真实案例分享，终端pc直接telnet不到出口路由器。

1、背景信息

我终端pc的网卡地址获取的网关是在核心交换机上，在核心交换机上telnet出口路由器可以实现。

所有终端网段都不能telnet出口路由器，客户希望能用最小的影响方式进行解决。

2、现有配置信息

• 终端的无线和有线分别在两个网段中，网关在核心交换机上。
• 核心交换机和出口路由器之间起trunk,通过vlanif联通。在出口路由器上的vlanif 1 上有策略路由，针对核心上的不同网段，优先走CT，备份走CU。两两相互备份。

3、 解决方式

• 针对这种场景是因为业务vlan和管理vlan划分的规划缺少，导致乐此失彼。
• 通过划分新的管理vlan，专门用于设备的管理配置解决。
• 在出口路由器上创建vlan 10 核心vlan 10，分别配置ip地址，连通性测试。telnet成功
• 客户设备是哪个上直接调整可行

4、 通过ensp模拟实验测试验证

出口路由器
vlan batch 10 20
#
acl number 3005  
 rule 5 permit ip source 192.168.11.0 0.0.0.255 
#
traffic classifier ceshi operator or
 if-match acl 3005
#
traffic behavior ceshi
 redirect ip-nexthop 1.1.1.1
#
traffic policy ceshi
 classifier ceshi behavior ceshi
#
aaa 

 local-user bothwin password cipher %$%$ky}8NG2PNP}5iQ9ja[1'[LlU%$%$
 local-user bothwin privilege level 15
 local-user bothwin service-type telnet terminal

#
interface Vlanif1
 ip address 10.1.1.1 255.255.255.0 
 traffic-policy ceshi inbound
#
interface Vlanif10
 ip address 2.2.2.2 255.255.255.0 
#
interface Vlanif20
 ip address 1.1.1.2 255.255.255.0 
#
interface Ethernet0/0/0
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 10
#
interface Ethernet0/0/2
 port link-type access
 port default vlan 20
#

#
ip route-static 192.168.11.0 255.255.255.0 10.1.1.2
#

user-interface vty 0
 authentication-mode aaa

核心交换机

vlan batch 10 to 11
#
 
interface Vlanif1
 ip address 10.1.1.2 255.255.255.0 
#
interface Vlanif10
 ip address 2.2.2.5 255.255.255.0 
#
interface Vlanif11
 ip address 192.168.11.1 255.255.255.0 
#
interface Ethernet0/0/0
 port link-type trunk
 port trunk allow-pass vlan 2 to 4094
#
interface Ethernet0/0/1
 port link-type access
 port default vlan 11
#

#
interface NULL0
#
ip route-static 2.2.2.0 255.255.255.0 10.1.1.1

其他比较简单。拓扑配置主页可以下载。