网管最后的倔强——你要上网可以,但是走哪条链路由我说了算

作为一名合格的网管,除了修得了电脑,还要换得了灯泡;除了能折腾服务器,还得做好物业服务,要么擅长通下水道,要么会修中央空调。

但是,千万别说网管没脾气,他们也有倔强的时候,比如说,你想要上网,那没问题,但是走哪条链路(上高速还是走国道),那就是网管说了算。

网管最后的倔强——你要上网可以,但是走哪条链路由我说了算

如上图所示,公司有两条外部网络链,其中,左边一条是高速链路,网关为10.1.10.1/24;右边一条是低速链路,网关为10.1.20.1/24。

公司局域网有两个网段192.168.1.0/24和192.168.2.0/24。192.168.1.0/24网段主要是技术部、市场部,对链路带宽要求比较高,所以网管决定该网段走高速链路出去;剩余的192.168.2.0/24网段主要用作行政部、财务部上网,所以只能走低速链路出去。

配置思路:

通过redirect ip-nexthop命令确定主备链路——配置的第一个下一跳IP地址所在的链路作为主链路,其它链路作为备用链路。当主用链路Down掉之后,则自动选取优先级高的下一跳作为新的主链路。

配置过程:

  1. SW2的配置:
<HUAWEI> system-view

[HUAWEI] sysname Sw2

[Sw2] vlan batch 10 20 //创建VLAN,vlan1默认存在,不必创建

[Sw2]dhcp enable

[Sw2]dhcp snooping enable

配置Sw2各接口的所属VLAN,连接终端PC的接口配置为Access类型,连接Sw1的接口配置为Trunk类型:

[Sw2] interface gigabitethernet 0/0/1

[Sw2-GigabitEthernet0/0/1] port link-type access

[Sw2-GigabitEthernet0/0/1] port default vlan 10

[Sw2-GigabitEthernet0/0/1] quit

[Sw2] interface gigabitethernet 0/0/2

[Sw2-GigabitEthernet0/0/2] port link-type access

[Sw2-GigabitEthernet0/0/2] port default vlan 20

[Sw2-GigabitEthernet0/0/2] quit

[Sw2] interface gigabitethernet 0/0/3

[Sw2-GigabitEthernet0/0/3] port link-type trunk

[Sw2-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20

[Sw2-GigabitEthernet0/0/3]dhcp snooping trusted

[Sw2-GigabitEthernet0/0/3] quit

SW1的配置:

# 在Sw1上创建VLAN10、VLAN20、VLAN100、VLAN200。

<HUAWEI> system-view

[HUAWEI] sysname Sw1

[Sw1] vlan batch 10 20 100 200

# 配置Sw1各接口的所属VLAN,连接Sw1A的接口配置为Trunk类型,连接外部网络设备的接口配置为Access类型。

[Sw1] interface gigabitethernet 0/0/1

[Sw1-GigabitEthernet0/0/1] port link-type access

[Sw1-GigabitEthernet0/0/1] port default vlan 10

[Sw1-GigabitEthernet0/0/1] quit

[Sw1] interface gigabitethernet 0/0/2

[Sw1-GigabitEthernet0/0/2] port link-type access

[Sw1-GigabitEthernet0/0/2] port default vlan 20

[Sw1-GigabitEthernet0/0/2] quit

[Sw1] interface gigabitethernet 0/0/3

[Sw1-GigabitEthernet0/0/3] port link-type trunk

[Sw1-GigabitEthernet0/0/3] port trunk allow-pass vlan 1 2

[Sw1-GigabitEthernet0/0/3] quit

# 在Sw1上配置VLANIF10和VLANIF20作为用户网关,并配置IP地址分别为192.168.1.1/24和192.168.2.1/24。

[Sw1] interface vlanif 1

[Sw1-Vlanif10] ip address 192.168.1.1 24

[Sw1-Vlanif10] quit

[Sw1] interface vlanif 2

[Sw1-Vlanif20] ip address 192.168.2.1 24

[Sw1-Vlanif20] quit

# 在Sw1上配置VLANIF10和VLANIF20用于和外部网络设备互联,并配置相应的IP地址。

[Sw1] interface vlanif 10

[Sw1-Vlanif10] ip address 192.168.10.2 24

[Sw1-Vlanif10] quit

[Sw1] interface vlanif 20

[Sw1-Vlanif20] ip address 192.168.20.2 24

[Sw1-Vlanif20] quit

#创建两个DHCP地址池

ip pool vlan1

gateway-list 192.168.1.1

network 192.168.1.0 mask 255.255.255.0

excluded-ip-address 192.168.1.2 192.168.1.10

dns-list 114.114.114.114

#

ip pool vlan2

gateway-list 192.168.2.1

network 192.168.2.0 mask 255.255.255.0

excluded-ip-address 192.168.2.2 192.168.2.10

dns-list 114.114.114.114

# 在Sw1上配置两条缺省路由,下一跳分别指向两个外部网络设备。

[Sw1] ip route-static 0.0.0.0 0 192.168.10.1

[Sw1] ip route-static 0.0.0.0 0 192.168.20.1
网管最后的倔强——你要上网可以,但是走哪条链路由我说了算

完成以上配置步骤以后,内网能够正常访问外网了,但是不能保证192.168.1.0/24网段用户的数据走高速链路,192.168.2.0/24网段的数据走低速链路,所以需要继续配置ACL,以达到目标。

