防火墙策略导致不能访问Internet

今天分公司上架一台防火墙,用于连接本地外网专线,内网及总公司的互联均使用ospf协议。拓扑如下:wKioL1RkHOHCxs88AAFZ0k7hJcs298.jpg


1、在核心交换机上配置了静态路由,下一跳指向防火墙SRX220H的ge-0/0/0口。

2、在防火墙上配置了默认路由,下一跳指向Internet,回指路由,下一跳指向核心交换机的ge-1/0/22口。

3、在防火墙上配置了策略,trust访问外网允许,外网访问内网拒绝。

4、将核心交换机的ge-1/0/22口发布至ospf,为了能在总公司远程管理到防火墙SRX220H。

5、测试发现:

(1)在核心交换机上不能访问Internet,不能访问防火墙的ge-0/0/7口。

(2)查看路由没有问题,下一跳显示为防火墙的ge-0/0/0口。

(3)在防火墙上访问外网没有问题。

(4)在核心交换机上只能访问防火墙的ge-0/0/0口。

(5)内网测试没有问题。

(6)问题应该出现在防火墙上,于是开始查看配置,结果发现地址池配置的有问题,整个分公司使用了10.63.88.0/22有4个C的地址。


wKiom1RkHHSycIzVAAFCsxeAyGQ372.jpg


6、修改之后,进行测试,访问外网正常了。

wKioL1RkLdPT054jAANw7_Jsnjs834.jpg

7、感悟:

    如果是远程进行配置,一定要特别谨慎,签完不能把与防火墙的互联切断,如果能控制防火墙,再排查问题就简单多了。核心交换机与防火墙的互联没有问题,路由配置没有问题,只能是策略方面的事情了,以后再有类似的项目实施,思路会更加明确,希望能为各位读者带来帮助,如有问题,可以留言互动。