网络拓扑调整和PIX相关问题
昨天,对实验室的网络拓扑做了一下简单的调整,本以为是很简单的调整,没想到碰到了很多问题,可谓是一波三折啊。
原实验室拓扑如下:
最左边PC机为实验机,通过2621XM的NAT映射成10.0.0.0的地址,他们的网关为10.0.1.254
manager为网管机,网关为10.0.0.2
2621XM的默认路由也是10.0.0.2
此时,实验机可以访问manager(用来做文件服务)这也是为什么前面要NAT成10.0.0.0的地址的原因
但是manager不能访问实验机(废话,PIX哪里知道怎么走)
随后PIX讲所有上网数据通过NAT映射成172.16.0.0的地址进入2610
2610上再次做NAT映射(这个要感谢TPlink,它要想被管理就必须和它的内网IP也就是192.168.0.10在一个网段内)
全网静态路由。
新拓扑如下:
要求:
实验机和网管机互访,其实就是左半边互相没有限制
启用两条出去的线路,将防火墙两端的交换机互联
2610增加新IP10.0.0.254
做到不用防火墙也可以出去,用防火墙也可以
升级pixIOS
全网RIP路由测试,不再使用静态路由
过程如下:
首先关闭了pix,将各个路由器启动RIP路由访问:
!
router rip
version 2
network 10.0.0.0
network 192.168.0.0
no auto-summary
!
这样,大家都得到了全网动态路由
2621如下:
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
R 10.1.1.2/32 [120/1] via 10.0.1.116, 00:00:23, FastEthernet0/1
[120/1] via 10.0.0.101, 00:00:16, FastEthernet0/0
R 10.1.1.0/24 [120/1] via 10.0.1.116, 00:00:23, FastEthernet0/1
[120/1] via 10.0.1.112, 00:00:20, FastEthernet0/1
[120/1] via 10.0.0.102, 00:00:07, FastEthernet0/0
[120/1] via 10.0.0.101, 00:00:16, FastEthernet0/0
C 10.0.0.0/24 is directly connected, FastEthernet0/0
R 10.1.1.1/32 [120/1] via 10.0.1.112, 00:00:20, FastEthernet0/1
[120/1] via 10.0.0.102, 00:00:07, FastEthernet0/0
C 10.0.1.0/24 is directly connected, FastEthernet0/1
R 192.168.0.0/24 [120/1] via 10.0.0.254, 00:00:24, FastEthernet0/0
这样,实验机和网管机可以互访了。
删除2621的NAT映射语句。
随后在2610上增加默认路由:
ip route 0.0.0.0 0.0.0.0 192.168.0.10
此时10.0.0.0网段可以上网,10.0.1.0不行
检查2621,没有接受到默认路由;不管,先在2621加静态路由指向192.168.0.10
10.0.1.0访问外网,发现不通,想原因;
数据过的去,但是回来的时候R410可能不知道,因为tplink的宽带路由器不支持RIP
到410上增加回指路由,通了
为什么10.0.0.0不用加就可以了呢?因为10.0.0.0时NAT成192.168.0.0的,呵呵
这样就OK了
下面折腾PIX,刷了新的IOS和ASDM以后
重新配置rules
这里走了一些弯路,新的ASDM对接口和income、outcome的定义让人头晕,回头去买一本专门讲pix的书来;
但是不管怎么样配,即便时rules全部IP和icmp都accept,还是没有通;
个人感觉pix有个需要学习或者适应的过程,比如配置是对的,但是总是要过一阵子才会通;
先不讲这些,反正这里弄了好久,大约1个多小时;大部分情况都是pix本身能访问,但是网管机就是出不去;
有时候能出去,那是因为有条线直连了pix两端,是从那条线上走的;这个失误也耽误了时间;最后吧这根线拔掉;
专门倒腾pix;
发现pix删除全部规则后默认就是通的,仔细阅读那条默认配置的提示,pix说,默认规则是将安全等级高
的接口向安全等级低的接口转发数据的,但是要做NAT以保护内部IP敏感信息;原来,pix默认的inside安全级别
为100;outside安全级别为0;所以默认就可以转发数据,但是要做NAT,于是用PAT绑定172.16.0.2;还是不通?
这些学乖了,去410上回指172.16.0.0的路由,呵呵,通了~
然后在两边都启动RIP,采用了接受且通告路由的模式
增加默认路由指向172.16.0.254,为什么不指192.168.0.10?
呵呵,别忘记410是tplink,你172.16.0.0的数据过去怎么管理?
