我有一个HP ProCurve 8212zl我目前正在从头配置该交换机。此交换机是第 3 层交换机,这意味着它还支持路由。
我还有一个 ISP,它通过 1000SX 千兆 SFP 光纤通道为我提供互联网访问,并为我分配了一系列静态 IP 地址,还为我提供了其网关的 IP 地址。
我现在的目标是设置一个支持 LAN 和 WAN 访问的最小配置(即访问我的本地网络设备以及通过 ISP 的网关访问 Internet。)
设置 LAN 非常简单。我使用交换机的 CLI 为交换机分配一个 IP 地址。然后我手动为连接到交换机的所有设备分配静态 IP 地址。(我意识到我应该使用 DHCP,但同样,目前我只对支持 LAN 和 WAN 的最简单的配置感兴趣。)现在我的 LAN 可以正常工作了:连接到交换机的所有设备都可以 ping 交换机,连接到交换机的所有设备都可以相互 ping。LAN 由单个默认 VLAN 组成。
然而,我不知道如何访问互联网。
我有一个光纤通道直接连接通过 SFP(1000SX Mini-GBIC)连接到交换机模块。SFP 连接到B21交换机中的端口。使用交换机 CLI,我可以通过键入来检查光纤通道端口的状态show interfaces B21。这表明端口 B21 确实已启用,其状态为启动,并且正在接收字节。因此,SFP 和端口似乎工作正常。
从概念上讲,我的理解是,为了访问互联网,交换机需要:
- 检查数据包的目标 IP 是否不属于本地 LAN
- 如果是,则通过端口 B21(光纤通道端口)将其转发到我的 ISP 网关
我读过许多 HP ProCurve 手册,但我不明白这是如何实现的。我能理解的最接近的方法是,您需要在交换机上启用路由(我已经这样做了),然后指定“默认路由”默认路由基本上告诉交换机“如果您看到一个数据包的目的地不是本地 LAN 的一部分,则将其转发到<SOME IP ADDRESS>”
因此,在 CLI 上我可以执行以下操作:
# ip route 0.0.0.0/0 <MY ISP'S GATEWAY IP ADDRESS>
这告诉交换机,如果数据包的目的地址不属于 LAN,则将其转发至<ISP GATEWAY ADDRESS>。
我尝试过这个,但是没有用 - 也就是说,即使设置了默认路由,我仍然无法 ping 通我的 ISP 网关,也无法 ping 通任何外部 Internet 地址(例如 google.com 的 IP 地址)。
但更糟糕的是,我甚至不明白为什么应该工作。交换机怎么可能知道它必须通过光纤通道端口(端口B23)才能访问外部世界才能找到<ISP GATEWAY ADDRESS>?我不明白该ip route命令如何为交换机提供有关在哪里找到的足够信息<ISP GATEWAY ADDRESS>。
我怀疑我肯定遗漏了这里一些关键概念。一般来说,我想告诉交换机:“如果您看到一个发往非 LAN 地址的数据包,请将其转发到端口 B23,在那里您将找到与外界的连接和下一跳(我的 ISP 的网关)”。
那么我在这里遗漏了什么?
答案1
Roman 和 ewwhite 基本上说的是,你需要对网络有更好的理解才能让这个工作正常进行。
如果你真的打算这样做,你需要在交换机上设置两个 VLAN。一个用于你的 LAN,一个用于互联网。你需要在交换机上使用互联网分配的 IP 地址之一作为 B23 端口。然后你需要在 VLAN 之间设置路由以实现你所述的目标。
快速的 Google 搜索找到了这个帖子,有人想做和你类似的事情,请关注它以获得更好的理解。
https://community.spiceworks.com/topic/403586-hp-swtich-setup-routing-between-vlans
答案2
你不知道自己在做什么。从您之前的问题就可以看出这一点。这没关系......但这一切仍然非常非常错误。
所以基本概念就是这个开关,而一个大型的L2-L4核心设备,不是防火墙,也不是面向互联网的网关。
您需要一个单独的防火墙设备。
答案3
根据您的描述,您尚未在 ISP 和交换机之间建立 L3 连接。
请记住,路由器只需要在 IP 之间路由子网如果设备没有该特定子网内的 IP 地址,则默认路由毫无意义。
您要实现的目标还存在更多问题:
- 除非你的 LAN 设备已分配公网 IP¹,否则你的 ISP 将理所当然地丢弃来自这些设备的所有流量
- 您正在将 L3 交换机暴露到互联网。
- ...多得数不清。
建议的设置将在未来带来很多麻烦。至少使用专用路由器/防火墙来访问互联网。
编辑:正如 ewwhite 所说;这部分内容已在您的另一个问题中指出。在继续之前,请先正确学习 IP 路由,否则不久的将来您将会遇到糟糕的一天。
¹) 不再是真正的局域网