我正在尝试慢慢解决我继承的 IP 范围问题。
目前所有内容都在 100.100.100.x 上。我正在慢慢将所有内容移至 10.12.xx 范围。目前,我在 100.100.100.222 上的 Watchguard 防火墙正在为用户提供服务,我想进行更改,以便 100.100.100.79 上的 Procurve 可以代替它进行路由。
第一阶段是建立到 VLAN 99 10.12.99.1 上的防火墙的第二个连接,以便互联网访问正常,并且我已经让它在 VLAN 123 上运行。
这是我的 VLAN 设置。
VLAN ID Name | Status Voice Jumbo
------- -------------------- + ---------- ----- -----
1 DEFAULT_VLAN | Port-based No No
20 ISCSI | Port-based No No
99 DMZ | Port-based No No
121 Client_PCs | Port-based No No
122 Production | Port-based No No
123 Servers | Port-based No No
我可以在 VLAN 1 和 123 之间 ping 通,但无法在 VLAN 122 和 123 之间 ping 通。
这是我的运行配置;J9145A 配置编辑器;创建于版本 #W.14.38
hostname "AKS-BROX-SW2"
module 1 type J9145A
interface 24
name "LINK TO FP"
exit
trunk 19-22 Trk1 LACP
trunk 6-9 Trk2 LACP
ip default-gateway 100.100.100.222
ip routing
vlan 1
name "DEFAULT_VLAN"
untagged 1-3,5,10,24,Trk1-Trk2
ip address 100.100.100.79 255.255.255.0
no untagged 4,11-18,23
exit
vlan 20
name "ISCSI"
untagged 11-18
ip address 172.16.230.253 255.255.255.0
tagged Trk1
exit
vlan 121
name "Client_PCs"
ip address 10.12.1.254 255.255.255.0
tagged Trk2
exit
vlan 122
name "Production"
ip address 10.12.2.254 255.255.255.0
tagged 1-2,5,10-11,Trk2
exit
vlan 123
name "Servers"
ip address 10.12.3.254 255.255.255.0
tagged 1-2,4-5,10-11,Trk2
exit
vlan 99
name "DMZ"
untagged 23
ip address 10.12.99.254 255.255.255.0
exit
fault-finder bad-driver sensitivity high
fault-finder bad-transceiver sensitivity high
fault-finder bad-cable sensitivity high
fault-finder too-long-cable sensitivity high
fault-finder over-bandwidth sensitivity high
fault-finder broadcast-storm sensitivity high
fault-finder loss-of-link sensitivity high
fault-finder duplex-mismatch-HDx sensitivity high
fault-finder duplex-mismatch-FDx sensitivity high
timesync sntp
sntp unicast
sntp server priority 1 192.146.137.13 3
ip route 0.0.0.0 0.0.0.0 10.12.99.1
ip route 10.12.1.0 255.255.255.0 10.12.99.1
ip route 10.12.2.0 255.255.255.0 10.12.99.1
ip route 10.12.3.0 255.255.255.0 10.12.99.1
ip route 100.100.100.0 255.255.255.0 10.12.99.1
snmp-server community "snmp-public" operator
snmp-server community "monitor" operator
spanning-tree
spanning-tree 4 path-cost 41000
spanning-tree Trk1 priority 4
spanning-tree Trk2 priority 4
spanning-tree priority 7
no autorun
password manager
最后但同样重要的一点是路由...
IP Route Entries
Destination Gateway VLAN Type Sub-Type Metric Dist.
------------------ --------------- ---- --------- ---------- ---------- -----
0.0.0.0/0 10.12.99.1 99 static 1 1
10.12.1.0/24 Client_PCs 121 connected 1 0
10.12.2.0/24 Production 122 connected 1 0
10.12.3.0/24 Servers 123 connected 1 0
10.12.99.0/24 DMZ 99 connected 1 0
100.100.100.0/24 DEFAULT_VLAN 1 connected 1 0
127.0.0.0/8 reject static 0 0
127.0.0.1/32 lo0 connected 1 0
172.16.230.0/24 ISCSI 20 connected 1 0
我无法让 VLAN 122 和 VLAN 123 相互通信,因此我认为路由错误,但如果我尝试添加路由……
IP 路由 10.12.2.0/24 10.12.3.254
我收到此错误。10.12.3.254 不能同时作为交换机 IP 地址和路由网关。
一定是我的配置有误,但我不知道是什么问题。
谢谢
答案1
2910,具有ip routing来自或到已分配 IP 地址的任何 VLAN 的激活路由。
因此,如果一个节点无法从另一个 VLAN 子网到达一个 VLAN 子网,则它很可能不在正确的 VLAN 中。
ip route 10.12.2.0/24 10.12.3.254无法工作,因为 10.12.2.0/24 已经在本地连接,而 10.12.3.254 是交换机本身——您无法告诉它路由回自身。
此外,
ip route 0.0.0.0 0.0.0.0 10.12.99.1
ip route 10.12.1.0 255.255.255.0 10.12.99.1
ip route 10.12.2.0 255.255.255.0 10.12.99.1
ip route 10.12.3.0 255.255.255.0 10.12.99.1
ip route 100.100.100.0 255.255.255.0 10.12.99.1
没有意义。所有这些子网都是本地的,无法路由到其他地方。
顺便说一句:固件版本 14.38 已经很旧了(2011 年我们购买 2910s 之前)...
附言:您正在将 IP 地址绑定到所有 VLAN,包括 iSCSI 和 DMZ - 如上所述,2910将路由进出所有这些网络这肯定不是故意的。您需要删除这些 IP 地址并在其他地方路由/过滤这些 VLAN,或者配置允许您想要的流量同时过滤其他所有内容的 ACL。请注意,2910 不允许 VLAN ACL,只允许端口 ACL。