于是在2610上增加NAT映射;将172.16.0.0也映射成192.168.0.0的地址;
至此,应该是基本完成了;
然后,接下来遇到两个问题:
1、2621收到的默认路由为10.0.0.2?
pix广播默认路由可以理解,但是2610也有默认路由啊,也应该会广播啊,为什么没有收到呢?反复实验过后发现问题。
先引用一文:
=========================================
ip default-network和ip route 0.0.0.0 0.0.0.0默认路由的区别
2006-06-01 来源: 网友推荐 责编: 李晓捷 作者:
编者按:
在自己的2501上研究这三种默认路由的区别.
指定默认路由(last resort gateway)的指令供有3种,可以分成两类:
1、ip default-gateway
当路由器上的ip routing无效时,使用它指定默认路由,用于RXBoot模式(no ip routing)下安装IOS等。或者关闭ip routing 让路由器当主机用,此时需要配置默认网关
2、ip default-network和ip route 0.0.0.0 0.0.0.0
两者都用于ip routing有效的路由器上,区别主要在于路由协议是否传播这条路由信息。比如:IGRP无法识别0.0.0.0,因此传播默认路由时必须用ip default-network。
当用ip default-network指令设定多条默认路由时,administrative distance最短的成为最终的默认路由;如果有复数条路由distance值相等,那么在路由表(show ip route)中靠上的成为默认路由。
同时使用ip default-network和ip route 0.0.0.0 0.0.0.0双方设定默认路由时,如果ip default-network设定的网络是直连(静态、且已知)的,那么它就成为默认路由;如果ip default-network指定的网络是由交换路由信息得来的,则ip route 0.0.0.0 0.0.0.0指定的表项成为默认路由。
最后,如果使用多条ip route 0.0.0.0 0.0.0.0指令,则流量会自动在多条链路上负载均衡。
===========================================
使用ip default-network后,全网得到默认网关10.0.0.254
这时可以去掉2621的手动指定了
2、在前面这个问题解决掉前,实验机均可以上网但是访问410确报没有权限(就是说我不是192.168.0.0的用户)
按照道理,2621默认路由指向10.0.0.2,数据通过防火墙变成172.16.0.0,然后被2610映射成192.168.0.0,还应该可以访问才对
在实验机上tracert 192.168.0.10
得到3跳:
10.0.1.254
10.0.0.2
172.16.0.254
看来很正常啊
怎么想也没弄清楚问题的原因;
后来跟踪2610的nat情况,发现问题,nat没有现实有172.16.0.0的数据来过
证明实验机没有走pix的线路;检查一下,明白了,原来自己什么时候已经吧pix两端的线插上了
而我们之前在2621上指的默认路由是192.168.0.10,所以实验机没有通过pix就直接找了192.168.0.10
而rip是有这个路由的,所以没有nat(因为2610没有为10.0.1.0做nat)这样实验机就带着10.0.1.0的源地址跑到410上管理,当然就被拒之门外了。
那么为什么tracert显示172.16.0.254呢?
其实数据包走的是10.0.0.254,因为这个口上的主要IP是172.16.0.254,sh ip int bri就可以看出来,没有显示secondry IP;
知道原因就好办了
要想实验机走pix的线路,就关闭2610的default-network,注意,此时还要关闭ip route,否则默认路由还是有两条;
这样pix的默认路由就会生效
2621就收到10.0.0.2的默认路由;这样实验机就走pix上网,但是不能管理410
此时2610加上ip route 0.0.0.0 0.0.0.0 192.168.0.10
网管机就又能上网又能管理410
实现了实验机由于脆弱需要pix的保护,但是又不能管理410;而网管机则均可;
如果要从10.0.0.254走,关闭pix上的广播默认路由
然后在2610上删除全部和默认路由有关的配置,等2621干净以后
先起ip default-network,这样2621收到默认
然后起ip route
为什么呢?因为如果先起ip route,或者根本就不删,那么你加了ip default-network也没有用
因为ip default-network被ip route抢先了,而ip route是不会被通告的~
这样,2621就会收到10.0.0.254的默认路由~
如果这种情况下再开启pix的默认路由广播,2621就会有两条路由~
R* 0.0.0.0/0 [120/1] via 10.0.0.254, 00:00:21, FastEthernet0/0
[120/1] via 10.0.0.2, 00:00:02, FastEthernet0/0
不过实验机都会走pix的线路,^_^,这样即便pixdown掉,也还有10.0.0.254
昨天,对实验室的网络拓扑做了一下简单的调整,本以为是很简单的调整,没想到碰到了很多问题,可谓是一波三折啊。
原实验室拓扑如下:
最左边PC机为实验机,通过2621XM的NAT映射成10.0.0.0的地址,他们的网关为10.0.1.254
manager为网管机,网关为10.0.0.2
2621XM的默认路由也是10.0.0.2
此时,实验机可以访问manager(用来做文件服务)这也是为什么前面要NAT成10.0.0.0的地址的原因
但是manager不能访问实验机(废话,PIX哪里知道怎么走)
随后PIX讲所有上网数据通过NAT映射成172.16.0.0的地址进入2610
2610上再次做NAT映射(这个要感谢TPlink,它要想被管理就必须和它的内网IP也就是192.168.0.10在一个网段内)
全网静态路由。
新拓扑如下:
要求:
实验机和网管机互访,其实就是左半边互相没有限制
启用两条出去的线路,将防火墙两端的交换机互联
2610增加新IP10.0.0.254
做到不用防火墙也可以出去,用防火墙也可以
升级pixIOS
全网RIP路由测试,不再使用静态路由
过程如下:
首先关闭了pix,将各个路由器启动RIP路由访问:
!
