H3C_SecPath_F1070防火墙NAPT问题
- 0关注
- 0收藏,84浏览
问题描述:
组网及组网描述:
防火墙和路由器(模仿BARS)都用旁挂的方式。
路由器主要配置如图
交换机主要配置如图
防火墙具体配置如下:
[H3C]dis cur
#
version 7.1.064, Alpha 7164
#
sysname H3C
nat address-group 1
address 10.240.64.1 10.240.64.254
object-group ip address 1
0 network subnet 10.240.64.0 255.255.255.0
#
interface GigabitEthernet1/0/1
port link-mode route
combo enable copper
ip address 192.168.0.1 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
combo enable copper
#
interface GigabitEthernet1/0/2.2
ip address 172.16.16.31 255.255.255.0
vlan-type dot1q vid 2
#
interface GigabitEthernet1/0/2.11
ip address 10.200.0.22 255.255.255.252
nat outbound 2000 address-group 1
vlan-type dot1q vid 11
#
interface GigabitEthernet1/0/2.605
ip address 172.20.0.1 255.255.255.0
vlan-type dot1q vid 605
#
security-zone name Local
#
security-zone name Trust
import interface GigabitEthernet1/0/2.605
#
security-zone name DMZ
#
security-zone name Untrust
import interface GigabitEthernet1/0/2.2
import interface GigabitEthernet1/0/2.11
#
security-zone name Management
import interface GigabitEthernet1/0/1
#
ip route-static 0.0.0.0 0 10.200.0.21
#
undo info-center enable
#
acl basic 2000
rule 0 permit source 172.20.0.0 0.0.0.255
#
security-policy ip
rule 5 name localtountrust
action pass
source-zone local
source-zone untrust
source-zone trust
destination-zone local
destination-zone untrust
destination-zone trust
现在的情况是各个接口之间可以ping通,172.20.0.0之间可以ping通,但NAT不成功,无法ping 通119.36.136.254,请大神帮忙看看是什么原因造成的?
哪个地址ping不通119.36.136.254?
PC网关配置的是119.36.136.1吧
我是想把172.20.0.0/24转换成10.240.64.0/24访问119.36.136.254,现在是转换失败,172.20.0.254ping 不通119.36.136.254
不知道你旁挂了什么,引流也没看到,从哪里到哪里不通也不知道。
参考手册做基础网络配置检测吧。H3C园区盒式交换机 CLI快速配置指南-6W104局域网组网案例
我是想把172.20.0.0/24转换成10.240.64.0/24后访问 119.36.136.254
设备之间的IP都互通了,172.20.0.0/24转换10.240.64.0/24失败
问题已经交互了,无法修改了。路由器模拟的是BRAS,所有能上网的地址在BRAS上,即10.240.64.0/24,因为下面终端超过了255,所以需要在防火墙上NAT
真实环境是BRAS将能上网的地址指向防火墙,防火墙做NAT启网关带下面的终端上网
左边的PC模拟的是互联网,旁边的路由器的是模拟BRAS,lo接口模拟BRAS上能上网的地址,通过g0/0/1.11的子接口连接交换机和防火墙的1/0/2.11三层互联,拓扑上端口号标错了。互联后BRAS将10.240.64.0/24指向防火墙做NAT,防火墙做NAT后,在子接口1/0/2.605上启网关封装成VID605透传给交交换机,交换机1/0/3口ACCESS口605接PC4 172.20.0.254ping不通模拟互联网的PC5
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
你这是什么组网,组网就不合理