接口1和接口2均配电信分给专卖店使用的公网IP地址,接口2为专卖店内防火墙的公网接口,防火墙里面接两台终端,即多媒体接入单元和监控设备(划图工具里没有那两样,现用两台PC代替),方框内为某单位拉的专网,接口3为该单位的公网出口(该口配公网IP),单位内部全都使用172.26.0.0网段的私网地址,该单位在路由器Router0上面做了NAT转换,使其内部私网可以上网,现专卖店通过一台路由器将店内的防火墙连到那家单位的私网上面,虽然经过地址转换防火墙可正常与公网连接,也可与项目中的数据中心建立×××连接(用的是IPSEC来建×××),即可看到数据中心指定的×××邻居,在店内防火墙上直接PING公网上的网站都可通,但在带私网地址PING数据中心的服务器测试连通性时一直通不过(ping –a 10.209.9.97 10.10.1.2 ,10.209.9.97为数据中心服务器地址, 10.10.1.2为防火墙内网网关地址),即无法访问数据中心指定的服务器,该项目内部都是用的10.0.0.0网段的地址,数据中心的服务器也是只允许10.0.0.0网段的私网访问,请各位高手指点我几个疑问:1可看到×××邻居是否标志着×××遂道已成功建立??2如果遂道已成功建立那带私网地址PING数据中心服务器不通是否是因为NAT转换将数据包中的源私有IP转换了而导致数据中心服务器拒绝接收,因此导致了防火墙私网与服务器不能互通??3如果遂道已成功建立那么IPSEC对数据包中的报头加密了NAT转换无法将源IP转换,数据包为什么不能走遂道到达服务器,是否是因为配了NAT后即使建立遂道,但遂道里面的数据还是要经过NAT后才能出去,而此时NAT不能转换源IP,因而配了NAT的路由器不转发该报文,于是防火墙不能与服务器建立私网连接
请高手指点,急急急。。。。。。。。。。。
connection-id peer flag phase doi
----------------------------------------------------------------
58 222.87.204.162 RD|ST 2 IPSEC
55 222.87.204.162 RD|ST|D 1 IPSEC
flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT