• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

MSR3620,内网使用外网IP无法访问内网设备

2022-03-31提问
  • 0关注
  • 1收藏,1345浏览
zhiliao_xfT5i
zhiliao_xfT5i 零段
粉丝:0人 关注:0人

问题描述:

外网访问正常但内网使用外网IP无法访问内网设备,因为设备用到很多端口,直接使用一对一静态全端口映射,内网口已开启nat hairpin

组网及组网描述:

MSR3620 V7最新版本821P18 ,交换机5560S,三个不同网段

四IP:114.114.114.109主,114.114.114.110一对一映射,114.114.114.111一对一映射(IP瞎写的忽略)

开启nat hairpin为啥内网访问不行,所有设置都是WEB操作设置的,还需要设置哪里

  2. version 7.1.064, Release 0821P18 
  4. sysname H3C 
  6. clock timezone Beijing add 08:00:00 
  7. clock protocol none 
  9. wlan global-configuration 
  11. qos carl 1 destination-ip-address object-group SW2 per-address shared-bandwidth time-range word 
  12. qos carl 2 destination-ip-address object-group SW3 per-address shared-bandwidth time-range word 
  13. qos carl 3 destination-ip-address object-group SW4 per-address shared-bandwidth time-range word 
  14. qos carl 4 destination-ip-address object-group SW5 per-address shared-bandwidth time-range word 
  15. qos carl 5 destination-ip-address object-group SW6 per-address shared-bandwidth time-range word 
  17. track 1022 nqa entry ge0/2 1 reaction 1 
  19. track 1023 nqa entry ge0/1 1 reaction 1 
  21. dialer-group 3 rule ip permit 
  23. nat address-group 0 
  25. nat static inbound 112.112.112.111 172.16.7.241 
  26. nat static inbound 112.112.112.110 172.16.5.226 
  27. nat static outbound 172.16.5.226 112.112.112.110 
  28. nat static outbound 172.16.7.241 112.112.112.111 
  30. dhcp enable 
  31. dhcp server always-broadcast 
  33. dns proxy enable 
  35. system-working-mode standard 
  36. password-recovery enable 
  38. vlan 1 
  40. object-group ip address dstgroup20 
  41. 0 network subnet 0.0.0.0 0.0.0.0 
  43. object-group ip address srcgroup20 
  44. 0 network host address 172.16.7.66 
  46. object-group ip address SW2 
  48. object-group ip address SW3 
  50. object-group ip address SW4 
  52. object-group ip address SW5 
  54. object-group ip address SW6 
  56. dhcp server ip-pool ge0 
  57. gateway-list 172.16.1.1 
  58. network 172.16.1.0 mask 255.255.255.0 
  59. address range 172.16.1.14 172.16.1.225 
  60. dns-list 211.138.180.2 
  62. dhcp server ip-pool lan1 
  63. gateway-list 192.168.0.1 
  64. network 192.168.0.0 mask 255.255.254.0 
  65. address range 192.168.1.2 192.168.1.254 
  66. dns-list 192.168.0.1 
  68. policy-based-route pbr2 permit node 0 
  69. if-match acl name acl20 
  70. apply output-interface Dialer2 
  72. nqa entry ge0/1 1 
  73. type icmp-echo 
  74.   destination ip 211.138.180.2 
  75.   frequency 10000 
  76.   out interface GigabitEthernet0/1  
  77.   probe timeout 1000 
  78.   reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only 
  80. nqa entry ge0/2 1 
  81. type icmp-echo 
  82.   destination ip 211.138.180.2 
  83.   frequency 10000 
  84.   out interface Dialer2  
  85.   probe timeout 1000 
  86.   reaction 1 checked-element probe-fail threshold-type consecutive 5 action-type trigger-only 
  88. nqa schedule ge0/1 1 start-time now lifetime forever 
  89. nqa schedule ge0/2 1 start-time now lifetime forever 
  91. controller Cellular0/0 
  93. interface Dialer1 
  94. mtu 1492 
  96. interface Dialer2 
  97. mtu 1492 
  98. ppp chap password cipher $c$3$jgbo2BfUudfNk/dvCx68/2GeZWmugm16Zw==  
  99. ppp chap user 13675518888 
  100. ppp ipcp dns admit-any  
  101. ppp ipcp dns request  
  102. ppp pap local-user 13675518888 password cipher $c$3$OoXOadb2cjMfEJ9VKrOqzMxazq04bsmvTw==  
  103. dialer bundle enable 
  104. dialer-group 3 
  105. dialer timer idle 0 
  106. dialer timer autodial 5 
  107. ip address ppp-negotiate 
  108. tcp mss 1280 
  109. ip last-hop hold 
  110. packet-filter name WebPing17413 inbound 
  111. nat outbound 
  112. nat static enable 
  114. interface NULL0 
  116. interface GigabitEthernet0/0 
  117. port link-mode route 
