外网远程管理内网交换机--实验

2023-12-25 09:43:54

外网远程管理内网交换机

拓扑:

需求:

可以在公网使用telnet远程管理内网交换机SW1/SW2/SW3/SW4

远程管理vlan为199,地址为192.168.199.0/24

配置步骤:

配置命令:

第一步:创建vlan199  配置vlan199的管理IP地址
[SW1]vlan 199
[SW1-vlan199]quit
[SW1]int vlan 199
[SW1-Vlanif199]ip add 192.168.199.1 24


[SW2]vlan 199
[SW2-vlan199]q
[SW2]int vlan 199
[SW2-Vlanif199]ip add 192.168.199.2 24


[SW3]vlan 199
[SW3-vlan199]q
[SW3]int vlan 199
[SW3-Vlanif199]ip add 192.168.199.3 24

[SW4]vlan 199
[SW4-vlan199]q
[SW4]int vlan 199
[SW4-Vlanif199]ip add 192.168.199.4 24


第二步:给SW1/SW2/SW3/SW4 配置telnet 远程

[SW1]aaa   //配置aaa认证
[SW1-aaa]local-user ntd password cipher 123  
[SW1-aaa]local-user ntd service-type telnet   
[SW1-aaa]local-user ntd privilege level 15
[SW1-aaa]quit
[SW1]user-interface vty 0 4   //在vty 下调用aaa
[SW1-ui-vty0-4]authentication-mode aaa


[SW2]aaa  
[SW2-aaa]local-user ntd password cipher 123  
[SW2-aaa]local-user ntd service-type telnet   
[SW2-aaa]local-user ntd privilege level 15
[SW2-aaa]quit
[SW2]user-interface vty 0 4   
[SW2-ui-vty0-4]authentication-mode aaa


[SW3]aaa   
[SW3-aaa]local-user ntd password cipher 123  
[SW3-aaa]local-user ntd service-type telnet   
[SW3-aaa]local-user ntd privilege level 15
[SW3-aaa]quit
[SW3]user-interface vty 0 4   
[SW3-ui-vty0-4]authentication-mode aaa

[SW4]aaa   
[SW4-aaa]local-user ntd password cipher 123  
[SW4-aaa]local-user ntd service-type telnet   
[SW4-aaa]local-user ntd privilege level 15
[SW4-aaa]quit
[SW4]user-interface vty 0 4   
[SW4-ui-vty0-4]authentication-mode aaa


第三步:配置vlan199的 主备网关
让SW5成为vlan199的master
[SW5]vlan 199
[SW5-vlan199]quit
[SW5]int vlan 199
[SW5-Vlanif199]ip add 192.168.199.251 24
[SW5-Vlanif199]vrrp vrid 199 virtual-ip 192.168.199.254
[SW5-Vlanif199]vrrp vrid 199 priority 160


让SW6成为vlan199的backup
[SW6]vlan 199
[SW6-vlan199]quit
[SW6]int vlan 199
[SW6-Vlanif199]ip add 192.168.199.252 24
[SW6-Vlanif199]vrrp vrid 199 virtual-ip 192.168.199.254

用sw1 远程sw2  ,内网是否可以telnet


用出口设备R1 远程SW1、SW2、SW3、SW4 无法远程
为什么? 远程是建立在网络通信的基础上的
测试出口设备R1有没有去往192.168.199.0/24的路由
[R1]display  ip routing-table 192.168.199.1

经过测试,发现R1中没有去往192.168.199.0/24的路由
那怎么办呢?  在SW5(vlan-199的主网关-master) 中的ospf中创建area 199
并且宣告192.168.199.0/24 到ospf中 (备注:只在sw5中宣告,sw6先不要宣告)

 第四步:在SW5中将vlanif 199 宣告进ospf  
[SW5]ospf 1
[SW5-ospf-1]area 199
[SW5-ospf-1-area-0.0.0.199]network 192.168.199.0 0.0.0.255

