目前已经配置成功访问,不理解为啥要配置以下操作
1、21 31 41都需要开启nat hairpin,社区里面都描述只要配服务器21侧就行了
2、安全策略必须配置21允许访问21,只有这样21 31网段才能域名公网访问
3、41网段不知道配置了什么策略 不需要第2条策略也行
4、会话列表 41.201通过公网访问 走的策略是41访问21这条 而不是internet策略
5、nat hairpin的走的安全策略到底是怎么样
防火墙有固定公网出口
office安全域 vlan 31
server安全域 vlan 21
it安全域 vlan41
安全策略
41 和31分别做了允许访问21 和公网
最佳答案
policy-based-route 1 deny node 5 if-match acl 3999 # policy-based-route 1 permit node 15 if-match acl 3003 apply next-hop 39.174.232.1 # policy-based-route 1 permit node 20 if-match acl 3001 apply output-interface Dialer0 # policy-based-route 1 permit node 30 if-match acl 3002 cl advanced 3001 rule 0 permit ip source object-group 32-caiwu rule 5 permit ip source object-group 31-toubiao rule 10 permit ip source object-group 33-toubiao # acl advanced 3002 rule 0 permit ip # acl advanced 3003 rule 25 permit ip source 192.168.11.0 0.0.0.255 rule 50 permit ip source 192.168.21.0 0.0.0.255 rule 75 permit ip source 192.168.41.0 0.0.0.63 rule 100 permit ip source 192.168.221.0 0.0.0.255 rule 125 permit ip source 192.168.41.226 0 rule 150 permit ip source object-group zhengwu-cloud # acl advanced 3999 rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 172.16.0.0 0.0.255.255 rule 5 permit ip source 172.16.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 rule 10 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.0.0 0.0.255.255 rule 15 permit ip source 192.168.41.0 0.0.0.63 destination 10.1.1.0 0.0.0.255 是这个策略路由的原因吗
正常只要两个vlanif接口开启hairpin 做好安全策略 允许31访问21 21访问31就可以了吗? 实际目前安全策略是服务器不允许访问31 41
重新配置过了 需要两端VLANIF开启hairpin 31 41都需要做允许访问21 21访问公网才需要21访问21 答案是对的
公网→21服务器发布策略放行外网;21→21本地域流量;local 21 permit 21策略时,服务器回包被本地域拦截,访问不通。21 to 21本地策略;21 to 21本地域放行策略(Office31 网段必须);客户端域(31/41) → 公网域放通;公网域 → 服务器域21服务器发布策略;服务器域21 → 公网域,依赖本地同域 21→21 策略 / 域内默认放行;nat hairpin enable,客户端 31/41 接口关闭;21 to 21本地策略;31/41 to 21内网策略;F1000-AK125 是一定要两个VLANIF口都开启hairpin 31 41必须开启 不然就消耗 21-21只针对21网段了
F1000-AK125 是一定要两个VLANIF口都开启hairpin 31 41必须开启 不然就消耗 21-21只针对21网段了
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
重新配置过了 需要两端VLANIF开启hairpin 31 41都需要做允许访问21 21访问公网才需要21访问21 答案是对的