摘要:大家好,我是「极客运维社」飞哥!深耕企业组网和网络设备领域多年,每天为你拆解:1、交换机/路由器疑难故障处理方案2、网络架构优化与安全防护实战技巧3、中小企业低成本智能组网案例解析长按【收藏】→ 搭建你的专属运维知识库,点亮文末【♥】→ 激励飞哥创作更多硬核内
大家好,我是「极客运维社」飞哥!深耕企业组网和网络设备领域多年,每天为你拆解:
1、交换机/路由器疑难故障处理方案
2、网络架构优化与安全防护实战技巧
3、中小企业低成本智能组网案例解析
点亮文末【♥】→ 激励飞哥创作更多硬核内容。
⚠️ 特别提醒:网络运维问题常有突发性,建议将本文加入收藏,遇到设备配置、链路故障、卡顿、数据丢包等问题时,随时可调取解决方案!
"半个月前,当我帮那家25人小公司把蜘蛛网般的单臂路由改成三层架构时,行政主管还专门表示了感谢——视频会议不卡了,文件传输速度翻了N倍,连外包IT都觉得维护起来顺畅多了。
直到上周四早晨9:45,行政部小李的尖叫声刺破办公室:'我的电脑又黄标了!'整个部门10台电脑的网络图标齐刷刷亮起黄色叹号,云办公系统集体掉线,考勤机电子屏定格在'正在连接中'。这场面,比当初单臂路由宕机还要魔幻。
升级后的诡异困局
我冲到办公区时,研发部的程序员们正叼着“棒棒糖”敲代码——他们的电脑IP地址完好无损。唯独行政部的设备清一色显示169.254.x.x的怪异地址,这是典型的DHCP获取失败。
'不是说三层架构更稳定吗?'老王攥着被税务局催缴的通知书,额头渗出汗珠,'昨天还能正常打卡,今天就断网!'我连忙通过xshell【通过console线也可以连接】远程连上核心交换机,手指发抖地敲下:
display ip pool name vlan8_pool # 行政部专属地址池行政部专属地址池
dhcp的连环陷阱
在传统单臂路由时代,DHCP服务是挂在路由器上的。这次架构升级后,我们特意把DHCP迁移到核心交换机,还划分了独立的VLAN 8给行政部。但眼前的配置显示,有人在新VLAN里执行了不相关配置。
更蹊跷的是,销售部的Vlan 7明明配置相同却能正常获取IP。我让实习生小张在行政部工位抓包,Wireshark显示DHCP Discover报文像被黑洞吞噬般有去无回。而此时核心交换机的CPU利用率始终稳定在3%——根本不是性能问题。
藏在操作日志里的凶手
翻查设备操作记录时,一条凌晨1:17的配置记录让我倒吸冷气:
Jul 18 01:17:23: %SYS-5-CONFIG_I: Configured from console by admin监控视频显示,那晚最后离开的是刚离职的IT外包员陈工。事情已经很清楚了,后与其沟通得知,因网络定期维保,误操作删除了相关命令行导致.【大家都懂】.....剩下就是赶快把这个网络问题处理好。
问题定位
# 1. 检查当前配置(确认关键配置是否缺失)display current-configuration | include dhcpdisplay ip pooldisplay interface Vlanif#2.强制释放并重新获取地址(客户端操作)ipconfig /releaseipconfig /renew网关地址被错误排除:将 VLAN8网关(192.168.8.1)配置加入排除列表,导致地址池无可用地址。接口未绑定地址池:Vlanif8接口虽然配置了 IP 地址,但未通过命令关联地址池。下面将升级的三层架构的详细配置,通过华为eNSP复现后贴出来,有需要的朋友可以了解下。
注:实例部分附有三层架构组网详细配置,包含DHCP部分
一、网络拓扑图
三层架构图
二、配置过程:
1、接入交换机配置
#vlan batch 6 to 8#interface GigabitEthernet0/0/1 port link-type trunk port trunk allow-pass vlan 6 to 8#interface GigabitEthernet0/0/2 port link-type access port default vlan 6#interface GigabitEthernet0/0/3 port link-type access port default vlan 8#interface GigabitEthernet0/0/4 port link-type access port default vlan 7#2、汇聚交换机配置
#创建vlanvlan batch 6 to 8 100##配置各个vlan的ip ,作为各个valn 的网关interface Vlanif6 ip address 192.168.6.1 255.255.255.0#interface Vlanif7 ip address 192.168.7.1 255.255.255.0#interface Vlanif8 ip address 192.168.8.1 255.255.255.0#配置与路由器接口所属vlan的ip地址interface Vlanif100 ip address 192.168.1.2 255.255.255.0##配置接口模式,并将相应的接口加入到各自所属vlan中interface GigabitEthernet0/0/1 port link-type access port default vlan 100#interface GigabitEthernet0/0/2 port link-type trunk port trunk allow-pass vlan 6 to 8##配置静态路由到路由器#ip route-static 0.0.0.0 0.0.0.0 192.168.1.1##开启DHCP功能#dhcp enable##配置地址池#ip pool vlan8_pool gateway-list 192.168.8.1 network 192.168.8.0 mask 255.255.255.0excluded-ip-address 192.168.8.1 192.168.8.1 // 网关被错误排除 lease day 3 hour 0 minute 0 dns-list 8.8.8.8 114.114.114.114## 在VLANIF接口关联地址池interface Vlanif8 dhcp select global#3、核心出口路由器配置
#配置连接外网接口的IP地址interface GigabitEthernet0/0/0 ip address 100.100.1.2 255.255.255.0 nat outbound 3000#配置连接下行汇聚交换机的接口ip地址interface GigabitEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 ##配置静态路由#ip route-static 0.0.0.0 0.0.0.0 100.100.1.1 #连接外网静态路由#配置回城路由ip route-static 192.168.6.0 255.255.255.0 192.168.1.2ip route-static 192.168.7.0 255.255.255.0 192.168.1.2ip route-static 192.168.8.0 255.255.255.0 192.168.1.2ip route-static 200.200.1.0 255.255.255.0 100.100.1.1##配置访问控制列表acl number 3000 rule 5 permit ip ##将访问控制列表ACL 绑定到出接口interface GigabitEthernet0/0/0 nat outbound 3000#4、测试
PC3能够自动获取ip地址
测试能否与外网 100.100.1.1 互通
三、结语
1、建议后续对网络配置进行一次全面审计,特别是 VLAN 间路由、DHCP 地址池、ACL 策略等关键部分。
2、对于涉及外包人员的操作,建议采用堡垒机系统进行操作审计和权限管控。
来源:极客运维社
