Join our next TECHtalk Episode on Cctober 26th - Nebula Phase 15 - New Tools

Register
Русский Български Čeština Dansk Deutsch English Español Suomi Français Hrvatski Magyar Italiano Nederlands Norsk Polski Română Slovenčina svenska Türkçe

Мое правило запрета брандмауэра по умолчанию блокирует трафик моей локальной сети? Firewalls или зоны маршрутизаторов WAN и LAN не разделены должным образом Файрвол icon

Avatar
David Mössner
  • Обновлено
К началу страницы

Эта статья должна объяснить распространенную проблему, о которой регулярно сообщают наши клиенты. Причиной этого является не неправильная конфигурация брандмауэра или ошибка, а проблема в топологии сети.

 

1. Симптомы проблемы

2. Основная причина этого симптома

3. Как доказать, что причина в топологии

4. Как решить эту проблему

5. Проверка результата

 

 

1. Симптомы проблемы

Вы можете заметить, что клиенты локальной сети не могут получить доступ к Интернету. В разделе Монитор > Журнал вы можете заметить, что правило брандмауэра по умолчанию запрещает блокировать трафик для этих устройств.

mceclip2.png

 

2. Основная причина этого симптома

Мы заметили, что в этих случаях топология выглядела так. Возможно, целью было сохранить аппаратное обеспечение, такое как коммутатор, и использовать VLAN для разделения коммутатора на «два разных отдельных логических коммутатора».

mceclip3.png

Хотя приведенная выше топология очень упрощена, в реальном сценарии это может быть трудно сразу увидеть. Но основная идея ясна: зоны WAN и LAN не разделены должным образом!

 

3. Как доказать, что причина в топологии

Хотя проверка калибровки и тегов VLAN на коммутаторе может занять много времени, самый простой способ проверить это сразу — проверить таблицу ARP вашего брандмауэра. Вам нужно войти через SSH и использовать команду:

 show arp-table

mceclip0.png

В приведенном выше примере вы видите, что частные IP-адреса, принадлежащие локальной сети, были получены через порт WAN. Следовательно, это уже является доказательством того, что что-то не так с вашим кабелем или маркировкой VLAN вашего коммутатора.

 

4. Как решить эту проблему

Если вы хотите сэкономить оборудование и, возможно, использовать один и тот же переключатель на стороне LAN и WAN вашего брандмауэра, убедитесь, что теги VLAN указаны правильно. На самом деле можно сделать «два отдельных коммутатора» из одного аппаратного коммутатора с помощью VLAN.

Убедитесь, что для каждого порта имеется только один PVID и нетегированная VLAN, и исключите все остальные ненужные VLAN для каждого порта! Дополнительная информация о тегировании VLAN на коммутаторах здесь: VLAN на Zyxel Switches

 

 

5. Проверка результата

Возможно, сначала вам придется очистить таблицу ARP: Очистка таблицы ARP вашего брандмауэра


Затем запустите команду

 show arp-table

еще раз, чтобы проверить, изучаются ли MAC-адреса и IP-адреса LAN только на интерфейсе LAN, а не на интерфейсе WAN.

 

ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:

 Уважаемый клиент, имейте в виду, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь: Оригинальная версия

Центр поддержки Zyxel
Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Похожие статьи

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.