USG2110 用二层口做上下业务口域间策略失效的案例

发布时间:  2014-07-01 浏览次数:  264 下载次数:  0
问题描述
如下图,印度XX客户已经购买USG2110防火墙,作为外网Internet接入安全网关。要求用二层口连接上下行业务,4口连接外网internet,3、4口在DMZ区域,1和2划到内网trust区域。0口连接MPLS区域。部署完成后,发现trust和untrust的域间策略不起作用。
告警信息
untrust 区域ping trust区域可以ping通,无其他告警信息。
处理过程
将4口连接的internet的区域连线连接到1个三层上,将三层口划到untrust区域,域间策略生效,问题解决。
根因
查阅手册后得知,低端防火墙的二层口在一个交换板上,使用的也是统一个转发cpu,域间策略是通过不同的CPU控制,导致策略不起作用。 
建议与总结
低端防火墙不同区域需要放到不同的三层口,或者三、二层口之间。

END