深信服数据中心服务器安装碰到的问题

最新推荐文章于 2024-05-02 23:07:36 发布

weixin_33694620

最新推荐文章于 2024-05-02 23:07:36 发布

阅读量591

点赞数

文章标签：运维

原文链接：http://blog.51cto.com/xingno/384215

版权

中心要求要把执法局的深信服的日志保存在一台服务器上，深信服配套的数据中心就有这个功能。本以为只要在办里找一台服务，装上去，然后把服务器与深信服之间的路由做通就行。没想到简单的事情还是出现了问题。

拓扑如下：

我们选择的那个服务器IP为192.168.1.30。因为城管办和执法局两个网络IP地址段有冲突，所以不能只能针对主机做路由。之前为了城管办信息中心能够管理与控制执法局的H3C3600与深信服，在F5-C3560-1上已做了相关路由如下：

F5-CGB-NetCore-C3560-1#sh ip route | in 192.168.0
C       192.168.0.0/24 is directly connected, Vlan816 （注意这条路由为何产生）
S       192.168.0.252/32 [1/0] via 192.168.255.82
S       192.168.0.242/32 [1/0] via 192.168.255.82

F5-CGB-NetCore-C3560-1#sh ip int bri
Interface              IP-Address      OK? Method Status                Protocol
Vlan1                  unassigned      YES NVRAM administratively down down
Vlan3                  192.168.3.254   YES NVRAM up                    up
Vlan4                  192.168.5.251   YES NVRAM up                    up
Vlan6                  192.168.93.2    YES NVRAM up                    up
Vlan7                  192.168.6.253   YES NVRAM up                    up
Vlan10                 192.168.2.202   YES NVRAM up                    up
Vlan17                 unassigned      YES manual up                    down
Vlan33                 unassigned      YES unset down                  down
Vlan58                 192.168.255.14 YES NVRAM up                    up
Vlan77                 192.168.255.77 YES NVRAM up                    up
Vlan81                 192.168.255.81 YES NVRAM up                    up
Vlan95                 192.168.255.10 YES NVRAM up                    up
Vlan96                 192.168.255.254 YES NVRAM up                    up
Vlan100                192.168.255.6   YES NVRAM administratively down down
Vlan200                192.168.20.1    YES NVRAM up                    up
Vlan816                192.168.1.253   YES NVRAM up                    up
Vlan999                192.168.254.1   YES NVRAM up                    up
Vlan2970               192.168.255.6   YES NVRAM up                    up

并未见到直连。

由于F5-C3560-1上已有192.168.0.242的相关路由，所以我在H3C的交换机上做了一个回程路由

ip route-static 192.168.1.30 255.255.255.255 192.168.255.81

如果正常的话，在服务器上PING 192.168.0.242 应该可以通，可问题正是无论怎么PING都不通，回来直连的交换机上去PING，正常。

F5-CGB-NetCore-C3560-1#ping 192.168.0.242

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.242, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

使用带SOURCE 去PING 不通

F5-CGB-NetCore-C3560-1#ping 192.168.0.242 source 192.168.1.253

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.0.242, timeout is 2 seconds:
Packet sent with a source address of 192.168.1.253
.....
Success rate is 0 percent (0/5)

很奇怪，就是不通，于是我认真看了一下配置文件，原来问题在这里。

interface Vlan816
description LINK_TO_SERVER_FARM_192.168.1.0
ip address 192.168.0.254 255.255.255.0 secondary
ip address 192.168.1.253 255.255.255.0
standby 16 ip 192.168.1.254
standby 16 priority 125
standby 16 preempt

因为VLAN 816上有个第二IP，难怪查看路由表的时候会出现直连路由，而在sh ip in bri 的时候却看不到，192.168.0.0

问题清楚了，如果服务器要想和192.168.0.242通信，就必须服务器不能出现在VLAN 816中，或把VLAN 816中的第二IP去掉。

由于这个VLAN里还有192.168.0.0网段的设备，所以不能去掉，本来想把这个IP改到VLAN 3，IP设备为192.168.3.90.改好后，在对端也做了回程路由，却被告知服务器上还有其它应用，不能修改IP。

继续找思路，发现服务器上还有一个网卡，网卡是接到图中略掉的一个设备CGB-C3560-2上，IP为10.6.9.10,网关是10.6.9.1,在CGB-C3560-2上查看路由：

CGB-C3560-2>sh ip route | in 192.168.0
S 192.168.0.0/16 [1/0] via 192.168.1.254

下一跳刚好是VLAN 816（这个VLAN正好有一个192.168.0.0的地址），也就是说目的地址为192.168.0.242,在离开设备的时候就因为广播不到它，直接丢包。

这个办法经实验过来也是不行的，本来觉得就这样弄下去不可能弄好，除非换服务器，最后被告知，第二网卡的IP可以卡。峰回路转，于是很转到IP改成VLAN 3 192.168.3.90,网关没设（因为会冲突），在PC上做了一条主机路由：

route add -p 192.168.0.242 mask 255.255.255.255 192.168.3.254

然后同样是在执法局的H3C3600上做回程路由，终于通了。不容易！！

转载于:https://blog.51cto.com/xingno/384215