F1000上两个外访线路,GE1/0/3(IP地址1.2.3.4/255.255.255.254)上的固定ip光纤,虚接口dia0,正常宽带。
想通过静态路由设置,让指定网站A(cmd ping出来的ip是50.50.50.50)出口走GE1/0/3,其它网站通过dia0。目前的设置如下图
设置好后 发现A网站还是走dia0,查看设备路由表,也找不到50.50.50.50的路由信息。系统-tracert,查看到的信息也是dia0的IP
(0)
建议检查一下配置
你1/0/3的接口地址是1.2.3.4 /31位掩码,可用地址应该是1.2.3.5以及1.2.3.6这两
假如1/0/3的接口地址是1.2.3.6/31,那网关地址就是1.2.3.5/31
在确保防火墙ping网关1.2.3.5能通的前提下
静态路由里面就应该写目的地址50.50.50.50/32下一跳应该是1.2.3.5 出接口选择1/0/3
(0)
抱歉 好多东西不懂 从你这回答里看 下一跳地址应该是填专线的网关地址。假设电信给我的网关地址是1.2.3.2。我填上以后,在设备的路由列表里能看到50.50.50.50的路由了,下一跳指向了专线的网关1.2.3.2. 但是 我在目标网站A上,看到我的访问IP 还是dia0的IP....
配置完后,在电脑的命令提示符里面tracert一下目的地址50.50.50.50,看下路径是不是走的专线地址,还是走的dia0,以这个为判断数据流向依据
电脑cmd里和H3C设备里tracert 目标网站域名和IP,第一个地址都是走的专线的网关地址,1.2.3.2 最终结果显示是30跳内找不到目的地。我的目标网站A是一个需要授权IP地址才进入的网站,现在还是进不去。并且网站上显示,我的访问IP 还是Dia0
那你的目标A网站授权允许你专线的IP地址发起访问了么?还有你说的访问不了,指的是访问不了域名还是ping不通50.50.50.50这个域名解析后的地址? 如果是能ping通ip地址,访问不了域名,那检查一下你电脑的导致的? 如果都ping不通,建议专线直接插在电脑上访问一下试试,排除是不是专线本身就到不了50.50.50.50 如果专线接在电脑上没问题,再检查下防火墙的1/0/3接口下的NAT有没有配
网站A任何ip都可以打开,只不过授权IP访问有数据,未授权的提示需授权。并且网站上还会显示当前访问的ip地址。如果我把dia0接口禁掉,就可以使用专线访问并且能看到数据。不会是我电脑的问题。感觉就是路由配置问题,但是又不知道问题出在哪
那你用策略路由做一下试试吧,基于目的地址的策略路由强制下一跳为专线的网关地址,策略路由的优先级要高于静态路由 举例: https://www.h3c.com/cn/pub/Document_Center/2024/07/WebHelp_%20SecPath_FHQCP_DXPZALJ_V7_F9900_6W100/default_auto.htm?CHID=1122953
测试下3口网络正常吗
(0)
看看全局的配置 排查吧
正常。我如果禁用了dia0接口,所有流量都走3口而且可以上外网
看看全局的配置 排查吧
1、先确认网站A的域名解析出来的地址是否是50.50.50.50,是否有变化?
2、关于“查看设备路由表,也找不到50.50.50.50的路由信息”说明这条路由没有生效。请确认路由的下一跳1.2.3.4是否可达?
(0)
1.50505050没变化 2.如何测试是否可达,另外,我设置静态路由的时候,只选择出接口,不选下一跳,也没效果。理论上说,这样设置可以生效吗
防火墙3口up、防火墙上有下一跳的arp,也可以ping一下下一跳,看看能否通。静态路由出接口为以太网接口时,必须要写下一跳
1.如果路由表里没有50.50.50.50 32位的静态路由,那么在配置静态路由的时候 广播接口配置需要指定下一跳的ip地址。
2.如果路由表里有50.50.50.50 32位的静态路由,那检查是否存在pbr
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
好的我试试