【新增一条静态路由，搞定内网电脑连接Wi-Fi无法访问NAS服务器的问题】

按照国际惯例，首先分享拓扑，如图一。出口路由器AG1（GE1-3）配置端口聚合与防火墙GE1-3互联，内网三层交换机AGG2（GE1-3）也配置了端口聚合与防火墙GE4-6互联。AG1为三层接口，IP地址：192.168.1.1，DHCP开启；三层交换机AG2默认二层接口，VLAN1，VLANIF1的IP地址：192.168.1.2，网关：192.168.1.1；

防火墙是前几天新增的，部署为透明模式，GE1-3 Untrust区域，GE4-6 Trust区域，安全策略仅放通Trust-Untrust，其它默认禁止。

内网无线Wi-Fi的网关在三层交换机，VLAN2，网段192.168.2.0，掩码24，VLANIF2的IP地址：192.168.2.1。

目前网络正常，但有一个问题：内网笔记本电脑连接Wi-Fi获取192.168.2.2的IP地址以后，无法访问NAS服务器（192.168.1.254）。

针对这个问题，首先想到的是防火墙的安全策略没有放通，因为我把包括445在内的一些常见高危端口，全局禁用了。新增安全策略，源区域Trust，目的区域Untrust，目的IP地址：192.168.1.254，服务445，将这条策略放在全局禁用之前。经过测试，笔记本电脑还是无法访问NAS。

从192.168.2.2 ping 192.168.1.254正常，telnet 192.168.1.254 445失败，查看防火墙上的会话表，没有发现针对目的IP地址192.168.1.254的445端口建立任何会话；tracert -d 192.168.1.254,发现第1跳是192.168.2.1，第2跳就直接到了192.168.1.254。

查看三层交换机上的路由表，默认路由下一跳是192.168.1.1，192.168.1.0 mask24的下一跳是vlan1，我恍然大悟，问题就出在这里。192.168.2.2去192.168.1.254的报文，直接就在三层交换机上进行转发到了NAS服务器，回包时，NAS服务器的报文被转发至网关192.168.1.1，路由器查询路由表，又将报文转发到三层交换机，由于来回路径不一致，防火墙上并没有生成对应的会话表，因此报文被丢弃，导致电脑无法访问NAS系统。

找到问题的原因就好办了！在三层交换机上新增一条静态路由，192.168.1.254 mask32，下一跳192.168.1.1，再次测试，笔记本电脑可以正常访问NAS了。
*****************************************
热爱信息技术，专注网络安全；
提供专业服务，赋能千行百业。