router rip
version 2
network 10.0.0.0
network 192.168.0.0
no auto-summary
!
这样,大家都得到了全网动态路由
2621如下:
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
R 10.1.1.2/32 [120/1] via 10.0.1.116, 00:00:23, FastEthernet0/1
[120/1] via 10.0.0.101, 00:00:16, FastEthernet0/0
R 10.1.1.0/24 [120/1] via 10.0.1.116, 00:00:23, FastEthernet0/1
[120/1] via 10.0.1.112, 00:00:20, FastEthernet0/1
[120/1] via 10.0.0.102, 00:00:07, FastEthernet0/0
[120/1] via 10.0.0.101, 00:00:16, FastEthernet0/0
C 10.0.0.0/24 is directly connected, FastEthernet0/0
R 10.1.1.1/32 [120/1] via 10.0.1.112, 00:00:20, FastEthernet0/1
[120/1] via 10.0.0.102, 00:00:07, FastEthernet0/0
C 10.0.1.0/24 is directly connected, FastEthernet0/1
R 192.168.0.0/24 [120/1] via 10.0.0.254, 00:00:24, FastEthernet0/0
这样,实验机和网管机可以互访了。
删除2621的NAT映射语句。
随后在2610上增加默认路由:
ip route 0.0.0.0 0.0.0.0 192.168.0.10
此时10.0.0.0网段可以上网,10.0.1.0不行
检查2621,没有接受到默认路由;不管,先在2621加静态路由指向192.168.0.10
10.0.1.0访问外网,发现不通,想原因;
数据过的去,但是回来的时候R410可能不知道,因为tplink的宽带路由器不支持RIP
到410上增加回指路由,通了
为什么10.0.0.0不用加就可以了呢?因为10.0.0.0时NAT成192.168.0.0的,呵呵
这样就OK了
下面折腾PIX,刷了新的IOS和ASDM以后
重新配置rules
这里走了一些弯路,新的ASDM对接口和income、outcome的定义让人头晕,回头去买一本专门讲pix的书来;
但是不管怎么样配,即便时rules全部IP和icmp都accept,还是没有通;
个人感觉pix有个需要学习或者适应的过程,比如配置是对的,但是总是要过一阵子才会通;
先不讲这些,反正这里弄了好久,大约1个多小时;大部分情况都是pix本身能访问,但是网管机就是出不去;
有时候能出去,那是因为有条线直连了pix两端,是从那条线上走的;这个失误也耽误了时间;最后吧这根线拔掉;
专门倒腾pix;
发现pix删除全部规则后默认就是通的,仔细阅读那条默认配置的提示,pix说,默认规则是将安全等级高
的接口向安全等级低的接口转发数据的,但是要做NAT以保护内部IP敏感信息;原来,pix默认的inside安全级别
为100;outside安全级别为0;所以默认就可以转发数据,但是要做NAT,于是用PAT绑定172.16.0.2;还是不通?
这些学乖了,去410上回指172.16.0.0的路由,呵呵,通了~
然后在两边都启动RIP,采用了接受且通告路由的模式
增加默认路由指向172.16.0.254,为什么不指192.168.0.10?
呵呵,别忘记410是tplink,你172.16.0.0的数据过去怎么管理?
