|
|
 |
|
|
| 1. 高手请进来看看!!! |
  |
|
 |
|
HP : 0 / 189
MP : 30 / 2924
EXP : 57%
|
|
武林侠客
成员等级: 8
发表总数: 92
金币总数: 196
所属组别: 普通成员
注册日期: 2003/09/26
|
我不知道如果帖图,所以图放在附件里了。十分抱歉! 
华为路由(R46-80)各位高手看看。谢谢了!
图是目前网络现状,要最上面的北京路由后,插入一个透明的流量管理设备。目前下面的所有分之间的信息都通过北京路由转发。但是只通过路由并不进入北京的内网,除非是北京和三个分之间的流量。
现在想做的是把三个分之的路由指到内网的交换上,要求所有的数据网段的流量就都经过流量管理设备。
在核心的路由上配置,策略路由但不起作用,原因好像是路由环路了,还有什么方法能解决这个问题!!!???
下面是策略路由和一些路由配置
ip route-static 0.0.0.0 0.0.0.0 192.168.164.254 preference 60
ip route-static 192.168.161.30 255.255.255.240 192.168.160.2 preference 60
ip route-static 192.168.161.44 255.255.255.240 192.168.160.6 preference 60
ip route-static 192.168.161.62 255.255.255.240 192.168.160.10 preference 60
ip route-static 192.168.170.0 255.255.255.0 192.168.160.2 preference 60
ip route-static 192.168.177.0 255.255.255.0 192.168.160.6 preference 60
ip route-static 192.168.186.0 255.255.255.0 192.168.160.10 preference 60
acl number 3000 match-order auto
rule 0 permit ip source 192.168.170.0 0.0.0.15
rule 1 permit ip source 192.168.177.0 0.0.0.15
rule 2 permit ip source 192.168.186.0 0.0.0.15
rule 3 deny ip
ip route-policy test permit 10
if match-list acl 3000
app ip-route next top 192.168.164.254 (内网三层交换对应路由的地址)
在 s 1/0/0 s1/0/1 s1/0/2 口应用
Ip route-policy test
在哈尔滨 tracert 广州数据内网一台服务器 到 192.168.164.254 后就超时了。
内网三层交换上就一条默认路由
ip route-static 0.0.0.0 0.0.0.0 192.168.164.253 preference 60
 |
下载附件 |
| ____.rar ( 下载次数: 20 ) |
[SIZE=7]好好学习,天天向上!!! |
|
|
|
| 2. Re: 高手请进来看看!!! |
|
|
 |
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
图:
附带图片
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 3. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
防火墙配置有没有问题?
ip redirect 是否被关闭?
PS:图片直接作为附件贴上来即可。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 4. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 0 / 189
MP : 30 / 2924
EXP : 57%
|
|
武林侠客
成员等级: 8
发表总数: 92
金币总数: 196
所属组别: 普通成员
注册日期: 2003/09/26
|
如果没有防火墙,这个做法可行吗?
[SIZE=7]好好学习,天天向上!!! |
|
|
|
| 5. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 0 / 189
MP : 30 / 2924
EXP : 57%
|
|
武林侠客
成员等级: 8
发表总数: 92
金币总数: 196
所属组别: 普通成员
注册日期: 2003/09/26
|
防火墙出方向,配置的是透明模式。
[SIZE=7]好好学习,天天向上!!! |
|
|
|
| 6. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
应该可行。
这个流量应该从253>254 因为路由配置再从254>253经过QOS设备两次,防火墙需要放开。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 7. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 0 / 189
MP : 30 / 2924
EXP : 57%
|
|
武林侠客
成员等级: 8
发表总数: 92
金币总数: 196
所属组别: 普通成员
注册日期: 2003/09/26
|
用户的网络白天不能动,晚上过去把防火墙拆了,再试试!
相同的目的地址从路由出去后,再进入路由,路由器不会把包丢了吗?
[SIZE=7]好好学习,天天向上!!! |
|
|
|
| 8. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
只要允许redirect, 数据包是可以往回发的。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 9. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 0 / 189
MP : 30 / 2924
EXP : 57%
|
|
武林侠客
成员等级: 8
发表总数: 92
金币总数: 196
所属组别: 普通成员
注册日期: 2003/09/26
|
谢谢!麦子老大。我先试试吧。
[SIZE=7]好好学习,天天向上!!! |
|
|
|
| 10. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 0 / 189
MP : 30 / 2924
EXP : 57%
|
|
武林侠客
成员等级: 8
发表总数: 92
金币总数: 196
所属组别: 普通成员
注册日期: 2003/09/26
|
1、测试前把防火墙从网络中移除了。
2、华为的路由和交换都不支持ip redirect ,800工程师说法。
3、在路由上添加新的路由策略,应用到以太网数据口(e0口)
具体如下
acl number 3001 match-order auto
rule 0 permit ip source 192.168.164.0 0.0.0.255 192.168.170.0 0.0.0.255 (目的哈尔滨)
rule 1 deny ip
acl number 3002 match-order auto
rule 0 permit ip source 192.168.164.0 0.0.0.255 192.168.177.0 0.0.0.255 (目的上海)
rule 1 deny ip
acl number 3003 match-order auto
rule 0 permit ip source 192.168.164.0 0.0.0.255 192.168.186.0 0.0.0.255 (目的广州)
rule 1 deny ip
ip route-policy test-1 permit 10
if match-list acl 3001
app ip-route next top 192.168.164.2
ip route-policy test-1 permit 20
if match-list acl 3002
app ip-route next top 192.168.164.6
ip route-policy test-1 permit 30
if match-list acl 3003
app ip-route next top 192.168.164.10
在 e 0 口应用
Ip route-policy test-1
目前结论:
在哈尔滨 tracert 广州数据内网一台服务器 到 192.168.164.253 后超时,交换机已经正常把包送出来了。
查看acl 工作情况, 3001 3002 3003三个列表都有相应的匹配次数。但路由似乎没有做路由转发。
Cisco 的设备启用ip redirect 就可以直接实现这个功能吗?唉 已经没招了!!!
