华为2621与思科3560配置组网 - 思科技术 - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» 思科技术 » 华为2621与思科3560配置组网 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

linfeng1127 性别:男

新新人类

帖子 42
精华 0
无忧币 30
积分 70
阅读权限 20

注册日期 2007-8-22

最后登录 2008-3-20

离线

[查看资料] [发短消息] [Blog]

发表于:2008-1-29 18:55　　标题：华为2621与思科3560配置组网
＜上一帖 | 下一帖＞

　　写这篇学习性的文档，主要的目的是希望大伙可以帮助我找出网络配置的问题，我是一个半路出家的网络管理员，说是管理员其实啥证书文凭都没有，能在公司混这么久，全是靠这网络，这论坛上的各位朋友的帮助，由于基础太差，很多东西都不是很明白，所以请各位网友帮助。
　　
　　网络拓扑图：
　　　

　
　　网络结构说明：
　　电信公司通过一条10M光纤电缆接入到公司内，经过光电转换后接入2621路由器E1口，做NAT转换，从E0口出来，进入三层CISCO3560交换机，CISCO3560做为中心交换机划分VLAN并连接多个普通型交换机，PC接入普通型交换机，上网。(局域网内部物理线路按标准布置)
===========　
   外网IP地址：　61.*.*.58~61.*.*.61
   外网网关地址：61.*.*.57
   子网掩码地址：255.255.255.0
   DNS地址：　　202.102.192.68
   备用DNS地址：202.102.199.68

   内网IP地址段：　162.1.10.0
            子网段： 162.1.1.0 　　VLAN1
                           162.2.1.0    VLAN2
                           162.3.1.0    VLAN3
===========

