0

我的帖子

个人中心

设置

  发新话题
新手求救.
防火墙内网下的电脑通过联通IP172.1.1.1访问不了电信10.10.10.1下的服务器
防火墙内网下的电脑通过电信IP10.10.10.2可以访问电信10.10.10.1下的服务器 (这两个外网IP之前也访问不了          运营商做过互通好了)
其他外网用户访问电信10.10.10.1正常
单独笔记本接联通外网接口172.1.1.1访问电信10.10.10.1也是正常的
请教下是防火墙设置有问题吗?没有做什么单独的限制
网络.png (13.86 KB)

2017-7-8 16:33

网络.png




防火墙下面的交换机是三层的吗?下面用的什么IP,10段和172段都在用,还在其它地址,需要加路由




本帖最后由 小小鱼鱼 于 2017-7-8 16:53 编辑
ip route-static 172.1.1.0 255.255.255.0 10.10.10.2
不知道对不对,没测试




本帖最后由 小小鱼鱼 于 2017-7-8 16:59 编辑
引用:
原帖由 aixuexi6666 于 2017-7-8 16:33 发表
新手求救.
防火墙内网下的电脑通过联通IP172.1.1.1访问不了电信10.10.10.1下的服务器
防火墙内网下的电脑通过电信IP10.10.10.2可以访问电信10.10.10.1下的服务器 (这两个外网IP之前也访问不了          运营商做过互 ...
都遇到一些奇葩网络。也不知道这么做有什么好处?可以讲讲吗?明明可以内网访问的为什么要外网访问?这都是谁规划的网络?把两台路由器连接就可以内网访问了。



引用:
原帖由 小小鱼鱼 于 2017-7-8 16:51 发表
防火墙下面的交换机是三层的吗?下面用的什么IP,10段和172段都在用,还在其它地址,需要加路由
下面是2层的 192.168.1.0  防火墙做dhcp



引用:
原帖由 lygzhan 于 2017-7-8 17:05 发表

都遇到一些奇葩网络。也不知道这么做有什么好处?可以讲讲吗?明明可以内网访问的为什么要外网访问?这都是谁规划的网络?把两台路由器连接就可以内网访问了。 ...
感谢版主大人教诲。原来防火墙只有2个外网口 就多加了个路由器。主要是其他外网访问这个服务器。没想到自己访问不了了。



引用:
原帖由 aixuexi6666 于 2017-7-8 17:22 发表

感谢版主大人教诲。原来防火墙只有2个外网口 就多加了个路由器。主要是其他外网访问这个服务器。没想到自己访问不了了。




把那台路由器去掉,把服务器接到防火墙或交换机上

路由器上的那个外网ip写到防火墙做端口或静态映射就可以了
做nat回流

这样你自己的内网的ip访问这几台内网服务器就会走内网根本不用出外网。记得服务器放到dmz区。



引用:
原帖由 lygzhan 于 2017-7-8 17:43 发表


343816



把那台路由器去掉,把服务器接到防火墙或交换机上

路由器上的那个外网ip写到防火墙做端口或静态映射就可以了
做nat回流

这样你自己的内网的ip访问这几台内网服务器就会走内网根本不用出外网。记得服务器 ...
成版主您好!感谢您的热心指导。 我两台路由器设的网段是一样的都是192.168.1.0 更改几台服务器的ip有些实际困难。如果这样两台路由器互联会不会有问题。如果不动原来的网络,有没有临时的解决方法能通过设置防火墙的某些规则来实现172.1.1.1访问10.10.10.1



引用:
原帖由 aixuexi6666 于 2017-7-8 20:45 发表

成版主您好!感谢您的热心指导。 我两台路由器设的网段是一样的都是192.168.1.0 更改几台服务器的ip有些实际困难。如果这样两台路由器互联会不会有问题。如果不动原来的网络,有没有临时的解决方法能通过设置防火墙的某 ...
你那是什么防火墙?具体品牌和型号。交换机的,都说出来,然后再看看怎么弄



引用:
原帖由 lygzhan 于 2017-7-8 22:06 发表

你那是什么防火墙?具体品牌和型号。交换机的,都说出来,然后再看看怎么弄
防火墙sonicwall nsa3500 交换机普通华为2层 什么设置没有 另一个挂接服务器的路由器是艾泰的



引用:
原帖由 aixuexi6666 于 2017-7-9 08:35 发表

防火墙sonicwall nsa3500 交换机普通华为2层 什么设置没有 另一个挂接服务器的路由器是艾泰的
明天我仔细看看。



引用:
原帖由 lygzhan 于 2017-7-9 20:20 发表

明天我仔细看看。
谢谢版主的热心 无私的帮助!



