作為一名合格的網管,除了修得了電腦,還要換得了燈泡;除了能折騰伺服器,還得做好物業服務,要麼擅長通下水道,要麼會修中央空調。
但是,千萬別說網管沒脾氣,他們也有倔強的時候,比如說,你想要上網,那沒問題,但是走哪條鏈路(上高速還是走國道),那就是網管說了算。
如上圖所示,公司有兩條外部網絡鏈,其中,左邊一條是高速鏈路,網關為10.1.10.1/24;右邊一條是低速鏈路,網關為10.1.20.1/24。
公司區域網有兩個網段192.168.1.0/24和192.168.2.0/24。192.168.1.0/24網段主要是技術部、市場部,對鏈路帶寬要求比較高,所以網管決定該網段走高速鏈路出去;剩餘的192.168.2.0/24網段主要用作行政部、財務部上網,所以只能走低速鏈路出去。
配置思路:
通過redirect ip-nexthop命令確定主備鏈路——配置的第一個下一跳IP位址所在的鏈路作為主鏈路,其它鏈路作為備用鏈路。當主用鏈路Down掉之後,則自動選取優先級高的下一跳作為新的主鏈路。
配置過程:
[HUAWEI] sysname Sw2
[Sw2] vlan batch 10 20 //創建VLAN,vlan1默認存在,不必創建
[Sw2]dhcp enable
[Sw2]dhcp snooping enable
配置Sw2各接口的所屬VLAN,連接終端PC的接口配置為Access類型,連接Sw1的接口配置為Trunk類型:
[Sw2] interface gigabitethernet 0/0/1
[Sw2-GigabitEthernet0/0/1] port link-type access
[Sw2-GigabitEthernet0/0/1] port default vlan 10
[Sw2-GigabitEthernet0/0/1] quit
[Sw2] interface gigabitethernet 0/0/2
[Sw2-GigabitEthernet0/0/2] port link-type access
[Sw2-GigabitEthernet0/0/2] port default vlan 20
[Sw2-GigabitEthernet0/0/2] quit
[Sw2] interface gigabitethernet 0/0/3
[Sw2-GigabitEthernet0/0/3] port link-type trunk
[Sw2-GigabitEthernet0/0/3] port trunk allow-pass vlan 10 20
[Sw2-GigabitEthernet0/0/3]dhcp snooping trusted
[Sw2-GigabitEthernet0/0/3] quit
# 在Sw1上創建VLAN10、VLAN20、VLAN100、VLAN200。
[HUAWEI] sysname Sw1
[Sw1] vlan batch 10 20 100 200
# 配置Sw1各接口的所屬VLAN,連接Sw1A的接口配置為Trunk類型,連接外部網絡設備的接口配置為Access類型。
[Sw1] interface gigabitethernet 0/0/1
[Sw1-GigabitEthernet0/0/1] port link-type access
[Sw1-GigabitEthernet0/0/1] port default vlan 10
[Sw1-GigabitEthernet0/0/1] quit
[Sw1] interface gigabitethernet 0/0/2
[Sw1-GigabitEthernet0/0/2] port link-type access
[Sw1-GigabitEthernet0/0/2] port default vlan 20
[Sw1-GigabitEthernet0/0/2] quit
[Sw1] interface gigabitethernet 0/0/3
[Sw1-GigabitEthernet0/0/3] port link-type trunk
[Sw1-GigabitEthernet0/0/3] port trunk allow-pass vlan 1 2
[Sw1-GigabitEthernet0/0/3] quit
# 在Sw1上配置VLANIF10和VLANIF20作為用戶網關,並配置IP位址分別為192.168.1.1/24和192.168.2.1/24。
[Sw1] interface vlanif 1
[Sw1-Vlanif10] ip address 192.168.1.1 24
[Sw1-Vlanif10] quit
[Sw1] interface vlanif 2
[Sw1-Vlanif20] ip address 192.168.2.1 24
[Sw1-Vlanif20] quit
# 在Sw1上配置VLANIF10和VLANIF20用於和外部網絡設備互聯,並配置相應的IP位址。
[Sw1] interface vlanif 10
[Sw1-Vlanif10] ip address 192.168.10.2 24
[Sw1-Vlanif10] quit
[Sw1] interface vlanif 20
[Sw1-Vlanif20] ip address 192.168.20.2 24
[Sw1-Vlanif20] quit
#創建兩個DHCP地址池
ip pool vlan1
