作者 主題: L3 switch路由問題  (閱讀 8514 次)

0 會員 與 1 訪客 正在閱讀本文。

明月舞清風

  • 憂鬱的高中生
  • ***
  • 文章數: 173
    • 檢視個人資料
L3 switch路由問題
« 於: 2008-09-23 22:04 »
各位好,小弟因某些緣故,很久沒來此處求教了。真的有點不好意思。

anyway,無事不登三寶店。筆者從今年初取得ccna後,今天算是第一次真槍實彈上場應用,卻遭逢令人困惑的幾個問題。
但是在敘述我的問題前,我先把今天發生問題的整個環境,簡單描述一下。

1.gateway:有load balance功能防火牆路由器一台,但目前僅使用一wlan,並未啟動load balance。
對外連線正常,對內Lan port為192.168.1.1/24,與switch A的port1相接

2.switch A,是台L3的switch。
port 1,ip為192.168.1.254/24,vlan 1
port 2,ip為192.168.2.254/24,vlan 2
port 3,ip為192.168.3.254/24,vlan 3

而這三個vlan,都要透過port1連接到gateway出去,且要能彼此通連
(必要時可以讓網管中斷這三個subnet彼此的連線)

3.測試用pc一台。僅一張網卡,無防火牆,並依測試需要更動ip位置。


ok,問題如下:
1.敝人之前所學的ccna課程中,此狀況極為類似InterVLAN routing。
因此在觀念上,是不是可以把原本interVLAN中,所述處於L2 switch上的eth0.0 eth0.1 ...等interface,套用到L3 switch上,然後以router的角度來思考問題?


2.這環境是今日敝人跟某工程師前往客戶處設定的骨幹網路。經過一日的奮戰,最後敗北回來檢討與求助。
目前遭遇的情況如下:

(1)當PC:192.168.1.2/24,單獨連接防火牆LAN port時,可以正常對外連線。
(2)當L3 switch port1與防火牆LAN port相連之後,透過switch的console ping 192.168.1.1,發現可以正常通連,
(3)PC:192.168.2.2/24與switch port2相連後,pc2可以ping到192.168.2.254,同以也可以ping到192.168.1.254。
但是當PC ping 192.168.1.1的時候,則毫無回應(request time out)。當然,也無法對外連線。


就我所學,PC應該是可以正常連線到192.168.1.1,也就是gateway上才對。
但很明顯的,不是我觀念錯誤,就是config有問題。

因此想請問各位,這問題是什麼原因造成的?我不求完整解答,我只希望諸位幫忙指點一點迷津。

最後感謝各位看完我這篇略顯冗長的求救文。感謝您,辛苦了。

anderson1127

  • 訪客
回覆: L3 switch路由問題
« 回覆 #1 於: 2008-09-23 23:10 »
首先,先恭喜你取得CCNA !! 又一個不怕死的人跑進來純網路設備的環境.... 嘿嘿嘿....

這個問題我覺得還蠻容易的,怎麼你卻沒發現?!

先給你個提示,Firewall知不知道 vlan2 & vlan3 兩個網段的routing ??
從這冗長的描述來看,我猜你應該是遇上Cisco L3 switch , 給你個建議,下次畫一張網路架構圖
再來描述,這樣比較容易懂!! 另外所使用的設備名稱廠牌也要一併說明...

去確認吧!!


明月舞清風

  • 憂鬱的高中生
  • ***
  • 文章數: 173
    • 檢視個人資料
回覆: L3 switch路由問題
« 回覆 #2 於: 2008-09-24 07:17 »
基本上,我不是不怕死,而是不想活... ;D

有問題的這個網路,原本所有架構都是另外那位工程師處裡的。
說真的,我還蠻佩服像他那樣,觀念不清就在猛踹錯誤嘗試法,還能把DMZ、單一網段的LAN搞定。


anyway,撰寫求救文時,我已經回到家中,當時也沒有抄下型號(廠牌是SMC)。

完整的網路架構圖,晚點到公司,我連同各點的設備,再完整補上。
(不過Mr. anderson,welcome back不好意思你猜錯了,沒有cisco的設備。)
恩,那老大已經把這燙手山芋,丟給我這不知到老虎是何物的小綿羊了。今天可以準備三杯咖啡,好好跟他玩到腦結石...

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
回覆: L3 switch路由問題
« 回覆 #3 於: 2008-09-25 00:19 »
恩,那老大已經把這燙手山芋,丟給我這不知到老虎是何物的小綿羊了。今天可以準備三杯咖啡,好好跟他玩到腦結石...

看起來只是firewall的routing table有錯而已..
三杯咖啡可以省起來了.

