多臺三層設備之間跨網段如何互通

新的環境開始

客戶由于業務合作關系，與樓層的另外一家公司之間需要互通訪問，但是帶來的問題是

兩家公司各有一臺核心，怎么對接成為一個問題？

兩家都用了vlan10這個會有沖突嗎？

B公司核心配置

vlan會沖突嗎？

是不會沖突的，vlanid屬于本地有效，跟IP的私網地址一樣，每個公司局域網都可以重復使用，但是如果兩邊需要互訪，IP網段是不能沖突的，否則訪問不成功，但是VLAN就沒關系，可以在規劃上面避免。

核心之間如何對接

現在最大的問題在于核心之間如何進行對接，最終要實現的需求是A核心下面的終端能夠訪問B核心的服務器，同樣B核心下面的終端能夠訪問A核心下面的服務器。

回想下之前同一個三層設備下面是如何互通的？

（1）三層交換機配置了各自的vlanif作為網關

（2）由于是三層設備，它會產生一個直連路由

所以vlan間互通是依靠三層交換機配置的各個vlanif地址產生的直連路由（在路由表中），在通過三層轉發進行互通，這是我們之前學過vlan間互通，但是在同一個設備上面。

兩個臺核心之間該如何對接呢？

（1）物理線路選擇

物理選路的選擇，在企業的以太網里面常見的兩種，一個是網線，一個是光纖

物理距離在100米以內，可以選擇網線

物理距離超過100米，只能選擇光纖

（2）定位問題

三層設備上面vlanif配置地址后是會在路由表中產生直連路由，所以A核心下面的終端，填寫對應的vlanif作為網關，核心查詢路由表，發現直連網段，就能訪問其他的vlanif下的終端了。這里一個重要的問題是核心A并不知道 192.168.10.0/24以及192.168.11.0/24在哪？同樣的B公司核心也不知道192.168.253.0/24 192.168.254.0/24 192.168.255.0/24在哪？  換個角度看問題就是，核心A與核心B目前不知道去往對方如何走，交給誰處理，解決的辦法就是先把+核心A與核心B之間打通，并且告訴核心A去往核心B的內網的網段如何走，同樣，告訴核心B去往核心A的內網網段如何走，這樣通信就沒問題了。

（3）如何打通呢？

第一步：需要打通核心A跟B

想象下PC2的192.168.255.1為什么能跟核心A的vlanif10：192.168.255.254通信呢？

在相同VLAN里面，PC2流量經過辦公區一會打上vlan10的tag，核心A的vlanifID也是10。

在相同的網段，PC的網段與核心A的vlanif10在同一個網段，所以能夠互通。同樣的核心A與B要通信，那要滿足兩個條件（1）在相同vlan里面  （2）同一個網段

比如單獨規劃一個vlan250用于對接，兩邊創建vlanif250，在同一個網段，注意的是，規劃對接的時候vlan與網段不要跟整個網絡中使用過的沖突與重復，否則會導致以后的部署會非常的麻煩，來配置對接下。 

Sep  5 2021 14:46:25-08:00 Core_A %IFNET/4/IF_STATE(l)[2]:Interface Vlanif250 has turned intoUP state.

Sep  5 2021 14:46:25-08:00Core_A %IFNET/4/LINK_STATE(l)[3]:The line protocol IP on the interface Vlanif250 has entered the UP state.

Sep  5 2021 14:47:51-08:00Core_B %IFNET/4/IF_STATE(l)[1]:Interface Vlanif250 has turned into UP state.

Sep  5 2021 14:47:51-08:00Core_B %IFNET/4/LINK_STATE(l)[2]:The line protocol IP on the interface Vlanif250 has entered the UP state.

當接口加入vlan 250后，對應的vlanif就up了，這個是因為G0/0/23口存活的，屬于vlan 250中，我們來ping測試下。

這里核心A與核心B，直連通信算是OK了，通信過程也很簡單

核心A的vlanif250發出ARP詢問192.168.250.2是多少（攜帶vlan tag 250）,經過G0/0/23口的時候，該接口屬于access vlan 250，去掉標簽發出

核心B的G0/0/23收到以后打上vlan 250的tag，并且學習MAC地址，緩存進ARP表項（同時記錄三層表項）， 發現請求的是自己vlanif250的IP，于是回應

