Chinaunix

标题: H3C S3600VLAN及通过ISA上网问题 [打印本页]

作者: michael.tang 时间: 2008-04-21 09:53
标题: H3C S3600VLAN及通过ISA上网问题

目前是在一台h3c s3600三层交换机上划分了四个vlan，分别为：vlan1（192.168.0.0）、vlan2（192.168.1.0）、vlan3（192.168.2.0）、vlan4（192.168.3.0）

各vlan之间是可以相互通讯的；

在交换机的上一层是ISA代理服务器（192.168.0.1），目前是vlan1的默认可以上网，其他的vlan里面的pc无法通过ISA代理上网，请问应该怎么设置路由呢？

ISA的上一层为思科的3550路由器，是否也要设置呢？

作者: ssffzz1 时间: 2008-04-21 10:08
H3C 3600的缺省网关指向ISA(192.168.0.1)

ISA，上添加静态路由条目192.168.0.0/16 指向H3C 3600 (192.168.0.x)

作者: seven007 时间: 2008-04-21 12:05
要在ISA服务器上添加其他几个VLAN的网段为本地网络

作者: michael.tang 时间: 2008-04-21 12:33
标题: 回复 #2 ssffzz1 的帖子
楼上，当在ISA里面添加路由时，系统提示：route: bad destination address 192.168.0.0/16

作者: seven007 时间: 2008-04-21 13:02
ISA
route add -p 192.168.1.0 mask 255.255.255.0 192.168.0.250
route add -p 192.168.2.0 mask 255.255.255.0 192.168.0.250
route add -p 192.168.3.0 mask 255.255.255.0 192.168.0.250
然后再在ISA中添加那三个网段的IP地址到ISA的本地网络里面

作者: ssffzz1 时间: 2008-04-21 13:08
你语法不对吧。

作者: michael.tang 时间: 2008-04-21 14:06
标题: 回复 #6 ssffzz1 的帖子
3600里面设置缺省网关：ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
ISA里面如楼上添加了：route add -p 192.168.1.0 mask 255.255.255.0 192.168.0.250
route add -p 192.168.2.0 mask 255.255.255.0 192.168.0.250
route add -p 192.168.3.0 mask 255.255.255.0 192.168.0.250
然后再在ISA中添加那三个网段的IP地址到ISA的本地网络里面
然后我选择vlan3测试，结果是vlan3下面的pc还是只能ping到3600的各vlan的ip地址，ping不到ISA的网关192.168.0.1

作者: seven007 时间: 2008-04-21 15:47

原帖由 michael.tang 于 2008-4-21 14:06 发表
3600里面设置缺省网关：ip route-static 0.0.0.0 0.0.0.0 192.168.0.1
ISA里面如楼上添加了：route add -p 192.168.1.0 mask 255.255.255.0 192.168.0.250
route add -p 192.168.2.0 mask 255.255.255.0 192. ...

