Новые ответы

Cisco 877 маршрутизация между VLANами,

vb1442, 30-Ноя-12, 17:23 [смотреть все]

Народ ! Помогите - что-то туплю не по-детски, а где? - понять не могу. Есть Cisco 877, но порт ADSL сейчас не использую. На interface FastEthernet3 подключен провайдер, на interface FastEthernet0 основная локалка, а на FastEthernet2 включил дополнительную сеть. Так вот: ping с копьютера основной сети не идет на ком.дополнительной сети. Что не так сделал?
Конфиг циски:
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Br877
!
boot-start-marker
boot system flash c870-advipservicesk9-mz.124-9.T.bin
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
ip domain name XXXXXXXX
ip name-server XX.XX.XX.XXX
ip name-server YYY.YY.Y.YY
ip inspect name srv ssh
ip inspect name srv telnet
!
!
username xxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
archive
log config
  hidekeys
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 1800
crypto isakmp key 6 xxxxxxxKey address PROVIDER_IP PROVIDER_MASK no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 1800 periodic
!
crypto ipsec security-association lifetime seconds 28800
!
crypto ipsec transform-set BNK esp-3des esp-sha-hmac
!
crypto map IPSec_Policy 20 ipsec-isakmp
set peer PROVIDER_IP
set transform-set BNK
set pfs group2
match address ipsec_acc
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 3
!
interface Vlan1
description Link to LAN
ip address 10.16.0.1 255.255.255.0
ip tcp adjust-mss 1452
!
interface Vlan3
description Link to Provider
ip address dhcp
ip access-group Tun_IN in
ip access-group Tun_OUT out
ip tcp adjust-mss 1452
crypto map IPSec_Policy
!
interface Vlan2
description local network 2
ip address 172.25.0.253 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 DEF_GATE_PROVIDER
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip access-list extended Tun_IN
permit icmp any any
permit ip host INTERNET_IP host MY_OUT_IP
permit udp any any eq bootpc
deny   ip any any
ip access-list extended Tun_OUT
permit icmp any any
permit ip host MY_OUT_IP host INTERNET_IP
permit udp any any eq bootpc
deny   ip any any
ip access-list extended ipsec_BNK
permit ip XX.XX.X.X 0.0.0.255 XX.0.0.0 0.255.255.255
permit ip host YYY.YY.Y.Y XX.0.0.0 0.255.255.255
!
access-list 23 permit INTERNET_IP
access-list 23 permit XX.X.X.X 0.0.0.255
access-list 23 permit 10.16.0.0 0.0.0.255
access-list 23 permit 172.25.0.0 0.0.0.255
no cdp run
!
!
!
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end

Ответить | Сообщить модератору

Cisco 877 маршрутизация между VLANами, zymophore, 12:38 , 01-Дек-12 (1)
Криминала вроде не видать.
Тут не мешало бы увидеть вывод от sh vlan-switch и убедится что сам VLAN2 создан, ну и sh ip int brie чтобы посмотреть в каком состоянии у тебя сам интерфейс VLAN2
Ответить | Сообщить модератору

Cisco 877 маршрутизация между VLANами, vb1442, 11:17 , 03-Дек-12 (3)
> Криминала вроде не видать.
> Тут не мешало бы увидеть вывод от sh vlan-switch и убедится что
> сам VLAN2 создан, ну и sh ip int brie чтобы посмотреть
> в каком состоянии у тебя сам интерфейс VLAN2
Br877#sh vlan-switch
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0, Fa1
2    VLAN0002                         active    Fa2
3    VLAN0003                         active    Fa3
1002 fddi-default                     active
1003 token-ring-default               active
1004 fddinet-default                  active
1005 trnet-default                    active
VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        1002   1003
2    enet  100002     1500  -      -      -        -    -        0      0
3    enet  100003     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        1      1003
1003 tr    101003     1500  1005   0      -        -    srb      1      1002
1004 fdnet 101004     1500  -      -      1        ibm  -        0      0
1005 trnet 101005     1500  -      -      1        ibm  -        0      0
Br877#
Br877#sh ip int brie
Interface                  IP-Address      OK? Method Status                Protocol
FastEthernet0              unassigned      YES unset  up                    up
FastEthernet1              unassigned      YES unset  up                    down
FastEthernet2              unassigned      YES unset  up                    up
FastEthernet3              unassigned      YES unset  up                    up
ATM0                       unassigned      YES NVRAM  administratively down down
ATM0.1                     unassigned      YES unset  deleted               down
Vlan1                      10.16.0.1       YES NVRAM  up                    up
Vlan3                      91.203.25.234   YES DHCP   up                    up
Vlan2                      172.25.0.253    YES manual up                    up
Br877#
В том то и дело, что вижу "все активно". С роутера ping 172.25.0.4 идет "на ура", также с роутера ping 10.16.0.2 тоже идет. А вот с машины 10.16.0.2 ping 172.25.0.4 никак !!! При этом с машины 10.16.0.2 ping 172.25.0.253 проходит. Вот тут я в "ступор" и вхожу :)
Ответить | Сообщить модератору

