我在主机能够ping其他主机,他们不应该能够沟通的问题。
相当简单的networking相关硬件:
我只想完成两个目标:使用HP交换机为Trust和DMZ子网(使用VLAN)提供服务,并向Netgear交换机运行802.1Q VLAN中继,以使其端口可以访问其余的多个VLAN的networking。
我曾经用一个完全相同的惠普交换机(这个交换机出现故障并被更换)和之前的HP Procurve 2400M交换机。
我有3个VLANconfiguration:
我已将HP交换机上的2个独立端口组分配为VLAN 2和VLAN 3的未标记VLAN端口。我为VLAN 2和VLAN 3分配了2个“中继”端口作为标记VLAN端口。两个中继端口连接到端口Netgear交换机和旧HP交换机上的一个端口。 (主要用于testing)Netgear和旧惠普在configuration方面类似于新的HP,包括VLAN,未标记和中继端口。
防火墙的DMZ和Trust接口连接到新HP交换机上每个相应的未标记VLAN端口组。 默认情况下,防火墙设置为阻止几乎所有的stream量进出DMZ和信任networking,除了非常有限的事情。 肯定ICMP被阻塞。
我在所有交换机上的Trust和DMZ端口组上都连接了互联网。 问题是,我也可以在任何交换机上ping信任端口/主机的DMZ端口。 但是我不能从DMZ主机ping信任主机。
毋庸置疑的是,这种投射方式使得这些细分受到了相互的阻挠。
我已经尝试将默认VLAN从1更改为3,我试图断开非核心交换机,我试图断开任何设备有多个接口,例如其中一个连接到VLAN 2,另一个连接到VLAN 3。事情改变了我可以从VLAN 3端口组的主机ping到VLAN 2端口组的事实。
我在这里做些什么愚蠢的事情?
我有一个防火墙策略规则,导致可ping,ICMP回显权限隐藏在组服务列表中,并限制到某些主机,我没有看到它。 :-0还有一个问题获得VLAN 2连接到Netgear的端口上,该端口使用该VLAN ID进行标记,但似乎通过重新启动该设备来解决。 (在这个设置的用户界面中不清楚)现在一切正常。