基于HP Pro曲线、Juniper Netscreen的VLAN隔离失败

Question

我对主机不能与它们通信的其他主机有问题。

相当简单的网络相关硬件：

• 高压Procurve 2810-24G开关
• Juniper Netscreen 208防火墙
• Netgear GS-108 GS开关

我只想完成两个目标:使用HP交换机为信任和DMZ子网服务(使用VLAN )，并在Netgear交换机上运行802.1Q VLAN中继线，以便其端口能够访问网络其余部分中的多个VLAN。

我曾经用一个相同的惠普开关(它失败了，已经被替换)来做这个，在此之前，我使用了一个惠普Pro弧线2400 m开关。

我配置了3个VLAN：

• ID: 1 (DEFAULT_VLAN -无法删除)
• 编号:2(非军事区)
• 编号:3(信托)

我在HP交换机上为VLAN 2和3分配了两组单独的端口，作为VLAN 2和3的无标记VLAN端口。我为VLAN 2和3分配了两个“主干”端口作为标记VLAN端口。这两个主干端口连接到网络设备交换机上的一个端口，以及旧的HP交换机上的一个端口。(主要用于测试)在VLAN、无标记端口和主干端口方面，Netgear和旧HP配置类似于新HP。

防火墙的DMZ和Trust接口连接到新HP交换机上的每一组适当的无标记VLAN端口。防火墙被设置为默认情况下阻塞DMZ和信任网络之间的几乎所有通信量，但非常有限的情况除外。ICMP肯定被封锁了。

我在所有交换机上的信任端口组和DMZ端口组上都有到/从internet的连接。问题是，我也可以在任何交换机上从信任端口/主机中选择DMZ端口。但我不能从DMZ主机切换到信任主机。

不用说，这种方式降低了各部分之间相互防火墙的程度。

我尝试将默认的VLAN从1改为3，我尝试断开非核心交换机，我尝试断开任何有多个接口的设备(例如，一个连接到VLAN 2，另一个连接到VLAN 3 )。这些都不能改变我可以从VLAN 3端口组上的主机切换到VLAN 2端口组的事实。

我是不是在做傻事？

Answer 1

我有一个防火墙策略规则，它导致了pingability，ICMP回送权限隐藏在一个组服务列表中，并且仅限于特定的主机，但我没有看到它。-0也有一个问题，使VLAN 2连接到网络设备上的一个端口，该端口被标记为该VLAN ID，但这似乎随着该设备的重新启动而得到解决。(这个设置在UI中不清楚)现在一切都好了。