三層交換機測試調試及解決辦法

發(fā)布: 2011-07-05 17:46 | 作者: | 來源: | 字體:       

依據公司網絡建設要求,對公司新購置的設備進行配置測試。測試內容要求模擬公司業(yè)務,對公司各業(yè)務進行訪問控制試驗。試驗網絡結構、端口及VLAN配置如圖1所示。

測試方式

對二層交換機進行VLAN劃分,隔離業(yè)務,訪問控制內容定義到接入層的路由器上;對三層交換機基于端口劃分VLAN、定義網關并進行各業(yè)務間的訪問控制設定。對交換機進行配置的過程略。

在R2611訪問控制內容不變的情況下,對S3526AC進行逐條訪問控制命令添加,測試各業(yè)務間的隔離情況,各機器之間相互ping通試驗。

圖1 網絡結構圖

測試內容

首先,在S3526-AC上添加ACL 100后,PCA與PCB、PCC不通, PCB與PCC通;然后,添加ACL 101后,PCA與PCB通, PCB與PCC不通;最后,添加ACL 102后,PCA、PCB、PCC之間全通。試驗隔離不成功。經過多次修改控制內容,將S3526-AC的訪問控制內容修改則隔離成功。

發(fā)現的問題及解決的方式

通過對S3526-AC進行的兩次訪問控制內容比較,發(fā)現訪問控制命令中的源地址的反掩碼必須與目的地址的反掩碼對應匹配才行。如果將訪問控制內容的源、目的地址反掩碼比較位定義到24位,根據我公司的網絡情況與業(yè)務需求,訪問控制條數將變得非常龐大,實際應用與維護操作都變得很困難;如果將訪問控制內容的源、目的地址反掩碼比較位都定義到16位,則S3526-AC下各端口訪問控制容易出現控制漏洞。

根據S3526-AC已設置好的內容,相應的改變三臺PC機的地址,直接接到S3526-AC上,重復測試過程,結果與上面的試驗情況相同。根據在R2611下進行的訪問控制試驗,在R2611上不存在源、目的地址反掩碼比較位匹配問題,可以將源地址反掩碼比較位與目的地址反掩碼比較位設置不同長度,能匯聚訪問控制的命令條數。將S3526-AC上只設置二層功能,三層上的子接口與訪問控制功能設置在R3640E上,結果各業(yè)務訪問控制試驗成功。

 

   來源:通信產業(yè)報

微信掃描分享本文到朋友圈
掃碼關注5G通信官方公眾號,免費領取以下5G精品資料
  • 1、回復“YD5GAI”免費領取《中國移動:5G網絡AI應用典型場景技術解決方案白皮書
  • 2、回復“5G6G”免費領取《5G_6G毫米波測試技術白皮書-2022_03-21
  • 3、回復“YD6G”免費領取《中國移動:6G至簡無線接入網白皮書
  • 4、回復“LTBPS”免費領取《《中國聯通5G終端白皮書》
  • 5、回復“ZGDX”免費領取《中國電信5GNTN技術白皮書
  • 6、回復“TXSB”免費領取《通信設備安裝工程施工工藝圖解
  • 7、回復“YDSL”免費領取《中國移動算力并網白皮書
  • 8、回復“5GX3”免費領取《R1623501-g605G的系統(tǒng)架構1
    		•

    本周熱點本月熱點

     

      最熱通信招聘

      最新招聘信息