華三及華爲三層交換/VLAN實施筆記(一)

聲明：此文內容爲實施過程中的流水筆記記載，留此記錄，謹做參考，各位朋友看到請勿見笑，謝絕轉載！

--------------寒冰於2010.8

第一部分：華爲3328&2326 VLAN的實現及網絡應用故障排除

一、實現如下網絡： 

說明：創建VLAN2（10.10.0.0/24），實現VLAN2與192.168.0.0/16互訪

 

二、思路：
    1. 在HW3328上設置VLAN1的IP:192.168.0.10/16,以確保訪問192.168.0.0/16網段

2. 在HW3328上設置VLAN2的IP:10.10.0.1/24,並將ethernet0/0/2加入VLAN2

3. 在ethernet0/0/1上設置TRUNK，並允許VLAN1\VLAN2通過

4. 建立一條缺省路由到192.168.0.2/16，以保證下方的電腦能到192.168.0.2的出口出去。

5. 在HW2326上設置管理VLAN1 IP:10.10.0.2/24

6. 在HW2326上設置缺省路由到10.10.0.1

7. 在HW2326上的ethernet0/0/1口設置trunk讓VLAN1通過

三、實現過程：

    略，見以下配置信息

四、配置信息：
1. HW2326的配置信息：

#

sysname HW2326

#

 vlan batch 1

#

interface Vlanif1

ip address 10.10.0.2 255.255.255.0

#

interface Ethernet0/0/1

 port default vlan 1

 port trunk allow-pass vlan 1

 ntdp enable

 ndp enable

#

 ip route-static 0.0.0.0 0.0.0.0 10.10.0.1

#

return

<HW2326>dis ip rou  //路由配置信息

Route Flags: R - relay

------------------------------------------------------------------------------

Routing Tables: Public

        Destinations : 5        Routes : 5

 

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface

 

        0.0.0.0/0   Static 60   0          R   10.10.0.1       Vlanif1

      10.10.0.0/24  Direct 0    0              10.10.0.2       Vlanif1

      10.10.0.2/32  Direct 0    0              127.0.0.1       InLoopBack0

      127.0.0.0/8   Direct 0    0              127.0.0.1       InLoopBack0

      127.0.0.1/32  Direct 0    0              127.0.0.1       InLoopBack0

   

2. HW3328的配置信息：

#

 sysname HW3328

#

 vlan batch 1 to 2

#

interface Vlanif1

 ip address 192.168.0.10 255.255.0.0

#

interface Vlanif2                        

 ip address 10.10.0.1 255.255.255.0

#

interface Ethernet0/0/1

 port default vlan 1

 port trunk allow-pass vlan 1 to 2

#

interface Ethernet0/0/2

 port default vlan 2

#

 ip route-static 0.0.0.0 0.0.0.0 192.168.0.2

#

return

 

<HW3328>dis ip rou

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

        Destinations : 7        Routes : 7

 

Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface

 

        0.0.0.0/0   Static 60   0          RD  192.168.0.2     Vlanif1

      10.10.0.0/24  Direct 0    0           D  10.10.0.1       Vlanif2

      10.10.0.1/32  Direct 0    0           D  127.0.0.1       InLoopBack0

      127.0.0.0/8   Direct 0    0           D  127.0.0.1       InLoopBack0

      127.0.0.1/32  Direct 0    0           D  127.0.0.1       InLoopBack0

    192.168.0.0/16  Direct 0    0           D  192.168.0.10    Vlanif1

   192.168.0.10/32  Direct 0    0           D  127.0.0.1       InLoopBack0

五、後續故障：

    1、完成上述配置後，從2326上可以PING 192.168.0.2,但無法PINT192.168.0.31(EXCHANGE服務器)與192.168.0.5（ISASERVER）。到192.168.0.31上發現該機沒有配置網關（192.168.0.2），加入網關後，OK.

    而ISASERVER應該是ISA防火牆限制了，在ISA中，新建一條允許從VLAN2(10.10.0.0/24)訪問ISA的規則。首先新建一個VLAN2的子網，然後創建一條允許從VLAN2子網訪問”本地主機”的規則。如下圖。

  

 

 在2326上測試OK:

 

 2、VLAN2的主機如何獲取IP:

   思路及實現：

（1）在DHCP服務器上創建一個新的作用域10.10.0.0/24，制定其父域爲dgqy.com,其DNS服務器爲domainBK.dgqy.com(192.168.0.30),其網關（路由器）爲3328的VLAN2 IP(10.10.0.1),然後將現有的作用域及剛建立的作用域加入到一個“超級作用域”（不加不知道是否可以，沒測試）：

 

 （2）在3328上做DHCP中繼：進入VLAN2接口，打開DHCP, 指定DHCP中繼地址爲DHCP服務器192.168.0.30，如下：（若網絡中有多臺DHCP，先在全局中將DHCP服務器加入到一個組，然後指定爲一個組，而不是一個單個的DHCP地址）。

<HW3328>system-view

Enter system view, return user view with Ctrl+Z.