明月舞清風

  • 憂鬱的高中生
  • ***
  • 文章數: 173
    • 檢視個人資料
回覆: L3 switch路由問題
« 回覆 #4 於: 2008-09-26 14:59 »
因為公司派任的其他雜事優先...小弟到現在才終於能來到客戶這繼續config這個網路...

抱怨完畢。

火牆部分為Abocom的 MH1500,L3 switch為SMC的tiger stack 10G,型號是8723ML3

下面是今天重新config的running-config。
(恩,我很白癡的忘了下copy run start ....一切推倒重來)

==========================================
VLAN database
 VLAN 1 name vlan1 media ethernet state active
 VLAN 2 name vlan2 media ethernet state active
 VLAN 3 name vlan3 media ethernet state active
 VLAN 4 name vlan4 media ethernet state active
!
interface ethernet 1/1
 switchport allowed vlan add 1 untagged
 switchport native vlan 1
!
interface ethernet 1/2
 switchport allowed vlan add 2 untagged
!
interface ethernet 1/3
 switchport allowed vlan add 3 untagged
 switchport native vlan 3
 switchport allowed vlan remove 1
!
interface ethernet 1/4
 switchport allowed vlan add 4 untagged
 switchport native vlan 4
 switchport allowed vlan remove 1
!
interface ethernet 1/5
 switchport allowed vlan add 1 untagged
 switchport native vlan 1
           ====(後面的eth 1/6-1/24與1/5相同,不贅述)====


interface VLAN 1
 IP address 192.168.1.254 255.255.255.0
!
!
interface VLAN 2
 IP address 192.168.2.254 255.255.255.0
!
!
interface VLAN 3
 IP address 192.168.3.254 255.255.255.0
!
!
interface VLAN 4
 IP address 192.168.4.254 255.255.255.0
!
!
!
IP route 0.0.0.0 0.0.0.0 192.168.1.1 metric 1
!
!

目前正在用力踹火牆中...
至於switch內部通連,奇怪,設定應該是一樣的...怎麼現在從192.168.2.23(pc)連port2(vlan2),ping 192.168.2.254 ok,無法ping到192.168.1.254 ...(time out)
update:跟同事討論後,他也同意是防火牆送回封包時,路由造成的問題。
但是目前該防火牆無法動大刀,加上console也無法登入進去測,現在呈現無解狀態中。

PS:不知道網路上有沒有SMC的模擬器?...雖然我知道這樣問蠻貪心的...
« 上次編輯: 2008-09-26 15:37 由 明月舞清風 »

anderson1127

  • 訪客
回覆: L3 switch路由問題
« 回覆 #5 於: 2008-09-26 17:06 »
問題就是在於FW MH1500不知道VLAN2 & 3的route , 怎麼搞了那麼久還沒解決 !?
MH1500 應該可以用 WEB GUI去access , 你從VLAN1 就應該可以access到MH1500

只要再加兩筆static route指向L3 switch的VLAN1 ip , 就可以解決了才對!!

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 277
  • 性別: 男
    • 檢視個人資料
回覆: L3 switch路由問題
« 回覆 #6 於: 2008-09-26 19:31 »
至於switch內部通連,奇怪,設定應該是一樣的...怎麼現在從192.168.2.23(pc)連port2(vlan2),ping 192.168.2.254 ok,無法ping到192.168.1.254 ...(time out)
update:跟同事討論後,他也同意是防火牆送回封包時,路由造成的問題。
看設定有兩個問題:
1. 你 ethernet 1/2 PVID 沒設好.
2. 另外每個 port 預設都歸屬於 VLAN 1, 所以還要把 port 移出 VLAN 1.

加一下紅色這兩行應該就 OK 了.
interface ethernet 1/2
 switchport allowed vlan add 2 untagged
 switchport native vlan 2
 switchport allowed vlan remove 1

 
多花點功夫 K 使用手冊吧. (原廠網站 down 得到, 我也沒玩過 SMC 的. 只是剛上去看了一下手冊)

明月下的清風

  • 可愛的小學生
  • *
  • 文章數: 17
    • 檢視個人資料
回覆: L3 switch路由問題
« 回覆 #7 於: 2008-11-06 11:24 »
首先感謝各位的回覆。是的,我就是那位舞清風...

anyway,這問題後來解決了,原因就是在上層的firewall沒有路由回到下層的core-switch所致。
不過解決的方式,我個人頗有微詞就是了...
(因為是請第三者,直接透過ssh/telnet連進firewall的tty搞定的,而同時我們竟然沒拿到console的username跟password,然後反映給上面的人都沒回應...)

感謝各位的回覆。This case is closed