高校校园内部WebServer无法访问解决方法
某高校采用电信的出口作为内部上网的默认出口,供给校园内部上网,并经由过程教育网的出口访谒教育网。
故障现象是无论是经由过程输入域名仍是直接输入IP地址都无法访谒内部的WebServer .5。可是如不美观将NE05路由器上的默认出口指向教育网的出口,则可以正常访谒内部的WebServer。用户还反映其他黉舍不存在这样的现象,可是经由过程体味其他的黉舍都只有教育网的出口,没有使用公网的出口。
问题剖析:
教育网是斗劲非凡的收集,相对于公网可以算作私有收集,整网经由过程统一的出口和公网互通。当公打鱼户去访谒教育网的时辰,会经由过程公网和教育网的接口进入教育网。
可是对于该校则斗劲非凡,经由过程查看NE05上的设置装备摆设:
ip route-static .62 preference 60
ip route-static .125 preference 60
ip route-static .125 preference 60
ip route-static .125 preference 60
ip route-static .125 preference 60
ip route-static .125 preference 60
可以看到除了部门教育网收集的路由是指向教育网的出口的,其他的路由都是经由过程默认路由从公网出去,这样就会造核对于黉舍内部教育网地址的访谒流量从教育网接口进入可是回应的报文却从公网的出口送出的现象,这样就会造成回送的报文无法送回公打鱼户,从而造成访谒WebServer不成功。
问题解决:
经由以上的剖析,我们可以获得以下的解决问题的思绪,只要能够将访谒WebServer的回送报文经由过程教育网接口返回,而不是经由过程默认路由走公网就可以达到既不影响内部用户经由过程NE05访谒公网,又可以实现外部用户访谒内部的WebServer的目的。可以经由过程NE05的策略路由,对拟定地址进行源地址路由就可以实现。
具体设置装备摆设
先设置装备摆设ACL轨则
acl number 101
rule 0 permit ip source .5 0
acl number 102
rule 0 permit ip
设置装备摆设测量路由
route-policy www permit node 5
if-match acl 101
apply output-interface Ethernet3/2/2
route-policy www permit node 10
if-match acl 102
在接口上应用策略路由
interface Ethernet3/2/0
ip address .98
ip policy route-policy www
经由以上设置装备摆设往后可以经由过程公网访谒用户内部的WebServer,可是只能经由过程IP地址的体例访谒,无法经由过程域名的体例来访谒。
需要再添加一条ACL,将DNS的出口也指向教育网出口就可以了。
改削后的ACL如下:
acl number 101
rule 0 permit ip source .5 0
rule 1 permit ip source .4 0
acl number 102
rule 0 permit ip
问题总结:
对于这种非凡的.组网,需要细心的剖析用户收集的现实组网拓扑,体味各类数据的流向,才能真正很好的解决问题。
[S8505]] link-aggregation ethernet2/1/1 to ethernet2/1/3 both
(2) 采用静态LACP聚合体例
# 建树静态汇聚组1。
[S8505]] link-aggregation group 1 mode static
# 将以太网端口Ethernet2/1/1至Ethernet2/1/3插手聚合组1。
[S8505]] interface ethernet2/1/1
[S8505]-Ethernet2/1/1] port link-aggregation group 1
[S8505]-Ethernet2/1/1] interface ethernet2/1/2
[S8505]-Ethernet2/1/2] port link-aggregation group 1
[S8505]-Ethernet2/1/2] interface ethernet2/1/3
[S8505]-Ethernet2/1/3] port link-aggregation group 1
(3) 采用动态LACP聚合体例
# 开启以太网端口Ethernet2/1/1至Ethernet2/1/3的LACP和谈。
[S8505] interface ethernet2/1/1
[S8505]-Ethernet2/1/1] lacp enable
[S8505]-Ethernet2/1/1] interface ethernet2/1/2
[S8505]-Ethernet2/1/2] lacp enable
[S8505]-Ethernet2/1/2] interface ethernet2/1/3
[S8505]-Ethernet2/1/3] lacp enable
只有端口的根基设置装备摆设、速度、双工等参数一致时,上述端口在开启LACP和谈之后才能聚合到统一个动态聚合组内,实现端口的负载分管。
4. 状况显示和调试
呼吁:
S8505上做完链路聚合后常用的状况显示和调试呼吁如下:
显示所有汇聚组的摘要信息 display link-aggregation summary
显示指定汇聚组的具体信息 display link-aggregation verbose [ agg-id ]
显示本端设备ID display lacp system-id
显示端口的端口汇聚具体信息 display link-aggregation interface interface-type interface-number [ to interface-type interface-number ]
断根端口的LACP统计信息 reset lacp statistics [ interface interface-type interface-number [ to interface-type interface-number ] ]
display link-aggregation summary 可以显示整台设备所有聚合组,以及每个聚合组的mode、成员端口、负载分管情形。
display link-aggregation verbose 可以显示聚合组中每个端口Up/Down状况、select/standby 状况。
-
华为认证:CCIE和HCIE认证形式和内容区别
华为和思科的考试形式略有不同,华为应该是在参考了CCIE面临的负面问题之后,定下HCIE整体设计目标:"真的要考出专家级别的水平!"基于这个目标,HCIE整体框架构想、考试环节,最终评分等关键设计都要比CCIE复杂,基于此,所以引入面试环节,基于此,注定了HCIE通过率比CCIE要低...
-
华为认证:华为路由器口令丢失解决方法
华为3680E。口令找不到了。用华为技术支持给的`方法:在开机的时候。按Ctrl+B.清口令清不掉。1,重新启动路由器(注意:由于您不能进入特权模式,因此只有通过对路由器先关机、再上电来启动路由器,一定要在网络空闲时操作,以免影响正常的工作)。2,在启动时,屏幕出现PressCt...
-
拿到华为认证网络工程师月薪大概多少
问:我是一个即将毕业的通信工程专业本科生,为了毕业后更好找工作,想去参加一些通信培训,考一些通信认证证书,听学长和老师们说华为认证不错,但是我对这个不是很了解,只知道现在好像有一个华为联盟对就业挺有帮助的,我考证书的目的就是为了好找工作,请问,目前拿到华为认证...
-
华为认证ospf配置命令
随着华为在中国市场的发展,华为认证也成为了IT届的宠儿,就跟着我们一起来学习华为ospf是怎么配置的吧.使用的拓扑图如下:配置命令如下:R1:interfaceSerial0/0/0link-protocolpppipaddress#interfaceSerial0/0/1link-protocolpppipaddress#interfaceLoopBack0ip...