Cisco 877 маршрутизация между VLANами, Serb, 10:57 , 02-Дек-12 (2)
>[оверквотинг удален]
>  no modem enable
> line aux 0
> line vty 0 4
>  access-class 23 in
>  privilege level 15
>  login local
>  transport input telnet ssh
> !
> scheduler max-task-time 5000
> end
ping c router к компам есть?

sh int vlan 2
ping 172.25.0.253
ну и vlan database проверить

Ответить | Сообщить модератору

Cisco 877 маршрутизация между VLANами, jied83, 14:41 , 03-Дек-12 (4)
>[оверквотинг удален]
>>  privilege level 15
>>  login local
>>  transport input telnet ssh
>> !
>> scheduler max-task-time 5000
>> end
> ping c router к компам есть?
> sh int vlan 2
> ping 172.25.0.253
> ну и vlan database проверить
sh ip route
и проверьте фаерволы на компах

Ответить | Сообщить модератору

Cisco 877 маршрутизация между VLANами, vb1442, 15:03 , 03-Дек-12 (5)
> sh ip route
> и проверьте фаерволы на компах
Br877#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route
Gateway of last resort is 91.203.27.254 to network 0.0.0.0
     172.25.0.0/24 is subnetted, 1 subnets
C       172.25.0.0 is directly connected, Vlan2
     10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       10.16.0.0/24 is directly connected, Vlan1
S       10.192.109.254/32 [254/0] via 91.203.27.254, Vlan3
     91.0.0.0/22 is subnetted, 1 subnets
C       91.203.24.0 is directly connected, Vlan3
S*   0.0.0.0/0 [1/0] via 91.203.27.254
Br877#
Вроде как все правильно ?
Файервола на PC 10.16.0.2 вообще не поднято - голый linux без iptables
Какие еще мысли ???
Ответить | Сообщить модератору

Cisco 877 маршрутизация между VLANами, jied83, 15:04 , 03-Дек-12 (6)
>[оверквотинг удален]
> masks
> C       10.16.0.0/24 is directly connected, Vlan1
> S       10.192.109.254/32 [254/0] via 91.203.27.254, Vlan3
>      91.0.0.0/22 is subnetted, 1 subnets
> C       91.203.24.0 is directly connected, Vlan3
> S*   0.0.0.0/0 [1/0] via 91.203.27.254
> Br877#
> Вроде как все правильно ?
> Файервола на PC 10.16.0.2 вообще не поднято - голый linux без iptables
> Какие еще мысли ???
ip route на компах
Ответить | Сообщить модератору

Cisco 877 маршрутизация между VLANами, vb1442, 15:06 , 03-Дек-12 (7)
> ip route на компах
[root@BrvFS ~]# ip route
10.16.0.0/24 dev eth0 proto kernel scope link src 10.16.0.2
169.254.0.0/16 dev eth0 scope link
default via 10.16.0.1 dev eth0
[root@BrvFS ~]#

Ответить | Сообщить модератору

Cisco 877 маршрутизация между VLANами, jied83, 15:15 , 03-Дек-12 (8)
>> ip route на компах
> [root@BrvFS ~]# ip route
> 10.16.0.0/24 dev eth0 proto kernel scope link src 10.16.0.2
> 169.254.0.0/16 dev eth0 scope link
> default via 10.16.0.1 dev eth0
> [root@BrvFS ~]#
а на втором компе?
ну и укажите на fast ах switchport mode access....
иии я припоминаю, что где-то здесь всплывала проблема похожая при использовании дефолтового влана
Ответить | Сообщить модератору

Cisco 877 маршрутизация между VLANами, vb1442, 15:37 , 03-Дек-12 (9)
> ip route на компах
Вы меня натолкнули на мысль ! Спасибо. Дело в том, что на адресе 172.25.0.4 стоит cisco 861 (это WAN-интерфейс). Думаю, что на ней как-то "неправильно" default routing прописан. Сейчас попробую организовать как-то доступ до этой железки, посмотрю настройки, затем отпишусь.
Ответить | Сообщить модератору
Cisco 877 маршрутизация между VLANами, vb1442, 16:21 , 03-Дек-12 (10)
> ip route на компах
Еще раз спасибо !!! "Все гениальное - просто !!!" На 861циске с адресом 172.25.0.4 вообще не было дефолтной маршрутизации. Поправил - все заработало. Еще раз - СПАСИБО !
Тема закрыта.
Ответить | Сообщить модератору