網路拓撲調整和PIX相關問題
網路拓撲調整和PIX相關問題
昨天,對實驗室的網路拓撲做了一下簡單的調整,本以為是很簡單的調整,沒想到碰到了很多問題,可謂是一波三折啊。
原實驗室拓撲如下:
最左邊PC機為實驗機,通過2621XM的NAT對映成10.0.0.0的地址,他們的閘道器為10.0.1.254
manager為網管機,閘道器為10.0.0.2
2621XM的預設路由也是10.0.0.2
此時,實驗機可以訪問manager(用來做檔案服務)這也是為什麼前面要NAT成10.0.0.0的地址的原因
但是manager不能訪問實驗機(廢話,PIX哪裡知道怎麼走)
隨後PIX講所有上網資料通過NAT對映成172.16.0.0的地址進入2610
2610上再次做NAT對映(這個要感謝TPlink,它要想被管理就必須和它的內網IP也就是192.168.0.10在一個網段內)
全網靜態路由。
新拓撲如下:
要求:
實驗機和網管機互訪,其實就是左半邊互相沒有限制
啟用兩條出去的線路,將防火牆兩端的交換機互聯
2610增加新IP10.0.0.254
做到不用防火牆也可以出去,用防火牆也可以
升級pixIOS
全網RIP路由測試,不再使用靜態路由
過程如下:
首先關閉了pix,將各個路由器啟動RIP路由訪問:
!
router rip
version 2
network 10.0.0.0
network 192.168.0.0
no auto-summary
!
這樣,大家都得到了全網動態路由
2621如下:
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
R 10.1.1.2/32 [120/1] via 10.0.1.116, 00:00:23, FastEthernet0/1
[120/1] via 10.0.0.101, 00:00:16, FastEthernet0/0
R 10.1.1.0/24 [120/1] via 10.0.1.116, 00:00:23, FastEthernet0/1
[120/1] via 10.0.1.112, 00:00:20, FastEthernet0/1
[120/1] via 10.0.0.102, 00:00:07, FastEthernet0/0
[120/1] via 10.0.0.101, 00:00:16, FastEthernet0/0
C 10.0.0.0/24 is directly connected, FastEthernet0/0
R 10.1.1.1/32 [120/1] via 10.0.1.112, 00:00:20, FastEthernet0/1
[120/1] via 10.0.0.102, 00:00:07, FastEthernet0/0
C 10.0.1.0/24 is directly connected, FastEthernet0/1
R 192.168.0.0/24 [120/1] via 10.0.0.254, 00:00:24, FastEthernet0/0
這樣,實驗機和網管機可以互訪了。
刪除2621的NAT對映語句。
隨後在2610上增加預設路由:
ip route 0.0.0.0 0.0.0.0 192.168.0.10
此時10.0.0.0網段可以上網,10.0.1.0不行
檢查2621,沒有接受到預設路由;不管,先在2621加靜態路由指向192.168.0.10
10.0.1.0訪問外網,發現不通,想原因;
資料過的去,但是回來的時候R410可能不知道,因為tplink的寬頻路由器不支援RIP
到410上增加回指路由,通了
為什麼10.0.0.0不用加就可以了呢?因為10.0.0.0時NAT成192.168.0.0的,呵呵
這樣就OK了
下面折騰PIX,刷了新的IOS和ASDM以後
重新配置rules
這裡走了一些彎路,新的ASDM對介面和income、outcome的定義讓人頭暈,回頭去買一本專門講pix的書來;
但是不管怎麼樣配,即便時rules全部IP和icmp都accept,還是沒有通;
個人感覺pix有個需要學習或者適應的過程,比如配置是對的,但是總是要過一陣子才會通;
先不講這些,反正這裡弄了好久,大約1個多小時;大部分情況都是pix本身能訪問,但是網管機就是出不去;
有時候能出去,那是因為有條線直連了pix兩端,是從那條線上走的;這個失誤也耽誤了時間;最後吧這根線拔掉;
專門倒騰pix;
發現pix刪除全部規則後預設就是通的,仔細閱讀那條預設配置的提示,pix說,預設規則是將安全等級高
的介面向安全等級低的介面轉發資料的,但是要做NAT以保護內部IP敏感資訊;原來,pix預設的inside安全級別
為100;outside安全級別為0;所以預設就可以轉發資料,但是要做NAT,於是用PAT繫結172.16.0.2;還是不通?
