外网远程管理内网交换机--实验

外网远程管理内网交换机

拓扑：

需求：

可以在公网使用telnet远程管理内网交换机SW1/SW2/SW3/SW4

远程管理vlan为199,地址为192.168.199.0/24

配置步骤：

配置命令：

第一步：创建vlan199  配置vlan199的管理IP地址
[SW1]vlan 199
[SW1-vlan199]quit
[SW1]int vlan 199
[SW1-Vlanif199]ip add 192.168.199.1 24


[SW2]vlan 199
[SW2-vlan199]q
[SW2]int vlan 199
[SW2-Vlanif199]ip add 192.168.199.2 24


[SW3]vlan 199
[SW3-vlan199]q
[SW3]int vlan 199
[SW3-Vlanif199]ip add 192.168.199.3 24

[SW4]vlan 199
[SW4-vlan199]q
[SW4]int vlan 199
[SW4-Vlanif199]ip add 192.168.199.4 24


第二步：给SW1/SW2/SW3/SW4 配置telnet 远程

[SW1]aaa   //配置aaa认证
[SW1-aaa]local-user ntd password cipher 123  
[SW1-aaa]local-user ntd service-type telnet   
[SW1-aaa]local-user ntd privilege level 15
[SW1-aaa]quit
[SW1]user-interface vty 0 4   //在vty 下调用aaa
[SW1-ui-vty0-4]authentication-mode aaa


[SW2]aaa  
[SW2-aaa]local-user ntd password cipher 123  
[SW2-aaa]local-user ntd service-type telnet   
[SW2-aaa]local-user ntd privilege level 15
[SW2-aaa]quit
[SW2]user-interface vty 0 4   
[SW2-ui-vty0-4]authentication-mode aaa


[SW3]aaa   
[SW3-aaa]local-user ntd password cipher 123  
[SW3-aaa]local-user ntd service-type telnet   
[SW3-aaa]local-user ntd privilege level 15
[SW3-aaa]quit
[SW3]user-interface vty 0 4   
[SW3-ui-vty0-4]authentication-mode aaa

[SW4]aaa   
[SW4-aaa]local-user ntd password cipher 123  
[SW4-aaa]local-user ntd service-type telnet   
[SW4-aaa]local-user ntd privilege level 15
[SW4-aaa]quit
[SW4]user-interface vty 0 4   
[SW4-ui-vty0-4]authentication-mode aaa


第三步：配置vlan199的 主备网关
让SW5成为vlan199的master
[SW5]vlan 199
[SW5-vlan199]quit
[SW5]int vlan 199
[SW5-Vlanif199]ip add 192.168.199.251 24
[SW5-Vlanif199]vrrp vrid 199 virtual-ip 192.168.199.254
[SW5-Vlanif199]vrrp vrid 199 priority 160


让SW6成为vlan199的backup
[SW6]vlan 199
[SW6-vlan199]quit
[SW6]int vlan 199
[SW6-Vlanif199]ip add 192.168.199.252 24
[SW6-Vlanif199]vrrp vrid 199 virtual-ip 192.168.199.254

用sw1 远程sw2  ，内网是否可以telnet


用出口设备R1 远程SW1、SW2、SW3、SW4 无法远程
为什么？ 远程是建立在网络通信的基础上的
测试出口设备R1有没有去往192.168.199.0/24的路由
[R1]display  ip routing-table 192.168.199.1

经过测试，发现R1中没有去往192.168.199.0/24的路由
那怎么办呢？  在SW5(vlan-199的主网关-master) 中的ospf中创建area 199
并且宣告192.168.199.0/24 到ospf中 （备注：只在sw5中宣告，sw6先不要宣告）

 第四步：在SW5中将vlanif 199 宣告进ospf  
[SW5]ospf 1
[SW5-ospf-1]area 199
[SW5-ospf-1-area-0.0.0.199]network 192.168.199.0 0.0.0.255

 继续测试：R1中有没有去往192.168.199.0/24的路由，有了，测试网络联通性？ 网络依然不通？
为什么呢？ 数据通信是双向的，R1访问 SW1、SW2、SW3、SW4 的时候，源IP是192.168.15.1
但是呢，SW1、SW2、SW3、SW4 并没有去往192.168.15.0/24的回程路由
所以怎么办呢？  SW1、SW2、SW3、SW4 这几台交换机并没有做ospf 所以手写静态回程路由 

 第五步：在SW1、SW2、SW3、SW4 中写回程的默认路由 
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254
[SW2]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254
[SW3]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254
[SW4]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254

 验证：
经过验证：R1可以远程SW1、SW2、SW3、SW4  

但是我们的目标是让ISP设备-外网主机远程内网交换机，所以要做端口映射
nat-server  映射内网的23端口

 第六步：部署nat-server 让外网设备也可以远程内网交换机 
[R1]interface  g0/0/2
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2222 inside 192.168.199.1 23
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2223 inside 192.168.199.2 23
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2224 inside 192.168.199.3 23
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2225 inside 192.168.199.4 23


 第七步：用外网设备测试远程内网交换机 
<ISP-dx>telnet 100.1.1.6 2222
<ISP-dx>telnet 100.1.1.6 2223
<ISP-dx>telnet 100.1.1.6 2224
<ISP-dx>telnet 100.1.1.6 2225

使用 外网ISP 设备 ，可以成功远程内网交换机

 第八步： 故障出现： 
但是我忘记一件事，我忘记在SW6中的ospf中去创建area 199  
也忘记在sw6中的ospf中的区域199中宣告192.168.199.0/24
所以我要去SW6中的ospf中创建区域199 ，然后宣告192.168.199.0/24的网段

[SW6]ospf 1
[SW6-ospf-1]area  199
[SW6-ospf-1-area-0.0.0.199]network 192.168.199.0 0.0.0.255

然后我再次验证使用公网设备telnet  内网交换机，发现无法远程了， 为什么
因为natserver要求路径对称：
 <ISP-dx> telnet 100.1.1.6 2222    无法远程

 故障原因： 
因为在R1中去往192.168.199.0/24 下一跳不唯一，而华为的nat-server在路由器中又
要求路径对称：
华为的路由器-要求nat-server 会话转发路径  实现路径对称
流量出去的时候走的那条路，流量回来的时候要求路径一致
这就是所谓的华为的nat-server 会话表-路径对称
但是华为的防火墙可以是路径不对称


<R1>display ip routing-table 192.168.199.1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 2
Destination/Mask  Proto   Pre  Cost     NextHop         Interface

192.168.199.0/24  OSPF    10   2       192.168.15.5    GigabitEthernet0/0/0
                  OSPF    10   2       192.168.16.6    GigabitEthernet0/0/1

 解决方案： 
那应该怎么解决： 修改cost ,我们既要链路备份，又要负载分担，还要路径对称，写cost值吧
怎么写，在哪里写，

 1）不合理的解决方案： 

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ospf cost 10

再次验证：发现外网设备可以远程内网交换机
但是，我们不能这样做，我们不能把R1的G0/0/1接口的cost值调高，

 不合理的解决方案存在的问题：  
我们把R1的G0/0/1接口的cost值调高会出现很多问题
R1去往内网所有的网段都将不再走G0/0/1接口无法实现负载分担和链路备份

 2）合理的解决方案： 
所以，我们要在R1的G0/0/1口上恢复cost的默认值

 我们可以再SW6的vlanif 199 中修改ospf 的cost值，来解决这个问题

[SW6]int vlan 199
[SW6-Vlanif199]ospf cost  10


验证：外网设备可以访问内网交换机 
 <ISP-dx> telnet 100.1.1.6 2222    可以远程