- 论坛徽章:
- 0
|
10可用积分
各位大哥大姐,有一个关于广域网的问题想请教各位,小弟是百思不得其解,具体是这样的:
我公司设置三级网络,最上一级是全国的总公司,其网段是10.16.16.0/24,使用的港湾的ESR80三层交换机;然后是省级分公司,其网段是10.32.16.0/24,使用的是港湾的6808三层交换机;最后就是我们,市级分公司,由于我们有很多部门,省局允许我们使用10.32.40.0/24到10.32.47.0/24,这8个网段,使用的设备是港湾的5210和华为的3526e三层交换机。从总公司连接到省公司是使用的2条10M的广域网线路,从省公司连接到我们分公司是使用的2条2M的广域网线路,分别是电信的MSTP和联通的E1线路。
这样的网络结构一直用了好几年,没什么问题。上个月,我们省公司的港湾6808出了问题,总公司就调了一台中兴的ZXR10过来顶替港湾6808,设置好以后,正常运行,我们分公司也没什么需要改动的地方。但是就在昨天上午,我们分公司的主要网段10.32.40.0/24无法访问总公司了,只能访问省公司,但是,其他部门的网段10.32.41.0/24到10.32.47.0/24都可以访问省公司和总公司,这个问题是突然出现的,我们打电话去省公司和总公司去问了,他们都没改动任何配置。各位大哥可以帮我解释下这个问题么?
因为10.32.40.0/24网段比较重要,我把它配置在港湾5210上,而这台交换机上面的网段就只有10.32.40.0/24,地址是10.32.40.254,而连接省公司的2条广域网线路也在这台交换机上面,具体配置如下:
!VLAN config
interface vlan default 1
add port 1/1 untagged
exit
interface vlan xx_sx_73 73
add port 1/2,1/4-28 untagged
ip address 10.32.40.254 255.255.255.0
这是我们公司的主要工作网段
ip ospf authentication-key xxxx
exit
interface vlan xx_sx_dx_173 173
add port 1/1 tagged
ip address 10.32.18.18 255.255.255.252
我公司到省公司的电信线路
description xx_to_sx_dx_173
ip ospf authentication-key xxxx
exit
interface vlan xx_sx_lt_373 373
add port 1/3 untagged
ip address 10.32.18.22 255.255.255.252
我公司到省公司的联通线路
description xx_to_sx_lt_373
ip ospf authentication-key xxxx
exit
ospf的配置是这样的:
!Ospf config
router ospf
network 10.32.0.0/16 area 4
area 4 authentication
exit
然后,是华为3526e的配置,这台交换机上面有10.50.40.0/24到10.50.44.0/24这几个网段,具体配置如下:
#
interface Vlan-interface1
ip address 10.32.40.249 255.255.255.0
ospf authentication-mode simple xxxx
#
interface Vlan-interface2
description This is RENSHI
ip address 10.32.41.254 255.255.255.0
ospf authentication-mode simple xxxx
#
interface Vlan-interface3
description This is CAIKUAI
ip address 10.32.42.254 255.255.255.0
ospf authentication-mode simple xxxx
#
interface Vlan-interface4
description This is QIHUA
ip address 10.32.43.254 255.255.255.0
ospf authentication-mode simple xxxx
#
interface Vlan-interface5
description this is DATING
ip address 10.32.44.254 255.255.255.0
ospf authentication-mode simple xxxx
#
Ospf的具体配置为:
#
ospf
area 0.0.0.4
network 10.32.0.0 0.0.255.255
authentication-mode simple
#
省公司的那台中兴ZXR10的配置我也通过省公司的信息中心同事搞到了,具体如下:
interface vlan 2
ip address 130.82.115.5 255.255.255.252
out_index 51
这是省公司到总公司的电信线路
ip ospf authentication-key xxxx
!
interface vlan 3
ip address 10.32.16.248 255.255.255.0
out_index 52
这是省公司的办公网段
ip ospf priority 100
ip ospf authentication-key xxxx
!
。。。。。。。。。。。。。。。。。。。。。。。。。。。 中间省略其他分公司的信息
!
interface vlan 173
ip address 10.32.18.17 255.255.255.252
out_index 55
这是省公司到我们公司的电信线路
description sx_to_xx_dx_173
ip ospf authentication-key xxxx
!
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 中间省略其他分公司的信息
!
interface vlan 373
ip address 10.32.18.21 255.255.255.252
out_index 63
这是省公司到我们公司的联通线路
description sx_to_xx_lt_373
ip ospf authentication-key xxxx
!
。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。 继续省略
!
interface vlan 732
ip address 130.82.115.1 255.255.255.252
out_index 69
这是省公司到总公司的联通线路
ip ospf authentication-key xxxx
具体的端口配置如下:
interface gei_2/7
out_index 9
negotiation auto
switchport mode trunk
电信MSPT线路,走的是子接口
switchport trunk native vlan 1
switchport trunk vlan 173-177
switchport qinq normal
!
interface gei_2/11
out_index 13
negotiation auto
联通的E1线路端口
switchport access vlan 372
switchport qinq normal
ospf配置如下:
!
router ospf 100
maximum-paths 2
network 10.32.16.0 0.0.0.255 area 0.0.0.4
network 10.32.17.128 0.0.0.3 area 0.0.0.4
network 10.32.18.0 0.0.0.255 area 0.0.0.4
network 130.82.115.0 0.0.0.3 area 0.0.0.0
network 130.82.115.4 0.0.0.3 area 0.0.0.0
area 0.0.0.4 authentication
area 0.0.0.0 authentication
最后就是ACL,每个vlan都应用了这条ACL:
!
acl extended number 100
rule 1 deny tcp any any eq 445
rule 2 deny tcp any any eq 593
rule 3 deny tcp any any eq 4444
rule 4 deny tcp any any eq 5554
rule 6 deny tcp any any eq 135
rule 7 deny tcp any any eq 136
rule 8 deny tcp any any eq 137
rule 9 deny tcp any any eq 138
rule 10 deny tcp any any eq 139
rule 11 deny udp any any eq 445
rule 12 deny udp any any eq 593
rule 13 deny udp any any eq 4444
rule 14 deny udp any any eq 5554
rule 16 deny udp any any eq 135
rule 17 deny udp any any eq 136
rule 18 deny udp any any eq 137
rule 19 deny udp any any eq 138
rule 20 deny udp any any eq 139
rule 21 permit ip 10.32.24.0 0.0.0.255 10.32.24.0 0.0.0.255
rule 22 permit ip 10.32.32.0 0.0.0.255 10.32.32.0 0.0.0.255
rule 23 permit ip 10.32.40.0 0.0.0.255 10.32.40.0 0.0.0.255
rule 24 permit ip 10.32.48.0 0.0.0.255 10.32.48.0 0.0.0.255
rule 25 permit ip 10.32.56.0 0.0.0.255 10.32.56.0 0.0.0.255
rule 26 permit ip 10.32.64.0 0.0.0.255 10.32.64.0 0.0.0.255
rule 30 permit ip any 10.32.10.0 0.0.7.255
rule 31 permit ip 10.32.10.0 0.0.7.255 any
rule 32 deny ip 10.32.0.0 0.0.255.255 10.32.0.0 0.0.255.255
rule 40 permit ip any any
看路由表,所有的路由都是通的,但是就是10.32.40.0/24这个网段不能访问到总公司。
现在我把我们公司的网段改成了10.32.47.0/24,但是,我们很多服务器的地址都要改,要重装服务器,很麻烦,现在还在搞。请教各位大哥,这到底是什么问题?
|
|