核心B通過vlanif250回應也會打上vlan250的tag，經過G0/0/23口發出的時候，該接口屬于access vlan 250，去掉標簽發出

核心A從G0/0/23收到，打上vlan 250的tag，并且學習MAC地址，緩存進ARP表項（同時記錄三層表項）。

接著ICMP的請求發出，流程是一樣的。

第二步：核心A如何去往核心B身后的網絡？（配置保留，下一篇需要用）

Client2訪問WEB A的時候，請求數據到達核心A后，關鍵的步驟就是路由表，因為核心A里面有WEB A的直連網段路由，所以可以進行通信。

那假設Client 2想要去訪問核心B下面的192.168.11.1的服務

這個時候就

不成功了，原因在于數據包抵達核心后，核心查看路由表，發現壓根就沒有192.168.11.1相關的路由匹配，直接就丟棄，并且返回ICMP不可達信息，告知客戶端，這個時候知道問題了，我們必須讓核心A知道如何去往192.168.11.0的網段，這樣它知道如何去了，自然就可以轉發了，能夠實現這個功能的技術叫做靜態路由。

靜態路由：由IT管理人員手動配置進路由表，作用就是讓設備知道去往該目的地怎么轉發，交給誰去處理。

命令格式：ip route-static ｛目的地址｝｛掩碼｝｛出接口｝｛下一跳｝｛優先級｝組成

那在該拓撲中，核心A要去往192.168.11.1，那自然是要交給核心B處理，核心B的地址就是對接的192.168.250.0，我們來配置下。

[Core_A]ip  route-static  192.168.11.1 32 Vlanif250  192.168.250.2 preference 60   

從命令行格式帶入進去的話，就變成了

目的地址：192.168.11.1，就是WEB B的地址

掩碼：32，表示255.255.255.255，在路由表里面這個表示主機路由，相當于只匹配192.168.11.1的地址

出接口：vlanif250，去往核心B對接的接口是vlanif250（大部分情況下可以省略）

下一跳地址：去往192.168.11.1，從核心A的角度看，下一跳是核心B，對接的地址對方是192.168.250.2，所以下一跳地址為192.168.250.2，交給核心B處理

優先級：默認情況下華為華三設備的靜態路由優先級為60，這個步驟可以省略

再次通過displayip routing-table 查看路由表的時候，會看到路由表里面多了一個static（靜態）的條目，這就是該命令的作用，在全局配置以后，它會下發到路由表中，這樣核心A就知道怎么去往核心B了。

目前核心A可以訪問到192.168.11.1了，那是不是就表示可以訪問成功了呢？

第三步：測試

訪問失敗了?。?！，明明在核心上面是訪問成功了的，我們來分析下，這個也是很多初學者朋友容易犯的毛病。

這里ARP的過程就不在講述了，我們直接從TCP SYN開始

（1）Client2發起SYN訪問，發現去往192.168.11.1與自己不在一個網段，于是將數據包交給網關，從網卡發出

（2）數據包經過辦公區二的交換機時打上VLAN 20的tag，二層轉發，學習MAC，將包從E0/0/1發出（trunk保持tag不變）

（3）核心收到以后，發現找到是自己，目的地址是192.168.11.1，知道是需要三層轉發，于是查看路由表，是否有去往192.168.11.1匹配的路由

發現有一條去往192.168.11.1路由條目，交給192.168.250.2處理，從屬于vlanif250的物理口發出

從哪個口發出，直接查詢ARP表項，原來192.168.250.2在G0/0/23口，于是從該接口發出（實際中，會從三層轉發表直接找到對應表項找到就發送了，但是人為看不到這個表項，所以這里顯得繁瑣一些），順便會將二層信息重新封裝，源為vlanif250的mac，目的為192.168.255.2的mac，發出去的時候接口屬于access vlan 250，直接剝離標簽

（4）核心B從G0/0/23收到，該接口屬于vlan 250，于是給數據打上250的標簽，并且學習MAC地址表項

然后目的MAC發現找到是自己，查看三層，目的IP地址不是自己，知道是需要三層轉發，于是查找路由表是否有去往192.168.11.1的路由

核心B發現192.168.11.1是自己直連網段，查詢ARP表項

發現192.168.11.1在G0/0/2，于是重新封裝二層信息（源是vlan11if的MAC，目的是192.168.11.1的MAC）發出去（剝離標簽）

5）服務器B收到以后，開始響應SYN+ACK，發現目的地址192.168.254.10不在一個網段，于是交給網關處理

問題出現了，核心B沒有去往192.168.254.10的路由，這樣導致訪問失敗了，這個也是初學者容易犯的困惑，明明在核心已經ping通了，但是實際訪問起來就失敗了。

