开发者社区> 技术小胖子> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

网络拓扑调整和PIX相关问题

简介:
+关注继续查看
网络拓扑调整和PIX相关问题
昨天,对实验室的网络拓扑做了一下简单的调整,本以为是很简单的调整,没想到碰到了很多问题,可谓是一波三折啊。
原实验室拓扑如下:

最左边PC机为实验机,通过2621XM的NAT映射成10.0.0.0的地址,他们的网关为10.0.1.254
manager为网管机,网关为10.0.0.2
2621XM的默认路由也是10.0.0.2
此时,实验机可以访问manager(用来做文件服务)这也是为什么前面要NAT成10.0.0.0的地址的原因
但是manager不能访问实验机(废话,PIX哪里知道怎么走)
随后PIX讲所有上网数据通过NAT映射成172.16.0.0的地址进入2610
2610上再次做NAT映射(这个要感谢TPlink,它要想被管理就必须和它的内网IP也就是192.168.0.10在一个网段内)
全网静态路由。

新拓扑如下:

要求:
实验机和网管机互访,其实就是左半边互相没有限制
启用两条出去的线路,将防火墙两端的交换机互联
2610增加新IP10.0.0.254
做到不用防火墙也可以出去,用防火墙也可以
升级pixIOS
全网RIP路由测试,不再使用静态路由

过程如下:
首先关闭了pix,将各个路由器启动RIP路由访问:
!
router rip
version 2
network 10.0.0.0
network 192.168.0.0
no auto-summary
!
这样,大家都得到了全网动态路由
2621如下:
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
R 10.1.1.2/32 [120/1] via 10.0.1.116, 00:00:23, FastEthernet0/1
[120/1] via 10.0.0.101, 00:00:16, FastEthernet0/0
R 10.1.1.0/24 [120/1] via 10.0.1.116, 00:00:23, FastEthernet0/1
[120/1] via 10.0.1.112, 00:00:20, FastEthernet0/1
[120/1] via 10.0.0.102, 00:00:07, FastEthernet0/0
[120/1] via 10.0.0.101, 00:00:16, FastEthernet0/0
C 10.0.0.0/24 is directly connected, FastEthernet0/0
R 10.1.1.1/32 [120/1] via 10.0.1.112, 00:00:20, FastEthernet0/1
[120/1] via 10.0.0.102, 00:00:07, FastEthernet0/0
C 10.0.1.0/24 is directly connected, FastEthernet0/1
R 192.168.0.0/24 [120/1] via 10.0.0.254, 00:00:24, FastEthernet0/0
这样,实验机和网管机可以互访了。
删除2621的NAT映射语句。

随后在2610上增加默认路由:
ip route 0.0.0.0 0.0.0.0 192.168.0.10
此时10.0.0.0网段可以上网,10.0.1.0不行
检查2621,没有接受到默认路由;不管,先在2621加静态路由指向192.168.0.10
10.0.1.0访问外网,发现不通,想原因;
数据过的去,但是回来的时候R410可能不知道,因为tplink的宽带路由器不支持RIP
到410上增加回指路由,通了
为什么10.0.0.0不用加就可以了呢?因为10.0.0.0时NAT成192.168.0.0的,呵呵
这样就OK了

下面折腾PIX,刷了新的IOS和ASDM以后
重新配置rules
这里走了一些弯路,新的ASDM对接口和income、outcome的定义让人头晕,回头去买一本专门讲pix的书来;
但是不管怎么样配,即便时rules全部IP和icmp都accept,还是没有通;
个人感觉pix有个需要学习或者适应的过程,比如配置是对的,但是总是要过一阵子才会通;
先不讲这些,反正这里弄了好久,大约1个多小时;大部分情况都是pix本身能访问,但是网管机就是出不去;
有时候能出去,那是因为有条线直连了pix两端,是从那条线上走的;这个失误也耽误了时间;最后吧这根线拔掉;
专门倒腾pix;
发现pix删除全部规则后默认就是通的,仔细阅读那条默认配置的提示,pix说,默认规则是将安全等级高
的接口向安全等级低的接口转发数据的,但是要做NAT以保护内部IP敏感信息;原来,pix默认的inside安全级别
为100;outside安全级别为0;所以默认就可以转发数据,但是要做NAT,于是用PAT绑定172.16.0.2;还是不通?
这些学乖了,去410上回指172.16.0.0的路由,呵呵,通了~
然后在两边都启动RIP,采用了接受且通告路由的模式
增加默认路由指向172.16.0.254,为什么不指192.168.0.10?
呵呵,别忘记410是tplink,你172.16.0.0的数据过去怎么管理?
于是在2610上增加NAT映射;将172.16.0.0也映射成192.168.0.0的地址;
至此,应该是基本完成了;

然后,接下来遇到两个问题:
1、2621收到的默认路由为10.0.0.2?
pix广播默认路由可以理解,但是2610也有默认路由啊,也应该会广播啊,为什么没有收到呢?反复实验过后发现问题。
先引用一文:
=========================================
ip default-network和ip route 0.0.0.0 0.0.0.0默认路由的区别
2006-06-01 来源: 网友推荐 责编: 李晓捷 作者:
编者按:

在自己的2501上研究这三种默认路由的区别.

