juniper+cisco 配置
2017-03-06 17:14
127 查看
三层交换机上ping不通juniper防火墙!!有拓扑图!
[只看他] 楼主如图所示,防火墙部署为NAT模式,作来公网出口。在三层交换机上ping172.17.1.1 不通。在PC 172.17.1.4 上,默认网关指向172.17.1.1(防火墙)时能正常上外网,如果把网关指向172.17.1.2(三层交换机)时,不能上外网。在交换机上有默认路由指向防火墙ip route-static 0.0.0.0 0.0.0.0 172.17.1.1 preference 60。在防火墙上也有回程路由:172.17.0.0/16 172.17.1.2 。我现在想要实现的是PC上的网关指向172.17.1.2(三层交换机)时能访问外网。大家帮忙看看问题出在哪里?谢谢!
3600-juniper.jpg (32.1
KB)
2012-3-25 13:14
建议:
三层交换机与防火墙互联的口,单独配置一个互联IP,掩码可以为/30
不要把业务IP、网关、互联。混在一起!!!不便于维护,也不安全。。效率也低
防火墙就干防火墙的事,不要当网,除非你内是二层交换机。
三层交换机上可以建多个VLAN,进行内部数据交换。。不要让流量上防火墙,再回来。
2、帮你分析,为什么你配置网关为1.2的时候上不了网。
你可以分析一下路由。。
主机发起访问请求。。找到 1.2网关,1.2网关一看目标IP是默认路由里的地址,就将数据发到 防火墙。这个没有问题。
问题就出现在回来的时候。公网数据回到 防火墙后,在防火墙上判断目标地址是主机的IP1.14,1.14和1.1在同一个地址段。这时数据将直接发送给主机。。
这样来回路径不一样。是会有问题的,特别 是防火墙设备。。如果纯交换或路由没有问题。
你可以看一下防火墙的路由表。
172.17.1.0/24
172.17.0.0/16
有两个路由选项。一个为直连路由,即接口地址段。一个为静态路由生成。
感谢超版的详细分析:lol
我的三层是H3C的,不能直接给接口配置IP,我可不可以建一个VLAN24 把和防火墙相联的E/0/24 划到VLAN24里,再给VLAN24配置一个172.17.24.1 的IP,这样可行吗?如果这样,是不是要在防火墙上添加一条172.17.0.0/16 172.17.24.1的回程路由?
1、建两个VLAN一个是互联VLAN,一个是业务VLAN
2、互联VLAN是用来实现交换机与防火墙互联的。。 专用VLAN,把防火墙相联的E/0/24 划到这个VLAN里。并给这个VLAN配置IP。。interface vlan ..这个会吧。。这个地址就是VLAN的虚拟接口地址。。华为、H3C的交换机不能能接口配置IP,只能用这个办法来实现。。思科的交换机即可以用接口配置IP,也可以用interface
vlan的IP来解决。。
区别 在于。接口配置IP,物理接口就是三层口,interface van这种方式,物理接口是二层接口。。
3、业务互联。就更简单了。。建VLAN、设置interface vlan的IP,划端口进VLAN
相关文章推荐
- juniper SRX防火墙和cisco 交换机链路聚合配置
- CISCO访问表配置指南--第1章
- Cisco路由器的安全配置简易方案
- Cisco基于策略路由的配置实例
- Cisco 路由器VOIP 配置解析
- Cisco 3640策略路由配置
- Cisco PIX FireWall 基本配置
- Cisco路由器安全配置简易方案
- 使用Cisco Network Assistant实现快速配置_思科认证指导/认证技巧与心得
- CISCO配置命令大全
- juniper路由器的rip配置示例
- CISCO路由器的配置与调试
- Cisco路由器的安全配置简易方案
- Cisco PIX防火墙配置(转)
- Cisco与Juniper设备上的正则表达式比较
- Cisco 2621上NAT配置清单