teer Posted February 4, 2015 (edited) · Report post Есть Cisco 7201 (c7200p-adventerprisek9-mz.152-4.M6.bin)у с кучкой dot1.q-интерфейсов, VPDN (PPTP, MPPE) и немного NetFlow. Столкнулся с такой загадкой: почему-то железка не форвардит трафик между подсетью 192.168.142.40/29 на интерфейсе Gi0/0.147 и некоторыми хостами: #sh ip cache flow | i SrcIf|192.168.142.44 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0.147 192.168.142.44 Null 192.168.200.7 01 0000 0000 165 Gi0/0.110 192.168.110.47 Gi0/0.147 192.168.142.44 01 0000 0800 1651 Gi0/0.147 192.168.142.44 Null 192.168.110.47 01 0000 0000 166 Т.е. с 192.168.110.47 и 192.168.200.7 адрес 192.168.142.44 не пингуется, что видно по DstIf==Null, НО в то же время с 192.168.110.5 и 192.168.200.7 (из тех же подсетей, что и пострадавшие хосты) замечательно пингуется. Сам маршрутизатор по адресу 192.168.142.41 тоже отовсюду пингуется. Никаких ACL запрещающих нигде нет (в т.ч. на 192.168.142.44), роутер пингует все стороны (с любых src ip). Стал отлаживать, но из интересного нашел только такие сообщени в debug ip cef drops на каждый ICMP reply: Feb 4 08:52:30 192.168.110.1 : CEF-Drop: Packet from 192.168.142.44 (Gi0/0.147) to 192.168.200.7, Link-layer broadcast/multicast Feb 4 08:52:31 192.168.110.1 : CEF-Drop: Packet from 192.168.142.44 (Gi0/0.147) to 192.168.110.47, Link-layer broadcast/multicast Т.е. IOS считает 192.168.110.47 и 192.168.200.7 броадкастовыми/мультикастовыми адресами (хотя там 192.168.110.0/24 и 192.168.200.7/32) и выкидывает пакеты. Что можно покрутить чтобы нормализовать роутинг? А то только-только подобрал IOS, где MPPE реально работает, а тут такая засада. P.S.: в логах только %IP_VFR-7-FEATURE_DISABLE_IN: VFR(in) is manually disabled through CLI; VFR support for features that have internally enabled, will be made available only when VFR is enabled manually on interface Virtual-Access39 при поднятии туннелей, неясно как это выключить. show-ip-cef-drop.txt Edited February 4, 2015 by teer Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
g3fox Posted February 4, 2015 · Report post Подозреваю, что циска под "Link-layer broadcast/multicast" имеет ввиду вовсе не IP-адреса, а MAC-и. Но к чему-бы это я не знаю. Может быть это как-то дальше завязано на RPF? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
teer Posted February 4, 2015 · Report post Тоже так подумал, поэтому первым делом сделал clear arp, плюс поменял MAC-адрес на сервере 192.168.110.47 (ну и проверил заодно что это случайно не L2-multicast MAC-адрес), не повлияло никак. Попробую посмотреть в сторону RPF, но навскидку в debug ip cef drops rpf - пусто. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...