ISA默认禁止ping，你从ISA反过来ping呢？

作者: seven007 时间: 2008-04-21 15:50
还有就是ISA里面的访问规则检查一下有没有问题，我这边ISA带两三个网段都没有问题的

作者: michael.tang 时间: 2008-04-21 16:08

原帖由 seven007 于 2008-4-21 15:50 发表
还有就是ISA里面的访问规则检查一下有没有问题，我这边ISA带两三个网段都没有问题的

我在ISA里面默认打开了ping的功能，下图是截取的几条规则，请帮忙看看

作者: ssffzz1 时间: 2008-04-22 11:29
贴出交换机和 isa机器的路由表。

作者: michael.tang 时间: 2008-04-22 13:31
标题: 回复 #11 ssffzz1 的帖子
s3600配置：

#
sysname H3C
#
radius scheme system
#
domain system
#
local-user admin
password simple michael
service-type telnet
level 3
#
vlan 1 to 4
#
interface Vlan-interface1
ip address 192.168.0.250 255.255.255.0
#
interface Vlan-interface2
ip address 192.168.1.250 255.255.255.0
#
interface Vlan-interface3
ip address 192.168.2.250 255.255.255.0
#
interface Vlan-interface4
ip address 192.168.3.250 255.255.255.0
#
interface Aux1/0/0
#
interface Ethernet1/0/1
#
interface Ethernet1/0/2
#
interface Ethernet1/0/3
#
interface Ethernet1/0/4
#
interface Ethernet1/0/5
#
interface Ethernet1/0/6
#
interface Ethernet1/0/7
port access vlan 2
#
interface Ethernet1/0/8
port access vlan 2
#
interface Ethernet1/0/9
port access vlan 3
#
interface Ethernet1/0/10
port access vlan 3
#
interface Ethernet1/0/11
port access vlan 4
#
interface Ethernet1/0/12
port access vlan 4
#
interface Ethernet1/0/13
#
interface Ethernet1/0/14
#
interface Ethernet1/0/15
#
interface Ethernet1/0/16
#
interface Ethernet1/0/17
#
interface Ethernet1/0/18
#
interface Ethernet1/0/19
#
interface Ethernet1/0/20
#
interface Ethernet1/0/21
#
interface Ethernet1/0/22
#
interface Ethernet1/0/23
#
interface Ethernet1/0/24
#
interface GigabitEthernet1/1/1
#
interface GigabitEthernet1/1/2
#
interface GigabitEthernet1/1/3
#
interface GigabitEthernet1/1/4
#
undo irf-fabric authentication-mode
#
interface NULL0
#
voice vlan mac-address 0001-e300-0000 mask ffff-ff00-0000
#
ip route-static 0.0.0.0 0.0.0.0 192.168.0.1 preference 60
#
snmp-agent
snmp-agent local-engineid 800063A2000FE2688DEE6877
snmp-agent sys-info version v3
#
user-interface aux 0 7
user-interface vty 0
user privilege level 2
set authentication password simple michael
history-command max-size 20
screen-length 30
protocol inbound telnet
user-interface vty 1 4
#
return
ISA路由配置：
IPv4 Route Table
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 1b b9 56 8d a7 ...... Realtek RTL8139 Family PCI Fast Ethernet NIC

0x10004 ...00 19 e0 08 61 da ...... Realtek RTL8139 Family PCI Fast Ethernet NIC
#2
===========================================================================
===========================================================================
Active Routes:
Network Destination       Netmask       Gateway    Interface  Metric
      0.0.0.0       0.0.0.0    172.18.9.1    172.18.9.18    20
      127.0.0.0       255.0.0.0       127.0.0.1       127.0.0.1    1
   172.18.9.0 255.255.255.0    172.18.9.18    172.18.9.18    20
   172.18.9.18  255.255.255.255       127.0.0.1       127.0.0.1    20
172.18.255.255  255.255.255.255    172.18.9.18    172.18.9.18    20
   192.168.0.0 255.255.255.0    192.168.0.1    192.168.0.1    20
   192.168.0.1  255.255.255.255       127.0.0.1       127.0.0.1    20
192.168.0.255  255.255.255.255    192.168.0.1    192.168.0.1    20
   192.168.1.0 255.255.255.0    192.168.1.1    192.168.0.1    20
   192.168.1.1  255.255.255.255       127.0.0.1       127.0.0.1    20
192.168.1.255  255.255.255.255    192.168.1.1    192.168.0.1    20
   192.168.2.0 255.255.255.0 192.168.0.250    192.168.0.1    1
   192.168.3.0 255.255.255.0 192.168.0.250    192.168.0.1    1
      224.0.0.0       240.0.0.0    172.18.9.18    172.18.9.18    20
      224.0.0.0       240.0.0.0    192.168.0.1    192.168.0.1    20
  255.255.255.255  255.255.255.255    172.18.9.18    172.18.9.18    1
  255.255.255.255  255.255.255.255    192.168.0.1    192.168.0.1    1
Default Gateway:       172.18.9.1
===========================================================================
Persistent Routes:
  Network Address       Netmask  Gateway Address  Metric
   192.168.2.0 255.255.255.0 192.168.0.250    1
   192.168.3.0 255.255.255.0 192.168.0.250    1

作者: ssffzz1 时间: 2008-04-22 15:18
192.168.1.0 255.255.255.0    192.168.1.1    192.168.0.1    20
   192.168.1.1  255.255.255.255       127.0.0.1       127.0.0.1    20
192.168.1.255  255.255.255.255    192.168.1.1    192.168.0.1    20    192.168.2.0 255.255.255.0 192.168.0.250    192.168.0.1    1
   192.168.3.0 255.255.255.0 192.168.0.250    192.168.0.1    1

1.1网段是怎么回事.