配置ACL规则

# 在Sw1上创建3001、3002的高级ACL。

[Sw1] acl 3001 //匹配192.168.1.0/24网段的数据流

[Sw1-acl-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255

[Sw1-acl-adv-3001] quit

[Sw1] acl 3002 //匹配192.168.2.0/24网段的数据流

[Sw1-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255

[Sw1-acl-adv-3002] quit

配置流分类

#在Sw1上创建流分类c1、c2,匹配规则分别为ACL 3001和ACL 3002。

[Sw1] traffic classifier c0 operator or

[Sw1-classifier-c0] if-match acl 3000

[Sw1-classifier-c0] quit

[Sw1] traffic classifier c1 operator or

[Sw1-classifier-c1] if-match acl 3001

[Sw1-classifier-c1] quit

[Sw1] traffic classifier c2 operator or

[Sw1-classifier-c2] if-match acl 3002

[Sw1-classifier-c2] quit

配置流行为

# 在Sw1上创建流行为b1、b2。

[Sw1] traffic behavior b1

[Sw1-behavior-b1] redirect ip-nexthop 192.168.10.1

[Sw1-behavior-b1] quit

[Sw1] traffic behavior b2

[Sw1-behavior-b2] redirect ip-nexthop 192.168.20.1

[Sw1-behavior-b2] quit

配置流策略并应用到接口上

# 在Sw1上创建流策略p1,将流分类和对应的流行为进行绑定。

[Sw1] traffic policy p1

[Sw1-trafficpolicy-p1] classifier c1 behavior b1

[Sw1-trafficpolicy-p1] classifier c2 behavior b2

[Sw1-trafficpolicy-p1] quit

# 将流策略p1应用到Sw1的GE0/0/3的入方向上。

[Sw1] interface gigabitethernet 0/0/3

[Sw1-GigabitEthernet0/0/3] traffic-policy p1 inbound

[Sw1-GigabitEthernet0/0/3] return

这样配置以后,上网的流向正确了,可是vlan1和vlan2却不能互访了。

网管最后的倔强——你要上网可以,但是走哪条链路由我说了算

思考后得知,是因为两个vlan互访的流量,也被上面的ACL重定向了,所以造成无法互访的局面。

知道问题所在,就好处理了,再添加一条ACL 3000来定义vlan互访应该就可以了。

[Sw1] acl 3000

[Sw1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[Sw1-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

[Sw1-acl-adv-3000] quit

[Sw1-] traffic classifier c0 operator or

[Sw1--classifier-c0] if-match acl 3000

[Sw1--classifier-c0] quit

[Sw1] traffic behavior b0

[Sw1-behavior-b0] permit

[Sw1-behavior-b0] quit

[Sw1] traffic policy p0

[Sw1-trafficpolicy-p0] classifier c0 behavior b0

前面已经将流策略p1应用到Sw1的GE0/0/3入方向上了,不用再重复操作,此时测试,两个vlan可以互访,并且上网路径正确,任务完成,你们看,上网走哪条链路是不是网管说了算?是不是也强势了一回?

文章来源:https://www.cnaaa.net,转载请注明出处:https://www.cnaaa.net/archives/11809

(0)
凯影的头像凯影
上一篇 2024年5月21日 下午3:47
下一篇 2024年5月22日 下午2:53

相关推荐

  • ip address与ifconfig以及网卡配置文件的总结

    为什么在network -scripts 中配置了网卡文件,nmcli connection show里面看都没有生效 可能是因为NetworkManager和network -scripts产生了冲突,导致配置文件未能生效。您可以尝试手动停止NetworkManager服务,并重启网络服务来使配置文件生效: 如果你想要永久停止NetworkManager服…

    2023年3月22日
    1.8K00
  • iptables与firewalld的区别

    iptables与firewalld的区别 firewalld可以动态修改单条规则,动态管理规则集,允许更新规则而不破坏现有会话和连接。而iptables,在修改了规则后必须得全部刷新才可以生效; firewalld使用区域和服务而不是链式规则; firewalld默认是拒绝的,需要设置以后才能放行。而iptables默认是允许的,需要拒绝的才去限制; fi…

    2022年8月9日
    1.7K00
  • 将 COS 作为本地磁盘挂载到 Windows 服务器

    下载与安装 本案例实践使用到以下三种软件,您可选择安装适用于自己所使用系统的软件版本: 说明: Github 下载速度可能比较慢甚至打不开,可自行在其他官方渠道进行下载。 配置 Rclone 注意: 以下配置步骤以 rclone-v1.60.1-windows-amd64 版本为例,其他版本的配置过程可能存在一定差异,请注意相应调整。 修改配置文件 以上步骤…

    2023年3月8日
    1.8K00
  • ELK日志系统之使用Rsyslog快速方便的收集Nginx日志

    Rsyslog Rsyslog是高速的日志收集处理服务,它具有高性能、安全可靠和模块化设计的特点,能够接收来自各种来源的日志输入(例如:file,tcp,udp,uxsock等),并通过处理后将结果输出的不同的目的地(例如:mysql,mongodb,elasticsearch,kafka等),每秒处理日志量能够超过百万条。 Rsyslog作为syslog的…

    2023年5月24日
    1.8K00
  • 华为s5735交换机配置ssh远程登陆

    (1)进入aaa模式 (2)创建用户和账户:local-user 用户名 password cipher 密码 (3)开启用户登陆方式是ssh:local-user 用户名 service-type ssh telnet (4)赋予用户权限:local-user 用户名 privilege level 级别 (5)开启stelnet服务:stelnet se…

    2023年4月10日
    3.2K00

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

在线咨询: QQ交谈

邮件:712342017@qq.com

工作时间:周一至周五,8:30-17:30,节假日休息

关注微信