过重新启动该设备来解决。(该设置的 UI 中不清楚)现在一切都很好。