首先我来说下环境。
这里有一个企业。他有N个办公地点。(这里我只写出东三环办公点)。办公地点通过二层交换机连接下面的PC。再通过FR连接到其总部的4506. 中间有一个透明防火墙。所有办公地点的网关全部落在4506上。这样整个公司的PC都是通过总部上网的。起到了一个统一管理的目的。前端的QQSG为一个透明的应用层分析设备。以此该公司可以查看高流量用户等。当然还有比如网康的控管类设备。
但是整个大楼并非只有该公司总部,还有一些中小型公司。 这些中小型公司因为实力和技术原因并不想购买比如4506类型的设备。而且他们也没有分公司。他们只想依托楼内的接入和汇聚设备。所以这部分用户要把网关落在楼内接入商的汇聚设备上,也就是核心2.
总体来说有2中接入方式和需求。
最早配置方案
分支机构很简单。只要FR (链路6)。加2层交换机。接上来落网关到4506就OK了。
总部楼内用户跟别的中小公司有所区别。就是在接入到core2 的汇聚交换机时并没有落三层地址。而是走了2层的trunk 。在机房给一个从core2 到4506的接口。让他通过core2 到 4506.的线路2层上来将网关落在了4506上(通过链路2)。这样所有该公司的数据必须经过 4506. 4506 再连一条线到core1 (链路3) 。上面走三层。写默认路由指向 core1 。由core1 将数据发往外网。 之所以这样。
有人会问。为什么不在楼内将总部的所有用户用一个单独的链路直接连接到4506.还要在core2上走一个trunk。 费2个接口。其实这是受物理条件限制。因为公司总部并不是整个楼层的唯一单位。 这么说吧 7 8 9 三层都是该公司总部。但可能 9层的一半 和7层的一半还有别的公司。 如果我想从物理上区分开来。我必须在 7 和 8 层再加一个交换机。让其和别的公司走不同的物理链路。这不符合统一规划。而且增加了成本。
现在我完全可以在7 9 楼层上只放一个交换机trunk 上来。 别的公司的数据2层停止于core 2 。并通过 core1 和core2 之间(链路1)去互联网。而 公司总部的则2层通明的发往4506.
也就是说 其他公司是通过 链路 4 、1 、9 去internet 的。
而公司总部是通过 4 、2、 3、 9 去internet 的。
新的需求改变一切
现在公司有了新的需求。 要在4506 下新加一个服务器区。安装多个server 。该服务器
区使用IP 172 网段。为了秉承原有的统一管理。需要将它挂在4506下。可是有一个特殊的需求。就是他的网关必须落在core1 上。而不是自己的4506.(原因很特殊。但这里不便说明)
总之他既要做到统一管理。又要把网关落在core1 上。
这样问题就来了。因为4506 和core1(链路3)本来是3层相连(两端落三层地址)。现在如果172 的网关要落在core1 上该怎么做呢?
三种方案
第一种 直接把服务器区的server 布线连接到core1 上。直观而简单。可是这样总部就不能对其server段进行管控。这是不能接受的。
第二种 在4506 和 core1 间再建立一条物理连接。就像透明穿过core2 一样。让服务器区 段透明穿过4506 。将网关落在core1 。这样就可以不破坏统一管理。只是多浪费了两个端口。
第三种 只改配置。不动物理线路。也是我主要讲的方法。
首先 我将(链路3)这种两端接口落三层地址的方法改掉。(忘了说明一点。 用户PC和服务器端使用不同的vlan。 例如pc vlan 100 。服务器vlan200)
interface GigabitEthernet2/1
description CONNECT TO XXXX
no switchport
ip address 192.168.1.1 255.255.255.248
ip access-group 101 i
description CONNECT TO XXXX
no switchport
ip address 192.168.1.1 255.255.255.248
ip access-group 101 i
我把这种配置从 链路3 的两端 no 掉。改成走trunk。如下
interface GigabitEthernet2/1
description CONNECT TO XXX
switchport trunk encapsulation dot1q
switchport trunk allowed vlan100,200
switchport mode trunk
description CONNECT TO XXX
switchport trunk encapsulation dot1q
switchport trunk allowed vlan100,200
switchport mode trunk
这样服务器区段的数据走200到core1.并在core1上落网关。
现在的问题是怎么让vlan 100的数据可以通过这个2层的链路。
首先我在两边分别新建2个vlan。比如vlan 300 并落三层地址。
interface Vlan300
ip address 192.168.1.1 255.255.255.248
ip access-group 101 in
ip address 192.168.1.1 255.255.255.248
ip access-group 101 in
其实这个vlan 就是一个在2层上的虚的链路。这样我将0.0.0.0 的下一条指向这个vlan 的对端地址。三层数据走上面的vlan 300 走。
OK了。 整个方案只是动几个配置就完成了需求。
小结
其实很多配置也是大智若愚。我最早接受这种配置的时候也是有些模棱两可。
因为我们总是习惯把接口要不二层。要不配地址三层。从来没想过一个接口可以又2层有三层。准确的说从来没有想过用这种只在2端起vlan落三层地址互联的方法。
教科书从来不讲这些。这些只有在对命令、技术、需求有了深刻认识的时候。才会被想出来。
这才是一个网络工程师真正的水平所在。
你操纵命令,而不是被命令操纵。
