炒股配资网 为何Ping不通?

已知原因炒股配资网，ping 不通的原因还有哪些？

看图猜测，大概率是SW的ip routing disabled了。

推理1

假如，SW的ip routing enabled，且PC上设置gateway = 10.83.173.33 (SW vlanif 199)。PC完全可以Ping通 SW的10.83.173.49(SW vlanif 100)，全网都可以Ping通。

事实上PC无法Ping通 SW的10.83.173.49(SW vlanif 100)，故否决。

推理2

假如，PC设置的gateway是其它设备，且gateway没有配置阻止PC通信的access-list，PC也应该可以Ping通 SW的10.83.173.49(SW vlanif 100)，全网都可以Ping通。

事实上并不是，PC除了Ping通直连的10.83.173.33 (SW vlanif 199)，其它一切都无法Ping通，故否决。

问题来了，为何SW可以Ping通一切，保持全网畅通？

这个并不奇怪，既然SW可以Ping通 10.75.192.5，说明SW有自己的gateway，或者有一个接口位于10.75.192.5广播域里。

右侧的防火墙，一直是一个透明的存在，题主一直没有提到它，它的真实作用？

如果防火墙是通向Internet的网关，即内网(Inside)与Internet(Outside)安全过滤，是完全可以的。

Inside --- > outside流量在VLAN 199汇集，然后经防火墙ACL过滤并进入Internet。

Outside --- > inside流量经防火墙ACL过滤并允许进入，通过VLAN 199进入内网并路由分发。

但是，如果想让它担当全网的安全过滤却是不可以的，为什么呢？

它只有一个access vlan 199，无法过滤。

正确的做法，应该是配置为trunk mode并allowed所有需要过滤的vlan。（100、199，以及一切内网VLAN）。

而且，需要配置防火墙作为每一个VLAN的gateway，一个VLAN 对应一个VLAN子接口。VLAN之间的通信默认是deny的，需要手动permit。

SW上的ip routing需要disable，最好把所有的vlanif全部removed。

PC的gateway配置为防火墙在VLAN 199接口的IP地址。

通过以上配置，SW作为二层设备炒股配资网，负责VLAN的隔离。防火墙做三层设备，负责三层的IP Routing以及安全过滤ACL。

同辉配资提示：文章来自网络，不代表本站观点。