林志祥的網誌分享

如果說我們有一個環境，客戶有一台L3 Switch連接 1F、2F、3F。 1F全部都要vlan10，2F全部都要vlan20，3F全部都要vlan30。 客戶表示我第一port設定access port vlan 10，第二port設定access port vlan 20，第三port設定access port vlan 30，這樣我下面怎麼串接預設設定的switch都會通，也可以達到我的需求。 CoreSwitch的設定如下： interface GigabitEthernet1/0/1  switchport access vlan 10  switchport mode access interface GigabitEthernet1/0/2  switchport access vlan 20  switchport mode access interface GigabitEthernet1/0/3  switchport access vlan 30  switchport mode access 我們只觀察一樓，其他樓依此類推，我們電腦接到一樓的edge端switch確實可以連到gateway，表示這個架構OK。 Core上面出現VLAN mismatch的訊息，但好像還是會通。 我們看一下port的狀態是access vlan10。 我們知道switch和switch之間溝通cisco是靠CDP，我們看了natvie vlan是vlan1顯示mismatch。 因此推論出access port access vlan等於native vlan。 我們到一樓跟Core連的switch上看也是VLAN mismatch，但好像還是會通。 我們看一下port的狀態，雖然有DTP但是dymanic auto，而且對方是access寫死，所以最終溝通結果是 access vlan10。 我們知道switch和switch之間溝通cisco是靠CDP，我們看了natvie vlan是vlan10顯示mismatch。 因此推論access port access vlan等於native vlan。 switch和switch之間如果不走trunk的

這是我的架構圖，客戶向ISP業者申請四個實體IP，網段為 222.222.222.221 ~ 222.222.222.224，內部伺服器網段為192.168.1.0/24。 介面IP和預設閘道設定好以後，我們會建立一條政策讓所有主機可以上網，通常就是使用介面IP來做PAT即可。 郵件伺服器使用222.222.222.222作NAT的IP。 驗證192.168.1.100其他的伺服器要出去都轉成222.222.222.221實體介面IP。 只有郵件伺服器轉成222.222.222.222實體IP出去。 郵件伺服器一定要使用222.222.222.222帶自己的IP做NAT出去，為什麼呢？ 通常對方伺郵件服器收到這封信之後，為了要確認這封信確實是由你們公司寄出，所以會看寄出的IP有無帶DNS反解，舉例來說他收到來自 59.124.61.242這個IP，會反查這個IP屬於哪個公司，最後查出是synology.com，又這個帳號是support@synology.com寄出，這樣會比較相信信件是由公司寄出的，不然可能會丟到垃圾郵件中。 接下來我們要設定外對內的服務，所以是WAN to LAN，實體IP對應到虛擬IP。 我們把 222.222.222.224都對應到內部DNS IP， 222.222.222.223都對應到內部MAIL IP，因為只剩下一個222.222.222.222 IP可以用，所以我們必須透過PORT轉換，比方說WEB1的80 port和 222.222.222.222 的80 port 對應，WEB2的80 port和222.222.222.222的81 port對應，常用在監視器上，比方說一個實體IP對應多個網頁監視鏡頭。 111.111.111.111是郵件伺服器維護廠商的公司IP，有時候需要從外面連遠端桌面，所以我們只開放111.111.111.111可以連入。 如果其他IP來連的話就會被防火牆阻擋。 接下來要測試郵件伺服器，郵件伺服器需要外面寄信進來或外部認證寄信(25 port)，外部的人可以透過outlook收信(110 port)，或是使用郵件webmail(80)，測試方式可以直接telnet 他的25 port。 只要有看到東西就表示連線有建

這裡有一台交換器目前除了vlan1以外沒有其他手動設定的vlan。 Gi1/0/24跑trunk port，允許所有vlan，但因為目前vlan資料庫裡面只有vlan1，所以最終結果只允許vlan1通過此trunk。 我們把Gi1/0/1塞到vlan98，因為vlan98沒有在vlan資料庫裡，所以系統很貼心的幫我們自動新增vlan98。 vlan資料庫確實自動新增vlan98。 Gi1/0/24跑trunk port，允許所有vlan，但因為目前vlan資料庫裡面只有vlan1和vlan98，所以最終結果只允許vlan1和vlan98通過此trunk。 新增interface vlan 99 發現這個虛擬的介面居然是down down，肯定不能用啊。 我們查詢vlan99，發現系統沒有自動新增vlan99。 最終結果只允許vlan1和vlan98通過此trunk，沒有改變狀態。 不得已只好手動新增vlan99在資料庫裡。 虛擬的介面vlan99 up up起來了。 最終結果只允許vlan1、vlan98和vlan99通過此trunk。 結論： 這兩個和vlan相關的設定還蠻相似的，所以常常有人會混淆或是搞不清楚vlan什麼時候會自動新增，什麼時候又不會，其實設定完後用show vlan檢查vlan資料庫裡確認有無這個vlan才是最保險的，至少vlan資料庫一定要有這個vlan id才會有作用，因此設定的正確步驟一定是先把這個交換器上相關vlan先手動建立出來，後續再去做vlan相關的設定才不會有問題。

