|
|
 |
|
|
| 1. pix奇怪的问题 |
  |
|
 |
|
HP : 0 / 367
MP : 93 / 4302
EXP : 68%
|
|
名动江湖
成员等级: 15
发表总数: 281
金币总数: 560
所属组别: 中级成员
注册日期: 2005/01/5
|
isp给了4个地址,使用其中一个做了static,上网没任何问题,但是使用4个之中的另一个做static就死活不通了
sh xlate也可以看到转换。把这个ip在server上直接用是没问题的,所以可以判断应该不是isp的问题
请问这样的问题应该怎么处理?!
Tomorrow Is Another Day |
|
|
|
| 2. Re:pix奇怪的问题 |
|
|
|
|
|
HP : 0 / 367
MP : 93 / 4302
EXP : 68%
|
|
名动江湖
成员等级: 15
发表总数: 281
金币总数: 560
所属组别: 中级成员
注册日期: 2005/01/5
|
算了,我决定用“伪科学”来向用户解释 
Tomorrow Is Another Day |
|
|
|
| 3. Re:pix奇怪的问题 |
|
|
 |
|
HP : 71 / 713
MP : 379 / 11010
EXP : 55%
|
|
名动江湖
成员等级: 29
发表总数: 1139
金币总数: 597
所属组别: 高级成员
注册日期: 2003/09/30
|
描述不清楚 |
|
|
|
| 4. Re:pix奇怪的问题 |
|
|
|
|
|
HP : 0 / 367
MP : 93 / 4302
EXP : 68%
|
|
名动江湖
成员等级: 15
发表总数: 281
金币总数: 560
所属组别: 中级成员
注册日期: 2005/01/5
|
isp 给了4个ip,假设为:1.1.1.1 ---4
我用1.1.1.1做static或者nat都是没问题的
但是使用1.1.1.2做static或者nat就不通
但是我把pc server的ip设置为1.1.1.2就可以通
这样描述沟清楚了吧?! 
Tomorrow Is Another Day |
|
|
|
| 5. Re:pix奇怪的问题 |
|
|
 |
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
完整配置?
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 6. Re:pix奇怪的问题 |
|
|
 |
|
HP : 0 / 383
MP : 102 / 4223
EXP : 35%
|
|
名动江湖
成员等级: 16
发表总数: 306
金币总数: 442
所属组别: 中级成员
注册日期: 2005/04/5
|
晕~~现象真奇怪,那估计应该是电信那边设置问题了?
也把配置发上来吧~~(无发用科学来解释??)
狂晕~
态度才是左右生命的全部 |
|
|
|
| 7. RE: pix奇怪的问题 |
|
|
|
|
|
HP : 0 / 367
MP : 93 / 4302
EXP : 68%
|
|
名动江湖
成员等级: 15
发表总数: 281
金币总数: 560
所属组别: 中级成员
注册日期: 2005/01/5
|
回麦子,应该不是配置的问题
因为分支的几个点配置都是大同小异
后来把这台防火墙从A地带到B地去使用,一切正常
然后把B地替换下来的带到A地,也一切ok!
客户问我为什么?我答复“可能”是pix防火墙bug所致
Tomorrow Is Another Day |
|
|
|
| 8. Re:pix奇怪的问题 |
|
|
|
|
|
HP : 0 / 367
MP : 93 / 4302
EXP : 68%
|
|
名动江湖
成员等级: 15
发表总数: 281
金币总数: 560
所属组别: 中级成员
注册日期: 2005/01/5
|
配置很简单的,就是加了几条static,开了几个服务端口而已
考虑到客户的因素,把所有公网ip改为1。1。1。0 
sh run
: Saved
:
PIX Version 7.0(5)
!
hostname www
enable password ******** encrypted
names
dns-guard
!
interface Ethernet0
nameif outside
security-level 0
ip address 1.1.1.19 255.255.255.248
!
