由于报文两次经过防火墙导致不同VLAN下的计算机无法管理防火墙

发布时间:  2014-09-20 浏览次数:  261 下载次数:  0
问题描述

PC1、PC2和PC3属于不同的VLAN,三台PC管理USG失败。
处理过程
1. 创建一个管理vlan 11,用它来管理防火墙自身。
interface Vlanif11   ip address 3.3.3.2 255.255.255.0
2. 创建虚拟防火墙,并valn 11加入到该虚拟防火墙。
vlan 11  binding vpn-instance vfw1
3. 配置虚拟防火墙的网关。
ip route-static vpn-instance vfw1 0.0.0.0 0.0.0.0 3.3.3.3
根因
透明模式下只能通过vlanif口管理防火墙,但是由于pc的网关都指向了Lay3_switch,导致访问防火墙自身的时候会出现2次经过防火墙情况,第一次走二层经过防火墙,第二次才是走三层到达防火墙自身,而这种情况下由于会话表的关系,访问是不成功的。所以需要将管理vlan加入到虚拟防火墙,将第二次访问重新建立一条会话,这样就能正常访问了。

END