引用:
原帖由 lygzhan 于 2017-7-9 20:20 发表

明天我仔细看看。
麻烦看一下,如果按我的那个路由做能通吗

ip route-static 172.1.1.0 255.255.255.0 10.10.10.2



引用:
原帖由 小小鱼鱼 于 2017-7-10 08:57 发表

麻烦看一下,如果按我的那个路由做能通吗

ip route-static 172.1.1.0 255.255.255.0 10.10.10.2
通不了。因为不是这个原因。



引用:
原帖由 aixuexi6666 于 2017-7-8 20:45 发表

成版主您好!感谢您的热心指导。 我两台路由器设的网段是一样的都是192.168.1.0 更改几台服务器的ip有些实际困难。如果这样两台路由器互联会不会有问题。如果不动原来的网络,有没有临时的解决方法能通过设置防火墙的某 ...
你172.1.1.1 和10.10.10.1 是两个外网ip通不通不是你说的算。
我大体看了一下你防火墙,因为是国外品牌,国内资料很少。
我的方案,大体就是你把路由器撤掉。把服务器插到你的交换机上。ip不需要改,在防火墙里做静态ip隐射就可以了。关于这个防火墙的nat回流问题我没有找到资料,但应该是可以支持的。

还有一个办法就是在防火墙里从启一个vlan2 你把下面的电脑都放到vlan2里,在防火墙做目的策略路由。就是只要是去往你指定ip的流量走你那艾泰路由器。在艾泰里做个回程路由就可以了。你网络当初规划的时候没有做好

网络规划原则有几点。1.一个网络里不能有相同的ip这点你做到了

2.三层设备之间不要用相同的子网。你艾泰路由器和防火墙就用了相同的子网。




本帖最后由 lygzhan 于 2017-7-10 09:36 编辑
引用:
原帖由 小小鱼鱼 于 2017-7-10 08:57 发表

麻烦看一下,如果按我的那个路由做能通吗

ip route-static 172.1.1.0 255.255.255.0 10.10.10.2
这样做 是不是我全部都走电信的出口了?



引用:
原帖由 lygzhan 于 2017-7-10 09:35 发表

你172.1.1.1 和10.10.10.1 是两个外网ip通不通不是你说的算。
我大体看了一下你防火墙,因为是国外品牌,国内资料很少。
我的方案,大体就是你把路由器撤掉。把服务器插到你的交换机上。ip不需要改,在防火墙里做静态ip隐射 ...
哎 不能做的我都做到了。 版主好。我现在不用防火墙,用笔记本直接连外网172.1.1.1访问10.10.10.1的业务是正常的。我不是很懂 这算通还是不通
比较笨 策略路由没看明白。 我是想内网192.168.1.0的电脑通过外网出口172.1.1.1可以访问电信艾泰10.10.10.1。能不能举个例子 策略路由和回程路由应该怎么做。谢谢版主。



引用:
原帖由 aixuexi6666 于 2017-7-10 11:24 发表

哎 不能做的我都做到了。 版主好。我现在不用防火墙,用笔记本直接连外网172.1.1.1访问10.10.10.1的业务是正常的。我不是很懂 这算通还是不通
比较笨 策略路由没看明白。 我是想内网192.168.1.0的电脑通过外网出口172 ...
呵呵。你单独用当然通了。你再买台路由器接电信接口。不用配置也通了。原因就是你用了一台设备就需要做nat回流。



引用:
原帖由 aixuexi6666 于 2017-7-10 11:24 发表

哎 不能做的我都做到了。 版主好。我现在不用防火墙,用笔记本直接连外网172.1.1.1访问10.10.10.1的业务是正常的。我不是很懂 这算通还是不通
比较笨 策略路由没看明白。 我是想内网192.168.1.0的电脑通过外网出口172 ...



引用:
原帖由 aixuexi6666 于 2017-7-10 11:24 发表

哎 不能做的我都做到了。 版主好。我现在不用防火墙,用笔记本直接连外网172.1.1.1访问10.10.10.1的业务是正常的。我不是很懂 这算通还是不通
比较笨 策略路由没看明白。 我是想内网192.168.1.0的电脑通过外网出口172 ...
我还有一个疑问,如果你没有在防火墙做策略。你是怎么让一部分电脑走联通出口的?



‹‹ 上一贴:关于网络共享的一个问题,   |   下一贴:各位帮我看看为什么每个VLAN都不能获得DHCP的IP, ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2017 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com