关于局域网内部网段无法访问其他网段的问题，求高手赐教

月夜小云

各位大哥大姐，有一个关于广域网的问题想请教各位，小弟是百思不得其解，具体是这样的：\r\n我公司设置三级网络，最上一级是全国的总公司，其网段是10.16.16.0/24，使用的港湾的ESR80三层交换机；然后是省级分公司，其网段是10.32.16.0/24，使用的是港湾的6808三层交换机；最后就是我们，市级分公司，由于我们有很多部门，省局允许我们使用10.32.40.0/24到10.32.47.0/24，这8个网段，使用的设备是港湾的5210和华为的3526e三层交换机。从总公司连接到省公司是使用的2条10M的广域网线路，从省公司连接到我们分公司是使用的2条2M的广域网线路，分别是电信的MSTP和联通的E1线路。\r\n这样的网络结构一直用了好几年，没什么问题。上个月，我们省公司的港湾6808出了问题，总公司就调了一台中兴的ZXR10过来顶替港湾6808，设置好以后，正常运行，我们分公司也没什么需要改动的地方。但是就在昨天上午，我们分公司的主要网段10.32.40.0/24无法访问总公司了，只能访问省公司，但是，其他部门的网段10.32.41.0/24到10.32.47.0/24都可以访问省公司和总公司，这个问题是突然出现的，我们打电话去省公司和总公司去问了，他们都没改动任何配置。各位大哥可以帮我解释下这个问题么？\r\n因为10.32.40.0/24网段比较重要，我把它配置在港湾5210上，而这台交换机上面的网段就只有10.32.40.0/24，地址是10.32.40.254，而连接省公司的2条广域网线路也在这台交换机上面，具体配置如下：\r\n!VLAN config\r\n\r\n\r\ninterface vlan default 1\r\n\r\n\r\nadd port 1/1 untagged\r\n\r\n\r\nexit\r\n\r\n\r\ninterface vlan xx_sx_73 73 \r\n\r\n\r\nadd port 1/2,1/4-28 untagged\r\n\r\n\r\nip address 10.32.40.254 255.255.255.0\r\n这是我们公司的主要工作网段                       \r\n\r\nip ospf authentication-key xxxx\r\n\r\n\r\nexit\r\n\r\n\r\ninterface vlan xx_sx_dx_173 173\r\n\r\n\r\n\r\nadd port 1/1 tagged\r\n\r\n\r\nip address 10.32.18.18 255.255.255.252\r\n我公司到省公司的电信线路                         \r\n\r\ndescription xx_to_sx_dx_173\r\n\r\n\r\n\r\nip ospf authentication-key xxxx\r\n\r\n\r\nexit\r\n\r\n\r\ninterface vlan xx_sx_lt_373 373\r\n\r\n\r\nadd port 1/3 untagged\r\n\r\n\r\nip address 10.32.18.22 255.255.255.252\r\n我公司到省公司的联通线路                          \r\n\r\ndescription xx_to_sx_lt_373\r\n\r\n\r\nip ospf authentication-key xxxx\r\n\r\n\r\nexit\r\n\r\n     \r\n\r\nospf的配置是这样的：\r\n!Ospf config\r\n\r\n\r\n\r\nrouter ospf\r\n\r\n\r\nnetwork 10.32.0.0/16 area 4\r\n\r\n\r\narea 4 authentication\r\n\r\n\r\n\r\nexit\r\n\r\n然后，是华为3526e的配置，这台交换机上面有10.50.40.0/24到10.50.44.0/24这几个网段，具体配置如下：                                                                        \r\n#\r\n\r\ninterface Vlan-interface1\r\n\r\n\r\n\r\nip address 10.32.40.249 255.255.255.0\r\n\r\n\r\nospf authentication-mode simple xxxx\r\n\r\n#\r\n\r\n\r\ninterface Vlan-interface2\r\n\r\n\r\ndescription This is RENSHI\r\n\r\n\r\nip address 10.32.41.254 255.255.255.0\r\n\r\n\r\n\r\nospf authentication-mode simple xxxx\r\n\r\n#\r\n\r\ninterface Vlan-interface3\r\n\r\n\r\n\r\ndescription This is CAIKUAI\r\n\r\n\r\nip address 10.32.42.254 255.255.255.0\r\n\r\n\r\nospf authentication-mode simple xxxx\r\n\r\n#\r\n\r\n\r\ninterface Vlan-interface4\r\n\r\n\r\ndescription This is QIHUA\r\n\r\n\r\nip address 10.32.43.254 255.255.255.0\r\n\r\n\r\nospf authentication-mode simple xxxx\r\n\r\n#\r\n\r\ninterface Vlan-interface5\r\n\r\n\r\n\r\ndescription this is DATING\r\n\r\n\r\nip address 10.32.44.254 255.255.255.0\r\n\r\n\r\nospf authentication-mode simple xxxx\r\n\r\n\r\n#\r\n\r\n\r\nOspf的具体配置为：                                                        \r\n#\r\n\r\nospf\r\n\r\n\r\narea 0.0.0.4\r\n\r\n\r\n\r\nnetwork 10.32.0.0 0.0.255.255\r\n\r\n\r\nauthentication-mode simple\r\n\r\n#\r\n\r\n\r\n\r\n\r\n省公司的那台中兴ZXR10的配置我也通过省公司的信息中心同事搞到了，具体如下：\r\n\r\ninterface vlan 2\r\n\r\n\r\nip address 130.82.115.5 255.255.255.252\r\n\r\n\r\nout_index 51\r\n这是省公司到总公司的电信线路                               \r\n\r\nip ospf authentication-key xxxx\r\n\r\n!\r\n\r\ninterface vlan 3\r\n\r\n\r\n\r\nip address 10.32.16.248 255.255.255.0\r\n\r\n\r\nout_index 52\r\n这是省公司的办公网段                              \r\n\r\nip ospf priority 100\r\n\r\n\r\n\r\nip ospf authentication-key xxxx\r\n\r\n!\r\n\r\n。。。。。。。。。。。。。。。。。。。。。。。。。。。                     