ISA中允许其他网段的NAT了吗?

作者: ssffzz1 时间: 2008-04-22 16:51
VLAN 3 4的机器不能上吗？

作者: michael.tang 时间: 2008-04-22 17:12
标题: 回复 #15 ssffzz1 的帖子
是的，然后在vlan3、4下面ping 192.168.0.1是不能通的。

作者: ssffzz1 时间: 2008-04-22 18:23
0、确认关掉了ISA的防火墙等，并且要去掉1.1网段的IP配置。
1、0.0网段的能ping 通0.1否？
2、在交换机上分别用指定源IP的方式ping 0.1，当指定不同的源IP的时候，都有什么结果。

3、确信机器配置的掩码正确。

作者: michael.tang 时间: 2008-04-22 19:21
标题: 回复 #17 ssffzz1 的帖子
呵呵，我把isa上面的1.1段ip去掉了，然后进行了测试：
1、0.0段ip是可以正常ping通192.168.0.1的，也可以上外网；
2、在交换机里面，处于不同的vlan段，是可以ping通192.168.0.1的，不过在vlan下面接上pc，就不能ping通0.1了；
按照道理来说交换机里面配置应该是没有问题的，不知道是不是我的isa路由回程路由有问题还是其他的规则设置问题？

作者: ssffzz1 时间: 2008-04-22 19:27
vlan 下面的PC的缺省网关是什么。
交换机上用指定源IP的方法PING也通吗？譬如ping -a 192.168.2.250 192.168.0.1

作者: michael.tang 时间: 2008-04-22 19:43
标题: 回复 #19 ssffzz1 的帖子
vlan下面的pc网关为对应vlan的ip地址，比如：vlan3的下面pc网关为192.168.2.250
指定源ip的ping返回结果如下：

<H3C>ping -a 192.168.0.250 192.168.0.1
  PING 192.168.0.1: 56  data bytes, press CTRL_C to break
Reply from 192.168.0.1: bytes=56 Sequence=1 ttl=127 time=5 ms
Reply from 192.168.0.1: bytes=56 Sequence=2 ttl=127 time=2 ms
Reply from 192.168.0.1: bytes=56 Sequence=3 ttl=127 time=2 ms
Reply from 192.168.0.1: bytes=56 Sequence=4 ttl=127 time=2 ms
Reply from 192.168.0.1: bytes=56 Sequence=5 ttl=127 time=3 ms

  --- 192.168.0.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 2/2/5 ms
但是指定ping -a 192.168.2.250 192.168.0.1 是不通的！

付isa路由表：
#2
===========================================================================
===========================================================================
Active Routes:
Network Destination       Netmask       Gateway    Interface  Metric
      0.0.0.0       0.0.0.0    172.18.9.1    172.18.9.18    20
      127.0.0.0       255.0.0.0       127.0.0.1       127.0.0.1    1
   172.18.9.0 255.255.255.0    172.18.9.18    172.18.9.18    20
   172.18.9.18  255.255.255.255       127.0.0.1       127.0.0.1    20
172.18.255.255  255.255.255.255    172.18.9.18    172.18.9.18    20
   192.168.0.0 255.255.255.0    192.168.0.1    192.168.0.1    20
   192.168.0.1  255.255.255.255       127.0.0.1       127.0.0.1    20
192.168.0.255  255.255.255.255    192.168.0.1    192.168.0.1    20
   192.168.1.0 255.255.255.0 192.168.0.250    192.168.0.1    1
   192.168.2.0 255.255.255.0 192.168.0.250    192.168.0.1    1
   192.168.3.0 255.255.255.0 192.168.0.250    192.168.0.1    1
      224.0.0.0       240.0.0.0    172.18.9.18    172.18.9.18    20
      224.0.0.0       240.0.0.0    192.168.0.1    192.168.0.1    20
  255.255.255.255  255.255.255.255    172.18.9.18    172.18.9.18    1
  255.255.255.255  255.255.255.255    192.168.0.1    192.168.0.1    1
Default Gateway:       172.18.9.1
===========================================================================
Persistent Routes:
  Network Address       Netmask  Gateway Address  Metric
   192.168.1.0 255.255.255.0 192.168.0.250    1
   192.168.2.0 255.255.255.0 192.168.0.250    1
   192.168.3.0 255.255.255.0 192.168.0.250    1

