Эта статья должна объяснить распространенную проблему, о которой регулярно сообщают наши клиенты. Причиной этого является не неправильная конфигурация брандмауэра или ошибка, а проблема в топологии сети.
2. Основная причина этого симптома
3. Как доказать, что причина в топологии
1. Симптомы проблемы
Вы можете заметить, что клиенты локальной сети не могут получить доступ к Интернету. В разделе Монитор > Журнал вы можете заметить, что правило брандмауэра по умолчанию запрещает блокировать трафик для этих устройств.
2. Основная причина этого симптома
Мы заметили, что в этих случаях топология выглядела так. Возможно, целью было сохранить аппаратное обеспечение, такое как коммутатор, и использовать VLAN для разделения коммутатора на «два разных отдельных логических коммутатора».
Хотя приведенная выше топология очень упрощена, в реальном сценарии это может быть трудно сразу увидеть. Но основная идея ясна: зоны WAN и LAN не разделены должным образом!
3. Как доказать, что причина в топологии
Хотя проверка калибровки и тегов VLAN на коммутаторе может занять много времени, самый простой способ проверить это сразу — проверить таблицу ARP вашего брандмауэра. Вам нужно войти через SSH и использовать команду:
show arp-table
В приведенном выше примере вы видите, что частные IP-адреса, принадлежащие локальной сети, были получены через порт WAN. Следовательно, это уже является доказательством того, что что-то не так с вашим кабелем или маркировкой VLAN вашего коммутатора.
4. Как решить эту проблему
Если вы хотите сэкономить оборудование и, возможно, использовать один и тот же переключатель на стороне LAN и WAN вашего брандмауэра, убедитесь, что теги VLAN указаны правильно. На самом деле можно сделать «два отдельных коммутатора» из одного аппаратного коммутатора с помощью VLAN.
Убедитесь, что для каждого порта имеется только один PVID и нетегированная VLAN, и исключите все остальные ненужные VLAN для каждого порта! Дополнительная информация о тегировании VLAN на коммутаторах здесь: VLAN на Zyxel Switches
5. Проверка результата
Возможно, сначала вам придется очистить таблицу ARP: Очистка таблицы ARP вашего брандмауэра
Затем запустите команду
show arp-table
еще раз, чтобы проверить, изучаются ли MAC-адреса и IP-адреса LAN только на интерфейсе LAN, а не на интерфейсе WAN.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:
Уважаемый клиент, имейте в виду, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь: Оригинальная версия
Комментарии
0 комментариев
Войдите в службу, чтобы оставить комментарий.