中间省略其他分公司的信息\r\n\r\n\r\n!\r\n\r\ninterface vlan 173\r\n\r\n\r\nip address 10.32.18.17 255.255.255.252\r\n\r\n\r\nout_index 55\r\n这是省公司到我们公司的电信线路\r\n\r\n\r\n\r\ndescription sx_to_xx_dx_173\r\n\r\n\r\nip ospf authentication-key xxxx\r\n\r\n\r\n\r\n!\r\n\r\n。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。               中间省略其他分公司的信息\r\n！\r\n\r\n\r\ninterface vlan 373\r\n\r\n\r\nip address 10.32.18.21 255.255.255.252\r\n\r\n\r\nout_index 63\r\n这是省公司到我们公司的联通线路\r\n\r\n\r\n\r\ndescription sx_to_xx_lt_373\r\n\r\n\r\nip ospf authentication-key xxxx\r\n\r\n！\r\n。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。                   继续省略\r\n！\r\ninterface vlan 732\r\n\r\n\r\n\r\nip address 130.82.115.1 255.255.255.252\r\n\r\n\r\nout_index 69\r\n这是省公司到总公司的联通线路                            \r\n\r\nip ospf authentication-key xxxx\r\n\r\n\r\n\r\n\r\n\r\n具体的端口配置如下：\r\ninterface gei_2/7\r\n\r\n\r\nout_index 9\r\n\r\n\r\nnegotiation auto\r\n\r\n\r\n\r\nswitchport mode trunk\r\n电信MSPT线路，走的是子接口                                \r\n\r\nswitchport trunk native vlan 1\r\n\r\n\r\nswitchport trunk vlan 173-177\r\n\r\n\r\n\r\nswitchport qinq normal\r\n\r\n                  \r\n!\r\n\r\ninterface gei_2/11\r\n\r\n\r\nout_index 13\r\n\r\n\r\n\r\nnegotiation auto\r\n联通的E1线路端口                              \r\n\r\nswitchport access vlan 372\r\n\r\n\r\nswitchport qinq normal\r\n\r\n \r\n \r\n \r\n \r\nospf配置如下：\r\n!\r\n\r\nrouter ospf 100\r\n\r\n\r\nmaximum-paths 2\r\n\r\n\r\nnetwork 10.32.16.0 0.0.0.255 area 0.0.0.4\r\n\r\n\r\nnetwork 10.32.17.128 0.0.0.3 area 0.0.0.4\r\n\r\n\r\nnetwork 10.32.18.0 0.0.0.255 area 0.0.0.4\r\n\r\n\r\nnetwork 130.82.115.0 0.0.0.3 area 0.0.0.0\r\n\r\n\r\nnetwork 130.82.115.4 0.0.0.3 area 0.0.0.0\r\n\r\n\r\narea 0.0.0.4 authentication\r\n\r\n\r\narea 0.0.0.0 authentication\r\n\r\n \r\n最后就是ACL，每个vlan都应用了这条ACL:\r\n!\r\n\r\nacl extended number 100\r\n\r\n\r\nrule 1 deny tcp any any eq 445\r\n\r\n\r\n\r\nrule 2 deny tcp any any eq 593\r\n\r\n\r\nrule 3 deny tcp any any eq 4444\r\n\r\n\r\nrule 4 deny tcp any any eq 5554\r\n\r\n\r\nrule 6 deny tcp any any eq 135\r\n\r\n\r\nrule 7 deny tcp any any eq 136\r\n\r\n\r\nrule 8 deny tcp any any eq 137\r\n\r\n\r\nrule 9 deny tcp any any eq 138\r\n\r\n\r\nrule 10 deny tcp any any eq 139\r\n\r\n\r\nrule 11 deny udp any any eq 445\r\n\r\n\r\nrule 12 deny udp any any eq 593 \r\n\r\n\r\nrule 13 deny udp any any eq 4444\r\n\r\n\r\nrule 14 deny udp any any eq 5554\r\n\r\n\r\nrule 16 deny udp any any eq 135\r\n\r\n\r\n\r\nrule 17 deny udp any any eq 136\r\n\r\n\r\nrule 18 deny udp any any eq 137\r\n\r\n\r\nrule 19 deny udp any any eq 138\r\n\r\n\r\n\r\nrule 20 deny udp any any eq 139\r\n\r\n\r\nrule 21 permit ip 10.32.24.0 0.0.0.255 10.32.24.0 0.0.0.255\r\n\r\n\r\nrule 22 permit ip 10.32.32.0 0.0.0.255 10.32.32.0 0.0.0.255\r\n\r\n\r\n\r\nrule 23 permit ip 10.32.40.0 0.0.0.255 10.32.40.0 0.0.0.255\r\n\r\n\r\nrule 24 permit ip 10.32.48.0 0.0.0.255 10.32.48.0 0.0.0.255\r\n\r\n\r\nrule 25 permit ip 10.32.56.0 0.0.0.255 10.32.56.0 0.0.0.255\r\n\r\n\r\nrule 26 permit ip 10.32.64.0 0.0.0.255 10.32.64.0 0.0.0.255\r\n\r\n\r\nrule 30 permit ip any 10.32.10.0 0.0.7.255\r\n\r\n\r\nrule 31 permit ip 10.32.10.0 0.0.7.255 any\r\n\r\n\r\nrule 32 deny ip 10.32.0.0 0.0.255.255 10.32.0.0 0.0.255.255\r\n\r\n\r\nrule 40 permit ip any any\r\n\r\n \r\n看路由表，所有的路由都是通的，但是就是10.32.40.0/24这个网段不能访问到总公司。\r\n\r\n\r\n\r\n\r\n现在我把我们公司的网段改成了10.32.47.0/24，但是，我们很多服务器的地址都要改，要重装服务器，很麻烦，现在还在搞。请教各位大哥，这到底是什么问题？\r\n

