• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR3620,内网使用外网IP无法访问内网设备

2022-03-31提问
  • 0关注
  • 1收藏,1403浏览
粉丝:0人 关注:0人

问题描述:

外网访问正常但内网使用外网IP无法访问内网设备,因为设备用到很多端口,直接使用一对一静态全端口映射,内网口已开启nat hairpin

组网及组网描述:

MSR3620 V7最新版本821P18 ,交换机5560S,三个不同网段

四IP:114.114.114.109主,114.114.114.110一对一映射,114.114.114.111一对一映射(IP瞎写的忽略)

开启nat hairpin为啥内网访问不行,所有设置都是WEB操作设置的,还需要设置哪里

  1. version 7.1.064, Release 0821P18 
  2. sysname H3C 
  3. clock timezone Beijing add 08:00:00 
  4. clock protocol none 
  5. wlan global-configuration 
  6. qos carl 1 destination-ip-address object-group SW2 per-address shared-bandwidth time-range word 
  7. qos carl 2 destination-ip-address object-group SW3 per-address shared-bandwidth time-range word 
  8. qos carl 3 destination-ip-address object-group SW4 per-address shared-bandwidth time-range word 
  9. qos carl 4 destination-ip-address object-group SW5 per-address shared-bandwidth time-range word 
  10. qos carl 5 destination-ip-address object-group SW6 per-address shared-bandwidth time-range word 
  11. track 1022 nqa entry ge0/2 1 reaction 1 
  12. track 1023 nqa entry ge0/1 1 reaction 1 
  13. dialer-group 3 rule ip permit 
  14. nat address-group 0 
  15. nat static inbound 112.112.112.111 172.16.7.241 
  16. nat static inbound 112.112.112.110 172.16.5.226 
  17. nat static outbound 172.16.5.226 112.112.112.110 
  18. nat static outbound 172.16.7.241 112.112.112.111 
  19. dhcp enable 
  20. dhcp server always-broadcast 
  21. dns proxy enable 
  22. system-working-mode standard 
  23. password-recovery enable 
  24. vlan 1 
  25. object-group ip address dstgroup20 
  26. 0 network subnet 0.0.0.0 0.0.0.0 
  27. object-group ip address srcgroup20 
  28. 0 network host address 172.16.7.66 
  29. object-group ip address SW2 
  30. object-group ip address SW3 
  31. object-group ip address SW4 
  32. object-group ip address SW5 
  33. object-group ip address SW6 
  34. dhcp server ip-pool ge0 
  35. gateway-list 172.16.1.1 
  36. network 172.16.1.0 mask 255.255.255.0 
  37. address range 172.16.1.14 172.16.1.225 
  38. dns-list 211.138.180.2 
  39. dhcp server ip-pool lan1 
  40. gateway-list 192.168.0.1 
  41. network 192.168.0.0 mask 255.255.254.0 
  42. address range 192.168.1.2 192.168.1.254 
  43. dns-list 192.168.0.1 
  44. policy-based-route pbr2 permit node 0 
  45. if-match acl name acl20 
  46. apply output-interface Dialer2 
  47. nqa entry ge0/1 1 
  48. type icmp-echo 
  49.   destination ip 211.138.180.2 
  50.   frequency 10000 
  51.   out interface GigabitEthernet0/1  
  52.   probe timeout 1000 
  53.   reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only 
  54. nqa entry ge0/2 1 
  55. type icmp-echo 
  56.   destination ip 211.138.180.2 
  57.   frequency 10000 
  58.   out interface Dialer2  
  59.   probe timeout 1000 
  60.   reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only 
  61. nqa schedule ge0/1 1 start-time now lifetime forever 
  62. nqa schedule ge0/2 1 start-time now lifetime forever 
  63. controller Cellular0/0 
  64. interface Dialer1 
  65. mtu 1492 
  66. interface Dialer2 
  67. mtu 1492 
  68. ppp chap password cipher $c$3$jgbo2BfUudfNk/dvCx68/2GeZWmugm16Zw==  
  69. ppp chap user 13675518888 
  70. ppp ipcp dns admit-any  
  71. ppp ipcp dns request  
  72. ppp pap local-user 13675518888 password cipher $c$3$OoXOadb2cjMfEJ9VKrOqzMxazq04bsmvTw==  
  73. dialer bundle enable 
  74. dialer-group 3 
  75. dialer timer idle 0 
  76. dialer timer autodial 5 
  77. ip address ppp-negotiate 
  78. tcp mss 1280 
  79. ip last-hop hold 
  80. packet-filter name WebPing17413 inbound 
  81. nat outbound 
  82. nat static enable 
  83. interface NULL0 
  84. interface GigabitEthernet0/0 
  85. port link-mode route 
  86. description LAN-interface 
  87. combo enable copper 
