防火墙策略导致不能访问Internet
今天分公司上架一台防火墙,用于连接本地外网专线,内网及总公司的互联均使用ospf协议。拓扑如下:
1、在核心交换机上配置了静态路由,下一跳指向防火墙SRX220H的ge-0/0/0口。
2、在防火墙上配置了默认路由,下一跳指向Internet,回指路由,下一跳指向核心交换机的ge-1/0/22口。
3、在防火墙上配置了策略,trust访问外网允许,外网访问内网拒绝。
4、将核心交换机的ge-1/0/22口发布至ospf,为了能在总公司远程管理到防火墙SRX220H。
5、测试发现:
(1)在核心交换机上不能访问Internet,不能访问防火墙的ge-0/0/7口。
(2)查看路由没有问题,下一跳显示为防火墙的ge-0/0/0口。
(3)在防火墙上访问外网没有问题。
(4)在核心交换机上只能访问防火墙的ge-0/0/0口。
(5)内网测试没有问题。
(6)问题应该出现在防火墙上,于是开始查看配置,结果发现地址池配置的有问题,整个分公司使用了10.63.88.0/22有4个C的地址。
6、修改之后,进行测试,访问外网正常了。
7、感悟:
如果是远程进行配置,一定要特别谨慎,签完不能把与防火墙的互联切断,如果能控制防火墙,再排查问题就简单多了。核心交换机与防火墙的互联没有问题,路由配置没有问题,只能是策略方面的事情了,以后再有类似的项目实施,思路会更加明确,希望能为各位读者带来帮助,如有问题,可以留言互动。
转载于:https://blog.51cto.com/liufei888/1576002