Frissítettük SSO-nkat (Single Sign On) – Jelentkezzen be az összes Zyxel rendszerbe MyZyxel fiókkal! Tudjon meg többet!

Cikk megnyitása
Magyar Български Čeština Dansk Deutsch English Español Suomi Français Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

Az alapértelmezett tiltó tűzfalszabály blokkolja a LAN-forgalmat? Firewalls vagy router WAN és LAN zóna nincs megfelelően szétválasztva Tűzfal icon

Avatar
  • Frissítve
Vissza a tetejére

Ez a cikk megmagyaráz egy gyakori problémát, amelyet ügyfeleink rendszeresen jelentenek. Ennek nem a tűzfal hibás konfigurációja vagy hiba az oka, hanem a hálózati topológia problémája.

 

1. A probléma tünetei

2. Ennek a tünetnek a kiváltó oka

3. Hogyan igazolható, hogy a topológia az oka ennek?

4. A probléma megoldása

5. Az eredmény ellenőrzése

 

 

1. A probléma tünetei

Észreveheti, hogy a LAN-kliensek nem férnek hozzá az internethez. A Figyelő > Napló alatt észreveheti, hogy az alapértelmezett tiltó tűzfalszabály blokkolja a forgalmat ezeknél az eszközöknél.

mceclip2.png

 

2. Ennek a tünetnek a kiváltó oka

Észrevettük, hogy ezekben az esetekben a topológia így nézett ki. A cél talán az volt, hogy a hardvert úgy mentsük el, mint egy switchet, és VLAN-ok segítségével a kapcsolót „két különálló logikai kapcsolóra” osztják szét.

mceclip3.png

Bár a fenti topológia nagyon leegyszerűsített, a valós forgatókönyvben ezt nehéz lehet azonnal látni. De az alapötlet egyértelmű: A WAN és a LAN zóna nincs megfelelően elválasztva!

 

3. Hogyan igazolható, hogy a topológia az oka ennek?

Míg a kalibráció és a VLAN címkézés ellenőrzése a kapcsolón időigényes lehet, a legegyszerűbb módja annak, hogy azonnal ellenőrizze a tűzfal ARP tábláját. SSH-n keresztül kell bejelentkeznie, és a következő parancsot kell használnia:

 show arp-table

mceclip0.png

A fenti példában azt látja, hogy a LAN-hoz tartozó privát IP-címeket megtanulták a WAN-porton. Ezért ez már bizonyíték arra, hogy valami nincs rendben a kábelezéssel vagy a switch VLAN-címkézésével.

 

4. A probléma megoldása

Ha hardvert szeretne menteni, és esetleg ugyanazt a kapcsolót szeretné használni a tűzfal LAN és WAN oldalán, ellenőrizze, hogy a VLAN címkézés helyes-e. Valójában egy hardverkapcsolóból "két külön kapcsolót" lehet létrehozni VLAN-ok használatával.

Ügyeljen arra, hogy portonként csak egy PVID és címkézetlen VLAN legyen, és zárjon ki minden felesleges VLAN-t minden portról! További információ a VLAN-címkézésről a kapcsolókon itt: VLAN-ok a Zyxel Switches-en

 

 

5. Az eredmény ellenőrzése

Előfordulhat, hogy először törölnie kell az ARP táblát: A tűzfal ARP táblájának törlése


Ezután futtassa a parancsot

 show arp-table

ismételten annak ellenőrzésére, hogy a LAN MAC-ok és IP-címek csak a LAN-interfészen tanulhatók-e meg a WAN-interfész helyett.

 

NYILATKOZAT:

 Tisztelt Ügyfelünk! Kérjük, vegye figyelembe, hogy gépi fordítást használunk a cikkek az Ön nyelvén való biztosításához. Nem minden szöveg fordítható le pontosan. Ha kérdései vagy eltérései vannak a lefordított változatban szereplő információk pontosságával kapcsolatban, kérjük, tekintse át az eredeti cikket itt: Eredeti verzió

Ellenőrizze az opciókat a Támogatással kapcsolatban
Hasznos volt ez a cikk?
0/0 szavazó hasznosnak találta ezt
További kérdései vannak? Kérelem beküldése

Kapcsolódó cikkek

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.