问题描述
客户现场网络结构单一,只靠一台思科C4500系列交换机互连,默认接口在vlan1,上行一台防火墙,通过vpn隧道与分公司连接,办公环境所有服务器和办公电脑均属于100.86.1.0/24这个网段,网关在C4500交换机的vlan1上,IP地址是100.86.1.1,客要求数据中心的云服务器也使用100.86.1.0/24这个范围的地址。
另外按照数据中心专线安全接入规定,不允许二层对接,需和客户在专线上进行三层网络对接,客户购买的云服务器按照规划所属vlan1508,可以把vlan1508透传至专线交换机上,并将网关配置在专线交换机上.
处理过程
经过与客户协商,专线对接采用数据中心分配的对接IP10.192.17.1/30和10.192.17.2/30,在客户办公区域的100.86.1.0/24这个
网段中划分一个小段100.86.1.224/29给数据中心的云服务器使用。
详细网络配置如下:
<zhuanxian-CE5855>system-view[zhuanxian-CE5855]vlan 908
[zhuanxian-CE5855-vlan908]interface vlan908
[zhuanxian-CE5855-vlanif908]ip address 10.192.17.1 255.255.255.252
[zhuanxian-CE5855]vlan 1508
[zhuanxian-CE5855-vlan1508]interface vlan1508
[zhuanxian-CE5855-vlanif1508]ip address 100.86.1.230 255.255.255.248
[zhuanxian-CE5855]ip route-static 0.0.0.0 0.0.0.0 10.192.17.2
客户交换机
Switch-C4505#conf t
Switch-C4505(config)# vlan 2
Switch-C4505(config)# interface vlan 2
Switch-C4505(config-vlanif2)#ip address 10.192.17.2 255.255.255.252
经过测试专线对接正常
专线测试到数据中心云主机不通,需添加100.86.1.224/29的路由。
Switch-C4505(config)#ip route 100.86.1.224 255.255.255.248 10.192.17.1
添加100.86.1.224/29的路由后可以从客户侧的专线接口ping通数据中心的云服务器IP。接下来利用客户办公区电脑尝试是否可以ping通.
测试结果是办公区电脑无法ping通数据中心云服务器。
根因
因为100.86.1.224/29这个段包含于100.86.1.0/24这个网段,由于客户的办公电脑配置的IP地址为100.86.1.100/24等这样的24位掩码,
所以当客户办公区的电脑在访问100.86.1.225这个地址时,会通过二层广播查找vlan1里有没有100.86.1.225这个IP对应的MAC地址,
实际结果是在客户交换机里没有100.86.1.225对应的MAC,但交换机上的专线IP可以通过路由与100.86.1.225互通。
在客户办公网的网关接口上启用arp proxy 功能。通过使用网关来作为客户办公区设备对100.86.1.224/29这网段设备的ARP请求作出应答。
Switch-C4505(config)# interface vlan 1
Switch-C4505(config-vlanif1)#ip proxy-arp
通过在客户交换机的vlan1下配置arp proxy功能后可以正常通信,分公司也能正常与数据中心服务器通讯。
建议与总结
1.客户最好内部重新分配一个地址段,用于不同地区的服务器IP分配。
2.客户交换机上最好做好arp的静态绑定,关闭未使用的端口。
END
免责声明:本案例仅供参考不提供专业意见。
发表评论