我有一个Palo Alto防火墙连接到一个运行802.1q的链接,并且提供商已经分配了一个特定的VLAN供我们使用。
但是我不能ping通链路的另一端,如果我用思科交换机replacePalo Alto防火墙,它可以正常工作。
在帕洛阿尔托,我已经configuration了一个没有IP地址的三层接口(ethernet 1/1),然后我创build了一个子接口(ethernet1 / 1.20),它有一个IP地址,我已经设置了标签(20)是802.1q VLAN ID。 连接到此接口的是具有静态路由的虚拟路由器,将所有stream量引导到目标IP地址。
我已经清除了所有防火墙规则,并configuration了全部进行testing的许可证
当我尝试ping通链路的另一端时,会收到ICMP“主机不可达”响应,我可以看到允许通信的防火墙。
鉴于思科交换机工作得很好,我必须失去明显的东西,build议表示赞赏。
解决这个问题的办法是把一个安全区域分配给外部接口,一旦完成,我就可以到达另一个站点。 这是由于区域间stream量的默认阻止。