与实业的工程师沟通后得知项目中所出现的故障:
; D* e5 ]# ]' d: e2 j9 y5 D* s! M
5 X# |- B. b9 b: L9 L0 Y1、外网无法通过ASA5520访问到内部的Mail、FTP等服务器,就在拓扑的上方
static (inside,outside) tcp 61.154.X.X pop3 10.214.1.14 pop3 netmask 255.255.255.255
static (inside,outside) tcp 61.154.X.X smtp 10.214.1.14 smtp netmask 255.255.255.255
static (inside,outside) tcp 61.154.X.X 3389 10.214.1.14 3389 netmask 255.255.255.255
access-list outside-access-in extended permit ip any host 61.154.X.X
access-group outside-access-in in interface outside
经测试,无法远程访问61.154.X.X的3389端口,同时也无法接收外网发送过来的邮件。
2、VPN隧道建立的问题:这个问题比较严重一些,这关系到整个集团公司是否能够正常访问到服务器了,以下是故障方面的内容:
福建与集团进行vpn连接,福建使用asa5520,集团使用pix535防火墙进行des 的vpn隧道连接。VPN隧道两端地址是福建为10.214.0.0/16,集团为10.192.0.0/16,10.3.38.128/26,10.3.47.0/24,10.3.49.0/26,192.168.10.0/24共5个ip网段。由于集团的ip网段较多,定义了一个地址对象组object-group chinaccs,在组里设定ip地址段。
福建与集团ike协商成功后,由集团进行触发ipsec隧道,建立了10.192.0.0/16和192.168.10.0/24两个网段的ipsec隧道,其余三个网段的ipsec隧道无法建立,导致这三个网段无法访问福建实业的服务器。但如果是由福建触发ipsec隧道,则能全部建立隧道,此时集团也能ping及访问福建的服务器资源。
为了排除是集团的配置问题,将福建这的asa5520替换成cisco2811与集团进行vpn连接,此时集团就能全部触发网络连接。
因此问题应该还是出在asa5520的某些设置上。Asa5520的具体配置见附件中《asa5520-20070423-startup》,《路由器与集团vpn连接配置.txt》为使用路由器与集团pix535进行vpn连接的配置。
M! L1 ^. f3 V/ N9 }; M
附件的内容由于存在企业密保协议不方便告诉大家,关于VPN隧道,实业公司与集团还有一个不容忽视的问题,如果电信线路(isp)出现“瞬断”,瞬断就是指上网上得好好的忽然就断开连接,就好像我们平常在玩游戏,如果瞬断,就会跟服务器断开连接,要再登录一次才可以,这样会影响玩游戏的心情了,呵呵,如果暴了什么好装备的话………… 话题转回来,出现瞬断,也会影响到电信集团的业务,上传到一半的数据卡死或掉线之类,VPN的隧道也会断开连接,集团使用的是2800系列的路由器作为VPN LAN-TO-LAN的另一端,经过测试,瞬断后2800不会马上拆除隧道,就是说,28后面的用户如果想通过VPN再访问实业的服务器,其实数据跑的的是空隧道,无法建立连接,当时实业工程师所采用的办法就是在实业的主机房,将隧道强制拆除,重新激活隧道。后经过调试可以在28上面控制,如果线路出现瞬断或者其他方面导致的线路不通,28可以自动检测周期性地发送Keepalive信息,这样以保证即使隧道断开,在28上面也会将隧道拆除,再由内部主机发送数据包重新激活,避免由工程师手工操作。
2 U6 M% {( ]& m5 c: }! r* i. @- N% B
3、C3750三层交换机主备切换的问题
. L! o0 u# ?2 n5 ~: {1 H网络连接是这样的:将3750G-24T-S2 gi1/0/23与3750G-24T-S1 gi1/0/23互联做trunk,两台三层交换机连接服务器,服务器的两个网卡做桥接模式,S2与S1起HSRP协议。
2 ?2 E( `. O, k+ V' x; P连接描述:
主链路 : 服务器<--->3750G-24T-S2<--->ASA5520<--->3750G-24T-E2,
次链路: 服务器<--->3750G-24T-S1<--->3750G-24T-E1。
E1与E2两台交换机也使用端口互联做trunk。
6 U! A3 A* b, V5 Y8 S" D- y/ ^+ ^7 S) K1 H2 z2 @: n
关于这点,欢迎大家参于讨论:其中四台C3750应该做怎样的设置,服务器怎么实现主备,安全方面怎么考虑?
呵呵,个中内容在SPOTO BOOTCAMP v7.0 的考试中己有涉及,相信考过后的会有感觉了。
( x" ?- \4 ^$ c+ {* Z
& M# T6 {: y: J+ D- N4、双线路出口:
+ {( g `1 Y( f1 e8 V6 |( o* Z
实业工程师描述,后来为了保证VPN线路能够顺畅,又拉了一条电信宽带,专为内部工作人员上Internet使用,就是说,在ASA5520上有两条线路,一条专为VPN使用,一条专为Internet所用,他们的调试使得所有流量都发往了VPN方向,即没有实现了双线路。
% e" C% W% P, h! f) X- g0 Y
经过分析这个方案是可行的,而且还挺简单实现…………(呵呵,各位SPOTO的兄弟们,这个是考你们路由的时候了)这个任务后来我交给了周良,由他去调试,给了三台PC,两台交换机,一台ASA5550,一台Cisco 2800
4 |9 D+ B. q, m' k3 ?
! w8 y0 F2 o1 m" E# P( d. L! T# c在他面前的是那两台网络设备,,,,,价值不菲啊。。。。。一台ASA5550要 15W!!!2800也要接近两万,那两台傻瓜式的交换机就不做说明了,大家自己发挥想像力吧。/ u8 }# Q, B. K
# V/ E9 r$ b$ c6 m5 M* V* H实业工程师在看测试的现象:经过证明我们的测试是相当成功的,周良也表现出了BC学员应有的水准,呵呵,虽然他后来事后说“星哥叫我测试的时候,我当时很紧张”" q0 b" [1 g \ J I" H
7 a, t! T/ |" f0 m
原来拓扑里面的C3750(TMD,一台这种设备也要5-6W块!!)作的是备份,但是后来不成功就都改成二层交换机来使用,我给了他们一些建议,顺带讲了一下关于HSRP的原理,呵呵。! r0 R, v1 Q- R( E8 V9 m4 O) W
3 r- A3 m" R6 ^! U
从电信实业集团公司的15楼看下来,下面还真是车水马龙。大家要不断努力,一定能够俯视群雄,就像雄鹰一般展翅高飞!
. Y6 l6 X6 R Z) Q, }对面的电信大楼也非常的雄伟!
$ s- c6 A( Q2 Y& q+ p
发表于 2007-5-18 12:02
| 