附件是ISA规则的截图，请帮忙检查一下，谢谢！

[ 本帖最后由 michael.tang 于 2008-4-22 19:55 编辑 ]

ISA_1.JPG (71.62 KB, 下载次数: 38)

ISA_2.JPG (50.29 KB, 下载次数: 41)

ISA_3.JPG (52.35 KB, 下载次数: 41)

ISA_4.JPG (74.52 KB, 下载次数: 41)

作者: michael.tang 时间: 2008-04-22 20:10

原帖由 ssffzz1 于 2008-4-22 18:23 发表
0、确认关掉了ISA的防火墙等，并且要去掉1.1网段的IP配置。
1、0.0网段的能ping 通0.1否？
2、在交换机上分别用指定源IP的方式ping 0.1，当指定不同的源IP的时候，都有什么结果。

3、确信机器配置的掩码正确。

会不会是因为ISA代理服务器是后端防火墙的问题呢？

作者: seven007 时间: 2008-04-22 20:19
估计是ISA的问题，你可以创建一个规则允许所有协议从内部到所有网络测试一下，规则放到第一条最上面。
还有你有没有在isa上测试反过来ping

作者: seven007 时间: 2008-04-22 20:20

原帖由 michael.tang 于 2008-4-22 20:10 发表

会不会是因为ISA代理服务器是后端防火墙的问题呢？

不用管他，我做ISA不选模板都是自己配，也有可能是两个网卡的问题，你也可以禁用其中一个测试

作者: seven007 时间: 2008-04-22 20:24
还有你客户端的网关指哪里了？

作者: ssffzz1 时间: 2008-04-22 20:28
哦，ISA的配置我不太熟悉。
不过从现象来看应该是ISA的问题。
1、可能是回指路由不正确，不过从路由表看没问题。
2、可能是ISA有防火墙等等阻挡了VLAN 2 3 4的网段访问。
3、ISA掩码不正确。
4、建议你先关闭ISA软件，先处理路由问题。

5、VLAN 1 2 3 4的主机间通讯正常否。

作者: michael.tang 时间: 2008-04-22 21:17
标题: 回复 #25 ssffzz1 的帖子
嗯，看样子是ISA的问题了。现在回家了，明天到公司再测试吧，谢谢你！明天继续，^_^

作者: michael.tang 时间: 2008-04-23 09:16
标题: 回复 #23 seven007 的帖子
嗯，微软的东西太多不确定因素了！
我中午再按照两位的办法测试一下！

作者: michael.tang 时间: 2008-04-23 13:04

原帖由 ssffzz1 于 2008-4-22 20:28 发表
哦，ISA的配置我不太熟悉。
不过从现象来看应该是ISA的问题。
1、可能是回指路由不正确，不过从路由表看没问题。
2、可能是ISA有防火墙等等阻挡了VLAN 2 3 4的网段访问。
3、ISA掩码不正确。
4、建议你先关 ...

问题已经解决，原因出在ISA服务器的网络配置，我当时在网络里面添加了vlan2、vlan3、vlan4，并加入到网络规则的NAT转换中，其实应该是在内部网络里面选择“添加适配器”，路由信息已经包含在内部网卡里面的。
再次感谢ssffzz1(午夜)&seven007
操作如图：

ISA_5.jpg (48.81 KB, 下载次数: 51)

ISA_6.JPG (55.46 KB, 下载次数: 55)

作者: ssffzz1 时间: 2008-04-23 13:08
呵呵。主要的原因在于你的解决问题的思路不太对头。

解决应该按照逐层，模块化的解决方法。切忌东一头西一头的乱试。

作者: michael.tang 时间: 2008-04-23 14:24
标题: 回复 #29 ssffzz1 的帖子
头大，现在才发现dns也有问题了，各vlan访问服务器只能采取ip的方式访问！

作者: ssffzz1 时间: 2008-04-23 16:20
DNS设置成ISP给你的IP。

作者: michael.tang 时间: 2008-04-23 18:41
以前没有划分vlan的时候，客户端pc是可以通过域及dns正常访问服务器群组的。
目前我是将dns和域控放在vlan1里面，其他vlan下面的pc就只能够通过ip访问vlan1里面的服务器群组了。
因为是ISA的问题，然后我将内部到dns等服务器的规则都设置为默认所有允许了，情况还是一样的。

作者: seven007 时间: 2008-04-23 21:34

原帖由 michael.tang 于 2008-4-23 18:41 发表
以前没有划分vlan的时候，客户端pc是可以通过域及dns正常访问服务器群组的。
目前我是将dns和域控放在vlan1里面，其他vlan下面的pc就只能够通过ip访问vlan1里面的服务器群组了。
因为是ISA的问题，然后我将内 ...

