teer Опубликовано 4 февраля, 2015 (изменено) · Жалоба Есть Cisco 7201 (c7200p-adventerprisek9-mz.152-4.M6.bin)у с кучкой dot1.q-интерфейсов, VPDN (PPTP, MPPE) и немного NetFlow. Столкнулся с такой загадкой: почему-то железка не форвардит трафик между подсетью 192.168.142.40/29 на интерфейсе Gi0/0.147 и некоторыми хостами: #sh ip cache flow | i SrcIf|192.168.142.44 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Gi0/0.147 192.168.142.44 Null 192.168.200.7 01 0000 0000 165 Gi0/0.110 192.168.110.47 Gi0/0.147 192.168.142.44 01 0000 0800 1651 Gi0/0.147 192.168.142.44 Null 192.168.110.47 01 0000 0000 166 Т.е. с 192.168.110.47 и 192.168.200.7 адрес 192.168.142.44 не пингуется, что видно по DstIf==Null, НО в то же время с 192.168.110.5 и 192.168.200.7 (из тех же подсетей, что и пострадавшие хосты) замечательно пингуется. Сам маршрутизатор по адресу 192.168.142.41 тоже отовсюду пингуется. Никаких ACL запрещающих нигде нет (в т.ч. на 192.168.142.44), роутер пингует все стороны (с любых src ip). Стал отлаживать, но из интересного нашел только такие сообщени в debug ip cef drops на каждый ICMP reply: Feb 4 08:52:30 192.168.110.1 : CEF-Drop: Packet from 192.168.142.44 (Gi0/0.147) to 192.168.200.7, Link-layer broadcast/multicast Feb 4 08:52:31 192.168.110.1 : CEF-Drop: Packet from 192.168.142.44 (Gi0/0.147) to 192.168.110.47, Link-layer broadcast/multicast Т.е. IOS считает 192.168.110.47 и 192.168.200.7 броадкастовыми/мультикастовыми адресами (хотя там 192.168.110.0/24 и 192.168.200.7/32) и выкидывает пакеты. Что можно покрутить чтобы нормализовать роутинг? А то только-только подобрал IOS, где MPPE реально работает, а тут такая засада. P.S.: в логах только %IP_VFR-7-FEATURE_DISABLE_IN: VFR(in) is manually disabled through CLI; VFR support for features that have internally enabled, will be made available only when VFR is enabled manually on interface Virtual-Access39 при поднятии туннелей, неясно как это выключить. show-ip-cef-drop.txt Изменено 4 февраля, 2015 пользователем teer Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
g3fox Опубликовано 4 февраля, 2015 · Жалоба Подозреваю, что циска под "Link-layer broadcast/multicast" имеет ввиду вовсе не IP-адреса, а MAC-и. Но к чему-бы это я не знаю. Может быть это как-то дальше завязано на RPF? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
teer Опубликовано 4 февраля, 2015 · Жалоба Тоже так подумал, поэтому первым делом сделал clear arp, плюс поменял MAC-адрес на сервере 192.168.110.47 (ну и проверил заодно что это случайно не L2-multicast MAC-адрес), не повлияло никак. Попробую посмотреть в сторону RPF, но навскидку в debug ip cef drops rpf - пусто. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...