MSR3610-X1
- 0关注
- 1收藏,1337浏览
问题描述:
1、内网PC网段 10.100.21.0/24
2、无线网络网段 10.200.21.0/24
3、10.100.21.0/24网段,访问外网走ISP1,如果访问总部网段10.10.10.0/24,将丢给深信服VPN设备后由深信服走ISP2出去到总部。
4、无线网络只能上ISP1网络。
请问具体的配置做NAT,怎么去实现,谢谢。
- 2018-11-06提问
- 举报
-
(0)
最佳答案
3、10.100.21.0/24网段,访问外网走ISP1, 4、无线网络只能上ISP1网络。总结下来是不是这样的:
也就是说10.100.21.0/24 ;10.200.21.0/24 访问外网走ISP1;10.100.21.0/24访问总部经深信服走isp2,而无线网络10.200.21.0/24只能访问外网,不能访问总部
这个首先做访问外网的nat,
建立acl
acl number 2001 (如果V7平台,acl ba 2000)
rule 1 permit source 10.100.21.0 0.0.0.255
rule 2 permit source 10.200.21.0 0.0.0.255
将该acl应用在isp1线路的wan口outbound方向
然后做访问互联网的默认路由和访问总部的明细路由,明细路由的优先级大于默认路由,实现访问互联网走isp,访问总部走isp2
ip route-static 0.0.0.0 0.0.0.0 x.x.x.x 访问公网的缺省路由
ip route-static 10.10.10.0 24 x.x.x.x 访问总部的明细路由
实现组织10.200.21.0/24访问总部,最好在深信服上实现,在深信服上做个过滤,只允许10.100.21.0/24过,在网关上做也能实现,如果是V5平台比较麻烦,要做类、行为、策略,最后应用到接口上,如果是V7平台,做个包过滤
- 2018-11-06回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论