Palo Alto e 802.1q

1

Eu tenho um firewall do Palo Alto conectado a um link que executa o 802.1q e o provedor atribuiu uma VLAN específica para usarmos.

No entanto, não consigo pingar a outra extremidade do link, se eu substituir o firewall do Palo Alto por um Cisco Switch, ele funcionará perfeitamente.

No Palo Alto eu configurei uma interface de camada 3 (ethernet 1/1) sem endereço IP, então criei uma subinterface (ethernet1 / 1.20), ela tem um endereço IP e eu configurei a tag ( 20) para ser o ID da VLAN 802.1q. Anexado a essa interface, há um roteador virtual com rotas estáticas direcionando todo o tráfego para o endereço I.P de destino.

Limpei todas as regras de firewall e configurei uma permissão para testes.

Quando eu tento e faço ping na outra ponta do link, recebo respostas "host inacessível" do ICMP e vejo o firewall permitindo o tráfego.

Dado o switch Cisco funciona perfeitamente, eu devo estar perdendo algo óbvio, sugestões apreciadas.

    
por ServerMonkey 06.01.2015 / 13:05

1 resposta

0

A solução para o problema foi atribuir uma zona de segurança à interface externa, uma vez que eu consegui acessar o outro site. Isso ocorre devido a um bloqueio padrão no tráfego entre as regiões.

    
por 07.01.2015 / 01:06