公司网络架构是这样的:
客户机通过H3C S5500V2 连接,然后经过SecPath F1000-C8110防火墙,最后通过MSR3610路由器访问外网,默认情况下用户是无法访问互联网的,如果用户要访问互联网,需要在路由器上编辑acl 3010,将客户端IP地址添加入允许列表,例如:
[Router-acl-ipv4-adv-3010]dis acl 3011
Advanced IPv4 ACL 3010, 3 rules,
ACL's step is 5
rule 10 permit ip source 192.168.1.10 0 (38920 times matched)
rule 11 permit ip source 192.168.1.19 0 (166928 times matched)
rule 14 permit ip source 192.168.1.14 0 (80141 times matched)
但是最近发现一个客户端192.168.1.20很奇怪,IP并不是在这个acl中,但是他可以访问外网,路由器配置也没有找到这个IP其他相关配置,然后我加了一条:
rule 1 deny ip source 192.168.1.20 后发现该客户端还是能访问互联网,不知道是什么原因?
(0)
外网口就一个。
第四跳是路由器公网接口的网关。
C:\Users\admin>tracert www.baidu.com
通过最多 30 个跃点跟踪
到 ***.*** [36.152.44.95] 的路由:
1 * * * 请求超时。
2 * * * 请求超时。
3 * * * 请求超时。
4 2 ms 2 ms 2 ms 39.XXX.XXX.XXX
5 3 ms * 3 ms 120.199.255.213
6 * 4 ms * 221.183.64.53
7 12 ms 11 ms * 221.183.42.129
8 * 11 ms 11 ms 221.183.59.54
9 * * * 请求超时。
10 11 ms 12 ms 12 ms 182.61.216.72
11 * * * 请求超时。
12 10 ms 10 ms 10 ms 36.152.44.95
跟踪完成。
(0)
是不是在防火墙那里做了nat转换,你把设备的路由追踪打开,在客户端做tracert跟踪。
(1)
感谢楼上几位大拿帮忙,已经解决。是因为路由器上有一条NAT规则导致: nat outbound 当时也不知道为啥会有这条规则,取消后正常。
感谢楼上几位大拿帮忙,已经解决。是因为路由器上有一条NAT规则导致: nat outbound 当时也不知道为啥会有这条规则,取消后正常。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明