chenyx

分段查找路由走向看看.怀疑你的上级的路由表指向是不是有修改过,确认下

月夜小云

对，在华为3526e上面用tracert命令查找了路由走向，如果源地址是10.32.41.254，走10.32.18.17，然后再到了130.82.115.6（总公司电信广域网地址）；如果源地址是10.32.40.254，就是走到10.32.18.21就不能出去了。\r\n但是，我把我们公司到省公司的电信线路down掉，10.32.41.254走10.32.18.21也可以到总公司130.82.115.6；但10.32.40.254也是走到10.32.18.21就无法再出去了。

chenyx

10.32.18.21是谁的ip?

月夜小云

interface vlan 373                                                              \r\n  ip address 10.32.18.21 255.255.255.252                                        \r\n  out_index 63                                这是省公司到我们公司的联通线路                             \r\n  description sx_to_xx_lt_373                                           \r\n  ip ospf authentication-key xxxx   \r\n是省公司到我们公司的联通线路的广域网ip，这就表示我的10.32.40.0/24到了省公司，但是就是到不了总公司

chenyx

那个ip是省公司的?\r\n那就让他们帮忙查下

月夜小云

线路是没问题的，我把电信线路断开，其他的网段从网通线路走也没问题，可以到达总公司，但是10.32.40.0/24还是只能到省公司。不能去总公司

ShadowMagic

应该那段路由出了问题。。。。。。。。。

ffeng_11

有可能是电信的那段链路故障，我们有时候也会遇到

月夜小云

哪段路由有问题，能详细说下么？