防火墙策略导致不能访问Internet

防火墙策略导致不能访问Internet

今天分公司上架一台防火墙，用于连接本地外网专线，内网及总公司的互联均使用ospf协议。拓扑如下：

1、在核心交换机上配置了静态路由，下一跳指向防火墙SRX220H的ge-0/0/0口。

2、在防火墙上配置了默认路由，下一跳指向Internet，回指路由，下一跳指向核心交换机的ge-1/0/22口。

3、在防火墙上配置了策略，trust访问外网允许，外网访问内网拒绝。

4、将核心交换机的ge-1/0/22口发布至ospf，为了能在总公司远程管理到防火墙SRX220H。

5、测试发现：

（1）在核心交换机上不能访问Internet，不能访问防火墙的ge-0/0/7口。

（2）查看路由没有问题，下一跳显示为防火墙的ge-0/0/0口。

（3）在防火墙上访问外网没有问题。

（4）在核心交换机上只能访问防火墙的ge-0/0/0口。

（5）内网测试没有问题。

（6）问题应该出现在防火墙上，于是开始查看配置，结果发现地址池配置的有问题，整个分公司使用了10.63.88.0/22有4个C的地址。

6、修改之后，进行测试，访问外网正常了。

7、感悟：

    如果是远程进行配置，一定要特别谨慎，签完不能把与防火墙的互联切断，如果能控制防火墙，再排查问题就简单多了。核心交换机与防火墙的互联没有问题，路由配置没有问题，只能是策略方面的事情了，以后再有类似的项目实施，思路会更加明确，希望能为各位读者带来帮助，如有问题，可以留言互动。

本文出自 “刘飞的博客空间” 博客，谢绝转载！