三层交换机测试调试问题及解决方式

三层交换机测试调试问题及解决方式

三层交换机测试调试问题及解决方式
依据公司网络建设要求,对公司新购置的设备进行配置测试。测试内容要求模拟公司业务,对公司各业务进行访问控制试验。试验网络结构、端口及VLAN配置如图1所示。

separate; FONT: medium Simsun; WHITE-SPACE: normal; ORPHANS: 2; COLOR: rgb(0,0,0); WORD-SPACING: 0px; -webkit-border-horizontal-spacing: 0px; -webkit-border-vertical-spacing: 0px; -webkit-text-decorations-in-effect: none; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px" class=Apple-style-span>     图1  网络结构图
 

图1  网络结构图
测试方式
对二层交换机进行VLAN划分,隔离业务,访问控制内容定义到接入层的路由器上;对三层交换机基于端口划分VLAN、定义网关并进行各业务间的访问控制设定。对交换机进行配置的过程略。
在R2611访问控制内容不变的情况下,对S3526-AC进行逐条访问控制命令添加、测试各业务间的隔离情况、各机器之间相互ping通试验。
测试内容
首 先,在S3526-AC上添加ACL 100后,PCA与PCB、PCC不通, PCB与PCC通;接着添加ACL 101后,PCA与PCB通, PCB与PCC不通;再添加ACL 102后,PCA、PCB、PCC之间全通。试验隔离不成功。经过多次修改控制内容,并修改S3526-AC的访问控制内容则隔离成功。
发现的问题及解决的方式
通 过对S3526-AC进行的两次访问控制内容比较,发现访问控制命令中的源地址的反掩码必须与目的地址的反掩码对应匹配才行。如果将访问控制内容的源、目 的地址反掩码比较位定义到24位,根据我公司的网络情况与业务需求,访问控制条数将变得非常庞大,实际应用与维护操作都变得很困难;如果将访问控制内容的 源、目的地址反掩码比较位都定义到16位,则S3526-AC下各端口访问控制容易出现控制漏洞。
根据S3526-AC已设置好的内容,相应地改 变3台PC的地址,直接接到S3526-AC上,重复测试过程,结果与上面的试验情况相同。根据在R2611下进行的访问控制试验,在R2611上不存在 源、目的地址反掩码比较位匹配问题,可以将源地址反掩码比较位与目的地址反掩码比较位设置为不同长度,使其能汇聚访问控制的命令条数。在S3526-AC 上只设置二层功能,三层上的子接口与访问控制功能设置在R3640E上,结果各业务访问控制试验成功。