网络现状描述

当前网络为某企业分支网络，拓扑如图1所示，通过电信专线分别接入总部及互联网，出口路由器分别配置内网IP及运营商分配的外网接入IP，通过配置静态路由结合默认路由实现访问内网10.0.0.0/8网段流量通过内网专线转发至总部侧的汇聚交换机，其他流量通过外网专线链路接入运营商网络，出口路由器同时作为DHCP服务器为内网用户分配私网IP地址，并做NAT地址转换。

图1 改造前网络拓扑

问题提出

总部出于安全管控及实施安全审计策略的目的，要求各下属单位不得通过网络设备进行地址转换接入内网，要严格按照总部给各单位分配的网段进行内网接入，网关要配置在总部汇聚交换机上。

初步解决方案

按照常规做法，应在关闭分支出口路由器NAT功能后，由总部分配内网设备互联地址，并回指分部内网业务网段路由到分支出口路由器互联地址。但经了解，总部网络接入机房为无人值守站点，且协调设备配置调整流程较为繁琐无法在短期内通过该方式解决问题。备选方案是在主机上配置内、外网IP各一，内网IP不配置默认网关，外网IP配置默认网关，去掉内、外网专线接入路由器，直接将进线连接到交换机的两个接口上，在主机上通过route命令配置一条到10/8网段的静态路由，下一跳地址指向总部内网网关，外网通过默认路由接入互联网。经分析该方式虽能满足需求，但近百台主机配置工作量较大，急需一种简便易行的方法解决问题。

最终解决方法

（1）物理连接调整

使用一台3层交换机替换原有普通二层交换机，将原连接至出口路由器的内网专线调整至新交换机，其余连接保持不变，调整后的拓扑如图2所示。

（2）设备配置调整

首先，在三层交换机建立 10、20、30 三 个 VLAN，其中vlan30与总部内网互联、vlan20与出口路由器互联、vlan10连接内部用户PC。依据总部为该分支分配了一个10.43.108.0/24的C类网段，统计后内网终端数量不超过100台，可将该网段划分为两个子网，其中10.43.108.128/25作为与内网汇聚交换机互联用，interface-vlan30接 口 配置10.43.108.198/25地 址，10.43.108.0/25为用户分配地 址，interface-vlan10分 配10.43.108.126/25地址，作为该网段用户接入网关。Interfacevlan20配置 192.168.1.2/24做为与出口路由器的互联地址。交换机配置一条静态路由，其中10.0/8网段指向总部汇聚交换机地址10.43.108.193共内网接入使用，配置一条默认路由下一跳指向出口路由器互联地址192.168.1.1，连接 Internet。

其次，考虑简化用户IP地址信息分配，仍沿用通过出口路由器DHCP自动分配的方式，但需要对出口路由器配置做一定调整，将原有DHCP 池地址改为10.43.108.0/25,网关为10.43.108.126（交换机interfacevlan10地址）。路由器配置到10.43.108.0/25网段的回程路由，下一跳指向192.168.1.2（交换机 interface-vlan20地址）从而保证内部网络的连通性。由于交换机划分了VLAN，用户PC与路由器不在同一VLAN，用户的DHCP请求广播无法跨越VLAN传递至出口路由器，需要在交换机用户接入vlan10中配置DHCP-relay（DHCP中继），从而保证PC正常获得由出口路由器分配的10.43.108.0/25网段的IP信息。

图1 改造后网络拓扑

dhcp relay server-group 10 ip 192.168.1.1 //配置dhcp服务器为出口路由器地址

通过上述配置后，可以通过下面命令查看交换机当前的DHCP中继状态（dhcp server与client的数据交互统计信息）

完成上述配置后PC机正常获得地址，可正常访问Internet，但无法访问信息内网，在三层交换机上Ping内网汇聚交换机地址正常，说明网络通道没有问题，在交换机上debugging arp packet命令发现在主机Ping内网汇聚交换机地址时，收到对端汇聚交换机发送的ARP请求：

sender_ip_addr:10.43.108.193,target_eth_addr:0000-0000-0000, target_ip_addr:10.43.108.1 *Mar 18 15:46:44:265 2015 HX_S3700 ARP/7/arp_rcv: Receive an ARP Packet, operation:1,sender_eth_addr:000f-e200-0201

但没有任何ARP相应信息。究其根本原因对于上游汇聚交换机10.43.108.0/24网段为直连路由，当有去往该网段的数据包时，会直接通过10.43.108.193接口发送ARP请求目的主机的MAC地址，后重新封包、发送至目标主机。由于接入交换机划分子网和VLAN后，vlan20收到的ARP广播不可能扩散至vlan10的主机中，因此上游交换机无法获得主机MAC地址从而无法重新封装数据包转发至目标主机。通过在交换机vlan30中使用 [HX_S3700-Vlan-interface30]proxy-arp enable 命令开启ARP代理功能后interface-vlan30接口代表vlan10中的PC响应上游75交换机发送的ARP请求，汇聚交换机将去往 128/25网段主机的MAC地址都会对应到interfacevlan 30 的接口MAC上，数据包发送过来的后，交换机根据直连路由表转发数据包至vlan10中的主机从而保证了主机正常访问内网。开启代理ARP后，debugging arp packet输出信息 Send an ARP Packet,operation: 2,sender_eth_addr:000f-e200-0101,sender_ip_addr : 10.43.108.1, target_eth_addr :000f-e200-0201,target_ip_addr:10.43.108.193，其中 108.1为PC自动换取的IP，MAC地址000f-e200-0101为交换机interface-vlan30的MAC地址，该信息说明交换机代表PC对上游汇聚交换机发送的ARP请求予以了相应。至此PC已能够正常访问总部内网及Internet，问题得到较好解决。