　　组网要求：
　　1. 路由器通过NAT地址池转换，代理局域网共享上网。
　　2. 发布内网中WEB发布服务器，外网用户可以访问。
　　3. 利用三层交换机划分VLAN三个网段，三个网段可以相互访问。
　　4. 三层交换做端口聚合，增加带宽。
　　
=============================================
　　配置完后出现的问题：（请各位网友帮助解答）
　　1. 局域网内部同一VLAN下，部分IP地址不能上网，经过测试，可以PING通外网DNS，可以PING如新浪这样的网站地址，但是却无法通过IE访问，排除IP地址冲突的可能，排除ARP攻击(因为只有一台PC接入时也不能上网)
   2. 局域网内部只要有用户进行下载，路由器CPU就占用到100%，在网上查资料怀疑跟连接数有关。
   3. 准备用交换机用E21~E24四个端口做聚合后，及路由器的E0口进行连接，但是试了好久没有成功，不知道是不可能实现这个功能，还是配置出错，请高手赐教。
=============================================
路由器2621配置及说明：
　 local-user admin service-type administrator password cipher `%G/C=P/;.AZC9(FPYW*GA!!  ；设置登录名及密码
nat address-group 61.*.*.58  61.*.*.61 pool2  ；设置IP地址池pool2，电信给了4个可用IP
firewall enable                                           ；打开防火墙功能
aaa-enable
aaa accounting-scheme optional
  !
  acl 1 match-order auto                                        ；设置ACL1访问控制列表
rule normal permit source 162.1.10.0 0.0.0.255    ；允许162.1.10.0 网段访问
rule normal permit source 162.1.3.0 0.0.0.255       ；允许162.1.3.0 网段访问
rule normal permit source 162.1.4.0 0.0.0.255       ；允许162.1.4.0 网段访问
rule normal permit source 162.1.1.0 0.0.0.255       ；允许162.1.1.0 网段访问
rule normal permit source 162.1.2.0 0.0.0.255       ；允许162.1.2.0 网段访问
  !
  interface Aux0
async mode flow
link-protocol ppp
  !
interface Ethernet0                                           ；设置路由E0接口
ip address 162.1.10.1 255.255.255.0                   ；配置E0接口IP为162.1.10.1
  !
  interface Ethernet1                                              ；设置路由E1接口
ip address 61.*.*.61 255.255.255.0                      ；配置E1接口IP为61.*.*.61
nat outbound 1 address-group pool2                      ；绑定Pool2地址池到E1接口
nat server global 61.*.*.61 www inside 162.1.1.2 www tcp  ；将内网162.1.1.2的地址映射到外网IP上
  !
  interface Serial0
link-protocol ppp
  !
  interface Serial1
link-protocol ppp
  !
  quit
  ip route-static 0.0.0.0 0.0.0.0 61.*.*.57 preference 60                   ；允许所有网段路由到61.*.*.57 上
  ip route-static 162.1.1.0 255.255.255.0 162.1.10.128 preference 60
  ip route-static 162.1.2.0 255.255.255.0 162.1.10.128 preference 60
  ip route-static 162.1.3.0 255.255.255.0 162.1.10.128 preference 60
  ip route-static 162.1.4.0 255.255.255.0 162.1.10.128 preference 60
  !
  return
=============================================
三层交换机3560配置及说明
version 12.2
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname luck
!
enable secret 5 $1$fOjg$yHjaXK24pSareihTT3Uo10
enable password luck
!
no aaa new-model
ip subnet-zero
ip routing
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
interface Port-channel1
!
interface Port-channel2
!
interface Port-channel3
!
interface Port-channel4
!
interface Port-channel5
!
interface Port-channel6
switchport access vlan 20
!
interface FastEthernet0/1
channel-group 1 mode on
!
interface FastEthernet0/2
channel-group 1 mode on
!
interface FastEthernet0/3
channel-group 2 mode on
!
interface FastEthernet0/4
channel-group 2 mode on
!
interface FastEthernet0/5
channel-group 3 mode on
!
interface FastEthernet0/6
channel-group 3 mode on
!
interface FastEthernet0/7
channel-group 4 mode on
!
interface FastEthernet0/8
channel-group 4 mode on
!
interface FastEthernet0/9
channel-group 5 mode on
!
interface FastEthernet0/10
channel-group 5 mode on
!
interface FastEthernet0/11
switchport access vlan 20
channel-group 6 mode on
!
interface FastEthernet0/12
switchport access vlan 20
channel-group 6 mode on
!
interface FastEthernet0/13
switchport access vlan 20
channel-group 6 mode on
!
interface FastEthernet0/14
switchport access vlan 20
channel-group 6 mode on
!
interface FastEthernet0/15
switchport access vlan 30
!
interface FastEthernet0/16
switchport access vlan 30
!
interface FastEthernet0/17
switchport access vlan 30
!
interface FastEthernet0/18
switchport access vlan 30
!
interface FastEthernet0/19
switchport access vlan 30
!
interface FastEthernet0/20
switchport access vlan 30
!
interface FastEthernet0/21
no switchport
ip address 162.1.10.128 255.255.255.0
!
interface FastEthernet0/22
no switchport
no ip address
!
interface FastEthernet0/23
no switchport
no ip address
!
interface FastEthernet0/24
no switchport
no ip address
!
interface GigabitEthernet0/1
!
interface GigabitEthernet0/2
!
interface Vlan1
ip address 162.1.1.1 255.255.255.0
!
interface Vlan20
ip address 162.1.2.1 255.255.255.0
!
interface Vlan30
ip address 162.1.3.1 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 162.1.10.1
ip http server
ip http secure-server
!
control-plane
!
line con 0
password luck
login
line vty 0 1
password luck
login
line vty 2 4
no login
line vty 5 15
no login
!
end
===========================================

千里之外，传递你对震灾人民的关怀

2008-1-29 18:55

1楼

[ 顶部 ]

小侠唐在飞

副版主

帖子 1540
精华 2
无忧币 2113
积分 1810
阅读权限 140
来自 (保密)

注册日期 2006-6-15

最后登录 2008-4-1

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2008-1-29 21:07　

来分析一下：
3560配置存在的问题：
1、Port-channel ，竟然做了6组，是不是下面接了6个二层交换机呢？太浪费了吧？
但我没有见你在前十个接口上，做TRUNK，双工，100M设置！
一组通道一般接一台二层，channel-group 6 竟然包括了4个接口，而且都是ACCESS口

【欢迎访问小侠唐在飞技术博客http://xiaoxia.blog.51cto.com】

2008-1-29 21:07

2楼

[ 顶部 ]

小侠唐在飞

副版主

帖子 1540
精华 2
无忧币 2113
积分 1810
阅读权限 140
来自 (保密)