gateway-list 192.168.1.1
network 192.168.1.0 mask 255.255.255.0
excluded-ip-address 192.168.1.2 192.168.1.10
dns-list 114.114.114.114
#
ip pool vlan2
gateway-list 192.168.2.1
network 192.168.2.0 mask 255.255.255.0
excluded-ip-address 192.168.2.2 192.168.2.10
dns-list 114.114.114.114
# 在Sw1上配置兩條預設路由,下一跳分別指向兩個外部網絡設備。
[Sw1] ip route-static 0.0.0.0 0 192.168.10.1
[Sw1] ip route-static 0.0.0.0 0 192.168.20.1
完成以上配置步驟以後,內網能夠正常訪問外網了,但是不能保證192.168.1.0/24網段用戶的數據走高速鏈路,192.168.2.0/24網段的數據走低速鏈路,所以需要繼續配置ACL,以達到目標。
配置ACL規則
# 在Sw1上創建3001、3002的高級ACL。
[Sw1] acl 3001 //匹配192.168.1.0/24網段的數據流
[Sw1-acl-adv-3001] rule permit ip source 192.168.1.0 0.0.0.255
[Sw1-acl-adv-3001] quit
[Sw1] acl 3002 //匹配192.168.2.0/24網段的數據流
[Sw1-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255
[Sw1-acl-adv-3002] quit
配置流分類
#在Sw1上創建流分類c1、c2,匹配規則分別為ACL 3001和ACL 3002。
[Sw1] traffic classifier c0 operator or
[Sw1-classifier-c0] if-match acl 3000
[Sw1-classifier-c0] quit
[Sw1] traffic classifier c1 operator or
[Sw1-classifier-c1] if-match acl 3001
[Sw1-classifier-c1] quit
[Sw1] traffic classifier c2 operator or
[Sw1-classifier-c2] if-match acl 3002
[Sw1-classifier-c2] quit
配置流行為
# 在Sw1上創建流行為b1、b2。
[Sw1] traffic behavior b1
[Sw1-behavior-b1] redirect ip-nexthop 192.168.10.1
[Sw1-behavior-b1] quit
[Sw1] traffic behavior b2
[Sw1-behavior-b2] redirect ip-nexthop 192.168.20.1
[Sw1-behavior-b2] quit
配置流策略並應用到接口上
# 在Sw1上創建流策略p1,將流分類和對應的流行為進行綁定。
[Sw1] traffic policy p1
[Sw1-trafficpolicy-p1] classifier c1 behavior b1
[Sw1-trafficpolicy-p1] classifier c2 behavior b2
[Sw1-trafficpolicy-p1] quit
# 將流策略p1應用到Sw1的GE0/0/3的入方向上。
[Sw1] interface gigabitethernet 0/0/3
[Sw1-GigabitEthernet0/0/3] traffic-policy p1 inbound
[Sw1-GigabitEthernet0/0/3] return
這樣配置以後,上網的流向正確了,可是vlan1和vlan2卻不能互訪了。
思考後得知,是因為兩個vlan互訪的流量,也被上面的ACL重定向了,所以造成無法互訪的局面。
知道問題所在,就好處理了,再添加一條ACL 3000來定義vlan互訪應該就可以了。
[Sw1] acl 3000
[Sw1-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[Sw1-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
[Sw1-acl-adv-3000] quit
[Sw1-] traffic classifier c0 operator or
[Sw1--classifier-c0] if-match acl 3000
[Sw1--classifier-c0] quit
[Sw1] traffic behavior b0
[Sw1-behavior-b0] permit
[Sw1-behavior-b0] quit
[Sw1] traffic policy p0
[Sw1-trafficpolicy-p0] classifier c0 behavior b0
前面已經將流策略p1應用到Sw1的GE0/0/3入方向上了,不用再重複操作,此時測試,兩個vlan可以互訪,並且上網路徑正確,任務完成,你們看,上網走哪條鏈路是不是網管說了算?是不是也強勢了一回?