防火墙旁挂引流
- 0关注
- 0收藏,501浏览
问题描述:
现有多个业务网段,其中vlan10和vlan20访问外网是正常转发,旁挂部署一台防火墙,通过PBR引流的方式,将vlan10和vlan20两个相互访问的流量引流到防火墙上,但是两个PC之间发现无法互通,不知道是哪里配置有问题?
核心交换机配置:
防火墙安全策略是全部放行的:
PC4可以ping通路由器,但是ping往PC5的包触发PBR,被引流到防火墙,就不通了
组网及组网描述:
- 2023-11-22提问
- 举报
-
(0)
最佳答案
你路由怎么配置的?还有防火墙的安全策略,怎么配置的,你先尝试使用any-any 的策略
另外,你要是实现的目的是什么,同网段互访也要经过防火墙是么?
你这个感觉配置上比较麻烦。
你把两个网段的PC网关放在防火墙上吧
- 2023-11-22回答
- 评论(4)
- 举报
-
(0)
流量引至防火墙后,防火墙是否有做配置把流量再引回交换机?
建议防火墙透明部署,旁挂引流容易出现流量来回路径不一致的情况
- 2023-11-22回答
- 评论(1)
- 举报
-
(0)
防火墙有一条默认路由从untrust指向了核心
核心交换机关闭快转负载分担功能试试
[hexin] undo ip fast-forwarding load-sharing
PBR引流后,会有生成一条快转表项。关闭快速转发负载分担功能后,将会根据入接口的不同对已标识的数据流再次做出区分,即将入接口作为区分数据流的另一特征标识。开启快速转发负载分担功能后,当一条数据流从不同入接口上来进行转发时,不再根据入接口不同区分数据流,只根据报文中的信息标识一条数据流。要实现PBR回流的流量不匹配原快转条目,即区分流量入接口分别生成不同的快转表项,则必须关闭快转负载分担功能
- 2023-11-22回答
- 评论(1)
- 举报
-
(0)
这个我也已经关掉了
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
防火墙上一条默认路由指向了核心交换机,防火墙策略是any-any,需要实现的目的是,两个网段之间互访经过防火墙,其它都不经过防火墙
看到你发的tracert 了,这是流量到核心了,有匹配你的pbr 回到防火墙了。
优化一下pbr ,使防火墙来的流量不匹配PBR了
创建一个node 10.182.200 网段到你PC网段的,下一跳什么都不匹配