问题描述:
H3C Sec F1000-T200V7 ACL动态转换,一条固定IP,一条PPPOE拨号指定不同的进出口,
内网两个网段192.168.5.0/24和192.168.6.0/24不通,
NAT内部服务器设置固定IP+端口号访问内部OA,结果PPPOE拨号的公网网络在内部无法访问到,
已排查出NAT Hairpin 和策略路由(PBR)冲突的问题,因为使用了策略路由导致NAT Hairpin不生效,有遇到过的老哥吗?
- 2024-08-30提问
- 举报
-
(0)
内网网关在哪,策略路由排除内网的互访
- 2024-08-30回答
- 评论(15)
- 举报
-
(0)
网关直接在防火墙
安全策略放开了吧
[H3C]security-zone intra-zone default permit
这个配置下
这个配置过了,直接命令security-zone name trust ,security-zone intra-zone default permit执行过了
策略路由排除内网的互访吧
这个要怎么排除呢?新增加一条策略路由吗?
策略路由的acl
acl advanced 3000 rule 5 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 10 permit ip source 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting # acl advanced 3002 rule 10 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 20 permit ip source 192.168.5.0 0.0.0.255 logging counting #这里有写
acl3000 对应固定IP的内网出口,acl3002对应PPPOE的内网出口
内网互访是deny,从策略路由排除
或者多个node,不匹配下一跳走正常路由转发
deny不一定能行,不行的话就多个node
多个node要怎么操作呢?有相关的链接吗?或者直接用命令行执行
加了个deny acl advanced 3000 rule 5 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 10 permit ip source 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting rule 16 deny # acl advanced 3002 rule 10 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 20 permit ip source 192.168.5.0 0.0.0.255 logging counting rule 16 deny
遇到过这种情况,
1、关闭端口回流吧
2、策略路由排除内网的hu"f
- 2024-08-30回答
- 评论(9)
- 举报
-
(0)
增加时需要选择哪个接口吗,我这边两个内网出口已经被选择了, policy-based-route neiwang permit node 5 if-match acl 3000 apply next-hop 120.234.23.13 direct # policy-based-route pppoe permit node 6 if-match acl 3002 apply output-interface Dialer0 #
1、如何关闭端口回流 2、如何排除
undo NAT Hairpin这个可以直接在V7 web页面关闭吗?NAT高级设置里面有这个NAT Hairpin,需要把内网两个接口都关闭吗?
已经关闭了两个出口的NAT Hairpin,现在还是访问不到另一个网段
你是说在策略路由里加一个策略,放行192.168.5.0/24-192.168.6.0/24是吗?还是在静态路由里面加两个路由192.168.5.0/24-下一跳192.168.6.1、192.168.6.0/24-下一跳192.168.5.1?
增加时需要选择哪个接口吗,我这边两个内网出口已经被选择了, policy-based-route neiwang permit node 5 if-match acl 3000 apply next-hop 120.234.23.13 direct # policy-based-route pppoe permit node 6 if-match acl 3002 apply output-interface Dialer0 #
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
加了个deny acl advanced 3000 rule 5 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 10 permit ip source 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting rule 16 deny # acl advanced 3002 rule 10 permit ip source 192.168.5.0 0.0.0.255 destination 192.168.6.0 0.0.0.255 logging counting rule 15 permit ip source 192.168.6.0 0.0.0.255 destination 192.168.5.0 0.0.0.255 logging counting rule 20 permit ip source 192.168.5.0 0.0.0.255 logging counting rule 16 deny