网络工程 - 瞻博网络 EX 交换机作为带有上行网络传输网络的路由器 - 吾爱随笔录

瞻博网络 EX 交换机作为带有上行网络传输网络的路由器

网络工程路由杜松交换

2022-02-09 19:30:05

所以我是杜松和网络的新手。在我的瞻博网络 EX4550 交换机上，我想为我的上游提供商设置一个传输网络。所以我的上游提供商为传输网络分配了一个 /30 子网：

提供商站点：5.5.5.17/30 我的站点：5.5.5.18/30

所以我的 /24 子网可以通过传输网络路由，例如 6.6.6.0/24

[上游] <---> [EX 交换机] <---> [主机系统] <---> [VM]

在我的交换机上，一个像 100 这样的 vlan 并分配了上游

interfaces {
    ge-0/0/0 {
        unit 0 {
            description "WAN";
            family ethernet-switching {
                port-mode trunk;
                native-vlan-id 100;
            }
        }
    }
    ge-0/0/2 {
        unit 0 {
            description "srv1";
            family ethernet-switching {
                port-mode trunk;
                native-vlan-id 200;
            }
        }
    }
    vlan {
        unit 100 {
            family inet {
                address 5.5.5.18/30;
            }
        }
        unit 200 {
            family inet {
                address 6.6.6.1/24;
            }
        }
    }
    me0 {
        unit 0 {
            family inet {
                address 10.0.0.2/24;
            }
        }
    }
}
vlans {
    wan {
        vlan-id 100;
        l3-interface vlan.100;
    }
    servers {
        vlan-id 200;
        l3-interface vlan.200;
    }
}

我的路由表：

inet.0: 5 destinations, 5 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

0.0.0.0/0          *[Static/5] 51w6d
                    > to 10.0.0.2 via me0.0
10.0.0.0/24        *[Direct/0] 47w0d 20:30:42
                    > via me0.0
10.0.0.2/32        *[Local/0] 51w6d 03:41:18
                      Local via me0.0
5.5.5.16/30        *[Local/0] 02:27:50
                      Local via vlan.100
5.5.5.18/32        *[Local/0] 02:27:50
                      Local via vlan.100
6.6.6.0/24         *[Direct/0] 00:23:52
                    > via vlan.200
6.6.6.1/32         *[Local/0] 00:23:52
                      Local via vlan.200

所以在我的端口 ge-0/0/2 上，我想连接一个服务器来提供虚拟机。因此，在第一步中，我为我的服务器 6.6.6.0/24 创建了一个新的 vlan 200，并将 ip 6.6.6.1/24 分配给了 l3 接口。所以我可以从我的虚拟机或服务器 ping ip 6.6.6.1。那是有效的。

但我不知道如何通过传输网络 5.5.5.18/30 路由子网 6.6.6.0/24。所以从我的交换机我可以ping供应商网站。

所以默认路由0.0.0.0/0指向me0接口连接我的vpn的交换机。vpn 与 me0 接口直接位于同一子网中。我不清楚如何正确地为子网构建路由。

2个回答

该me0接口用于管理流量，不能用于转发/路由来自数据平面的数据包。可以将me0其视为只应用于 SSH、SNMP 或连接到带外管理网络之类的接口。

我认为您实际上并不打算在现阶段在管理和数据平面之间创建这种细分。因此，请记住，当您阅读此答案时，我想回答您的直接问题（如何让您的虚拟机通过上游与 Internet 对话ge-0/0/0）并帮助您继续通过me0.

最简单的配置是将私有 IP 分配给您的me0接口，并让您的 VPN 连接使用 NAT，因此您在家中的 SSH 会话来自 RFC1918 IP 而不是公共 IP。

如果这是真的（show users说您来自例如 10.xxx IP），您可以简单地删除现有的默认路由，并将其替换为上游的新路由。例如：

        /----------\
        | upstream |
        \----------/
             |
        192.0.2.0/30 (.1 upstream, .2 you) ge-0/0/0
             |
         /--------\                           /-------------\
         | EX4550 |-------me0 10.0.0.2/24-----| vpn gateway |
         \--------/                           |  10.0.0.1   |
                                              \-------------/
                                                    |
                                              /-------------\
                                              | remote user |
                                              |  10.x.x.x   |
                                              \-------------/ 

routing-options {
  rib inet.0 {
    static {
      route 0.0.0.0/0 {
        next-hop 192.0.2.1;
      }
      route 10.0.0.0/8 {
        next-hop 10.0.0.1;
      }
    }
  }
}

请注意，远程用户将无法通过上游连接 Internet，并且除非vpn 网关也具有某些路由表配置，否则他们将无法访问 VM 。

更高级的配置将me0放入 VRF。不过，这不是新网络运营商的话题。

从 WAN 到 6.6.6.0/24 的路由需要由您的 ISP 完成。他们要么设置静态路由，要么您使用 BGP 来通告子网（或您同意的任何其他方法）。

从 6.6.6.0/24 到 WAN 的路由只需要主机上的默认路由指向瞻博网络的 VLAN 200 接口 6.6.6.1/24。Juniper 的默认路由需要指向您的 ISP 路由器 5.5.5.17。

我不知道 VPN 在哪里发挥作用 - 你可能需要详细说明。

但是，您也确实需要防火墙——不是为了路由，而是为了安全。请记住，互联网是一个充满敌意的地方，几乎所有设备都需要在前面安装防火墙。

其它你可能感兴趣的问题