  88. ip address 172.16.1.1 255.255.255.0 
  89. tcp mss 1280 
  90. nat hairpin enable 
  91. ip policy-based-route pbr2 
  92. ip subscriber l2-connected enable 
  93. ip subscriber initiator dhcp enable 
  94. ip subscriber initiator unclassified-ip enable 
  95. ip subscriber dhcp domain ipoeenabledomain 
  96. ip subscriber unclassified-ip domain ipoeenabledomain 
  97. interface GigabitEthernet0/1 
  98. port link-mode route 
  99. description Double_Line1 
  100. bandwidth 200000 
  101. combo enable copper 
  102. ip address 114.114.114.119 255.255.255.0 
  103. dns server 211.138.180.2 
  104. tcp mss 1280 
  105. ip last-hop hold 
  106. packet-filter name WebPing3 inbound 
  107. qos reserved-bandwidth pct 100 
  108. qos lr outbound cir 200000 cbs 12500000 ebs 0  
  109. qos car inbound carl 1 cir 65536 cbs 4096000 ebs 0 green pass red discard yellow pass 
  110. qos car inbound carl 2 cir 65536 cbs 4096000 ebs 0 green pass red discard yellow pass 
  111. qos car inbound carl 3 cir 65536 cbs 4096000 ebs 0 green pass red discard yellow pass 
  112. qos car inbound carl 4 cir 65536 cbs 4096000 ebs 0 green pass red discard yellow pass 
  113. qos car inbound carl 5 cir 65536 cbs 4096000 ebs 0 green pass red discard yellow pass 
  114. nat outbound 
  115. nat static enable 
  116. ipsec apply policy WAN1(GE1) 
  117. ipsec no-nat-process enable  
  118. interface GigabitEthernet0/2 
  119. port link-mode route 
  120. description Double_Line2 
  121. combo enable copper 
  122. nat static enable 
  123. pppoe-client dial-bundle-number 2 
  124. interface GigabitEthernet0/3 
  125. port link-mode route 
  126. combo enable copper 
  127. interface GigabitEthernet0/4 
  128. port link-mode route 
  129. shutdown 
  130. interface GigabitEthernet0/5 
  131. port link-mode route 
  132. shutdown 
  133. security-zone name Local 
  134. security-zone name Trust 
  135. security-zone name DMZ 
  136. security-zone name Untrust 
  137. security-zone name Management 
  138. scheduler logfile size 16 
  139. line class console 
  140. user-role network-admin 
  141. line class tty 
  142. user-role network-operator 
  143. line class usb 
  144. user-role network-admin 
  145. line class vty 
  146. user-role network-operator 
  147. line con 0 
  148. user-role network-admin 
  149. line vty 0 63 
  150. authentication-mode scheme 
  151. user-role network-operator 
  152. ip route-static 0.0.0.0 0 GigabitEthernet0/1 112.30.112.1 track 1023 
  153. ip route-static 0.0.0.0 0 Dialer2 preference 100 
  154. ip route-static 172.16.2.0 24 GigabitEthernet0/0 172.16.1.2 
  155. ip route-static 172.16.3.0 24 GigabitEthernet0/0 172.16.1.2 
  156. ip route-static 172.16.4.0 24 GigabitEthernet0/0 172.16.1.2 
  157. ip route-static 172.16.5.0 24 GigabitEthernet0/0 172.16.1.2 
  158. ip route-static 172.16.6.0 24 GigabitEthernet0/0 172.16.1.2 
  159. ip route-static 172.16.7.0 24 GigabitEthernet0/0 172.16.1.2 
  160. ip route-static 172.16.8.0 24 GigabitEthernet0/0 172.16.1.2 
  161. ip route-static 211.138.180.2 32 GigabitEthernet0/1 112.30.112.1 description NqaTrack 
  162. ip route-static 211.138.180.2 32 Dialer2 description NqaTrack 
  163. info-center loghost 127.0.0.1 port 3301 
  164. info-center source CFGLOG loghost level informational 
  165. performance-management 
  166. time-range tr20 00:00 to 24:00 daily  
  167. time-range word 09:30 to 22:00 working-day Sat  
  168. acl advanced name WebPing3 
  169. rule 1 deny icmp icmp-type echo 
  170. acl advanced name WebPing17413 
  171. rule 1 deny icmp icmp-type echo 
  172. acl advanced name acl20 
  173. rule 1 permit ip source object-group srcgroup20 destination object-group dstgroup20 time-range tr20 
  174. rule 1 comment -- 
  175. password-control enable  
  176. undo password-control aging enable  
