我们公司使用的是ssg-5的产品
然后有一个接口设置成nat模式绑定为bgroup0 其内网网关地址为10.100.1.1
同时 另外一个接口为ethernet0/6也绑定到bgroup0里面
这样就构成了
然后ethernet0/6连上思科的路由器 思科路由器ip地址为10.100.1.254

就当是10.100.1.x的内网中有两个出口网关

因为我思科是做了一个vpn连上内网IP是10.100.2.x
现在我们已经做好了路由

从10.100.2.x ping 10.100.1.x 都是通的
但是访问其他协议就有问题了
比如远程桌面 无法通过10.100.1.x 的ip访问

请问这是为什么？
是需要做其他的 Policies 么？还是需要做哪些设置呢？
请指教 谢了

[ 本帖最后由 墨白 于 2008-8-29 14:29 编辑 ]

ding!!!!!!!!!!

ding!!!!!!!!!!1

谢谢你帮顶  呵呵

是不是没有开相关的服务？
ssg5-serial-> set zone l2-trust manage ?
ident-reset          turn ident reset manageability of interface on/off
ping                 turn interface ping on/off
snmp                 turn snmp manageability of interface on/off
ssh                  turn SSH manageability of interface on/off
ssl                  turn SSL manageability of interface on/off
telnet               turn telnet manageability of interface on/off
web                  turn web manageability of interface on/off

本人是初学者，不知和这些有没有关？

这是个很简单的问题,首先最好把*作系统改成WIN 2000 SERVER,两片网卡只能接外网的那片设置网关,接内网那片是不能设置的.然后在2000 SERVER里面启用路由和远程访问服务,添加路由到内网的目标网段(192.1.1..*......192.1.2*....192.1.8.*),基本就解决问题 了.当然,必须在内网几个网段通过三层交换机已经可以通的前提下

（一）相关概念

为了更好地认识NAT技术，我们先了解一下它所涉及的几个概念。

1．内部局部地址 在内部网上分配到一个主机的IP地址。这个地址可能不是一个有网络信息中心（NIC）或服务提供商所分配的合法IP地址。

2．内部全局地址 一个合法的IP地址（由NIC或服务供应商分配），对应到外部世界的一个或多个本地IP地址。

3．外部局部地址 出现在网络内的一个外部主机的IP地址，不一定是合法地址，它可以在内部网上从可路由的地址空间进行分配。

4．外部全局地址 由主机拥有者在外部网上分配给主机的IP地址，该地址可以从全局路由地址或网络空间进行分配。图1展示了NAT相关术语的图解。





对于NAT技术，提供4种翻译地址的方式，如下所示。

（二）4种翻译方式

1．静态翻译 是在内部局部地址和内部全局地址之间建立一对一的映射。

2．动态翻译 是在一个内部局部地址和外部地址池之间建立一种映射。

3．端口地址翻译 超载内部全局地址通过允许路由器为多个局部地址分配一个全局地址，也就是将多个局部地址映射为一个全局地址的某一端口，因此也被称为端口地址翻译（PAT）。

4．重叠地址翻译 翻译重叠地址是当一个内部网中使用的内部局部地址与另外一个内部网中的地址相同，通过翻译，使两个网络连接后的通信保持正常。

在实际使用中，通常需要以上几种翻译方式配合使用。

二、让典型应用“说话”

现在，我们以常见Cisco路由器为例，阐述典型应用中NAT技术的实现。

1．配置共享IP地址

应用需求：当您需要允许内部用户访问Internet，但又没有足够的合法IP地址时，可以使用配置共享IP地址连接Internet的NAT转换方式。

图2是配置内部网络10.10.10.0/24通过重载一个地址172.16.10.1./24访问外部网络的全过程。如果有多个外部地址，可以利用动态翻译进行转换，这里就不多做说明了。清单1展示了具体配置方法。





NAT路由器配置清单1

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172.16.10.64 255.255.255.0

ip nat outside

!-- 定义外部转换接口

ip nat pool ovrld 172.16.10.1 172.16.10.1 prefix 24

!-- 定义名为ovrld的NAT地址池和地址池重的地址172.16.10.1

ip nat inside source list 1 pool ovrld overload

!--指出被 access-list 1 允许的源地址会转换成NAT地址池ovrld中的地址并且转换会被内部多个机器重载成一个相同的IP地址。

access-list 1 permit 10.10.10.0 0.0.0.31

!-- Access-list 1 允许地址10.10.10.0到10.10.10.255进行转换

NAT路由器配置清单2

interface ethernet 0

ip address 10.10.10.254 255.255.255.0

ip nat inside

!-- 定义内部转换接口

interface serial 0

ip address 172.16.20.254 255.255.255.0

ip nat outside

!-- 定义外部转换接口

ip nat inside source static 10.10.10.1 172.16.20.1

!-- 指定将地址10.10.10.1静态转换为172.16.20.1

适用范围：这种情况适合于通信都是由内部用户向Internet发起的应用。

例如小型企业多个用户通过共享xDSL连接Internet。另外，也可以用软件进行NAT转换，Windows 2000的操作系统就有这样的功能。至于内部用户数量较多的情况，建议使用代理服务器。

2．配置在Internet上发布的服务器

应用需求：当您需要将内部设备发布到Internet上时，可以使用配置在Internet上发布的服务器的NAT转换方式。

图3是将内部网络的邮件服务器（IP地址为10.10.10.1/24）发布到外部网络的全过程，使用静态翻译可以实现这种转换。清单2展示了具体配置方法。





适用范围：这种情况适合于访问是从外部网络向内部设备发起的应用。