  118. description LAN-interface 
  119. combo enable copper 
  120. ip address 172.16.1.1 255.255.255.0 
  121. tcp mss 1280 
  122. nat hairpin enable 
  123. ip policy-based-route pbr2 
  124. ip subscriber l2-connected enable 
  125. ip subscriber initiator dhcp enable 
  126. ip subscriber initiator unclassified-ip enable 
  127. ip subscriber dhcp domain ipoeenabledomain 
  128. ip subscriber unclassified-ip domain ipoeenabledomain 
  130. interface GigabitEthernet0/1 
  131. port link-mode route 
  132. description Double_Line1 
  133. bandwidth 200000 
  134. combo enable copper 
  135. ip address 114.114.114.119 255.255.255.0 
  136. dns server 211.138.180.2 
  137. tcp mss 1280 
  138. ip last-hop hold 
  139. packet-filter name WebPing3 inbound 
  140. qos reserved-bandwidth pct 100 
  141. qos lr outbound cir 200000 cbs 12500000 ebs 0  
  142. qos car inbound carl 1 cir 65536 cbs 4096000 ebs 0 green pass red discard yellow pass 
  143. qos car inbound carl 2 cir 65536 cbs 4096000 ebs 0 green pass red discard yellow pass 
  144. qos car inbound carl 3 cir 65536 cbs 4096000 ebs 0 green pass red discard yellow pass 
  145. qos car inbound carl 4 cir 65536 cbs 4096000 ebs 0 green pass red discard yellow pass 
  146. qos car inbound carl 5 cir 65536 cbs 4096000 ebs 0 green pass red discard yellow pass 
  147. nat outbound 
  148. nat static enable 
  149. ipsec apply policy WAN1(GE1) 
  150. ipsec no-nat-process enable  
  152. interface GigabitEthernet0/2 
  153. port link-mode route 
  154. description Double_Line2 
  155. combo enable copper 
  156. nat static enable 
  157. pppoe-client dial-bundle-number 2 
  159. interface GigabitEthernet0/3 
  160. port link-mode route 
  161. combo enable copper 
  163. interface GigabitEthernet0/4 
  164. port link-mode route 
  165. shutdown 
  167. interface GigabitEthernet0/5 
  168. port link-mode route 
  169. shutdown 
  171. security-zone name Local 
  173. security-zone name Trust 
  175. security-zone name DMZ 
  177. security-zone name Untrust 
  179. security-zone name Management 
  181. scheduler logfile size 16 
  183. line class console 
  184. user-role network-admin 
  186. line class tty 
  187. user-role network-operator 
  189. line class usb 
  190. user-role network-admin 
  192. line class vty 
  193. user-role network-operator 
  195. line con 0 
  196. user-role network-admin 
  198. line vty 0 63 
  199. authentication-mode scheme 
  200. user-role network-operator 
  202. ip route-static 0.0.0.0 0 GigabitEthernet0/1 112.30.112.1 track 1023 
  203. ip route-static 0.0.0.0 0 Dialer2 preference 100 
  204. ip route-static 172.16.2.0 24 GigabitEthernet0/0 172.16.1.2 
  205. ip route-static 172.16.3.0 24 GigabitEthernet0/0 172.16.1.2 
  206. ip route-static 172.16.4.0 24 GigabitEthernet0/0 172.16.1.2 
  207. ip route-static 172.16.5.0 24 GigabitEthernet0/0 172.16.1.2 
  208. ip route-static 172.16.6.0 24 GigabitEthernet0/0 172.16.1.2 
  209. ip route-static 172.16.7.0 24 GigabitEthernet0/0 172.16.1.2 
  210. ip route-static 172.16.8.0 24 GigabitEthernet0/0 172.16.1.2 
  211. ip route-static 211.138.180.2 32 GigabitEthernet0/1 112.30.112.1 description NqaTrack 
  212. ip route-static 211.138.180.2 32 Dialer2 description NqaTrack 
  214. info-center loghost 127.0.0.1 port 3301 
  215. info-center source CFGLOG loghost level informational 
  217. performance-management 
  219. time-range tr20 00:00 to 24:00 daily  
  220. time-range word 09:30 to 22:00 working-day Sat  
  222. acl advanced name WebPing3 
  223. rule 1 deny icmp icmp-type echo 
  225. acl advanced name WebPing17413 
  226. rule 1 deny icmp icmp-type echo 
  228. acl advanced name acl20 
  229. rule 1 permit ip source object-group srcgroup20 destination object-group dstgroup20 time-range tr20 
  230. rule 1 comment -- 
  232. password-control enable  