注册日期 2006-6-15

最后登录 2008-4-1

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2008-1-29 21:12　

再分析一下：
华为2621存在的问题：
acl 1 match-order auto                                        ；设置ACL1访问控制列表
rule normal permit source 162.1.10.0 0.0.0.255    ；允许162.1.10.0 网段访问
rule normal permit source 162.1.3.0 0.0.0.255       ；允许162.1.3.0 网段访问
rule normal permit source 162.1.4.0 0.0.0.255       ；允许162.1.4.0 网段访问
rule normal permit source 162.1.1.0 0.0.0.255       ；允许162.1.1.0 网段访问
rule normal permit source 162.1.2.0 0.0.0.255       ；允许162.1.2.0 网段访问

你可以一句话搞定吧？rule normal permit source 162.1.0.0 0.0.255.255
或都者rule normal permit  sou any

ip route-static 162.1.1.0 255.255.255.0 162.1.10.128 preference 60
  ip route-static 162.1.2.0 255.255.255.0 162.1.10.128 preference 60
  ip route-static 162.1.3.0 255.255.255.0 162.1.10.128 preference 60
  ip route-static 162.1.4.0 255.255.255.0 162.1.10.128 preference 60

静态路由也是：
一句命令搞定：
ip route-static 162.1.0.0 255.255.0.0 162.1.10.128

【欢迎访问小侠唐在飞技术博客http://xiaoxia.blog.51cto.com】

2008-1-29 21:12

3楼

[ 顶部 ]

linfeng1127 性别:男

新新人类

帖子 42
精华 0
无忧币 30
积分 70
阅读权限 20

注册日期 2007-8-22

最后登录 2008-3-20

离线

[查看资料] [发短消息] [Blog]

发表于:2008-1-30 09:00　

QUOTE:

原帖由 小侠唐在飞 于 2008-1-29 21:07 发表
来分析一下：
3560配置存在的问题：
1、Port-channel ，竟然做了6组，是不是下面接了6个二层交换机呢？太浪费了吧？
但我没有见你在前十个接口上，做TRUNK，双工，100M设置！
一组通道一般接一台二层，channe ...

=================================================
谢谢您的指教，路由器上的配置，我已做了修改，但是三层交换上，暂时还是没有去配置，原因是对交换的原理还是太了解，下面我把我的思路写下来，您来看看是不是我理解错了。

   三层交换机 3560
         24个电口(E1~E24)，2个光口（由于没有模块暂不使用此端口）
   E1~E10 组成一个 VLAN1  ＝＝＝＝
                                                !!
                                             E1~E2 组成一个汇聚端口  连接到下一层交换机（非二层型交换机）
                                             E3~E4 ................................................................................
                                             .........
                                             E9~E10................................................................................
   E11~E14 组成一个VLAN20＝＝＝＝
                                                   !!
                                             E11~E14 组成一个汇聚端口  连接到下一层交换机（非二层型交换机）
   E15~E20 组成一个VLAN30＝＝＝＝此VLAN做为备用，测试用的，没有接电脑，也没有做汇聚
   E21~E24 ================本来是打算，也组成一个VLAN40的，后来，因为其中E21口要与路由2621中的E0口进行连接，所以把E21口提升成三层交换端口，此时发现，E21不能进入VLAN40 ,后来想把四个端口做汇聚后与路由2621连接，没有成功。
   (版主一定说我这样分的太过浪费，呵呵，是的，其实我们公司的网络规模并不大，加在一块不过40来台电脑，用2621,3560 这样的设备，也可以说是浪费了。不过即然已经有了，不用白不用是吧！)

   目的：在网上看资料，说是做端口汇聚可以，把两个端口的带宽合并使用，公司内部除三层交换机以外共有6台普通型的交换机（S1~S6)，其中一台交换机上连接的都是服务器(S6)，S1~S5上的交换机上连接的都是员工的电脑，所以我将其划分到一个VLAN中（VLAN1）,S6上接入了8台对外网提供应用的数据库和WEB服务器，通过ISA防火墙代理出去。为了提高访问带宽，我把整个VLAN20中的四个端口做了汇聚，给了这一个交换机(S6)使用。
   以上就是我的想法，是否正确请指正，谢谢。

[ 本帖最后由 linfeng1127 于 2008-1-30 09:17 编辑 ]

千里之外，传递你对震灾人民的关怀

2008-1-30 09:00

4楼

[ 顶部 ]

小侠唐在飞

副版主