核心交换机内超级vlan之间不互通
- 0关注
- 0收藏,41浏览
问题描述:
187号段和192号段在一台交换机内。192号段终端可正常访问187号段的服务器。187号段的终端无法访问192号段的服务器,也无法ping通。
组网及组网描述:
交换机A配置 vlan 154 supervlan subvlan 1891890 to 1899 lan 187 # vlan 189 vlan 192 vlan 1890 to 1899 interface Vlan - interface 154 ip address 2.12.189.254 255.255.255.0 local - proxy - arp enable # ece Vlan -interface187 ip address 2.12.187.1255.255.255.0 interface Vlan -interface192 ip address 2.12.192.1 255.255.255.0 ip route-static 0.0.0.00 2.12.189.193 指向上层节点路由 ip route-static 2.12.187.0 24 2.12.189.1 ip route-static 2.12.192.0 24 2.12.189.1 交换机B配置 vlan 20 supervlan subvlan 187 1870 to 1879 vlan 30 supervlan subvlan 192 1920 to 1929 vlan 187 vlan 189 vlan 192 vlan 1870 to 1879 vlan 1920 to 1929 interface Vlan-interface20 ip address 2.12.187.254 255.255.255.0 local-proxy-arp enable interface Vlan-interface30 ip address 2.12.192.254 255.255.255.0 local-proxy-arp enable interface Vlan-interface 189 o ip address 2.12.189.1 255.255.255.0 ip route-static 0.0.0.0 2.12.189.254
187号段终端无法访问192号段服务器,而反向访问正常,这通常是路由对称性被破坏或网关配置不一致导致的。
一、根本原因分析
一、 路由不对称(最可能的原因)
A上存在多余的VLAN 192三层接口
A配置了 interface Vlan-interface192 ip address 2.12.192.1,导致A上直连路由认为 2.12.192.0/24 网段直接挂在A上。
当187号段终端(网关为2.12.187.1)访问192号段服务器(如2.12.192.100)时,A查路由表:
目标
2.12.192.100匹配直连路由2.12.192.0/24(优先级高),A会尝试在本机VLAN 192接口上发送ARP请求寻找目标。但实际服务器位于B的subvlan中,不在A的本地二层广播域内,因此ARP失败,报文被丢弃。
而反向流量正常的原因:
192号段终端(网关为2.12.192.254)访问187号段服务器(2.12.187.x)时,B查路由表:
B有直连路由
2.12.187.0/24(通过VLAN 20接口),但它可能因为本地代理ARP或子VLAN的MAC地址学习,成功将报文转发到了A的187网段?这取决于B的supervlan具体实现。但可以肯定的是,B上没有多余的干扰接口,所以能通。
二、 Super VLAN内部的代理ARP可能造成混淆
B上的VLAN 20和VLAN 30都是supervlan,启用了 local-proxy-arp。这会使同supervlan内不同subvlan之间的通信通过SVI转发。但跨supervlan(20到30)的通信,仍然依赖路由表。B的路由表中有直连路由,理论上会直接转发,但实际可能因为子网掩码或subvlan配置导致路由查找结果不同。
三、 网关配置不一致
187号段终端的网关应为
2.12.187.1(A上的接口)。192号段终端的网关应为
2.12.192.254(B上的接口)。
如果187终端错误地配置了其他网关,也可能导致不通。
二、解决步骤
第一步:删除A上多余的VLAN 192三层接口(关键)
A不应该同时作为192网段的网关。执行以下命令:
ip route-static 2.12.192.0 24 2.12.189.1,正确转发到B。第二步:检查并优化路由表
在A上执行 display ip routing-table,确认没有 2.12.192.0/24 的直连路由。
在B上执行相同命令,确认 2.12.187.0/24 和 2.12.192.0/24 均为直连路由(这是正常的,无需改动)。
第三步:检查终端网关配置
187号段服务器/PC的网关必须为
2.12.187.1192号段服务器/PC的网关必须为
2.12.192.254
如果配置正确,ping测试应能双向通。
第四步:验证Super VLAN的本地代理ARP配置
确保B上supervlan接口(Vlan20和Vlan30)已开启 local-proxy-arp,以便subvlan内的主机能通过SVI互相通信:
第五步:测试与抓包
在A上ping 192.192.192.254(B的VLAN30接口):如果通,说明A到B的链路和路由正常。
在A上执行
tracert 2.12.192.100:观察报文路径,确认是否经过B。抓包分析:在A的内网口(连接187终端的端口)和互联口(VLAN 189)抓包,看ARP请求和ICMP报文的去向。