這些學乖了,去410上回指172.16.0.0的路由,呵呵,通了~
然後在兩邊都啟動RIP,採用了接受且通告路由的模式
增加預設路由指向172.16.0.254,為什麼不指192.168.0.10?
呵呵,別忘記410是tplink,你172.16.0.0的資料過去怎麼管理?
於是在2610上增加NAT對映;將172.16.0.0也對映成192.168.0.0的地址;
至此,應該是基本完成了;
然後,接下來遇到兩個問題:
1、2621收到的預設路由為10.0.0.2?
pix廣播預設路由可以理解,但是2610也有預設路由啊,也應該會廣播啊,為什麼沒有收到呢?反覆實驗過後發現問題。
先引用一文:
=========================================
ip default-network和ip route 0.0.0.0 0.0.0.0預設路由的區別
2006-06-01 來源: 網友推薦 責編: 李曉捷 作者:
編者按:
在自己的2501上研究這三種預設路由的區別.
指定預設路由(last resort gateway)的指令供有3種,可以分成兩類:
1、ip default-gateway
當路由器上的ip routing無效時,使用它指定預設路由,用於RXBoot模式(no ip routing)下安裝IOS等。或者關閉ip routing 讓路由器當主機用,此時需要配置預設閘道器
2、ip default-network和ip route 0.0.0.0 0.0.0.0
兩者都用於ip routing有效的路由器上,區別主要在於路由協議是否傳播這條路由資訊。比如:IGRP無法識別0.0.0.0,因此傳播預設路由時必須用ip default-network。
當用ip default-network指令設定多條預設路由時,administrative distance最短的成為最終的預設路由;如果有複數條路由distance值相等,那麼在路由表(show ip route)中靠上的成為預設路由。
同時使用ip default-network和ip route 0.0.0.0 0.0.0.0雙方設定預設路由時,如果ip default-network設定的網路是直連(靜態、且已知)的,那麼它就成為預設路由;如果ip default-network指定的網路是由交換路由資訊得來的,則ip route 0.0.0.0 0.0.0.0指定的表項成為預設路由。
最後,如果使用多條ip route 0.0.0.0 0.0.0.0指令,則流量會自動在多條鏈路上負載均衡。
===========================================
使用ip default-network後,全網得到預設閘道器10.0.0.254
這時可以去掉2621的手動指定了
2、在前面這個問題解決掉前,實驗機均可以上網但是訪問410確報沒有許可權(就是說我不是192.168.0.0的使用者)
按照道理,2621預設路由指向10.0.0.2,資料通過防火牆變成172.16.0.0,然後被2610對映成192.168.0.0,還應該可以訪問才對
在實驗機上tracert 192.168.0.10
得到3跳:
10.0.1.254
10.0.0.2
172.16.0.254
看來很正常啊
怎麼想也沒弄清楚問題的原因;
後來跟蹤2610的nat情況,發現問題,nat沒有現實有172.16.0.0的資料來過
證明實驗機沒有走pix的線路;檢查一下,明白了,原來自己什麼時候已經吧pix兩端的線插上了
而我們之前在2621上指的預設路由是192.168.0.10,所以實驗機沒有通過pix就直接找了192.168.0.10
而rip是有這個路由的,所以沒有nat(因為2610沒有為10.0.1.0做nat)這樣實驗機就帶著10.0.1.0的源地址跑到410上管理,當然就被拒之門外了。
那麼為什麼tracert顯示172.16.0.254呢?