第四步：解決問題

目前有兩個問題存在

為什么核心能ping通，實際訪問卻是不行

讓核心B能夠正?；匕?/p>

（1）為什么核心能ping通，實際訪問卻不行。

在來回顧下路由表

核心A直接ping 192.168.1

1.1，它會查找路由表，從vlanif250所在的物理接口（查詢ARP表從G0/0/23）發出去，這個時候的源地址是用的vlanif250的地址（192.168.250.1），目的地址是192.168.11.1。

核心B收到，查詢路由表發現直連路由

關鍵的來了，WEB B回應ICMP repaly，會交給網關處理 ，同樣核心B會查詢路由表

它是有去往192.168.250.1的路由的，因為是直連，所以最終可以抵達核心A，完成整個ICMP的過程。

實際訪問不行，是因為它的源地址變成了192.168.254.10，這個時候核心B的路由表里面是沒有，自然就不通了，那這里交一個小技巧，默認情況下網絡設備ping，是以路由表出接口地址作為源發出去的，其實可以自己定義其他地址來測試。

ping -a參數，是指定源地址，該源地址必須是設備里面真實存在的，這里使用的就是vlan20的網地址，ping -a 192.168.254.254 192.168.11.1的整體意思就是讓交換機Ping 192.168.11.1的時候，用源地址192.168.254.254，這個時候你發現就不通了，原因就是對方沒有路由回來，導致通信失敗。

（2）讓核心B能夠正?；匕?/p>

這里要記住一句話，在TCP/IP的網絡里面，大部分的數據訪問是有去有回的，上面不通的情況都是數據包過去了，對方某個設備不知道如何回包，導致通信失敗，所以在這里，需要在核心B上面加一個靜態路由，讓它知道如何去往192.168.254.0的網段

[Core_B]ip  route-static 192.168.254.0 24 192.168.250.1

這里的靜態配置跟之前不一樣，寫的是目的地址是192.168.254.0 ，掩碼是24（255.255.255.0），表示的是整個192.168.254.0/24的網段都匹配上，為什么要這樣寫呢？

如果這里只寫

目的地址192.168.254.10，掩碼32，表示主機路由 192.168.254.10這一個，那對應的PC4（192.168.254.100訪問就失敗了），在實際中肯定一個網段內不只一臺需要訪問，所以我們需要把整個網段都包含進來，這樣192.168.254.0/24整個網段可以訪問到。

（3）測試

這個時候就可以訪問到了，因為核心B有了去192.168.254.0/24的路由

最終完成了整個交互，所以數據包要考慮去的同時，還要考慮對方是否能夠正?；貋?。

（4）再次深入了解下靜態路由的各個參數

核心A

ip  route-static 192.168.11.1 255.255.255.255 Vlanif250 192.168.250.2

核心B

ip route-static  192.168.254.0 255.255.255.0 192.168.250.1

從路由表查看，是不是沒有任何的區別呢？

優先級（Pre）：默認情況下華為華三的設備靜態路由的優先級都是60，所以這個優先級的配置是可以省略掉的。

出接口：雖然命令行的格式是建議帶出接口的，但是在實際的寫法中，可能都習慣只寫 目的地址、掩碼、下一跳，因為系統會根據你下一跳的地址檢查當前設備哪個接口屬于該網段，然后自動的關聯上，這就是核心B沒有寫出接口，但是在路由表中能夠自動關聯的原因，因為192.168.250.1，核心B的vlanif250是在這個網段的，所以實際中大部分情況下不需要跟出接口。

第五步：完成剩下的操作

這里并沒有結束，只是打通了核心A這邊192.168.254.0/24能夠去訪問192.168.11.0/24的網段，而192.168.255.0/24以及192.168.253.0/24是訪問不到的，同樣核心B的192.168.10.0/24也訪問不到核心A的192.168.255.0/24網段，所以還需要繼續寫路由打通。

[Core_A]ip  route-static 192.168.10.0 24 192.168.250.2

[Core_B]ip  route-static 192.168.255.0 24 192.168.250.1

[Core_B]ip  route-static 192.168.253.0 24 192.168.250.1

第一條：讓核心A知道如何去往192.168.10.0/24的路由

第二條：讓核心B知道如何去往192.168.255.0/24的路由

第三條：讓核心B知道如何去往192.168.253.0/24的路由

PC5 現在ping WEB B通的，在來試下Client 3訪問WEB A

Client 3訪問WEB A也沒什么問題，這樣兩邊就全部打通了。