• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C FW V7,固定IP+PPPOE双进双出,ACL动态转换,两内网段无法互通

2024-08-30提问
  • 0关注
  • 0收藏,336浏览
粉丝:0人 关注:0人

问题描述:

H3C Sec F1000-T200V7 ACL动态转换,一条固定IP,一条PPPOE拨号指定不同的进出口,
内网两个网段192.168.5.0/24和192.168.6.0/24不通,
NAT内部服务器设置固定IP+端口号访问内部OA,结果PPPOE拨号的公网网络在内部无法访问到,
已排查出NAT Hairpin 和策略路由(PBR)冲突的问题,因为使用了策略路由导致NAT Hairpin不生效,有遇到过的老哥吗?

2 个回答
粉丝:227人 关注:8人

内网网关在哪,策略路由排除内网的互访

加了个deny acl advanced 3000 rule 5 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 10 permit ip source 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting rule 16 deny # acl advanced 3002 rule 10 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 20 permit ip source 192.168.5.0 0.0.0.255 logging counting rule 16 deny

zhiliao_LJShzn 发表时间:2024-08-30 更多>>

网关直接在防火墙

zhiliao_LJShzn 发表时间:2024-08-30

安全策略放开了吧

zhiliao_sEUyB 发表时间:2024-08-30

[H3C]security-zone intra-zone default permit

zhiliao_sEUyB 发表时间:2024-08-30

这个配置下

zhiliao_sEUyB 发表时间:2024-08-30

这个配置过了,直接命令security-zone name trust ,security-zone intra-zone default permit执行过了

zhiliao_LJShzn 发表时间:2024-08-30

策略路由排除内网的互访吧

zhiliao_sEUyB 发表时间:2024-08-30

这个要怎么排除呢?新增加一条策略路由吗?

zhiliao_LJShzn 发表时间:2024-08-30

策略路由的acl

zhiliao_sEUyB 发表时间:2024-08-30

acl advanced 3000 rule 5 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 10 permit ip source 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting # acl advanced 3002 rule 10 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 20 permit ip source 192.168.5.0 0.0.0.255 logging counting #这里有写

zhiliao_LJShzn 发表时间:2024-08-30

acl3000 对应固定IP的内网出口,acl3002对应PPPOE的内网出口

zhiliao_LJShzn 发表时间:2024-08-30

内网互访是deny,从策略路由排除

zhiliao_sEUyB 发表时间:2024-08-30

或者多个node,不匹配下一跳走正常路由转发

zhiliao_sEUyB 发表时间:2024-08-30

deny不一定能行,不行的话就多个node

zhiliao_sEUyB 发表时间:2024-08-30

多个node要怎么操作呢?有相关的链接吗?或者直接用命令行执行

zhiliao_LJShzn 发表时间:2024-08-30

加了个deny acl advanced 3000 rule 5 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 10 permit ip source 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting rule 16 deny # acl advanced 3002 rule 10 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 20 permit ip source 192.168.5.0 0.0.0.255 logging counting rule 16 deny

zhiliao_LJShzn 发表时间:2024-08-30
z6Kl9 九段
粉丝:72人 关注:2人

遇到过这种情况,

1、关闭端口回流吧

2、策略路由排除内网的hu"f


增加时需要选择哪个接口吗,我这边两个内网出口已经被选择了, policy-based-route neiwang permit node 5 if-match acl 3000 apply next-hop 120.234.23.13 direct # policy-based-route pppoe permit node 6 if-match acl 3002 apply output-interface Dialer0 #

zhiliao_LJShzn 发表时间:2024-08-30 更多>>

1、如何关闭端口回流 2、如何排除

zhiliao_LJShzn 发表时间:2024-08-30

关闭端口回流在内网口undo NAT Hairpin

z6Kl9 发表时间:2024-08-30

undo NAT Hairpin这个可以直接在V7 web页面关闭吗?NAT高级设置里面有这个NAT Hairpin,需要把内网两个接口都关闭吗?

zhiliao_LJShzn 发表时间:2024-08-30

是的

z6Kl9 发表时间:2024-08-30

已经关闭了两个出口的NAT Hairpin,现在还是访问不到另一个网段

zhiliao_LJShzn 发表时间:2024-08-30

那应该流量转发到策略上了,走另一个出口出去了,增加一个节点,动作允许,放行对应的内网网段

z6Kl9 发表时间:2024-08-30

你是说在策略路由里加一个策略,放行192.168.5.0/24-192.168.6.0/24是吗?还是在静态路由里面加两个路由192.168.5.0/24-下一跳192.168.6.1、192.168.6.0/24-下一跳192.168.5.1?

zhiliao_LJShzn 发表时间:2024-08-30

在策略路由里加一个策略,放行192.168.5.0/24-192.168.6.0/24

z6Kl9 发表时间:2024-08-30

增加时需要选择哪个接口吗,我这边两个内网出口已经被选择了, policy-based-route neiwang permit node 5 if-match acl 3000 apply next-hop 120.234.23.13 direct # policy-based-route pppoe permit node 6 if-match acl 3002 apply output-interface Dialer0 #

zhiliao_LJShzn 发表时间:2024-08-30

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明