可以在公网使用telnet远程管理内网交换机SW1/SW2/SW3/SW4
远程管理vlan为199,地址为192.168.199.0/24
第一步:创建vlan199 配置vlan199的管理IP地址 [SW1]vlan 199 [SW1-vlan199]quit [SW1]int vlan 199 [SW1-Vlanif199]ip add 192.168.199.1 24 [SW2]vlan 199 [SW2-vlan199]q [SW2]int vlan 199 [SW2-Vlanif199]ip add 192.168.199.2 24 [SW3]vlan 199 [SW3-vlan199]q [SW3]int vlan 199 [SW3-Vlanif199]ip add 192.168.199.3 24 [SW4]vlan 199 [SW4-vlan199]q [SW4]int vlan 199 [SW4-Vlanif199]ip add 192.168.199.4 24 第二步:给SW1/SW2/SW3/SW4 配置telnet 远程 [SW1]aaa //配置aaa认证 [SW1-aaa]local-user ntd password cipher 123 [SW1-aaa]local-user ntd service-type telnet [SW1-aaa]local-user ntd privilege level 15 [SW1-aaa]quit [SW1]user-interface vty 0 4 //在vty 下调用aaa [SW1-ui-vty0-4]authentication-mode aaa [SW2]aaa [SW2-aaa]local-user ntd password cipher 123 [SW2-aaa]local-user ntd service-type telnet [SW2-aaa]local-user ntd privilege level 15 [SW2-aaa]quit [SW2]user-interface vty 0 4 [SW2-ui-vty0-4]authentication-mode aaa [SW3]aaa [SW3-aaa]local-user ntd password cipher 123 [SW3-aaa]local-user ntd service-type telnet [SW3-aaa]local-user ntd privilege level 15 [SW3-aaa]quit [SW3]user-interface vty 0 4 [SW3-ui-vty0-4]authentication-mode aaa [SW4]aaa [SW4-aaa]local-user ntd password cipher 123 [SW4-aaa]local-user ntd service-type telnet [SW4-aaa]local-user ntd privilege level 15 [SW4-aaa]quit [SW4]user-interface vty 0 4 [SW4-ui-vty0-4]authentication-mode aaa 第三步:配置vlan199的 主备网关 让SW5成为vlan199的master [SW5]vlan 199 [SW5-vlan199]quit [SW5]int vlan 199 [SW5-Vlanif199]ip add 192.168.199.251 24 [SW5-Vlanif199]vrrp vrid 199 virtual-ip 192.168.199.254 [SW5-Vlanif199]vrrp vrid 199 priority 160 让SW6成为vlan199的backup [SW6]vlan 199 [SW6-vlan199]quit [SW6]int vlan 199 [SW6-Vlanif199]ip add 192.168.199.252 24 [SW6-Vlanif199]vrrp vrid 199 virtual-ip 192.168.199.254 用sw1 远程sw2 ,内网是否可以telnet 用出口设备R1 远程SW1、SW2、SW3、SW4 无法远程 为什么? 远程是建立在网络通信的基础上的 测试出口设备R1有没有去往192.168.199.0/24的路由 [R1]display ip routing-table 192.168.199.1 经过测试,发现R1中没有去往192.168.199.0/24的路由 那怎么办呢? 在SW5(vlan-199的主网关-master) 中的ospf中创建area 199 并且宣告192.168.199.0/24 到ospf中 (备注:只在sw5中宣告,sw6先不要宣告) 第四步:在SW5中将vlanif 199 宣告进ospf [SW5]ospf 1 [SW5-ospf-1]area 199 [SW5-ospf-1-area-0.0.0.199]network 192.168.199.0 0.0.0.255 继续测试:R1中有没有去往192.168.199.0/24的路由,有了,测试网络联通性? 网络依然不通? 为什么呢? 数据通信是双向的,R1访问 SW1、SW2、SW3、SW4 的时候,源IP是192.168.15.1 但是呢,SW1、SW2、SW3、SW4 并没有去往192.168.15.0/24的回程路由 所以怎么办呢? SW1、SW2、SW3、SW4 这几台交换机并没有做ospf 所以手写静态回程路由 第五步:在SW1、SW2、SW3、SW4 中写回程的默认路由 [SW1]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254 [SW2]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254 [SW3]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254 [SW4]ip route-static 0.0.0.0 0.0.0.0 192.168.199.254 验证: 经过验证:R1可以远程SW1、SW2、SW3、SW4 但是我们的目标是让ISP设备-外网主机远程内网交换机,所以要做端口映射 nat-server 映射内网的23端口 第六步:部署nat-server 让外网设备也可以远程内网交换机 [R1]interface g0/0/2 [R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2222 inside 192.168.199.1 23 [R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2223 inside 192.168.199.2 23 [R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2224 inside 192.168.199.3 23 [R1-G0/0/2]nat server protocol tcp global 100.1.1.6 2225 inside 192.168.199.4 23 第七步:用外网设备测试远程内网交换机 <ISP-dx>telnet 100.1.1.6 2222 <ISP-dx>telnet 100.1.1.6 2223 <ISP-dx>telnet 100.1.1.6 2224 <ISP-dx>telnet 100.1.1.6 2225 使用 外网ISP 设备 ,可以成功远程内网交换机 第八步: 故障出现: 但是我忘记一件事,我忘记在SW6中的ospf中去创建area 199 也忘记在sw6中的ospf中的区域199中宣告192.168.199.0/24 所以我要去SW6中的ospf中创建区域199 ,然后宣告192.168.199.0/24的网段 [SW6]ospf 1 [SW6-ospf-1]area 199 [SW6-ospf-1-area-0.0.0.199]network 192.168.199.0 0.0.0.255 然后我再次验证使用公网设备telnet 内网交换机,发现无法远程了, 为什么 因为natserver要求路径对称: <ISP-dx> telnet 100.1.1.6 2222 无法远程 故障原因: 因为在R1中去往192.168.199.0/24 下一跳不唯一,而华为的nat-server在路由器中又 要求路径对称: 华为的路由器-要求nat-server 会话转发路径 实现路径对称 流量出去的时候走的那条路,流量回来的时候要求路径一致 这就是所谓的华为的nat-server 会话表-路径对称 但是华为的防火墙可以是路径不对称 <R1>display ip routing-table 192.168.199.1 Route Flags: R - relay, D - download to fib ------------------------------------------------------------------------------ Routing Table : Public Summary Count : 2 Destination/Mask Proto Pre Cost NextHop Interface 192.168.199.0/24 OSPF 10 2 192.168.15.5 GigabitEthernet0/0/0 OSPF 10 2 192.168.16.6 GigabitEthernet0/0/1 解决方案: 那应该怎么解决: 修改cost ,我们既要链路备份,又要负载分担,还要路径对称,写cost值吧 怎么写,在哪里写, 1)不合理的解决方案: [R1]int g0/0/1 [R1-GigabitEthernet0/0/1]ospf cost 10 再次验证:发现外网设备可以远程内网交换机 但是,我们不能这样做,我们不能把R1的G0/0/1接口的cost值调高, 不合理的解决方案存在的问题: 我们把R1的G0/0/1接口的cost值调高会出现很多问题 R1去往内网所有的网段都将不再走G0/0/1接口无法实现负载分担和链路备份 2)合理的解决方案: 所以,我们要在R1的G0/0/1口上恢复cost的默认值 我们可以再SW6的vlanif 199 中修改ospf 的cost值,来解决这个问题 [SW6]int vlan 199 [SW6-Vlanif199]ospf cost 10 验证:外网设备可以访问内网交换机 <ISP-dx> telnet 100.1.1.6 2222 可以远程