不能从防火墙到主机，从主机到防火墙，从主机到主机

Question

我有一个由几个网络组成的网络。防火墙在该网络中，监视和控制第一网络和第二网络之间的通信。

在我的第一个网络中有3个客户端，它们不能相互通信，但它们应该是。在配置防火墙之前，我可以从主机切换到另一个主机。

所以在我的第二个网络里是一个服务器。

客户端应该能够相互交谈和与服务器对话，防火墙应该监视和控制这些流量。

所以第一个问题是，我不能从客户端切换到其他客户端，也不能从客户端切换到服务器。因为我增加了防火墙。

第二个问题是，我不能用防火墙来平我的2个网络。

我的防火墙配置：

显示接口: root#运行显示配置接口

ge-0/0/0 {
   unit 0 {
       family inet {
           dhcp-client;
       }
   }
}


ge-0/0/2 {
   unit 0 {
       family inet {
           address 10.10.10.1/24;
       }
   }
}

ge-0/0/3 {
   unit 0 {
       family inet {
           address 10.10.20.1/24;
       }
   }
}

显示安全性

root# show security

policies {
   default-policy {
       permit-all;
   }
}

zones {
   security-zone ServerZone {
       tcp-rst;
       host-inbound-traffic {
           system-services {
               all;
           }
   }
    interfaces {
        ge-0/0/3.0 {
            host-inbound-traffic {
                system-services {
                    all;
                    ping;
                    http;
                    ssh;
                    https;
                }
            }
        }
    }
}
security-zone ClientZone {
    tcp-rst;
    host-inbound-traffic {
        system-services {
            all;
        }
    }
    interfaces {
        ge-0/0/2.0 {
            host-inbound-traffic {
                system-services {
                    all;
                    ping;
                    http;
                    ssh;
                    https;
                }
            }
        }
    }

如果我试图从我的防火墙平平服务器或客户端，我会得到一个错误：“目标主机不可到达”

我试图在同一个网络中从一个客户端切换到另一个客户端，但是我得到了“无法到达的目标主机”--也是错误。使用命令"arp“，我在HWaddress列中输入了我试图ping的地址：”(不完全)“。

你知道吗，我怎么才能解决这个问题？我要从客户端到客户端，从客户端到服务器，服务器到客户端，防火墙到客户端，防火墙到服务器，服务器到防火墙，客户端到防火墙。

网络图：

这是我自己发明的。我喜欢NFX设备，所以每个人都认为是一台虚拟机器。就像防火墙。

在NFX设备中配置VSRX -机器

显示配置虚拟网络函数vsrx。

type {
   virtual-machine;
}
image {
   /var/third-party/images/media-vsrx-vmdisk-15.1X49-D140.2.qcow2;
   image-type qcow2;
}
virtual-cpu {
   count 2;
   features {
       hardware-virtualization;
   }
}
interfaces eth2 {
   mapping {
       hsxe0 {
           virtual-function;
       }
   }
}
interfaces eth3 {
   mapping {
       vlan {
           members 95;
       } 
   }
}
interfaces eth4 {
    mapping {
       vlan {
           members 98;
       }
    }
}
memory {
   size 4194304;
   features {
       hugepages;
   } 
}
no-autostart;

显示vlans

Routing instance              VLAN Name          TAG          Interfaces

host -os                      vlan-client        95           VMCentos_eth2.0
                                                              VMDebian_eth2.0
                                                              VMCentos2_eth2.0
                                                              vsrx_eth3.0


host - os                     vlan-server        98           Debian0-Server_eth2
                                                              vsrx_eth4.0

Answer 1

我没有设置端口组。

要共享一个段的所有节点都需要连接到同一个端口组。

为服务器设置一个端口组，为客户端设置一个端口组。将每个客户端的vNIC连接到客户端组，将服务器的vNIC连接到服务器组。将每个防火墙vNIC连接到其中一个组。

我建议使用单个vSwitch，因为这更灵活。

如果希望端口组使用物理NIC，还需要分配VLAN (或分配不同的物理NIC--这在使用多个vSwitches时是必需的)，并相应地使用VLAN中继线设置外部交换机。