其實資料包走的是10.0.0.254,因為這個口上的主要IP是172.16.0.254,sh ip int bri就可以看出來,沒有顯示secondry IP;
知道原因就好辦了
要想實驗機走pix的線路,就關閉2610的default-network,注意,此時還要關閉ip route,否則預設路由還是有兩條;
這樣pix的預設路由就會生效
2621就收到10.0.0.2的預設路由;這樣實驗機就走pix上網,但是不能管理410
此時2610加上ip route 0.0.0.0 0.0.0.0 192.168.0.10
網管機就又能上網又能管理410
實現了實驗機由於脆弱需要pix的保護,但是又不能管理410;而網管機則均可;
如果要從10.0.0.254走,關閉pix上的廣播預設路由
然後在2610上刪除全部和預設路由有關的配置,等2621乾淨以後
先起ip default-network,這樣2621收到預設
然後起ip route
為什麼呢?因為如果先起ip route,或者根本就不刪,那麼你加了ip default-network也沒有用
因為ip default-network被ip route搶先了,而ip route是不會被通告的~
這樣,2621就會收到10.0.0.254的預設路由~
如果這種情況下再開啟pix的預設路由廣播,2621就會有兩條路由~
R* 0.0.0.0/0 [120/1] via 10.0.0.254, 00:00:21, FastEthernet0/0
[120/1] via 10.0.0.2, 00:00:02, FastEthernet0/0
不過實驗機都會走pix的線路,^_^,這樣即便pixdown掉,也還有10.0.0.254
昨天,對實驗室的網路拓撲做了一下簡單的調整,本以為是很簡單的調整,沒想到碰到了很多問題,可謂是一波三折啊。
原實驗室拓撲如下:
最左邊PC機為實驗機,通過2621XM的NAT對映成10.0.0.0的地址,他們的閘道器為10.0.1.254
manager為網管機,閘道器為10.0.0.2
2621XM的預設路由也是10.0.0.2
此時,實驗機可以訪問manager(用來做檔案服務)這也是為什麼前面要NAT成10.0.0.0的地址的原因
但是manager不能訪問實驗機(廢話,PIX哪裡知道怎麼走)
隨後PIX講所有上網資料通過NAT對映成172.16.0.0的地址進入2610
2610上再次做NAT對映(這個要感謝TPlink,它要想被管理就必須和它的內網IP也就是192.168.0.10在一個網段內)
全網靜態路由。
新拓撲如下:
要求:
實驗機和網管機互訪,其實就是左半邊互相沒有限制
啟用兩條出去的線路,將防火牆兩端的交換機互聯
2610增加新IP10.0.0.254
做到不用防火牆也可以出去,用防火牆也可以
升級pixIOS
全網RIP路由測試,不再使用靜態路由
過程如下:
首先關閉了pix,將各個路由器啟動RIP路由訪問:
!
router rip
version 2
network 10.0.0.0
network 192.168.0.0
no auto-summary
!
這樣,大家都得到了全網動態路由
2621如下:
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
R 10.1.1.2/32 [120/1] via 10.0.1.116, 00:00:23, FastEthernet0/1
[120/1] via 10.0.0.101, 00:00:16, FastEthernet0/0
R 10.1.1.0/24 [120/1] via 10.0.1.116, 00:00:23, FastEthernet0/1
[120/1] via 10.0.1.112, 00:00:20, FastEthernet0/1
[120/1] via 10.0.0.102, 00:00:07, FastEthernet0/0
[120/1] via 10.0.0.101, 00:00:16, FastEthernet0/0
C 10.0.0.0/24 is directly connected, FastEthernet0/0
R 10.1.1.1/32 [120/1] via 10.0.1.112, 00:00:20, FastEthernet0/1
[120/1] via 10.0.0.102, 00:00:07, FastEthernet0/0
C 10.0.1.0/24 is directly connected, FastEthernet0/1
R 192.168.0.0/24 [120/1] via 10.0.0.254, 00:00:24, FastEthernet0/0
這樣,實驗機和網管機可以互訪了。
刪除2621的NAT對映語句。
隨後在2610上增加預設路由:
ip route 0.0.0.0 0.0.0.0 192.168.0.10
此時10.0.0.0網段可以上網,10.0.1.0不行
檢查2621,沒有接受到預設路由;不管,先在2621加靜態路由指向192.168.0.10
10.0.1.0訪問外網,發現不通,想原因;
資料過的去,但是回來的時候R410可能不知道,因為tplink的寬頻路由器不支援RIP
到410上增加回指路由,通了
為什麼10.0.0.0不用加就可以了呢?因為10.0.0.0時NAT成192.168.0.0的,呵呵
這樣就OK了
下面折騰PIX,刷了新的IOS和ASDM以後
重新配置rules
這裡走了一些彎路,新的ASDM對介面和income、outcome的定義讓人頭暈,回頭去買一本專門講pix的書來;
但是不管怎麼樣配,即便時rules全部IP和icmp都accept,還是沒有通;
個人感覺pix有個需要學習或者適應的過程,比如配置是對的,但是總是要過一陣子才會通;
先不講這些,反正這裡弄了好久,大約1個多小時;大部分情況都是pix本身能訪問,但是網管機就是出不去;
有時候能出去,那是因為有條線直連了pix兩端,是從那條線上走的;這個失誤也耽誤了時間;最後吧這根線拔掉;
專門倒騰pix;
發現pix刪除全部規則後預設就是通的,仔細閱讀那條預設配置的提示,pix說,預設規則是將安全等級高
的介面向安全等級低的介面轉發資料的,但是要做NAT以保護內部IP敏感資訊;原來,pix預設的inside安全級別
為100;outside安全級別為0;所以預設就可以轉發資料,但是要做NAT,於是用PAT繫結172.16.0.2;還是不通?
