问题解决了，原理是啥呀？

bluepudding

\r\n网络状况，采用电信一条专线，拥有两段Internet IP地址，211.111.111.0和218.128.138.0，以前一直都在用第一段IP地址，最近由于增加服务器，需要使用第二段地址，问题就出现了。\r\n原有Router配置是f0/0上配置：\r\n!\r\ninterface FastEthernet0/0\r\n ip address 218.128.138.1 255.255.255.240 secondary\r\n ip address 211.111.111.33 255.255.255.224\r\n duplex full\r\n speed 100\r\n!\r\n（加上Secondary这条是为了当时测试第二段IP地址是否可用）\r\n路由配置：\r\nip route 0.0.0.0 0.0.0.0 211.111.111.100\r\n\r\n然后在防火墙上增加了服务器地址映射，\r\nstatic (inside,outside) 218.128.138.15 192.168.1.100 netmask 255.255.255.255 0 0\r\n并为映射地址开放www服务\r\n同时在原有路由route outside 0.0.0.0 0.0.0.0 211.111.111.1 1\r\n的基础上增加\r\nroute outside 218.128.138.15 255.255.255.240 218.128.138.1 1\r\n\r\n但从外网却无法访问，后经高人指点，做了以下修改：\r\nRouter上:\r\n删除fa0/0上的ip address 218.128.138.1 255.255.255.240 secondary\r\n同时，增加一条路由：\r\nip router 218.128.138.15 255.255.255.240 211.111.111.90 \r\n“211.111.111.90 这个地址是PIX的Internet地址”\r\n防火墙上：\r\n删route outside 218.128.138.15 255.255.255.240 218.128.138.1 1其它不变，成功！\r\n问题是解决了，但还不是非常明白，大家有空瞅瞅呗，赐教一下！：）

左看又看

218.128.138.1已经分配给router了，你在PIX上再把这个地址做映射，相当于又分配给服务器，当然不能成功了。

bluepudding

各位， 不好意思，上贴可能没有说清楚，服务器映射地址我分配的是218.128.138.15，没有重复

左看又看

我对你的网络结构不清楚。你的router是在PIX的外面还是里面？还有：\r\n增加了ip address 服务器映射地址 掩码 防火墙的Internet地址  \r\n防火墙上，删除route outside 服务器映射地址 0.0.0.0 218.128.138.1 1 \r\n应该是ip route吧？而且这两条命令似乎矛盾，服务器是直接使用的公网地址吗？不是的话是在哪里做地址映射的？

bluepudding

Router在PIX外面。\r\nRouter上面增加的ip router 218.128.138.15 掩码 防火墙internet地址\r\n“上面写错了，眼光犀利呀，老兄”\r\n服务器地址映射在PIX上做的 192。168。×。×映射成218.128.138.15

左看又看

服务器地址映射在PIX上做的 192。168。×。×映射成218.128.138.15\r\n防火墙上，删除route outside 服务器映射地址 0.0.0.0 218.128.138.1 1\r\n\r\n我有点昏了，是不是“删除route outside 服务器映射地址 0.0.0.0 218.128.138.15 1”？\r\n呵呵，建议你先编辑一下贴子吧

cnadl

呵呵，你的帖子编辑之前没法子看。\r\n\r\n现在你网络的情况应该是：\r\n\r\n路由器：\r\n如果直连，从相应接口出去\r\n如果到www，发给防火墙\r\n如果路由表里没有，发给211.111.111.100\r\n\r\n防火墙：\r\n把192的NAT为www的外部地址\r\n\r\n至于之前的配置偶就不解释了，本来就不对的东东没的解释……\r\n\r\n最后，楼主还是再仔细检查一下帖子，最好画个图，标上各个接口的ip。\r\n然后把sh ip route贴出来。\r\n偶总觉得看你的帖子费神。\r\n比如f0/0应该是接防火墙的口，但是你这么写偶还得捉摸半天。

左看又看

应该说有两个问题。\r\nstatic (inside,outside) 218.128.138.15 192.168.1.100 netmask 255.255.255.255 0 0     在PIX上做地址转换，那相当于这个网段218.128.138.15/32  是直连在PIX上的，PIX到这个网段无须任何路由配置，而你在PIX上的route outside 218.128.138.15 255.255.255.240 218.128.138.1 1 就和218.128.138.15/32冲突。218.246.138.15只有一个，虽然你在两条命令里使用不同的netmask，好象绕开了这个问题，但在实际的数据转发中可能就有问题。具体会有什么现象我不清楚，没有遇过这样的例子。但地址或网段是不容冲突的。\r\n\r\nip address 218.128.138.1 255.255.255.240 secondary 是不正确的，218.128.138.15已经连在PIX上了，不可能再连到router的外端口上面。简言之router以为218.128.138.0/28是连在外端口上，但在这个端口上根本没有发现138.15/28这个主机的存在，但也不会把这个数据转发到PIX，只是默默丢弃。

bluepudding

各位回复真是及时呀，我好好研究一下，自己开始发的帖子却是不怎么样呀，不好意思，下回注意了。今天小年，大家快乐吧。明天再探讨！