クライアントが同じ VLAN 上の異なるレイヤ2インタフェースを介して通信できない

問題

パロアルトネットワークファイアウォールは、同じ VLAN に属する複数の L2 インタフェースで構成されています。エンドクライアントはこれらのインターフェイスの背後に配置されますが、相互に通信できません。

原因

この問題は、レイヤ2のインタフェースがレイヤ2ゾーンに割り当てられていない場合に発生します。パロアルトネットワークファイアウォールでは、セキュリティポリシーによって、同一または異なるゾーン間を通過するトラフィックが許可または拒否されます。インターフェイスがレイヤ3、レイヤ2、VWire、または tap として構成されているかどうかによって、トラフィックはゾーンにバインドされていない限り、これらのインタフェースを通過しません。したがって、レイヤ2インタフェースであっても、必要に応じてレイヤ2ゾーンに割り当て、ポリシーを設定する必要があります。

解決方法

レイヤ2ゾーンにインタフェースを割り当て、変更をコミットします。インターフェイスが同じゾーンに割り当てられていない場合、または既定の拒否規則が構成されている場合は、ポリシーを構成します。

所有者: kprakash