华为辅导：无法访问某高校校园内部WebServer问题

会计考友

　问题描述：
( {0 w  @2 `/ E" `' K. m) u　　某高校采用电信的出口作为内部上网的默认出口，供给校园内部上网，并经由过程教育网的出口访谒教育网。
5 H6 j- ~& ^$ O. p  X　　故障现象是无论是经由过程输入域名仍是直接输入IP地址都无法访谒内部的WebServer 218.xx.xx.5。可是如不美观将NE05路由器上的默认出口指向教育网的出口，则可以正常访谒内部的WebServer。用户还反映其他黉舍不存在这样的现象，可是经由过程体味其他的黉舍都只有教育网的出口，没有使用公网的出口。
3 Q, \  p/ }: F: W) h　　问题剖析：
& N7 `1 ^% ?! v9 q$ p! g7 w　　教育网是斗劲非凡的收集，相对于公网可以算作私有收集，整网经由过程统一的出口和公网互通。当公打鱼户去访谒教育网的时辰，会经由过程公网和教育网的接口进入教育网。
　　可是对于该校则斗劲非凡，经由过程查看NE05上的设置装备摆设：
　　ip route-static 0.0.0.0 0.0.0.0 61.xx.xx.62 preference 60
　　ip route-static 202.112.0.0 255.255.255.0 202.xx.xx.125 preference 60
　　ip route-static 202.115.192.0 255.255.255.0 202.xx.xx.125 preference 60
/ C9 C( s% M& g　　ip route-static 202.202.0.0 255.255.255.0 202.xx.xx.125 preference 60
　　ip route-static 202.202.96.0 255.255.255.0 202.2xx.xx.125 preference 60
& |* s* F4 T1 v( r$ k1 c　　ip route-static 202.205.11.0 255.255.255.0 202.xx.xx.125 preference 60
" N( R, _" A, o2 Y, P　　可以看到除了部门教育网收集的路由是指向教育网的出口的，其他的路由都是经由过程默认路由从公网出去，这样就会造核对于黉舍内部教育网地址的访谒流量从教育网接口进入可是回应的报文却从公网的出口送出的现象，这样就会造成回送的报文无法送回公打鱼户，从而造成访谒WebServer不成功。
) j* ~6 j' R0 U　　问题解决：
　　经由以上的剖析，我们可以获得以下的解决问题的思绪，只要能够将访谒WebServer的回送报文经由过程教育网接口返回，而不是经由过程默认路由走公网就可以达到既不影响内部用户经由过程NE05访谒公网，又可以实现外部用户访谒内部的WebServer的目的。可以经由过程NE05的策略路由，对拟定地址进行源地址路由就可以实现。
　　具体设置装备摆设
　　先设置装备摆设ACL轨则
　　acl number 101
　　rule 0 permit ip source 218.xx.xx.5 0
　　acl number 102
　　rule 0 permit ip
5 A# [1 T* u+ E; u. z  _& W　　设置装备摆设测量路由
8 o4 M9 B1 S  @$ S  L　　route-policy www permit node 5
& t5 O+ Y0 p' F& {" J　　if-match acl 101
　　apply output-interface Ethernet3/2/2
' n7 W0 @: t! B1 j" ~　　route-policy www permit node 10
　　if-match acl 102
8 `: W( D4 m  z8 F' B$ x　　在接口上应用策略路由
　　interface Ethernet3/2/0
4 Z& z( C# c6 c8 G, b- O. |  o　　ip address 218.xx.xx.98 255.255.255.240
; U: K. d' r: S* r　　ip policy route-policy www
　　经由以上设置装备摆设往后可以经由过程公网访谒用户内部的WebServer，可是只能经由过程IP地址的体例访谒，无法经由过程域名的体例来访谒。
　　需要再添加一条ACL，将DNS的出口也指向教育网出口就可以了。
+ c0 A/ C& r% a/ w. X, c　　改削后的ACL如下:
　　acl number 101
　　rule 0 permit ip source 218.xx.xx.5 0
　　rule 1 permit ip source 218.xx.xx.4 0
! S# ~! o0 V* u4 K$ k* Y　　acl number 102
　　rule 0 permit ip
  n: M, J; @( Z: m! M　　问题总结：
　　对于这种非凡的组网，需要细心的剖析用户收集的现实组网拓扑，体味各类数据的流向，才能真正很好的解决问题。
% `1 ^$ W$ ~0 k4 \+ Z, D# {9 l; N; S　　[S8505]] link-aggregation ethernet2/1/1 to ethernet2/1/3 both
　　(2) 采用静态LACP聚合体例
　　# 建树静态汇聚组1。
; Q5 c3 ]6 J3 c$ g! k　　[S8505]] link-aggregation group 1 mode static
　　# 将以太网端口Ethernet2/1/1至Ethernet2/1/3插手聚合组1。
　　[S8505]] interface ethernet2/1/1
% [! q; T9 A) k* P1 M　　[S8505]-Ethernet2/1/1] port link-aggregation group 1
　　[S8505]-Ethernet2/1/1] interface ethernet2/1/2
　　[S8505]-Ethernet2/1/2] port link-aggregation group 1
' X  q( w/ z: F　　[S8505]-Ethernet2/1/2] interface ethernet2/1/3
　　[S8505]-Ethernet2/1/3] port link-aggregation group 1
4 j& l: C' L: ]/ U2 F　　(3) 采用动态LACP聚合体例
. y; Q- \6 Y7 i　　# 开启以太网端口Ethernet2/1/1至Ethernet2/1/3的LACP和谈。
　　[S8505] interface ethernet2/1/1
' u6 ?* H7 C# }　　[S8505]-Ethernet2/1/1] lacp enable
: }4 `/ |3 Z4 d4 s　　[S8505]-Ethernet2/1/1] interface ethernet2/1/2
　　[S8505]-Ethernet2/1/2] lacp enable
# B6 c% a& a5 l, }1 s4 v- H3 ?　　[S8505]-Ethernet2/1/2] interface ethernet2/1/3
　　[S8505]-Ethernet2/1/3] lacp enable
　　只有端口的根基设置装备摆设、速度、双工等参数一致时，上述端口在开启LACP和谈之后才能聚合到统一个动态聚合组内，实现端口的负载分管。
$ s6 z. E9 B& d9 ?1 y. N　　4. 状况显示和调试
　　呼吁：
4 v  j1 y0 C  `) ]5 T7 t4 g6 ?' e　　S8505上做完链路聚合后常用的状况显示和调试呼吁如下：
　　显示所有汇聚组的摘要信息 display link-aggregation summary
　　显示指定汇聚组的具体信息 display link-aggregation verbose [ agg-id ]
　　显示本端设备ID display lacp system-id
8 I' i6 _3 E+ R$ B　　显示端口的端口汇聚具体信息 display link-aggregation interface interface-type interface-number [ to interface-type interface-number ]
# m+ Y2 w+ p/ z　　断根端口的LACP统计信息 reset lacp statistics [ interface interface-type interface-number [ to interface-type interface-number ] ]
) b8 b0 F1 Q5 s  {. H　　display link-aggregation summary 可以显示整台设备所有聚合组，以及每个聚合组的mode、成员端口、负载分管情形。
　　display link-aggregation verbose 可以显示聚合组中每个端口Up/Down状况、select/standby 状况。</p>