指定默认路由(last resort gateway)的指令供有3种,可以分成两类:
1、ip default-gateway
当路由器上的ip routing无效时,使用它指定默认路由,用于RXBoot模式(no ip routing)下安装IOS等。或者关闭ip routing 让路由器当主机用,此时需要配置默认网关

2、ip default-network和ip route 0.0.0.0 0.0.0.0
两者都用于ip routing有效的路由器上,区别主要在于路由协议是否传播这条路由信息。比如:IGRP无法识别0.0.0.0,因此传播默认路由时必须用ip default-network。

当用ip default-network指令设定多条默认路由时,administrative distance最短的成为最终的默认路由;如果有复数条路由distance值相等,那么在路由表(show ip route)中靠上的成为默认路由。
同时使用ip default-network和ip route 0.0.0.0 0.0.0.0双方设定默认路由时,如果ip default-network设定的网络是直连(静态、且已知)的,那么它就成为默认路由;如果ip default-network指定的网络是由交换路由信息得来的,则ip route 0.0.0.0 0.0.0.0指定的表项成为默认路由。
最后,如果使用多条ip route 0.0.0.0 0.0.0.0指令,则流量会自动在多条链路上负载均衡。
===========================================
使用ip default-network后,全网得到默认网关10.0.0.254
这时可以去掉2621的手动指定了

2、在前面这个问题解决掉前,实验机均可以上网但是访问410确报没有权限(就是说我不是192.168.0.0的用户)
按照道理,2621默认路由指向10.0.0.2,数据通过防火墙变成172.16.0.0,然后被2610映射成192.168.0.0,还应该可以访问才对
在实验机上tracert 192.168.0.10
得到3跳:
10.0.1.254
10.0.0.2
172.16.0.254
看来很正常啊
怎么想也没弄清楚问题的原因;
后来跟踪2610的nat情况,发现问题,nat没有现实有172.16.0.0的数据来过
证明实验机没有走pix的线路;检查一下,明白了,原来自己什么时候已经吧pix两端的线插上了
而我们之前在2621上指的默认路由是192.168.0.10,所以实验机没有通过pix就直接找了192.168.0.10
而rip是有这个路由的,所以没有nat(因为2610没有为10.0.1.0做nat)这样实验机就带着10.0.1.0的源地址跑到410上管理,当然就被拒之门外了。
那么为什么tracert显示172.16.0.254呢?
其实数据包走的是10.0.0.254,因为这个口上的主要IP是172.16.0.254,sh ip int bri就可以看出来,没有显示secondry IP;
知道原因就好办了

要想实验机走pix的线路,就关闭2610的default-network,注意,此时还要关闭ip route,否则默认路由还是有两条;
这样pix的默认路由就会生效
2621就收到10.0.0.2的默认路由;这样实验机就走pix上网,但是不能管理410
此时2610加上ip route 0.0.0.0 0.0.0.0 192.168.0.10
网管机就又能上网又能管理410
实现了实验机由于脆弱需要pix的保护,但是又不能管理410;而网管机则均可;

如果要从10.0.0.254走,关闭pix上的广播默认路由
然后在2610上删除全部和默认路由有关的配置,等2621干净以后
先起ip default-network,这样2621收到默认
然后起ip route
为什么呢?因为如果先起ip route,或者根本就不删,那么你加了ip default-network也没有用
因为ip default-network被ip route抢先了,而ip route是不会被通告的~
这样,2621就会收到10.0.0.254的默认路由~

如果这种情况下再开启pix的默认路由广播,2621就会有两条路由~
R* 0.0.0.0/0 [120/1] via 10.0.0.254, 00:00:21, FastEthernet0/0
[120/1] via 10.0.0.2, 00:00:02, FastEthernet0/0
不过实验机都会走pix的线路,^_^,这样即便pixdown掉,也还有10.0.0.254

为什么走pix?原因嘛,距离矢量咯~




     本文转自 beansprouts 51CTO博客,原文链接:http://blog.51cto.com/netwalk/66243,如需转载请自行联系原作者



版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
用了这么久的Mybatis,结果面试官问的问题,我竟然还犹豫了
前段时间阿粉的一个朋友和阿粉吃饭,在吃饭的时候和阿粉疯狂的吐槽面试官,说面试官问的问题都是些什么问题呀,我一个干了三四年的开发,也不说问点靠谱的,阿粉很好奇,问题问完基础的,一般不都是根据你自己的简历进行提问么?而接下来他说的出来的问题,阿粉表示,阿粉需要继续学习了。
49 0
自动调整速率的Actor设计模式
问题背景 与数据库或者存储系统交互是所有应用软件都必不可少的功能之一,akka开发的系统也不例外。但akka特殊的地方在于,会尽可能的将所有的功能都设计成异步的,以避免Actor阻塞,然而无法避免IO这类的阻塞操作。
1085 0
支付相关备忘
2015年10月9日 11:02:12 支付宝/微钱包等等可能在成功/失败回调多次 因此每一次处理的时候都要验证订单是否已经处理过了 如果订单是已经成功状态就丢弃回调, 如果订单是失败状态,或未成功状态就继续接受回调
609 0
性能调整相关
Performance Considerations of Data Types 本文大意:      主要介绍数据类型的选择,选择尽量小的数据类型,减少表宽就以为这减少磁盘占用空间,以为这减少读入内存后占用的内存,就以为这减少不必要的cpu来读入数据,处理数据,char和varchar最佳实践小于5使用char大于10使用varchar。
800 0
21114
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载