配置多个网段透明通过 SonicWALL防火墙.docx

配置多个网段透明通过 SonicWALL防火墙.docx

《配置多个网段透明通过 SonicWALL防火墙.docx》由会员分享，可在线阅读，更多相关《配置多个网段透明通过 SonicWALL防火墙.docx（8页珍藏版）》请在冰豆网上搜索。

配置多个网段透明通过SonicWALL防火墙

配置多个网段透明通过SonicWALL防火墙

简介:

配置多个网段透明通过SonicWALL防火墙

本文适用于：

涉及到的Sonicwall防火墙

Gen5:

NSAE7500,NSAE6500,NSAE5500,NSA5000,NSA4500,NSA3500,NSA2400,NSA240

Gen5TZ系列:

TZ100,TZ100Wireless,TZ200,TZ200W,TZ210,TZ210Wireless

Gen4:

PRO系列:

PRO5060,PRO4100,PRO4060,PRO3060,PRO2040,PRO1260

Gen4:

TZ系列:

TZ190,TZ190W,TZ180,TZ180W,TZ170,TZ170W,TZ170SP,TZ170SPWireless

固件/软件版本:

所有SonicOS增强版版本

服务:

TransparentMode,StaticARP,StaticRouting

功能与应用

路由器有两个LAN口，IP地址分别是218.247.156.10和192.168.100.1，内部没有三层交换机，只是通过二层交换机连接两个网段的部分机器，分别是218.247.156.2到218.247.156.7和192.168.100.3到192.168.100.254，内部这些机器的网关分别指向218.247.156.10和192.168.100.1。

安装SonicWALL防火墙用于网络防护，可以启动UTM功能。

配置步骤：

第一个网段透明

1.进入Network->Interfaces页面，设置WAN=218.247.156.8，255.255.255.0，把LAN口选择成TransparentMode，在TransparentRange选择Createnewaddressobject，如图所示：

 LAN口配置成透明后，鼠标移动到LAN口对应的那行TransparentMode上，会自动显示出配置的透明范围

第二个网段透明

 第二个网段透明通过SonicWALL从X0进入，从X1出去到上游路由器，SonicWALL透明模式是工作在三层的ARP代理方式实现的，不是二层桥透明，并且透明范围只能和WAN口的IP地址在同一个网段，因此在LAN口上（X0）上设置第二个透明范围与WAN口IP地址不在同一网段是不允许的。

因此，配置第二个网段穿过SonicWALL防火墙需要采用静态路由和静态ARP方式。

其实要配置的内容很简单，共有三个配置：

1）告诉防火墙到第二个网段的透明范围，如本例的192.168.100.3-192.168.100.254，要通过X0口到达，网关是0.0.0.0，其实就是不用网关

2）告诉防火墙到第二个网段的上游路由器的IP地址，如本例的192.168.100.1要通过X1口，网关是0.0.0.0，其实就是不用网关

3）告诉防火墙上游路由器的第二个网段用的网关的IP地址对应的MAC地址，

静态ARP配置界面

1.进入Network->AddressObjects页面，创建两个地址对象：

WAN安全域的HOST192.168.100.1，LAN安全域的范围192.168.100.3-192.168.100.254

2.进入Network->Routing页面，增加两条静态路由，告诉防火墙到上游路由器第二个IP地址和到内部第二个网段的路由，网关设置成0.0.0.0是告诉防火墙直接在相应的端口上广播ARP，不用经过其他的路由器。

本例是到192.168.100.1通过X1口直接可达，到192.168.100.3-192.168.100.254通过X0口可达。

3.进入Network->ARP页面，增加一条静态的ARP，告诉防火墙到上游路由器的第二个IP地址192.168.100.1的MAC地址是多少，如图所示：

提示：

这里的MACAddress是上游路由器的MAC地址，端口选择X1口

测试：

1．从218.247.156.2可以Ping218.247.156.10

2．从192.168.100.3可以Ping192.168.100.1

注意：

一种可能的情况是所有的配置都正确，但是内部的透明范围之内的机器都不能ping通上游的路由器。

解决办法：

确认上游路由器的ARP表是否刷新了。

SonicWALL透明是工作在三层，因此如果上游的路由器ARP表记录的各个透明范围内的IP地址对应的MAC地址不是SonicWALLWAN口的MAC地址，那么所有的回包都会被SonicWALL防火墙丢弃，因此会造成如上的现象。

采用版本固件SonicOSEnhanced3.2及以上版本会自动广播ARP，更新上游路由器的ARP表，管理员也可以直接手动更新上游路由器的ARP表。

分类：

TechnicalDoc