[SIZE=7]好好学习,天天向上!!! |
|
|
|
| 11. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
不支持ip redirect? 不会吧?
Cisco 设备应该能做起来,一般而言从交换机将收到的包再发回来是不合理的,这样的问题我曾经在客户现场观察到过。
有没有可能在路由器和交换机之间在增加一条线路,路由器从线路A送给交换机,交换机从另外一条线路把流量送回来,QOS设备可以在这两条线路中挑一条部署。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 12. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 0 / 189
MP : 30 / 2924
EXP : 57%
|
|
武林侠客
成员等级: 8
发表总数: 92
金币总数: 196
所属组别: 普通成员
注册日期: 2003/09/26
|
把视频会议网段连接到数据网段交换机上,并再划出一个vlan来。然后把送到交换的包,从北京路由的e1口送出。目前在客户那边这样做,用户应该可以同意的。
麦子是这个意思吧???
[SIZE=7]好好学习,天天向上!!! |
|
|
|
| 13. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 0 / 189
MP : 30 / 2924
EXP : 57%
|
|
武林侠客
成员等级: 8
发表总数: 92
金币总数: 196
所属组别: 普通成员
注册日期: 2003/09/26
|
问题解决了!!!
1、问题出在内网三层交换上。用户内网三层交换的ios版本太低了,也不能升级了。换了一个最新的华为S3928P-PWR-EI
2、在路由上配置策略路由的思路是对的,最终对策略路由也做了调整。在三层交换上不用做任何配置。
3、原路由器的静态路由不用调整。三层交换上还是原来的默认路由即可。
策略路由具体配置如下:
acl number 3001 match-order auto
rule 0 permit ip source 192.168.170.0 0.0.0.255 192.168.177.0 0.0.0.255 目的上海
rule 1 permit ip source 192.168.170.0 0.0.0.255 192.168.186.0 0.0.0.255 目的广州
rule 2 deny ip
acl number 3002 match-order auto
rule 0 permit ip source 192.168.177.0 0.0.0.255 192.168.170.0 0.0.0.255 目的哈尔滨
rule 1 permit ip source 192.168.177.0 0.0.0.255 192.168.186.0 0.0.0.255 目的广州
rule 2 deny ip
acl number 3003 match-order auto
rule 0 permit ip source 192.168.186.0 0.0.0.255 192.168.170.0 0.0.0.255 目的哈尔滨
rule 1 permit ip source 192.168.186.0 0.0.0.255 192.168.177.0 0.0.0.255 目的上海
rule 2 deny ip
ip route-policy haerbing permit 10
if match-list acl 3001
app ip-route next top 192.168.164.254 (内网三层交换地址)
ip route-policy shanghai permit 10
if match-list acl 3002
app ip-route next top 192.168.164.254
ip route-policy guangzhou permit 10
if match-list acl 3003
app ip-route next top 192.168.164.254
在北京路由 s 口应用
Ip policy route-policy <策略名>
int s 1/0/0
ip policy route-policy haerbing
int s 1/0/1
ip policy route-policy shanghai
int s 1/0/2
ip policy route-policy guangzhou
结论:
三个分支直接的流量不直接转发了,而是通过策略路由先导入内网三层交换,然后再转会给路由正常转发。
这样做会导致三层交换的cpu利用率上升30%左右
[SIZE=7]好好学习,天天向上!!! |
|
|
|
| 14. Re:高手请进来看看!!! |
|
|
 |
|
HP : 0 / 15
MP : 2 / 234
EXP : 60%
|
|
新手上路
成员等级: 1
发表总数: 7
金币总数: 19
所属组别: 普通成员
注册日期: 2003/09/12
|
这证明了我告诉你的方法不是问题,是那个设备问题导致,这种情况也不多见的。
另外挑个毛病,以后发帖不要什么“高手进来”,“跪求”什么的,直接标题写清楚问题,便于其他朋友查找和检索 
哈哈,有意见私下找我谈! 
久仰麦子和大勇大名很多年了,我来这里看,但很少发言。
这里也代我的朋友谢过斑竹和热心的朋友了。 |
|
|
|
| 15. Re:高手请进来看看!!! |
|
|
|
|
|
HP : 0 / 189
MP : 30 / 2924
EXP : 57%
|
|
武林侠客
成员等级: 8
发表总数: 92
金币总数: 196
所属组别: 普通成员
注册日期: 2003/09/26
|
感谢king的批评。并坚决改正。
并感谢麦子的大力支持!!!
[SIZE=7]好好学习,天天向上!!! |
|
|
