配置多个网段透明通过 SonicWALL防火墙.docxVIP

配置多个网段透明通过SonicWALL防火墙?简介: 配置多个网段透明通过SonicWALL防火墙?本文适用于：涉及到的Sonicwall防火墙?Gen5: NSA E7500, NSA E6500, NSA E5500, NSA 5000, NSA 4500, NSA 3500, NSA 2400, NSA 240Gen5 TZ系列: TZ 100, TZ 100 Wireless, TZ 200, TZ 200 W, TZ 210, TZ 210 WirelessGen4: PRO系列: PRO 5060, PRO 4100, PRO 4060, PRO 3060, PRO 2040, PRO 1260Gen4: TZ 系列: TZ 190, TZ 190 W, TZ 180, TZ 180 W, TZ 170, TZ 170 W, TZ 170 SP, TZ 170 SP Wireless固件/软件版本: 所有SonicOS增强版版本服务: Transparent Mode, Static ARP, Static Routing?功能与应用?路由器有两个 LAN 口，IP 地址分别是 218.247.156.10 和 192.168.100.1，内部没有三层交换机，只是通过二层交换机连接两个网段的部分机器，分别是 218.247.156.2 到218.247.156.7 和 192.168.100.3 到 192.168.100.254，内部这些机器的网关分别指向 218.247.156.10 和 192.168.100.1。安装SonicWALL防火墙用于网络防护，可以启动 UTM 功能。?配置步骤：???第一个网段透明1. 进入 Network-Interfaces 页面，设置 WAN=218.247.156.8，255.255.255.0，把 LAN 口选择成 Transparent Mode，在 Transparent Range 选择 Create new address object，如图所示：??LAN口配置成透明后，鼠标移动到 LAN口对应的那行 Transparent Mode 上，会自动显示出配置的透明范围??第二个网段透明?第二个网段透明通过SonicWALL从 X0 进入，从 X1 出去到上游路由器，SonicWALL透明模式是工作在三层的 ARP 代理方式实现的，不是二层桥透明，并且透明范围只能和 WAN 口的 IP 地址在同一个网段，因此在 LAN 口上（X0）上设置第二个透明范围与 WAN 口 IP 地址不在同一网段是不允许的。因此，配置第二个网段穿过SonicWALL防火墙需要采用静态路由和静态 ARP 方式。其实要配置的内容很简单，共有三个配置：1）告诉防火墙到第二个网段的透明范围，如本例的 192.168.100.3-192.168.100.254，要通过 X0 口到达，网关是 0.0.0.0，其实就是不用网关2）告诉防火墙到第二个网段的上游路由器的 IP 地址，如本例的 192.168.100.1要通过X1 口，网关是 0.0.0.0，其实就是不用网关3）告诉防火墙上游路由器的第二个网段用的网关的 IP 地址对应的 MAC 地址，??静态 ARP配置界面1. 进入 Network-Address Objects 页面，创建两个地址对象：WAN 安全域的HOST 192.168.100.1，LAN 安全域的范围 192.168.100.3-192.168.100.254?2. 进入 Network-Routing 页面，增加两条静态路由，告诉防火墙到上游路由器第二个 IP 地址和到内部第二个网段的路由，网关设置成 0.0.0.0 是告诉防火墙直接在相应的端口上广播 ARP，不用经过其他的路由器。本例是到 192.168.100.1 通过 X1 口直接可达，到 192.168.100.3-192.168.100.254 通过 X0 口可达。?3. 进入Network-ARP 页面，增加一条静态的 ARP，告诉防火墙到上游路由器的第二个IP地址 192.168.100.1 的 MAC 地址是多少，如图所示：?提示：这里的 MAC Address 是上游路由器的 MAC 地址，端口选择 X1 口???测试：1．从 218.247.156.2 可以 Ping 218.247.156.10 2．从 192.168.100.3 可以 Ping 192.168.100.1?注意：一种可能的情况是所有的配置都正确，但是内部的透明范围之内的机器都不能 ping 通上游的路由器。解决办法：确认上游路由器的 ARP 表是否刷新了。SonicWALL透明是工作在三层，因此如果