于是在2610上增加NAT映射;将172.16.0.0也映射成192.168.0.0的地址;
至此,应该是基本完成了;
然后,接下来遇到两个问题:
1、2621收到的默认路由为10.0.0.2?
pix广播默认路由可以理解,但是2610也有默认路由啊,也应该会广播啊,为什么没有收到呢?反复实验过后发现问题。
先引用一文:
=========================================
ip default-network和ip route 0.0.0.0 0.0.0.0默认路由的区别
2006-06-01 来源: 网友推荐 责编: 李晓捷 作者:
编者按:
在自己的2501上研究这三种默认路由的区别.
指定默认路由(last resort gateway)的指令供有3种,可以分成两类:
1、ip default-gateway
当路由器上的ip routing无效时,使用它指定默认路由,用于RXBoot模式(no ip routing)下安装IOS等。或者关闭ip routing 让路由器当主机用,此时需要配置默认网关
2、ip default-network和ip route 0.0.0.0 0.0.0.0
两者都用于ip routing有效的路由器上,区别主要在于路由协议是否传播这条路由信息。比如:IGRP无法识别0.0.0.0,因此传播默认路由时必须用ip default-network。
当用ip default-network指令设定多条默认路由时,administrative distance最短的成为最终的默认路由;如果有复数条路由distance值相等,那么在路由表(show ip route)中靠上的成为默认路由。
同时使用ip default-network和ip route 0.0.0.0 0.0.0.0双方设定默认路由时,如果ip default-network设定的网络是直连(静态、且已知)的,那么它就成为默认路由;如果ip default-network指定的网络是由交换路由信息得来的,则ip route 0.0.0.0 0.0.0.0指定的表项成为默认路由。
最后,如果使用多条ip route 0.0.0.0 0.0.0.0指令,则流量会自动在多条链路上负载均衡。
===========================================
使用ip default-network后,全网得到默认网关10.0.0.254
这时可以去掉2621的手动指定了
2、在前面这个问题解决掉前,实验机均可以上网但是访问410确报没有权限(就是说我不是192.168.0.0的用户)
按照道理,2621默认路由指向10.0.0.2,数据通过防火墙变成172.16.0.0,然后被2610映射成192.168.0.0,还应该可以访问才对
在实验机上tracert 192.168.0.10
得到3跳:
10.0.1.254
10.0.0.2
172.16.0.254
看来很正常啊
怎么想也没弄清楚问题的原因;
后来跟踪2610的nat情况,发现问题,nat没有现实有172.16.0.0的数据来过
证明实验机没有走pix的线路;检查一下,明白了,原来自己什么时候已经吧pix两端的线插上了
而我们之前在2621上指的默认路由是192.168.0.10,所以实验机没有通过pix就直接找了192.168.0.10
而rip是有这个路由的,所以没有nat(因为2610没有为10.0.1.0做nat)这样实验机就带着10.0.1.0的源地址跑到410上管理,当然就被拒之门外了。
那么为什么tracert显示172.16.0.254呢?
其实数据包走的是10.0.0.254,因为这个口上的主要IP是172.16.0.254,sh ip int bri就可以看出来,没有显示secondry IP;
知道原因就好办了
要想实验机走pix的线路,就关闭2610的default-network,注意,此时还要关闭ip route,否则默认路由还是有两条;
这样pix的默认路由就会生效
2621就收到10.0.0.2的默认路由;这样实验机就走pix上网,但是不能管理410
此时2610加上ip route 0.0.0.0 0.0.0.0 192.168.0.10
网管机就又能上网又能管理410
实现了实验机由于脆弱需要pix的保护,但是又不能管理410;而网管机则均可;
如果要从10.0.0.254走,关闭pix上的广播默认路由
然后在2610上删除全部和默认路由有关的配置,等2621干净以后
先起ip default-network,这样2621收到默认
然后起ip route
为什么呢?因为如果先起ip route,或者根本就不删,那么你加了ip default-network也没有用
因为ip default-network被ip route抢先了,而ip route是不会被通告的~
这样,2621就会收到10.0.0.254的默认路由~
如果这种情况下再开启pix的默认路由广播,2621就会有两条路由~
R* 0.0.0.0/0 [120/1] via 10.0.0.254, 00:00:21, FastEthernet0/0
[120/1] via 10.0.0.2, 00:00:02, FastEthernet0/0
不过实验机都会走pix的线路,^_^,这样即便pixdown掉,也还有10.0.0.254
为什么走pix?原因嘛,距离矢量咯~
本文转自 beansprouts 51CTO博客,原文链接:http://blog.51cto.com/netwalk/66243,如需转载请自行联系原作者