interface Ethernet1
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
access-list acl_out extended permit tcp any host 1.1.18 eq 8002
access-list acl_out extended permit tcp any host 1.1.1.21 eq 8601
access-list acl_out extended permit tcp any host 1.1.1.21 eq pcanywhere-data
access-list acl_out extended permit tcp any host 1.1.1.21 eq 5632
<--- More --->
access-list acl_out extended permit tcp any host 1.1.1.21 eq www
access-list acl_out extended permit tcp any host 1.1.1.21 eq 8680
access-list acl_out extended permit udp any host 1.1.1.21 eq 5631
access-list acl_out extended permit udp any host 1.1.1.21 eq pcanywhere-status
access-list acl_out extended permit tcp any host 1.1.1.20 eq www
pager lines 24
mtu outside 1500
mtu inside 1500
no asdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
static (inside,outside) 1.1.1.18 192.168.1.38 netmask 255.255.255.255
static (inside,outside) 1.1.1.21 192.168.1.21 netmask 255.255.255.255
static (inside,outside) 1.1.1.20 192.168.1.37 netmask 255.255.255.255
access-group acl_out in interface outside
route outside 0.0.0.0 0.0.0.0 1.1.1.17 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
<--- More --->
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet 192.168.1.0 255.255.255.0 inside
telnet timeout 5
ssh timeout 5
console timeout 0
Cryptochecksum:04f6f7393c1494fcaee570b52c85a6f2
: end
Tomorrow Is Another Day |
|
|
|
| 9. Re:pix奇怪的问题 |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
你换地址之后有没有修改响应的ACL?
有没有刷新ARP、NAT表?
不通的时候从内网、外网测试分别是什么结果?
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 10. Re:pix奇怪的问题 |
|
|
|
|
|
HP : 0 / 367
MP : 93 / 4302
EXP : 68%
|
|
名动江湖
成员等级: 15
发表总数: 281
金币总数: 560
所属组别: 中级成员
注册日期: 2005/01/5
|
后来我是这么做的
把所有的配置都清空,然后只留下基本的配置和一条static
然后用我的本子做实验,把ip设置为static映射的地址,设置好dns,清除了xlate
用上网来测试,是不通的,但是sh xlate可以看到转换的条目。然后关机---重起
故障依旧
无论是从内网的server上ping防火墙的inside口,还是从公网上ping outside口
都是通的
Tomorrow Is Another Day |
|
|
|
| 11. Re:pix奇怪的问题 |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
从内网tracert 到Internet 地址看看;
从外网tracert 到转换后的 地址看看。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 12. Re:pix奇怪的问题 |
|
|
|
|
|
HP : 0 / 367
MP : 93 / 4302
EXP : 68%
|
|
名动江湖
成员等级: 15
发表总数: 281
金币总数: 560
所属组别: 中级成员
注册日期: 2005/01/5
|
从内网tracert 到Internet 地址---第一跳就不通
从外网tracert 到转换后的 地址---这个没试过 
Tomorrow Is Another Day |
|
|
|
| 13. Re:pix奇怪的问题 |
|
|
 |
|
HP : 0 / 357
MP : 89 / 5388
EXP : 31%
|
|
名动江湖
成员等级: 15
发表总数: 268
金币总数: 355
所属组别: 中级成员
注册日期: 2003/11/15
|
好像问题没有解决哦?
如今我也碰上了一样的问题了,真是奇怪!
后来我干脆用outside口的ip地址进行static也不行,老天!cisco pix的bug?
神哪!!!救救我吧!!!
IT业路远很漫长... ...
www.wolf13.cn |
|
|
|
| 14. Re:pix奇怪的问题 |
|
|
|
|
|
HP : 0 / 367
MP : 93 / 4302
EXP : 68%
|
|
名动江湖
成员等级: 15
发表总数: 281
金币总数: 560
所属组别: 中级成员
注册日期: 2005/01/5
|
这是老贴了啊!
后来ISP给换了地址段,问题解决!LOL~ 
Tomorrow Is Another Day |
|
|
|
| 15. Re:pix奇怪的问题 |
|
|
|
|
|
HP : 0 / 357
MP : 89 / 5388
EXP : 31%
|
|
名动江湖
成员等级: 15
发表总数: 268
金币总数: 355
所属组别: 中级成员
注册日期: 2003/11/15
|
我也是发现问题后才去找原因的,多谢yingwenzimu!
看来我也要和ISP联系联系了!
IT业路远很漫长... ...
www.wolf13.cn |
|
|