這些學乖了,去410上回指172.16.0.0的路由,呵呵,通了~
然後在兩邊都啟動RIP,採用了接受且通告路由的模式
增加預設路由指向172.16.0.254,為什麼不指192.168.0.10?
呵呵,別忘記410是tplink,你172.16.0.0的資料過去怎麼管理?
於是在2610上增加NAT對映;將172.16.0.0也對映成192.168.0.0的地址;
至此,應該是基本完成了;
然後,接下來遇到兩個問題:
1、2621收到的預設路由為10.0.0.2?
pix廣播預設路由可以理解,但是2610也有預設路由啊,也應該會廣播啊,為什麼沒有收到呢?反覆實驗過後發現問題。
先引用一文:
=========================================
ip default-network和ip route 0.0.0.0 0.0.0.0預設路由的區別
2006-06-01 來源: 網友推薦 責編: 李曉捷 作者:
編者按:
在自己的2501上研究這三種預設路由的區別.
指定預設路由(last resort gateway)的指令供有3種,可以分成兩類:
1、ip default-gateway
當路由器上的ip routing無效時,使用它指定預設路由,用於RXBoot模式(no ip routing)下安裝IOS等。或者關閉ip routing 讓路由器當主機用,此時需要配置預設閘道器
2、ip default-network和ip route 0.0.0.0 0.0.0.0
兩者都用於ip routing有效的路由器上,區別主要在於路由協議是否傳播這條路由資訊。比如:IGRP無法識別0.0.0.0,因此傳播預設路由時必須用ip default-network。
當用ip default-network指令設定多條預設路由時,administrative distance最短的成為最終的預設路由;如果有複數條路由distance值相等,那麼在路由表(show ip route)中靠上的成為預設路由。
同時使用ip default-network和ip route 0.0.0.0 0.0.0.0雙方設定預設路由時,如果ip default-network設定的網路是直連(靜態、且已知)的,那麼它就成為預設路由;如果ip default-network指定的網路是由交換路由資訊得來的,則ip route 0.0.0.0 0.0.0.0指定的表項成為預設路由。
最後,如果使用多條ip route 0.0.0.0 0.0.0.0指令,則流量會自動在多條鏈路上負載均衡。
===========================================
使用ip default-network後,全網得到預設閘道器10.0.0.254
這時可以去掉2621的手動指定了
2、在前面這個問題解決掉前,實驗機均可以上網但是訪問410確報沒有許可權(就是說我不是192.168.0.0的使用者)
按照道理,2621預設路由指向10.0.0.2,資料通過防火牆變成172.16.0.0,然後被2610對映成192.168.0.0,還應該可以訪問才對
在實驗機上tracert 192.168.0.10
得到3跳:
10.0.1.254
10.0.0.2
172.16.0.254
看來很正常啊
怎麼想也沒弄清楚問題的原因;
後來跟蹤2610的nat情況,發現問題,nat沒有現實有172.16.0.0的資料來過
證明實驗機沒有走pix的線路;檢查一下,明白了,原來自己什麼時候已經吧pix兩端的線插上了
而我們之前在2621上指的預設路由是192.168.0.10,所以實驗機沒有通過pix就直接找了192.168.0.10
而rip是有這個路由的,所以沒有nat(因為2610沒有為10.0.1.0做nat)這樣實驗機就帶著10.0.1.0的源地址跑到410上管理,當然就被拒之門外了。
那麼為什麼tracert顯示172.16.0.254呢?
