问题描述:
在配置完防火墙,核心交换机,汇聚交换机,接入交换机的情况下,终端的设备和无线都能自动获取到IP地址(核心充当的DHCP服务器),终端设备ping防火墙管理地址(192.168.110.1)和其他设备管理地址都可以ping通,终端设备去ping防火墙外网119.180.25.107ping不通,防火墙里也配置了安全策略放通,核心,防火墙,汇聚写有路由。
组网及组网描述:
防火墙
interface gigabitethernet 1/0/2
ip address 119.180.25.107 255.255.255.192
quit
interface GigabitEthernet 1/0/3
ip add 192.168.110.1 24
qu
ip route-static 0.0.0.0 0 119.180.25.65
ip route-static 192.168.0.0 16 192.168.110.2
ip route-static 172.16.0.0 16 192.168.110.2
security-zone name Untrust
import interface GigabitEthernet 1/0/2
quit
security-zone name Trust
import interface GigabitEthernet 1/0/3
quit
nat address-group 0
address 119.180.25.65 119.180.25.107
quit
acl basic 2000
rule permit source 192.168.0.0 0.0.255.255
rule permit source 172.16.0.0 0.0.255.255
quit
interface GigabitEthernet 1/0/2
nat outbound 2000 address-group 0
quit
security-policy ip
rule 0 name 0
action pass
counting enable
source-zone local
source-zone Trust
source-zone Untrust
destination-zone local
destination-zone Trust
destination-zone Untrust
quit
acl advanced 3001
rule permit ip source 192.168.0.0 0.0.255.255
rule permit ip source 172.16.0.0 0.0.255.255
quit
zone-pair security source Trust destination Untrust
packet-filter 3001
quit
首先在防火墙上ping公网 进行测试 如果 防火墙能ping通 那么在核心交换机上ping公网 如果能通那么在核心交换机上带终端的网关的源去ping外网测试 ,以此类推 逐层去ping公网 来发现哪个设备的问题 进而解决问题
你好,防火墙上我ping了,可以通,核心交换机上也能通,再往下就不通了
如果服务电脑直连核心 ping外网ping不通 那么测试 交换机带服务电脑网段的网关的源去ping 外网 其次重点检查nat转换
您的问题 无疑就是安全策略 路由 nat转换其中一个环节出问题了 正常排查即可
1、你终端的地址是什么网段
2、看你防火墙上同时使用了安全策略和域间策略,先把域间策略删掉,只是用安全策略
我核心写了3条路由 0.0.0.0 0 192.168.110.1 172.16.0.0 16 192.168.110.1 192.168.0.0 16 192.168.110.1 应该没问题吧
终端获取的192.168.0.0和172.16.0.0的网段
zone-pair security source Trust destination Untrust packet-filter 3001 这个是域间策略,这个和安全策略一起使用的话,有问题
还是那一台电脑能ping通外网,那一台电脑获取的网段是AP管理的地址172.16.10.0,别的业务电脑192.168.段的,172.16.16段的都ping不通外网。
我核心写了3条路由 0.0.0.0 0 192.168.110.1 172.16.0.0 16 192.168.110.1 192.168.0.0 16 192.168.110.1 应该没问题吧
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
好的,我在排查一下,谢谢老师