 继续测试:R1中有没有去往192.168.199.0/24的路由,有了,测试网络联通性? 网络依然不通?
为什么呢? 数据通信是双向的,R1访问 SW1、SW2、SW3、SW4 的时候,源IP是192.168.15.1
但是呢,SW1、SW2、SW3、SW4 并没有去往192.168.15.0/24的回程路由
所以怎么办呢?  SW1、SW2、SW3、SW4 这几台交换机并没有做ospf 所以手写静态回程路由 

 第五步:在SW1、SW2、SW3、SW4 中写回程的默认路由 
[SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254
[SW2]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254
[SW3]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254
[SW4]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254

 验证:
经过验证:R1可以远程SW1、SW2、SW3、SW4  

但是我们的目标是让ISP设备-外网主机远程内网交换机,所以要做端口映射
nat-server  映射内网的23端口

 第六步:部署nat-server 让外网设备也可以远程内网交换机 
[R1]interface  g0/0/2
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2222 inside 192.168.199.1 23
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2223 inside 192.168.199.2 23
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2224 inside 192.168.199.3 23
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2225 inside 192.168.199.4 23


 第七步:用外网设备测试远程内网交换机 
<ISP-dx>telnet 100.1.1.6 2222
<ISP-dx>telnet 100.1.1.6 2223
<ISP-dx>telnet 100.1.1.6 2224
<ISP-dx>telnet 100.1.1.6 2225

使用 外网ISP 设备 ,可以成功远程内网交换机

 第八步: 故障出现: 
但是我忘记一件事,我忘记在SW6中的ospf中去创建area 199  
也忘记在sw6中的ospf中的区域199中宣告192.168.199.0/24
所以我要去SW6中的ospf中创建区域199 ,然后宣告192.168.199.0/24的网段

[SW6]ospf 1
[SW6-ospf-1]area  199
[SW6-ospf-1-area-0.0.0.199]network 192.168.199.0 0.0.0.255

然后我再次验证使用公网设备telnet  内网交换机,发现无法远程了, 为什么
因为natserver要求路径对称:
 <ISP-dx> telnet 100.1.1.6 2222    无法远程

 故障原因: 
因为在R1中去往192.168.199.0/24 下一跳不唯一,而华为的nat-server在路由器中又
要求路径对称:
华为的路由器-要求nat-server 会话转发路径  实现路径对称
流量出去的时候走的那条路,流量回来的时候要求路径一致
这就是所谓的华为的nat-server 会话表-路径对称
但是华为的防火墙可以是路径不对称


<R1>display ip routing-table 192.168.199.1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 2
Destination/Mask  Proto   Pre  Cost     NextHop         Interface

192.168.199.0/24  OSPF    10   2       192.168.15.5    GigabitEthernet0/0/0
                  OSPF    10   2       192.168.16.6    GigabitEthernet0/0/1

 解决方案: 
那应该怎么解决: 修改cost ,我们既要链路备份,又要负载分担,还要路径对称,写cost值吧
怎么写,在哪里写,

 1)不合理的解决方案: 

[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]ospf cost 10

再次验证:发现外网设备可以远程内网交换机
但是,我们不能这样做,我们不能把R1的G0/0/1接口的cost值调高,

 不合理的解决方案存在的问题:  
我们把R1的G0/0/1接口的cost值调高会出现很多问题
R1去往内网所有的网段都将不再走G0/0/1接口无法实现负载分担和链路备份

 2)合理的解决方案: 
所以,我们要在R1的G0/0/1口上恢复cost的默认值

 我们可以再SW6的vlanif 199 中修改ospf 的cost值,来解决这个问题

[SW6]int vlan 199
[SW6-Vlanif199]ospf cost  10


验证:外网设备可以访问内网交换机 
 <ISP-dx> telnet 100.1.1.6 2222    可以远程

文章来源:https://blog.csdn.net/weixin_72194028/article/details/135190792
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。