由于配置了域内nat的原因导致同一域内不同网段不能互通

发布时间:  2012-07-20 浏览次数:  119 下载次数:  0
问题描述

用户网络结构:

内网------192.168.1.1/24(VLAN5)USG----公网
|
trust | untrust
专线
|
192.168.1.254/24
|
|
192.168.3.1/24

用户内网pc网关全部指向USG上192.168.1.1,在USG上指明了到192.168.3.1网段的路由下一条为192.168.1.254

从usg上带源地址192.168.1.1能ping通192.168.3.1,从192.168.3.1也能ping通192.168.1.1

但是内网网关指向192.168.1.1的192.168.1.0/24网段的pc和192.168.3.1不能互相ping通

将内网pc的网关更改为192.168.1.254后与192.168.3.1能够互通

告警信息
处理过程

1、登陆USG检查到192.168.3.1的路由正确,没有发现问题

2、在pc上ping 192.168.3.1时在防火墙上查看会话,发现做了nat转换

[USG2200]display firewall session table destination inside 192.168.3.1
11:26:28 2012/01/18
Current Total Sessions : 1
icmp VPN:public --> public 192.168.1.18:1[58.42.247.71:2093]-->192.168.3.1:2048

3、检查用户配置,发现做了域内nat,域内nat只指定了源,没有指定目的。

 

nat address-group 1 58.42.247.71 58.42.247.71
#
interface Vlanif5
ip address 192.168.1.1 255.255.255.0
dhcp select interface
dhcp server dns-list 202.98.192.67 202.98.198.167

interface GigabitEthernet0/0/0
description dianxinchukou
ip address 58.42.247.71 255.255.255.192

nat-policy zone trust

policy 1 (7480 times matched)
action source-nat
policy service service-set ip
policy source 192.168.1.0 0.0.0.255
policy destination any
address-group 1

4、更改域内nat的配置,到目的192.168.3.0网段的不做域内nat

nat-policy zone trust
policy 0 (1 times matched)
action no-nat
policy service service-set ip
policy source any
policy destination 192.168.3.0 mask 24

policy 1 (7480 times matched)
action source-nat
policy service service-set ip
policy source 192.168.1.0 0.0.0.255
policy destination any
address-group 1

5、再次在内网pc上测试,和192.168.3.1能够互通了,问题解决。

根因

可能是路由问题

建议与总结

END