 成长值: 37115
|
50鸿鹄币
本帖最后由 renma19th 于 2021-12-29 08:37 编辑
当前网络结构如图所示
6720堆叠后,使用eth-trunk连接到2台7706交换机。7706交换机互联但没有堆叠,配的vrrp,以7706-2为主,7706-1为备。6720交换机配置为2层模式,eth-trunk模式为access vlan 120.6720交换机下联的数据库服务器,服务器配置了rack,配置192.168.120.1,120.2为服务器实地址,192.168.120.3为虚地址。
交换机配置如下:
7706-2
#
stp instance 0 root primary
stp instance 1 root secondary
#
stp region-configuration
region-name abc
revision-level 10
instance 1 vlan 8
active region-configuration
#
vlan 100
name server_group
vlan 111
name to-shujuku
vlan 120
name liuliang-server
#
interface Vlanif100
ip address 192.168.110.102 255.255.255.0
vrrp vrid 100 virtual-ip 192.168.110.1
vrrp vrid 100 priority 120
vrrp vrid 100 preempt-mode timer delay 20
arp-proxy enable
#
interface Vlanif111
description to-shujuke
ip address 192.168.111.1 255.255.255.0vrrp vrid 111 virtual-ip 192.168.111.2
vrrp vrid 111 priority 120
vrrp vrid 111 preempt-mode timer delay 20
arp-proxy enable
#
interface Vlanif120
ip address 192.168.120.252 255.255.255.0
vrrp vrid 120 virtual-ip 192.168.120.254
vrrp vrid 120 priority 120
vrrp vrid 120 preempt-mode timer delay 20
arp-proxy enable
#
interface Eth-Trunk0
description channel-to-7706-1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
undo ntdp enable
undo ndp enable
#
interface Eth-Trunk5
description to-6720
port link-type access
port default vlan 120
stp root-protection
#
7706-1
#
stp instance 0 root secondary
stp instance 1 root primary
#
stp region-configuration
region-name adcc
revision-level 10
instance 1 vlan 8
active region-configuration
#
interface Vlanif100
ip address 192.168.110.101 255.255.255.0
vrrp vrid 100 virtual-ip 192.168.110.1
ospf cost 65534
arp-proxy enable
#
interface Vlanif111
ip address 192.168.111.3 255.255.255.0
vrrp vrid 111 virtual-ip 192.168.111.2
ospf cost 65534
arp-proxy enable
#
interface Vlanif120
ip address 192.168.120.253 255.255.255.0
vrrp vrid 120 virtual-ip 192.168.120.254
ospf cost 65534
arp-proxy enable
#
#
interface Eth-Trunk0
description channel-to-7706-2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
undo ntdp enable
undo ndp enable
#
interface Eth-Trunk6
description to-6720
port link-type access
port default vlan 120
stp instance 0 cost 20000
#
6720配置
stp region-configuration
region-name adcc
revision-level 10
instance 1 vlan 8
active region-configuration
#
#
interface Eth-Trunk5
description to-7706-2
port link-type access
port default vlan 120
#
interface Eth-Trunk6
description to-7706-1
port link-type access
port default vlan 120
stp instance 0 cost 20000
#
interface XGigabitEthernet0/0/21
description to-7706-2
eth-trunk 5
#
interface XGigabitEthernet0/0/22
description to-7706-1
eth-trunk 6
#
interface XGigabitEthernet1/0/21
description to-7706-2
eth-trunk 5
#
interface XGigabitEthernet1/0/22
description to-7706-1
eth-trunk 6
本次想在7706和6720之间加上防火墙。防火墙为天融信的,防火墙配置成虚拟线模式,透传。
第一次想直接将线路连接到防火墙上,
但是还未开始接防火墙,只是将eth-trunk5里面的其中一根线拔掉后,从7706下联的192.168.120.0网段的服务器就ping不通6720下联的同网段数据库服务器了。将线缆插回去,换另一根线,故障依旧。割接失败。
第二次总结经验后,更换网络结构,将原有的eth-trunk5,eth-trunk6都shutdown,重新布了2条线,配置为access vlan 120模式,直接连接6720和2台7706,如下图所示:
连接后,从7706下联的192.168.120.0网段的服务器,能正常访问到6720下联的192.168.120.3数据库,并且业务也正常。但是77706下联的其他网段服务器,例如192.168.110.0和192.168.111.0网段的服务器,只能ping通6720下联192.168.120.0网段数据库的实地址,即192.168.120.1和2,不能ping通数据库的虚地址192.168.120.3,检查mac发现192.168.120.3虚地址的mac与120.1的mac一致,但是只能ping通实地址,不能ping通虚地址。只能回退,回退后,故障现象消失,跨网段能正常访问。
求教,故障原因是什么,如何处理。
PS,不一定非要用eth-trunk连接7706和6720.最终目标是将防火墙加到7706和6720之间就行。防火墙都是单独的,2台防火墙都是独立运行。
|
|
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2021-12-28 14:10:55
置顶卡
喧嚣卡
变色卡
千斤顶