其實資料包走的是10.0.0.254,因為這個口上的主要IP是172.16.0.254,sh ip int bri就可以看出來,沒有顯示secondry IP;
知道原因就好辦了
要想實驗機走pix的線路,就關閉2610的default-network,注意,此時還要關閉ip route,否則預設路由還是有兩條;
這樣pix的預設路由就會生效
2621就收到10.0.0.2的預設路由;這樣實驗機就走pix上網,但是不能管理410
此時2610加上ip route 0.0.0.0 0.0.0.0 192.168.0.10
網管機就又能上網又能管理410
實現了實驗機由於脆弱需要pix的保護,但是又不能管理410;而網管機則均可;
如果要從10.0.0.254走,關閉pix上的廣播預設路由
然後在2610上刪除全部和預設路由有關的配置,等2621乾淨以後
先起ip default-network,這樣2621收到預設
然後起ip route
為什麼呢?因為如果先起ip route,或者根本就不刪,那麼你加了ip default-network也沒有用
因為ip default-network被ip route搶先了,而ip route是不會被通告的~
這樣,2621就會收到10.0.0.254的預設路由~
如果這種情況下再開啟pix的預設路由廣播,2621就會有兩條路由~
R* 0.0.0.0/0 [120/1] via 10.0.0.254, 00:00:21, FastEthernet0/0
[120/1] via 10.0.0.2, 00:00:02, FastEthernet0/0
不過實驗機都會走pix的線路,^_^,這樣即便pixdown掉,也還有10.0.0.254
為什麼走pix?原因嘛,距離向量咯~
本文轉自 beansprouts 51CTO部落格,原文連結:http://blog.51cto.com/netwalk/66243,如需轉載請自行聯絡原作者
相關文章
- 網路拓撲結構
- 網路拓撲圖:網路拓撲圖介紹及線上製作
- 網路拓撲—FTP服務搭建FTP
- 商企網路拓撲的搭建
- 網路拓撲—WEB-IIS服務搭建Web
- 企業網路拓撲RSTP功能例項
- 兩層網路監控拓撲結構的原因和方法
- VOL.2 拓撲排序與關鍵路徑排序
- 企業網路拓撲MSTP功能例項(二)
- 網路拓撲例項之RRPP單環(五)
- AOV網與拓撲排序排序
- 網路拓撲結構視覺化呈現方案視覺化
- 網路拓撲例項10:MSTP+VRRP組合組網VR
- 經典問題 1 —— DAG 上區間限制拓撲序
- 拓撲排序詳解(梅開二度之dfs版按字典序輸出拓撲路徑+dfs版輸出全部拓撲路徑排序
- 企業網路拓撲VRRP主備功能例項(一)VR
- 快速建立 HTML5 Canvas 電信網路拓撲圖HTMLCanvas
- 網路拓撲例項之VRRP負載分擔(四)VR負載
- Noc拓撲
- 拓撲排序排序
- 網路相關
- 基於深度神經網路的人臉識別相關問題神經網路
- Day2 尤拉路,拓撲排序和差分約束排序
- octomap相關問題
- django相關問題Django
- electron相關問題
- Docker 相關問題Docker
- 一道很有趣的拓撲題
- 網路流相關
- 拓撲排序,YYDS排序
- ios 客戶端IPV6網路超時等相關問題iOS客戶端
- 北京網路行業協會組織討論VPN相關問題行業
- js--原型和原型鏈相關問題JS原型
- 與堆和堆排序相關的問題排序
- 網路基本認知(2)--網路拓撲圖的規劃與設計
- 網際網路拓撲是怎樣構成的?又代表了什麼?
- 基於 HTML5 WebGL 的 3D 網路拓撲圖HTMLWeb3D
- 基於 WebGL 的 HTML5 3D 網路拓撲圖WebHTML3D
- DDD、Wardley對映和團隊拓撲