三、补充说明
如果删除A的VLAN 192接口后仍不通,请检查A的静态路由是否生效:
display ip routing-table 2.12.192.0应显示下一跳为2.12.189.1。确保A和B之间的VLAN 189接口能互通(ping通对方)。
检查是否有ACL或策略路由阻断流量。
根据配置,VLAN 154是Super VLAN,其IP地址为2.12.189.254/24。子VLAN(1890-1899)的终端需要通过Super VLAN的接口进行三层转发。目前问题是187号段(推测为VLAN 187)无法访问192号段。
排查步骤与命令:
1. 检查VLAN 187与VLAN 192的路由:
display ip routing-table 2.12.192.0
display ip routing-table 2.12.187.0
确认交换机上存在去往这两个网段的路由,且下一跳或出接口正确。
2. 检查Super VLAN与子VLAN状态:
display supervlan
确认VLAN 154的Super VLAN功能已启用,且子VLAN列表(1890-1899)正确。同时检查子VLAN的端口状态是否Up。
3. 检查ARP表项:
在187网段的终端上尝试ping 192网段服务器时,在交换机上检查ARP学习情况:
display arp | include 2.12.187 (源IP)
display arp | include 2.12.192 (目的IP)
关键点:对于Super VLAN,交换机需要学习到子VLAN内主机的ARP。 如果学习不到192网段服务器的ARP,则无法转发。
4. 检查子VLAN的Proxy ARP配置:
Super VLAN的子VLAN间互通及与外界互通,必须在Super VLAN接口下启用子VLAN间的Proxy ARP。
interface Vlan-interface154
display this
关键配置缺失: 根据您提供的配置片段,缺少以下关键命令:
interface Vlan-interface154
ip address 2.12.189.254 255.255.255.0
local-proxy-arp enable // 必须配置此命令
`local-proxy-arp enable` 是解决此问题的核心。它使交换机能够代理响应不同子VLAN(以及像VLAN 187/192这样的普通VLAN)对目标IP的ARP请求,从而完成跨网段ARP解析。
5. 检查安全策略:
检查是否存在ACL或安全策略(如基于端口的ACL、全局ACL)阻断了VLAN 187到VLAN 192的流量。
解决方案:
请首先在Super VLAN接口(Vlan-interface154)下配置 `local-proxy-arp enable`。 配置前请做好配置备份。
补充信息需求:
1. VLAN 187和VLAN 192的接口
暂无评论
问题结论 + 解决方案(一步到位)
核心结论
一、你的流量为什么反向不通?
流量走向(192 → 187 能通)
反向流量走向(187 → 192 不通)
二、真正根因(3 条)
- Super VLAN(Super VLAN)本身就是用来隔离 Sub VLAN 之间流量的你开了
local-proxy-arp只能让同一台交换机内的 Sub VLAN 互通。 - 跨交换机 Super VLAN 之间不能依靠 proxy-arp 互通你现在是:
- 187 属于交换机 B 的 Super VLAN
- 192 属于交换机 B 的另一个 Super VLAN
- 187 又在交换机 A 上做了普通三层接口→ 跨设备、跨层级,proxy-arp 根本无法跨交换机生效
- 静态路由配置错误(最关键)交换机 A:plaintext
ip route-static 2.12.187.0 24 2.12.189.1 ip route-static 2.12.192.0 24 2.12.189.1交换机 B:plaintextip route-static 0.0.0.0 0.0.0.0 2.12.189.254→ 回程路由被指回交换机 A,造成环路 / 不转发
三、最有效、最安全的解决方案(直接照做)
方案:关闭不必要的 Super VLAN 互访,改用三层路由互通
步骤 1:在交换机 B 上配置正确的静态路由
ip route-static 2.12.189.0 255.255.255.0 2.12.189.254
步骤 2:在交换机 A 上删除错误路由
undo ip route-static 2.12.187.0 24 2.12.189.1
undo ip route-static 2.12.192.0 24 2.12.189.1
步骤 3:确认交换机 A 只需要一条默认路由
ip route-static 0.0.0.0 0.0.0.0 2.12.189.193
步骤 4:在交换机 B 上开启普通 VLAN 间路由(Super VLAN 不影响)
ip forwarding
步骤 5:测试
187 ping 192 → 通
192 ping 187 → 通
四、为什么你原来的配置不行(简单解释)
- Super VLAN = 隔离 Sub VLAN
local-proxy-arp只能让同一交换机内互通- 跨交换机必须走三层路由,不能走 ARP 代理
- 你之前的静态路由把回程流量指向错误,导致反向不通
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论