我們電腦的預設閘道為210.242.144.254，所以可以上網，但裡面出現一個網段 192.168.1.0/24 在 210.242.144.253那台路由器之後，可是我們沒辦法更改路由器的設定，這樣我的電腦要怎麼連到網頁伺服器呢？ 我們知道只要需要路由就是看路由表，所以電腦也不例外，我們看一下電腦的路由表只有一筆預設閘道往210.242.144.254丟。 我們去內部的網頁伺服器，他確實是往預設閘道210.242.144.254丟，由於210.242.144.254沒有能去192.168.1.0/24的路由，所以他顯示目的地無法連線，而且我們用網頁瀏覽器確實也連不到。 我們知道路由器可以增加靜態路由，電腦也可以，所以我們增加一筆。 route add 192.168.1.0 mask 255.255.255.0 210.242.144.253 要去 192.168.1.0/24的網段往 210.242.144.253丟。 加完之後確實多出一條路由。 經過測試，他要往 192.168.1.1，會根據路由表往210.242.144.253丟，由於210.242.144.253有去192.168.1.1的路由，所以我們可以連到網頁伺服器。 我們剛才的加法只是增加到目前使用中的路由表中，所以關機之後會消失，每次開機都要重新打一次，如果想要重開機之後還會保存的話可以加入參數 -p 。 route add 192.168.1.0 mask 255.255.255.0 210.242.144.253 -p 這樣會加入到持續路由，就算重開機還會保存。 最後就是要上網的話會走預設閘道 210.242.144.254，但是要去網頁伺服器 192.168.1.1的話會根據路由表走 210.242.144.253，因此都會通。 最後不使用的時候也要記得把這筆路由拿掉。 route delete 192.168.1.0 結論： 在某些特殊情況下，比方說測試或是沒辦法更改路由器的設定可以使用這個方法解決，但是根本還是要透過更改路由器的路由表設定才能比較通例，不然如果很多電腦都要這樣走是不是每一台就要一筆一筆加，如果發生問題也要一台一台查，所以在沒有特殊情況下不建議更改電腦的路由表反而增加網路除錯的複雜度。

如果想知道交換器實體是怎麼對接除了查實體線路外，CISCO有個指令叫做CDP。 但是在其他廠牌交換器上，由於CDP是CISCO特有的協定，所以不太支援，比較多支援的是IEEE公開標準協定LLDP (Link Layer Discovery Protocol)，所以你在D-LINK上只找的到LLDP，找不到CDP相關的選項。 所幸CISCO也有支援LLDP的功能，可是預設是關閉的，所以我們在所有CISCO設備上先打開LLDP的功能 lldp run，然後再 show lldp neighbors ，可以看到自己23 port接H3C，24 port接HP2530，2 port 接C3750G。 相對來說H3C也可以看到CISCO傳來的LLDP資訊。 這是在HP2530上看到的LLDP資訊。 結論： 在所有交換器設備都是CISCO的環境中，CDP絕對是首選，但是如果環境是很多廠牌夾雜，可以考慮全部使用LLDP，畢竟LLDP是IEEE的公開標準，比較多廠牌支援。

由於我們只是想讓非法的DHCP伺服器沒辦法發DHCP而不是要關閉port，所以我們必須要開啟DHCP Snooping的功能。 ip dhcp snooping 打開交換器這個功能。 ip dhcp snooping vlan id 在特定vlan上開啟這個功能，注意一定要打，不然他不知道在那些vlan 開啟。 ip dhcp snooping trust 在介面上允許發放 DHCP，預設開啟功能後所有介面都是untrust，所以不開啟的話沒有機器可以要到DHCP。 那要怎麼判斷信任或不信任呢？只要想成可以從哪一port要到DHCP就好，比方說你的DHCP是裝在Core Switch上面，那Edge Switch trust來源就只能是trunk port，同理在Core Switch上面信任來源就只是能DHCP伺服器所在位置第一port。 show ip dhcp snooping 查詢目前此功能有無打開，在哪裡vlan打開，並且trust的port是哪些。 我們試著用PC端機器要了一下DHCP，卻沒有拿到，到2F-Core debug ip dhcp snooping，發現丟棄封包的訊息，關鍵字好像是他從untrusted port收到一個帶有option 82的封包所以就把他丟棄了。 這是一般的DHCP discover封包。 這個是經過開啟 dhcp snooping 功能之後的封包，被插入了一個option 82。 如果有仔細看show ip dhcp snooping確實會看到 Insertion of option 82 is enabled    circuit-id default format: vlan-mod-port    remote-id: 0024.5145.4000 (MAC) Option 82 on untrusted port is not allowed 預設會插入 option 82，然後 option 82 在 untrusted port不被允許。 option 82會帶額外參數給dhcp伺服器但是要另外設定，有興趣的人可以上網看看。 所以這時候我們有兩個做法。 1.  反正我們也不設定option 82，索性就把他關