FAQ-为什么不能跨虚拟防火墙访问根防火墙接口地址

发布时间:  2014-09-18 浏览次数:  211 下载次数:  0
问题描述
为什么不能跨虚拟防火墙访问根防火墙接口地址?
如下图所示,192.168.1.1为什么无法ping通3.1.1.2?
解决方案
VRP生成多个虚拟防火墙的路由信息,每个虚拟防火墙都包含自己接口的IP地址生成的到防火墙本身的路由,但是这些路由都是基于虚拟防火墙标识来区分的,因此在vfw1上不能查询到root上的路由,同时不能配置到防火墙本身的路由(即下一跳为127.0.0.1的路由)。
这就会造成问题中描述的现象:192.168.1.1 ping 3.1.1.1时,可以根据配置的路由,查到到出接口和下一跳,因为存在IP为3.1.1.1的设备,因此可以ping通;当192.168.1.1 ping 3.1.1.2时,在vfw1中查找到的路由和3.1.1.1时是一样的,因此防火墙也会根据出接口和下一跳来发送报文,但是发送的ARP报文因为不存在3.1.1.2的其他设备,因此不能ping通。
如果需要192.168.1.1 ping通3.1.1.2的接口IP,则需要在vfw1增加一条路由信息(目的为3.1.1.2 下一跳为127.0.0.1),但是路由信息中不能添加下一跳为127.0.0.1的IP地址,因此对于vfw1来说不能生成正确的到其他虚拟防火墙或者根防火墙下的接口IP的路由信息。

END