搞不懂你为何你客户端访问你的dns和域DC还要经过ISA?

作者: SMEWL 时间: 2008-04-24 12:53
ISA服务器不就WINDWOS系统嘛。外网口如果用的不是192.168.X.0的网段，也可以加一个16位的汇总路由的
route add 192.168.0.0 mask 255.255.0.0 192.168.0.250
H3C的默认路由，下一跳指向ISA的直连口

作者: michael.tang 时间: 2008-04-25 14:15
标题: 回复 #33 seven007 的帖子
哦，应该是不用经过的，会不会是没有开启wins服务的原因呢？客户端如果是加入域的话，访问没有问题，不加域的客户端只能通过ip地址进行访问！

作者: bbjmmj 时间: 2008-04-25 21:44
标题: 回复 #1 michael.tang 的帖子
你的配置实在太奢侈了，我用一台服务器加一台DLINK DGS1224T带12个子网几百台电脑，三层交换、URL过滤、协议过滤都做了。

作者: michael.tang 时间: 2008-04-25 22:13
标题: 回复 #36 bbjmmj 的帖子
以前公司习惯在客户端使用固定ip地址的，现在划分了四个vlan，为了方便管理，我今天又在ISA上面做了一个DHCP服务。好像和前面的帖子上面的稍微有一点不同。流程如下：
1、在ISA（ip:192.168.0.1）里面启用DHCP服务，添加四个作用域，路由器的地址分别设置为各vlan的ip地址；
2、在3600的交换机里面进入系统设置界面，输入：dhcp-server 0 ip 192.168.0.1(中间的0表示序号，好像是0-19随便选择的吧)；到这一步的话，和ISA处于同一网段的pc是可以直接获取ip地址的；
3、输入vlan 2，进入vlan2的端口，命令：dhcp-server 0，依次分别设置vlan3、vlan4即可让各vlan下面的pc自动获取到对应网段的ip地址了。

作者: michael.tang 时间: 2008-04-25 22:13
今天浏览主页，发现这个帖子居然放到一周热点里面去了，汗啊！感谢各位顶啦！

作者: michael.tang 时间: 2008-04-25 22:18
标题: 回复 #36 bbjmmj 的帖子
哈哈，你是看到我上面说有一个思科的3550吧，后面还带一个ISA加h3c的s3600，哈哈，还告诉你在思科3550和ISA中间还有一个h3c的3900交换机啦！
哈哈，其实我是郁闷死了！思科是集团的总出口，为了方便自主管理，在下面加了一个h3c的3900，自己做vlan划分了两网段把公司的研发部门和非研发部门分开，然后为了自己做策略管理，加了一个ISA代理服务器，现在把研发网络划分vlan，就加了3600了！其实是太乱了，不过有一些历史遗留问题，暂时没有办法了，正准备独立出口改造呢！

作者: 瞄准上帝 时间: 2008-04-29 11:54
晕了这不是区域网么？

作者: bbjmmj 时间: 2008-10-12 10:55

原帖由 michael.tang 于 2008-4-25 22:18 发表
哈哈，你是看到我上面说有一个思科的3550吧，后面还带一个ISA加h3c的s3600，哈哈，还告诉你在思科3550和ISA中间还有一个h3c的3900交换机啦！
哈哈，其实我是郁闷死了！思科是集团的总出口，为了方便自主管理， ...

你们那么有钱还做什么ISA啊，直接买个防火墙多省事啊。

作者: michael.tang 时间: 2008-10-20 00:30
现在架构终于改了。从集团剥离，重新申请了10M的光纤专线，带路由器+防火墙+核心层交换机+接入层。改天把拓扑图贴出来讨论一下。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)