  177. undo password-control history enable  
  178. password-control length 6 
  179. password-control login-attempt 3 exceed lock-time 10 
  180. password-control update-interval 0 
  181. password-control login idle-time 0 
  182. domain ipoeenabledomain 
  183. authorization-attribute idle-cut 5 1 
  184. authentication ipoe none 
  185. authorization ipoe none 
  186. accounting ipoe none 
  187. domain system 
  188. domain default enable system 
  189. role name level-0 
  190. description Predefined level-0 role 
  191. role name level-1 
  192. description Predefined level-1 role 
  193. role name level-2 
  194. description Predefined level-2 role 
  195. role name level-3 
  196. description Predefined level-3 role 
  197. role name level-4 
  198. description Predefined level-4 role 
  199. role name level-5 
  200. description Predefined level-5 role 
  201. role name level-6 
  202. description Predefined level-6 role 
  203. role name level-7 
  204. description Predefined level-7 role 
  205. role name level-8 
  206. description Predefined level-8 role 
  207. role name level-9 
  208. description Predefined level-9 role 
  209. role name level-10 
  210. description Predefined level-10 role 
  211. role name level-11 
  212. description Predefined level-11 role 
  213. role name level-12 
  214. description Predefined level-12 role 
  215. role name level-13 
  216. description Predefined level-13 role 
  217. role name level-14 
  218. description Predefined level-14 role 
  219. user-group system 
  220. local-user admin class manage 
  221. service-type telnet http https 
  222. authorization-attribute user-role network-admin 
  223. local-user dothink class network 
  224. password cipher $c$3$TZCczikgenTrJCs+bvOWzS6qMa3glH/waVWr 
  225. access-limit 130 
  226. service-type portal 
  227. service-type ppp 
  228. authorization-attribute user-role network-operator 
  229. session statistics enable 
  230. ipsec transform-set WAN1(GE1)@DOTHINK 
  231. esp encryption-algorithm aes-cbc-128  
  232. esp authentication-algorithm sha1  
  233. ipsec policy-template WAN1(GE1) 65535 
  234. transform-set WAN1(GE1)@DOTHINK  
  235. description WAN1(GE1)@DOTHINK 
  236. ike-profile WAN1(GE1)@DOTHINK 
  237. sa duration time-based 3600 
  238. sa duration traffic-based 1843200 
  239. reverse-route dynamic 
  240. reverse-route preference 100 
  241. ipsec policy WAN1(GE1) 65535 isakmp template WAN1(GE1) 
  242. ike profile WAN1(GE1)@DOTHINK 
  243. keychain WAN1(GE1)@DOTHINK 
  244. exchange-mode aggressive 
  245. match remote identity address 0.0.0.0 0.0.0.0 
  246. proposal 65535  
  247. ike proposal 65535 
  248. encryption-algorithm aes-cbc-128 
  249. dh group2 
  250. ike keychain WAN1(GE1)@DOTHINK 
  251. pre-shared-key address 0.0.0.0 0.0.0.0 key cipher $c$3$gJq47sx46/tsZCiAOZdxkmtVU9IU1Pki4Dct 
  252. ip http enable 
  253. ip https enable 
  254. web new-style 
  255. url-filter category custom severity 65535 
  256. wlan ap-group default-group 
  257. vlan 1 
  258. traffic-policy  
  259. rule 1 name web_AppTraffRank  
  260.   application app http  
  261. dac log-collect service dpi traffic enable 
  262. dac traffic-statistic application enable 
  263. dac storage service dpi traffic limit hold-time 1 
  264. dac storage service traffic limit hold-time 1 
  265. cloud-management server domain oasis.h3c.com 
  266. return 


2 个回答
粉丝:9人 关注:1人

看你配置的都是拨号口,在外网访问正常嘛

正常,0/1固定IP主线,0/2拨号备用线路

zhiliao_xfT5i 发表时间:2022-03-31 更多>>

正常,0/1固定IP主线,0/2拨号备用线路

zhiliao_xfT5i 发表时间:2022-03-31
粉丝:160人 关注:1人

你把内网口的PBR删掉试试

应该不行,有台设备策略路由走拨号备用线路的。没设置之前也是不能访问。

zhiliao_xfT5i 发表时间:2022-03-31 更多>>

应该不行,有台设备策略路由走拨号备用线路的。没设置之前也是不能访问。

zhiliao_xfT5i 发表时间:2022-03-31

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明