[HW3328]interface vlan 2

[HW3328-Vlanif2]dhcp enable

[HW3328-Vlanif2]dhcp select relay

[HW3328-Vlanif2]ip relay address 192.168.0.30

[HW3328-Vlanif2]quit

   故障：

完成上述設置後，在客戶機上成功獲取IP，並且能PING通192.168.0.0/16網段，但是在PING 文件服務器（fileserver）時，出現故障，無法PING通，但PING fileserver的IP是通的，則此爲DNS故障。查看DNS服務器的記錄，發現沒有fileserver的記錄，添加進去後，故障排除。

3、最後3328的配置信息：

<HW3328>dis cu

#

 sysname HW3328

#

 vlan batch 1 to 2#

interface Vlanif1

 ip address 192.168.0.10 255.255.0.0

#

interface Vlanif2                        

 ip address 10.10.0.1 255.255.255.0

 ip relay address 192.168.0.30

 dhcp select relay

#

interface Ethernet0/0/1

 port default vlan 1

 port trunk allow-pass vlan 1 to 2

 #

interface Ethernet0/0/2

 port default vlan 2

#

 dhcp enable

#                                        

 ip route-static 0.0.0.0 0.0.0.0 192.168.0.2

#

return

****************************************************************************************************

 後續將3328和2326掛到公司網絡後，又出現了之前的未知故障，總結起來爲以下兩點:

1.       ISA客戶端用戶無法上網；

2.       EMAIL外郵賬戶無法發送郵件和公司的WEB服務器。

3.       客戶端能上網但無法經過ISA收發netvigator郵件問題。

故障搜索及排查：

解決ISA客戶端無法上網問題：
客戶端域用戶已經具備上網的權限，客戶端能正常訪問（解析）ISA服務器，但卻無法上網，打開INTERNET，輸入網址後，提示ISA阻止，懷疑ISA阻止了VLAN2的網段上網。
到ISA服務器上，新建一個訪問規則爲”VLAN2 TO INTERNET”,設置允許VLAN2子網（10.10.0.0/24，之前已設置）到外網。設置一個規則允許本機訪問VLAN2，如下圖，成功解決問題：

 一、解決EMAIL外郵賬戶無法發送郵件和公司的WEB服務器:
客戶機無法PING通外郵服務器的IP地址。
到外郵服務器上查看網絡連接，外郵服務器有兩個網卡，一個內網（192.168.0.98/16），一個外網（100.100.100.2/24）。由於WINDOWS只支持一個網卡的網關，所以只給外網設置了網關（100.100.0.1），而內網沒有設置網關，以前只有一個LAN，採用廣播模式所以能進行訪問，現在有了VLAN，於是192.168.0.98地址在沒有網關地址的情況下是無法訪問到10.10.0.0/24網段了。
解決方案：
首先嚐試給內網加網關，去掉外網的網關，這樣內部可訪問，但卻無法訪問INTERNET，失敗。
之後找到正確的解決方案那就是應該要加條路由表到本機路由裏面。使用route print命令查看本機的路由表，沒有到10.10.0.0/24的路由及出口，所以沒有辦法訪問VLAN2了。用ROUTE命令添加一條到10.10.0.0/24的路由，路由的下一跳地址爲192.168.0.10，命令如下：
C:\>route ADD -P 10.10.0.0 MASK 255.255.255.0 192.168.0.10 metric 10 IF 0x5後面接的是網卡ID，用route print命令可查看到。metric 10 制定優先級別問哦10，-P參數使路由具有永久性，否則重啓就沒了。route命令的詳細使用方法見其他介紹文檔。

添加路由後，成功解決問題。

二、             客戶端能上網但無法經過ISA收發netvigator郵件問題：

該問題在沒有創建VLAN前就有過，不是VLAN問題。

        看來是ISA的套版問題，在ISA服務器上設置是可以收發郵件的，客戶端也能上netvigator網站，也能Ping通pop服務器。只有將客戶端轉移到路由器上上網了。

        解決方法：

        在路由器上創建一個IP訪問規則，允許192.168.0.10(vlan2出口地址)上網，然後再將該客戶端的VLAN2 IP地址加入進去，也允許上網，解決故障，如圖:

下次試驗密碼驗證及開通TELNET服務，待續。。。