某高校採用電信的出口作為內部上網的默認出口,供給校園內部上網,並經由過程教育網的出口訪謁教育網。
故障現象是無論是經由過程輸入域名仍是直接輸入IP地址都無法訪謁內部的WebServer .5。可是如不美觀將NE05路由器上的默認出口指向教育網的出口,則可以正常訪謁內部的WebServer。用户還反映其他黌舍不存在這樣的現象,可是經由過程體味其他的黌舍都只有教育網的出口,沒有使用公網的出口。
問題剖析:
教育網是鬥勁非凡的收集,相對於公網可以算作私有收集,整網經由過程統一的出口和公網互通。當公打魚户去訪謁教育網的時辰,會經由過程公網和教育網的接口進入教育網。
可是對於該校則鬥勁非凡,經由過程查看NE05上的設置裝備擺設:
ip route-static .62 preference 60
ip route-static .125 preference 60
ip route-static .125 preference 60
ip route-static .125 preference 60
ip route-static .125 preference 60
ip route-static .125 preference 60
可以看到除了部門教育網收集的路由是指向教育網的出口的,其他的路由都是經由過程默認路由從公網出去,這樣就會造核對於黌舍內部教育網地址的訪謁流量從教育網接口進入可是迴應的報文卻從公網的出口送出的現象,這樣就會造成回送的報文無法送回公打魚户,從而造成訪謁WebServer不成功。
問題解決:
經由以上的剖析,我們可以獲得以下的解決問題的思緒,只要能夠將訪謁WebServer的回送報文經由過程教育網接口返回,而不是經由過程默認路由走公網就可以達到既不影響內部用户經由過程NE05訪謁公網,又可以實現外部用户訪謁內部的WebServer的目的。可以經由過程NE05的策略路由,對擬定地址進行源地址路由就可以實現。
具體設置裝備擺設
先設置裝備擺設ACL軌則
acl number 101
rule 0 permit ip source .5 0
acl number 102
rule 0 permit ip
設置裝備擺設測量路由
route-policy www permit node 5
if-match acl 101
apply output-interface Ethernet3/2/2
route-policy www permit node 10
if-match acl 102
在接口上應用策略路由
interface Ethernet3/2/0
ip address .98
ip policy route-policy www
經由以上設置裝備擺設往後可以經由過程公網訪謁用户內部的WebServer,可是隻能經由過程IP地址的體例訪謁,無法經由過程域名的體例來訪謁。
需要再添加一條ACL,將DNS的出口也指向教育網出口就可以了。
改削後的ACL如下:
acl number 101
rule 0 permit ip source .5 0
rule 1 permit ip source .4 0
acl number 102
rule 0 permit ip
問題總結:
對於這種非凡的.組網,需要細心的剖析用户收集的現實組網拓撲,體味各類數據的流向,才能真正很好的解決問題。
[S8505]] link-aggregation ethernet2/1/1 to ethernet2/1/3 both
(2) 採用靜態LACP聚合體例
# 建樹靜態匯聚組1。
[S8505]] link-aggregation group 1 mode static
# 將以太網端口Ethernet2/1/1至Ethernet2/1/3插手聚合組1。
[S8505]] interface ethernet2/1/1
[S8505]-Ethernet2/1/1] port link-aggregation group 1
[S8505]-Ethernet2/1/1] interface ethernet2/1/2
[S8505]-Ethernet2/1/2] port link-aggregation group 1
[S8505]-Ethernet2/1/2] interface ethernet2/1/3
[S8505]-Ethernet2/1/3] port link-aggregation group 1
(3) 採用動態LACP聚合體例
# 開啟以太網端口Ethernet2/1/1至Ethernet2/1/3的LACP和談。
[S8505] interface ethernet2/1/1
[S8505]-Ethernet2/1/1] lacp enable
[S8505]-Ethernet2/1/1] interface ethernet2/1/2
[S8505]-Ethernet2/1/2] lacp enable
[S8505]-Ethernet2/1/2] interface ethernet2/1/3
[S8505]-Ethernet2/1/3] lacp enable
只有端口的根基設置裝備擺設、速度、雙工等參數一致時,上述端口在開啟LACP和談之後才能聚合到統一個動態聚合組內,實現端口的負載分管。
4. 狀況顯示和調試
呼籲:
S8505上做完鏈路聚合後常用的狀況顯示和調試呼籲如下:
顯示所有匯聚組的摘要信息 display link-aggregation summary
顯示指定匯聚組的具體信息 display link-aggregation verbose [ agg-id ]
顯示本端設備ID display lacp system-id
顯示端口的端口匯聚具體信息 display link-aggregation interface interface-type interface-number [ to interface-type interface-number ]
斷根端口的LACP統計信息 reset lacp statistics [ interface interface-type interface-number [ to interface-type interface-number ] ]
display link-aggregation summary 可以顯示整台設備所有聚合組,以及每個聚合組的mode、成員端口、負載分管情形。
display link-aggregation verbose 可以顯示聚合組中每個端口Up/Down狀況、select/standby 狀況。
