这篇文章与SonicWALL NSA 2400的远程访问多个子网的configuration不完全相同。 但是,我几乎是逐字地有这个问题。 不幸的是,我们甚至已经支付了SonicWALL的支持,甚至是通过循环抛出。
我们不同的是,我只是试图使用第2层桥接模式。 没有NAT,没有路由。 我们的愿望是使SonicWALL除了监听networking之外,除了selectUDP和TCP端口之外,还可以阻止所有stream量,并为所有其他不受欢迎的stream量提供状态检查,如拒绝服务攻击,防病毒,反间谍软件, X1接口在子网A上configuration。子网中剩余的可用IP分配给连接到X2(DMZ)端口上的交换机的服务器。
直到最近,这个configuration工作得很好。 但是现在我们面临着一个问题。 我们使用了我们的整个子网A并且需要更多,所以我们被分配了另一个/ 28子网。 在这个子网中运行的服务器被插入同一台交换机的端口X2,并且VLAN没有被使用,所以我们有两个networking住在同一个广播域内。 这看起来很好,因为所有的SonicWALL应该做的就是数据包检测,而不应该关心stream经它的stream量的路由方面。 我们将在X1端口上的networking路由器(我们无法控制的)担心两个实际位于同一广播域的子网之间的路由。
从互联网上,这个configuration工作正常。 我们能够访问子网A和子网B的networking。 当我们希望两个networking相互通信时,就会出现问题。 我们期望两个networking使用SonicWALL另一端的路由器来互相通信,但是我已经certificate,数据包不会超过SonicWALL。 没有防火墙日志表明由于规则而丢失通信。 相反,当我在SonicWALL上执行数据包捕获时,我能够看到数据包进入端口X2,并且不会被转发。 状态只是说“收到”(奇怪的是,不能在任何文档中find有效的状态(文档说'删除'是由于防火墙规则stream量下降))。
支持给我发送了上述文章中引用的确切文档,但不适用于这种情况。 在谈到天困难的支持之后,我终于build议除了添加静态路由之外,别无他法:
来源:任何,Dest:子网B,网关:0.0.0.0,接口X2。
当前路由表只包含它自己添加的默认项目。 所以,即使您对SonicWALL没有任何具体的了解,请告诉我是否添加上述静态路由对任何人都有意义。 目前的表格是:
来源:任何,目的地:子网网关,网关:0.0.0.0,接口X1。 来源:任何,Dest:子网A,网关:0.0.0.0,接口X1。 来源:任何,目的地:任何,网关:子网网关,接口X1。
对我来说,这个数字已经不是X2了。 我感觉好像子网A网关是stream量从子网Astream出的唯一原因,但是它对于它是如何返回是没有意义的,因为这应该离开接口X2并且上面的表已经列出了X1。 同样有趣的是,子网B能够与互联网通信,我觉得这是由于最后一条规则。 子网A和B的网关有相同的MAC地址:所以它只能是一个巧合,它的工作。 仍然没有意义的stream量如何最初从互联网子网。
事实certificate,没有人能够解决我的问题。 我对SonicWALL支持进行了两个月的谈话,只得到了黑暗中的“解决scheme”。 他们非常清楚地表示,他们不理解他们所支持的设备,给了我不可接受的解决scheme。 他们并不在意我对他们不可接受的解决scheme的看法,因为他们所做的只是再次提出他们的build议。 这些产品没有仿真软件(至less思科有分组追踪器),而且它们非常昂贵,所以除了我在活动服务器上每隔一段时间在计划的时间里每隔一小段时间,就没有办法testing他们荒谬的解决scheme-时间。 他们也不尊重这个,星期一打电话给我,要求进入SonicWALL。 当我绝对不说的时候,他们似乎很难过。
对我曾经有过的企业产品的最大支持,尤其是因为不能自由处理这个问题。 我们放弃了这个案子,而且我有一个非常高的怀疑,我发现他们的软件中存在一个错误。 如果他们承认这样做会好得多,而不是让我两个月左右。
解决scheme:我们将这两个子网放在一个大的主机上,这个大的主机可以支持更多的主机。
旧的post,但值得一个好的评论关于“收到”状态的数据包监视器。 在Sonicwall / Dell文档中,我无法find有关此状态的任何信息。 终于有一个技术来解释它,实际上有一个简短的描述…
接收意味着数据包被接口消耗。 这意味着数据包不会在networking上进行内部处理。 接收到的另一个用途是在接收和解密数据包的VPN场景中。
这听起来像你正在尝试让sonicwall嗅探stream量,我会为此configuration一个镜像端口(在交换机上),然后configuration一个wan接口来进行嗅探。 我将configuration端口为“嗅探”区域,因为您不关心路由为什么它甚至转发stream量? 不知道这是你想做什么…
我用了几年的sonicwall,我大部分都喜欢他们的产品。 不能说我真的用得起支持,而是用最好的支持来打电话了。 通常,第一和第二支持线在任何地方都很弱。
Sonicwall NSA用户
三周后,Sonicwall终于回过头来给我答复,尽pipe我包括了一个链接到这个页面,他们仍然给了我与你一样的答复。 他们的支持似乎并不知道OSI模型中第2层和第3层之间的区别。
我做了一个投诉,有一个支持人员给我打了电话,但他似乎不知道他在做什么,我不得不纠正他,他终于放弃了,并接受了超越他,并表示他会需要将其传递给工程师。
任何人都想要15000美元的sonicwall NSA的? 很明显,他们是与Sonicwall二层桥接问题,更不用说他们的支持,需要3个星期的电子邮件jar头答复。
可能的解决scheme/解决scheme:安装一个便宜的路由器作为两个子网之间的简单访问路由器。 从sonicwall指向它的静态路由,以便在两个子网之间传递的所有stream量将通过“其他”路由器发生。
如果您正在运行桥接模式,桥接接口中有一个选项“不要在这个桥接对上路由”,这样可以解决问题,而且子网可以再次通话(即:真正的通过)。
之后的问题是,所有的stream量都会消失,碰到你的路由器,并且在返回时受到防火墙规则的约束(所以你需要更多的规则来允许你自己的IP)。 在你的路由器之前有一个packethaper(或者你的路由器只有一个100m接口而不是1gb接口),这也可能是一个痛苦,因为这无疑将会在stream量通过时形成stream量,并减慢一切。 因为这个原因,我联系了sonicwall,我同意,他们是可怕的,我不会在支持合同到期时续约。 我从他们那里得到的是无关的切割和粘贴回答,完全没用。
我们有一个NSA 4500这不是一个便宜的工具包,我期望他们更多。 让我们希望戴尔收购可以扭转局面。 我虽然怀疑
问题是您没有使用VLAN,您在同一个以太网广播域上有重叠的子网。 这是不好的devise,总是会的。