请教！大神！！三层交换机配置问题！

DiaoDIaos 2020-06-24 10:11:04

如上，我们公司有两条线路，VALN34 192.168.34.0/24公司内网，办公使用，通过cisco3560G 和分部的机房连线，再通过VPN通道可以和总部的网络连线，相当于走内网，另一条线路是公司自己拉的电信的线路，用来给访客上网使用，和办公网络分开。

现在想若是分部到总部的VPN线路中断出现问题，我是否可以在cisco3560G的交换机上连接访客的网络，再通过Internet去访问总部特定的有对外IP的一些主机服务呢？

我有试过配置交换机20号接口连接访客路由器：no switchport , ip address 192.168.2.2 255.255.255.0,
再配置静态路由：ip route 202.98.52.21 255.255.255.255 giga0/20 ，但是似乎无效，请问我要怎样配置才可以达到效果呢？谢谢！

...全文

101940 8 打赏收藏转发到动态举报

写回复

用AI写文章

8 条回复

切换为时间正序

请发表友善的回复…

发表回复

weixin_46598772 2020-09-27

打赏
举报

首先，你这个网络改造是将原本分部通过vpn连接到总部，其一可以访问总部服务器资源，其二可以通过总部上网。我看了很多朋友的回复似乎没有意识到这一点。
其次，现在需要将分部配置成主备模式，当vpn中断时，可以使用专线出去，需要以下几步实现：
1、将ciso3560G连接到访客路由器；需要增加1条缺省路由，下一跳指向访客路由器的接口地址，缺省路由优先级设置70，低于主线路的优先级。另外需要在分布出口路由器和防火墙配置bfd检测线路机制，满足vpn断开后，静态路由立即失效的作用。
2、访客路由器写回执路由，目的地址是VLAN34的网段。
3、访客路由器NAT转换的ACL匹配源地址是VLAN34的网段地址。
4、总部的服务器之前应该没配置nat-server策略，需要增加这个策略配置，实现外网可以访问内部服务器。

DiaoDIaos 2020-09-08

打赏
举报

感谢您的回复，办公网络有一部分是可以上Intel网的，一部分不可以，怎么说呢，我们公司IT和分部IT分属不同部门，分部还管理着集团其它一些公司网络，所以我们管不到分部网络设定，他们也不会单独为我们公司开放设定。我们就想着就着自己这边的现成的环境来到设定以达我们的要求，如此而已。

冰思雨 2020-09-04

打赏
举报

有意思，难道你们公司，办公网络的电脑，不能上Intel 网吗？既然能上百度，那么，访问总部的外网IP就不会存在问题。除非，总部在国外，对于某些国外的IP网段，国内是封锁的，在运营商的出口路由上，不会给你转发数据包。如果不存在国外封锁IP这种情况的话，能上百度，就能访问公网IP，不用改什么路由器和交换器的配置。当然，一般情况下，连接公网的服务器，都会有防火墙挡一下，防止网络攻击，所以，ping命令一般是不能用的，你telnet一下开放的TCP端口试一下吧。如果想连接总部的内网，建议还是在总部弄个VPN服务器或者路由器，用VPN连比较好。

DiaoDIaos 2020-07-01

打赏
举报

还是不行，不知道哪个环节出了问题...

DiaoDIaos 2020-06-24

打赏
举报

那所以我需要在访客路由器里面添加一条静态路由 ip route 192.168.34.0 255.255.255.0 192.168.2.2 是这样吗？然后访客路由LAN口确实是192.168.2.1 我再试试看，谢谢！

gogodidi 2020-06-24

打赏
举报

访客路由出站都会映射成公网IP，默认小型路由NAT IP范围就是LAN口的IP的段，肯定与你cisco下接设备的ip不匹配访客路由要把你cisco内网ip路由加进去，网关就是20口192.168.2.2 再不通把cisco路由也改了ip route 202.98.52.21 255.255.255.255 giga0/20，g20改成访客路由lan口ip盲猜192.168.2.1？

DiaoDIaos 2020-06-24