问:如图所示,防火墙部署为NAT模式,作来公网出口。在三层交换机上ping172.17.1.1 不通。在PC 172.17.1.4 上,默认网关指向172.17.1.1(防火墙)时能正常上外网,如果把网关指向172.17.1.2(三层交换机)时,不能上外网。在交换机上有默认路由指向防火墙ip route-static 0.0.0.0 0.0.0.0 172.17.1.1 preference 60。在防火墙上也有回程路由:172.17.0.0/16 172.17.1.2 。我现在想要实现的是PC上的网关指向172.17.1.2(三层交换机)时能访问外网。大家帮忙看看问题出在哪里?谢谢!
回答:
三层交换机与防火墙互联的口,单独配置一个互联IP,掩码可以为/30
不要把业务IP、网关、互联。混在一起!!!不便于维护,也不安全。。效率也低
防火墙就干防火墙的事,不要当网,除非你内是二层交换机。
三层交换机上可以建多个VLAN,进行内部数据交换。。不要让流量上防火墙,再回来。
2、帮你分析,为什么你配置网关为1.2的时候上不了网。
你可以分析一下路由。。
主机发起访问请求。。找到 1.2网关,1.2网关一看目标IP是默认路由里的地址,就将数据发到 防火墙。这个没有问题。
问题就出现在回来的时候。公网数据回到 防火墙后,在防火墙上判断目标地址是主机的IP1.14,1.14和1.1在同一个地址段。这时数据将直接发送给主机。。
这样来回路径不一样。是会有问题的,特别 是防火墙设备。。如果纯交换或路由没有问题。
你可以看一下防火墙的路由表。
172.17.1.0/24
172.17.0.0/16
有两个路由选项。一个为直连路由,即接口地址段。一个为静态路由生成。
作者: 大侠唐在飞
三层交换机与防火墙互联的口,单独配置一个互联IP,掩码可以为/30
不要把业务IP、网关、互联。混在一起!!!不便于维护,也不安全。。效率也低
防火墙就干防火墙的事,不要当网,除非你内是二层交换机。
三层交换机上可以建多个VLAN,进行内部数据交换。。不要让流量上防火墙,再回来。
2、帮你分析,为什么你配置网关为1.2的时候上不了网。
你可以分析一下路由。。
主机发起访问请求。。找到 1.2网关,1.2网关一看目标IP是默认路由里的地址,就将数据发到 防火墙。这个没有问题。
问题就出现在回来的时候。公网数据回到 防火墙后,在防火墙上判断目标地址是主机的IP1.14,1.14和1.1在同一个地址段。这时数据将直接发送给主机。。
这样来回路径不一样。是会有问题的,特别 是防火墙设备。。如果纯交换或路由没有问题。
你可以看一下防火墙的路由表。
172.17.1.0/24
172.17.0.0/16
有两个路由选项。一个为直连路由,即接口地址段。一个为静态路由生成。
作者: 大侠唐在飞