我有台Cisco 2948G-L3，2948-L3做主干，在48口上划分若干子接口
interface fastethernet 48.1
encap dot1q 1 native
ip address 172.16.1.254 255.255.255.0
interface fastethernet 48.2
encap dot1q 2 native
ip address 172.16.2.254 255.255.255.0
......

1口连接防火墙在Vlan 9=1.9中
interface fastethernet 1.9
encap dot1q 9 native
ip address 172.16.9.254 255.255.255.0

我在下面的计算机上把网关指向个Vlan的IP，172.16.x.254,所有计算机都可以正常通信，但是我想在上面添加静态路由
ip route 0.0.0.0 0.0.0.0 172.16.9.1

172.16.9.1是我的防火墙内网网卡IP地址。防火墙外网IP为210.73.84.2，网关指向210.73.84.1（是路由器，应该不能再指回到172.16.8.254吧！），NAT都做过了，没有问题。
可是在个VLAN里的计算机就是Ping不通防火墙，但我Telnet到防火墙上去，也只能Ping 172.16.9.254

好象少了一段路由，非要像路由器里Ip routing ，route rip那一套吗？
希望高手指点！！　　　　　　

我似乎有点没明白，最好能把需求给我，我再给出方案，如果用LINUX做NAT服务器外挂ROUTER会有问题的，是ROUTE指向问题，我以前遇到过。　　　　　　

我用的是Cisco的硬件设备，和Linux没有关系的，路由是在三层交换上实现的,并且在防火墙之后,能告诉我是什么样的问题吗？

顺便提醒一下，我在贴的时候多贴了个Native，其实Native只有一个，那就是Trunk，谢谢！！！！

[已被 Terran 编辑过, 在 2001-11-15  11:10]　　　　　　

子网的路由通常是这样的，你的防火墙（我猜pix)有没有到172.16.0.0的路由？？
如果有在你防火墙上是不是允许icmp?
通常的从高安全区到低安全区是使用nat，如果只是做internet接入的话。只需要在内部接口定义从内到外的规则即可。你可以检查一下你的规则，只用nat是不行的。
另外防火墙是不允许路由存在的，在不同的区域只能nat.