复杂路由怎么搞呀？

beny1980

防火墙上划VLAN？然后再做策略？来回折腾，就这么的，别改了。

ssffzz1

总先要搞清楚造成这个现象的原因吧。

谁分析一下喽？？？？？

gdxnfx

从你出现的情况可以判断，你已经做在防火啬上作了电信，网通和教育网的路由。

1、电信用户不能直接访问1.1.1.1，也不能通过58.0.0.1访问WEB服务，但可以通过222.0.0.1访问，
    1.1.1.1是指教育网的公网IP吗？
电信用户不能通过58.0.0.1访问的原因是：当电信用户从访问58.0.0.1的时候，会产生一条NAT条目(58.0.0.1 -1.1.1.1)在防火墙中，当web服务器回包的时候会使用此NAT条目,因为是电信的用户，所以流量会往电信接口上送，问题就在这里了，往电信接口上送时的源地址是网通的IP地址（58.0.0.1）,电信肯定不会Transit网通的IP。

其他2。3的情况都是同样道理


回为入口是固定的，所以不能通过更改NAT条目来解决，解决问题的方法是从网通接口进来的流量，策略到网通出口出去。如果防火墙不能完成，那就需要添加设备来理顺流量的走向.

[ 本帖最后由 gdxnfx 于 2009-9-18 14:20 编辑 ]

ssffzz1

电信用户不能通过58.0.0.1访问的原因是：当电信用户从访问58.0.0.1的时候，会产生一条NAT条目(58.0.0.1 -1.1.1.1)在防火墙中，当web服务器回包的时候会使用此NAT条目,因为是电信的用户，所以流量会往电信接口上送，问题就在这里了，往电信接口上送时的源地址是网通的IP地址（58.0.0.1）,电信肯定不会Transit网通的IP。

再重新审查一遍。。

gdxnfx

有三种可能的情况，需要在防火墙或上游的设备确认一下。
1。就是我上面所说的那种情况,利用现有的NAT条目。  可以在防火墙上查看NAT条目表或是上个设备上debug数据包来确认
2. 不利用现有的NAT条目，重新创建新的NAT条目，在路由之后创建NAT条目。 那样服务器回包的时候会从电信口，用电信（或网通，教育网）的IP出去，造成TCP连接建立不成功。可以在防火墙上查看NAT条目表或是上个设备上debug数据包来确认
3.不利用现有的NAT条目，重新创建新的NAT条目,在路由之前创建NAT条目。那样服务器回包的时候先用电信（或网通，教育网）的IP从电信口出去.可以在防火墙上查看NAT条目表或是上个设备上debug数据包来确认

我处理过同样的问题，使用的设备是用1这种方式工作的.

gdxnfx

无论哪种情况，从电信的接口出去，都是无法连接的。

解决的方向是让网通口进来的流量从网通口回去，同时保持NAT条目正确.

LZ估计也不在了，不清楚他的配置情况.

cnadl

跟路由有毛线关系。。。

你没在电信口上NAT 1xxx到58xxx，自然不能用58xxx访问，如果是pix，没指定no nat/nat-excemption，又或者没做到1xxx的acl，也不能使用1xxx

同理证其他两口

把NAT和acl补全

ssffzz1

1、电信用户不能直接访问1.1.1.1，也不能通过58.0.0.1访问WEB服务，但可以通过222.0.0.1访问，
    1.1.1.1是指教育网的公网IP吗？
电信用户不能通过58.0.0.1访问的原因是：当电信用户从访问58.0.0.1的时候，会产生一条NAT条目(58.0.0.1 -1.1.1.1)在防火墙中，当web服务器回包的时候会使用此NAT条目,因为是电信的用户，所以流量会往电信接口上送，问题就在这里了，往电信接口上送时的源地址是网通的IP地址（58.0.0.1）,电信肯定不会Transit网通的IP。

其他2。3的情况都是同样道理


电信用户用58.0.0.1（网通地址）来访问的时候，肯定是从网通的接口进来的。通过电信的网通的对接点绕进来的。此时会建立一条NAT SESSION不错。到服务器的数据包的源地址是电信的，目的地址是服务器自身的IP 1.1.1.1 。服务器回包的时候的源地址是服务器自身的IP 1.1.1.1 ，目的地址是电信的地址。而这个包到达出口的时候在出口设备进行路由表最长匹配，会从电信的出口出去，此时由于电信出口也是有NAT的，这个NAT会把1.1.1.1的源地址转换成NAT池的地址。电信用户收到的数据包的格式是：源 电信NAT地址池里的地址，目的是自己。而发出去的包的源是自己，目的却是网通的地址58.0.0.1 。造成TCP或者UDP伪首部错误，随即校验和也是错误。因此丢弃该报文。


这就是为什么不能访问的原因。


往电信接口上送时的源地址是网通的IP地址（58.0.0.1）,电信肯定不会Transit网通的IP。

这个是不对的，电信肯定会transit网通的，否则整个互联网就出问题了。


[ 本帖最后由 ssffzz1 于 2009-9-18 18:20 编辑 ]

gdxnfx

原帖由 cnadl 于 2009-9-18 18:16 发表
跟路由有毛线关系。。。

你没在电信口上NAT 1xxx到58xxx，自然不能用58xxx访问，如果是pix，没指定no nat/nat-excemption，又或者没做到1xxx的acl，也不能使用1xxx

同理证其他两口

把NAT和acl补全

没有路由数据能出去？？？？
没有指向电信的路由，数据会往电信接口上出去？

gdxnfx

原帖由 ssffzz1 于 2009-9-18 18:18 发表
1、电信用户不能直接访问1.1.1.1，也不能通过58.0.0.1访问WEB服务，但可以通过222.0.0.1访问，
    1.1.1.1是指教育网的公网IP吗？
电信用户不能通过58.0.0.1访问的原因是：当电信用户从访问58.0.0.1的时候， ...

假如:
我租了一条电信的线路，我配置上网通的IP，从电信的网络能出去？

有一种可能就是一直走的路由，电信网络内没有任何钟对源地址的策略

[ 本帖最后由 gdxnfx 于 2009-9-18 18:27 编辑 ]