三層交換機測試調試及解決辦法

依據(jù)公司網(wǎng)絡建設要求,對公司新購置的設備進行配置測試。測試內(nèi)容要求模擬公司業(yè)務,對公司各業(yè)務進行訪問控制試驗。試驗網(wǎng)絡結構、端口及VLAN配置如圖1所示。

測試方式

對二層交換機進行VLAN劃分,隔離業(yè)務,訪問控制內(nèi)容定義到接入層的路由器上;對三層交換機基于端口劃分VLAN、定義網(wǎng)關并進行各業(yè)務間的訪問控制設定。對交換機進行配置的過程略。

在R2611訪問控制內(nèi)容不變的情況下,對S3526AC進行逐條訪問控制命令添加,測試各業(yè)務間的隔離情況,各機器之間相互ping通試驗。

圖1 網(wǎng)絡結構圖

測試內(nèi)容

首先,在S3526-AC上添加ACL 100后,PCA與PCB、PCC不通, PCB與PCC通;然后,添加ACL 101后,PCA與PCB通, PCB與PCC不通;最后,添加ACL 102后,PCA、PCB、PCC之間全通。試驗隔離不成功。經(jīng)過多次修改控制內(nèi)容,將S3526-AC的訪問控制內(nèi)容修改則隔離成功。

發(fā)現(xiàn)的問題及解決的方式

通過對S3526-AC進行的兩次訪問控制內(nèi)容比較,發(fā)現(xiàn)訪問控制命令中的源地址的反掩碼必須與目的地址的反掩碼對應匹配才行。如果將訪問控制內(nèi)容的源、目的地址反掩碼比較位定義到24位,根據(jù)我公司的網(wǎng)絡情況與業(yè)務需求,訪問控制條數(shù)將變得非常龐大,實際應用與維護操作都變得很困難;如果將訪問控制內(nèi)容的源、目的地址反掩碼比較位都定義到16位,則S3526-AC下各端口訪問控制容易出現(xiàn)控制漏洞。

根據(jù)S3526-AC已設置好的內(nèi)容,相應的改變?nèi)_PC機的地址,直接接到S3526-AC上,重復測試過程,結果與上面的試驗情況相同。根據(jù)在R2611下進行的訪問控制試驗,在R2611上不存在源、目的地址反掩碼比較位匹配問題,可以將源地址反掩碼比較位與目的地址反掩碼比較位設置不同長度,能匯聚訪問控制的命令條數(shù)。將S3526-AC上只設置二層功能,三層上的子接口與訪問控制功能設置在R3640E上,結果各業(yè)務訪問控制試驗成功。

 

   來源:通信產(chǎn)業(yè)報
微信掃描分享本文到朋友圈
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料
  • 1、回復“YD5GAI”免費領取《中國移動:5G網(wǎng)絡AI應用典型場景技術解決方案白皮書
  • 2、回復“5G6G”免費領取《5G_6G毫米波測試技術白皮書-2022_03-21
  • 3、回復“YD6G”免費領取《中國移動:6G至簡無線接入網(wǎng)白皮書
  • 4、回復“LTBPS”免費領取《《中國聯(lián)通5G終端白皮書》
  • 5、回復“ZGDX”免費領取《中國電信5GNTN技術白皮書
  • 6、回復“TXSB”免費領取《通信設備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領取《中國移動算力并網(wǎng)白皮書
  • 8、回復“5GX3”免費領取《R1623501-g605G的系統(tǒng)架構1
  • 本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息