双防火墙出口和双核心三层交换机内部网段互访问题

1

如上图:红线右边是原有网络拓朴,有一个防火墙连接电信,核心交换机是华为9306,下面接交换机连10.0.0.0/16这个内部网段。
红线左边是把托管在IDC机房的设备搬回公司机房新构建的网络拓朴,有一个防火墙连外网,内部核心交换是CISCO3750,下面交换机接172.16.0.0/16网段。

 

要解决问题:172.16.0.0/16和10.0.0.0/16两个网段互访,这个互访不止要互相PING通,还要互访ip:端口这样的方式。

 

问题分析:两边的核心交换机都没有开启动态路由协议,都是用的静态路由。左边核心CISCO3750和右边核心交换机华为9306用VLAN88来连接,CISCO3750的VLAN88的IP为:192.168.88.1/24,华为9306的VLAN88的IP为:192.168.88.2/24,当然相连两个端口都是ACCESS端口。然后在CISCO3750上加到10.0.0.0/16的路由,下一跳是对端VLAN88的IP(192.168.88.2);同理华为9306上加到172.16.0.0/16的路由,下一跳是对端VLAN88的IP(192.168.88.1)。路由是要互相都有的,要不然只会通一端,当然整个是不能通的。然后测试互相访问ip:端口都是可以的。

 

 

总结:一般这种交换机之间相连是用TRUNK链路,用ACCESS链路以前还真没遇到过,走过不少弯路。

 

发表评论