  233. undo password-control aging enable  
  234. undo password-control history enable  
  235. password-control length 6 
  236. password-control login-attempt 3 exceed lock-time 10 
  237. password-control update-interval 0 
  238. password-control login idle-time 0 
  240. domain ipoeenabledomain 
  241. authorization-attribute idle-cut 5 1 
  242. authentication ipoe none 
  243. authorization ipoe none 
  244. accounting ipoe none 
  246. domain system 
  248. domain default enable system 
  250. role name level-0 
  251. description Predefined level-0 role 
  253. role name level-1 
  254. description Predefined level-1 role 
  256. role name level-2 
  257. description Predefined level-2 role 
  259. role name level-3 
  260. description Predefined level-3 role 
  262. role name level-4 
  263. description Predefined level-4 role 
  265. role name level-5 
  266. description Predefined level-5 role 
  268. role name level-6 
  269. description Predefined level-6 role 
  271. role name level-7 
  272. description Predefined level-7 role 
  274. role name level-8 
  275. description Predefined level-8 role 
  277. role name level-9 
  278. description Predefined level-9 role 
  280. role name level-10 
  281. description Predefined level-10 role 
  283. role name level-11 
  284. description Predefined level-11 role 
  286. role name level-12 
  287. description Predefined level-12 role 
  289. role name level-13 
  290. description Predefined level-13 role 
  292. role name level-14 
  293. description Predefined level-14 role 
  295. user-group system 
  297. local-user admin class manage 
  298. service-type telnet http https 
  299. authorization-attribute user-role network-admin 
  301. local-user dothink class network 
  302. password cipher $c$3$TZCczikgenTrJCs+bvOWzS6qMa3glH/waVWr 
  303. access-limit 130 
  304. service-type portal 
  305. service-type ppp 
  306. authorization-attribute user-role network-operator 
  308. session statistics enable 
  310. ipsec transform-set WAN1(GE1)@DOTHINK 
  311. esp encryption-algorithm aes-cbc-128  
  312. esp authentication-algorithm sha1  
  314. ipsec policy-template WAN1(GE1) 65535 
  315. transform-set WAN1(GE1)@DOTHINK  
  316. description WAN1(GE1)@DOTHINK 
  317. ike-profile WAN1(GE1)@DOTHINK 
  318. sa duration time-based 3600 
  319. sa duration traffic-based 1843200 
  320. reverse-route dynamic 
  321. reverse-route preference 100 
  323. ipsec policy WAN1(GE1) 65535 isakmp template WAN1(GE1) 
  325. ike profile WAN1(GE1)@DOTHINK 
  326. keychain WAN1(GE1)@DOTHINK 
  327. exchange-mode aggressive 
  328. match remote identity address 0.0.0.0 0.0.0.0 
  329. proposal 65535  
  331. ike proposal 65535 
  332. encryption-algorithm aes-cbc-128 
  333. dh group2 
  335. ike keychain WAN1(GE1)@DOTHINK 
  336. pre-shared-key address 0.0.0.0 0.0.0.0 key cipher $c$3$gJq47sx46/tsZCiAOZdxkmtVU9IU1Pki4Dct 
  338. ip http enable 
  339. ip https enable 
  340. web new-style 
  342. url-filter category custom severity 65535 
  344. wlan ap-group default-group 
  345. vlan 1 
  347. traffic-policy  
  348. rule 1 name web_AppTraffRank  
  349.   application app http  
  351. dac log-collect service dpi traffic enable 
  352. dac traffic-statistic application enable 
  354. dac storage service dpi traffic limit hold-time 1 
  355. dac storage service traffic limit hold-time 1 
  357. cloud-management server domain oasis.h3c.com 
  359. return 


2 个回答
按时间 按赞数
人间清醒
人间清醒 七段
粉丝:9人 关注:1人

看你配置的都是拨号口,在外网访问正常嘛

正常,0/1固定IP主线,0/2拨号备用线路

zhiliao_xfT5i 发表时间:2022-03-31 更多>>

正常,0/1固定IP主线,0/2拨号备用线路

zhiliao_xfT5i 发表时间:2022-03-31
叫我靓仔
叫我靓仔 九段
粉丝:146人 关注:1人

你把内网口的PBR删掉试试

应该不行,有台设备策略路由走拨号备用线路的。没设置之前也是不能访问。

zhiliao_xfT5i 发表时间:2022-03-31 更多>>

应该不行,有台设备策略路由走拨号备用线路的。没设置之前也是不能访问。

zhiliao_xfT5i 发表时间:2022-03-31

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明