我们有两个站点通过 MPLS 连接,可以绕过防火墙。站点之间的流量在到达核心交换机时会直接路由到 ISP 路由器上的第二个接口。
我们始终想不出如何解决的一件事是跨 MPLS 管理防火墙。LAN 接口不会响应 ping 或 https 请求,迫使我们通过 WAN 启用管理,这太糟糕了。
对于我们非 MPLS 站点之间的基于 IP 的 VPN,我们只需在 VPN 配置上使用“允许通过此 SA 进行管理”设置,这会创建允许从区域 VPN 到 LAN 进行管理/ping 的访问规则,并且运行良好。
我们尝试通过创建未使用的 IP VPN 并设置该选项来实现 MPLS 站点之间的相同功能,但即使这样也不起作用,这让我不知道还能尝试什么。
答案1
如果数据包通过 WAN 端口,您别无选择,只能激活该设置。(通过 WAN 启用管理)
如果数据包来自 LAN 端口,但仅来自另一个子网,则您需要在 SonicWall 中定义这些子网,并为它们制定允许规则。请参阅该图片以获取实际示例;
注意:你缺少一个网络图来帮助你
答案2
除了防火墙策略之外,每个防火墙都需要一条到其他站点的静态路由;否则它将不知道如何通过 MPLS 路由器到达另一个站点。
由于您实际上并未描述您的网络,因此我们假设以下情况:
站点 1:
- 子网:10.1.0.0/16
- SonicWall LAN 接口:10.1.0.1
- MPLS 路由器:10.1.0.10
站点 2:
- 子网:10.2.0.0/16
- SonicWall LAN 接口:10.2.0.1
- MPLS 路由器:10.2.0.10
您需要向防火墙添加以下静态路由:
- 站点 1 中的 SonicWall:“您可以通过 10.1.0.10 到达 10.2.0.0/16”
- 站点 2 中的 SonicWall:“您可以通过 10.2.0.10 到达 10.1.0.0/16”