SAMbI4 Posted September 25, 2015 · Report post Коллеги, сломал уже мозг себе...может вы поймете и ткнете носом. Есть 2 роутера HP procurve, между ними на оптике поднят линк, по которому я отдаю vlan100 vlan 100 name "Managment-VLAN" tagged 49 ip address 10.10.100.1 255.255.255.0 ip access-group "BLOCK-VLAN-100-in" in primary-vlan arp-protect exit если посмотреть: CORE# sh ip route IP Route Entries Destination Gateway VLAN Type Sub-Type Metric Dist. ------------------ --------------- ---- --------- ---------- ---------- ----- 10.10.100.0/24 Managment-VLAN 100 connected 1 0 127.0.0.0/8 reject static 0 0 127.0.0.1/32 lo0 connected 1 0 ок, влан поднялся, линк жив, смотрим arp таблицу: CORE# sh arp IP ARP table IP Address MAC Address Type Port --------------- ----------------- ------- ---- 10.10.100.2 fc15b4-9a74c1 dynamic 49 отлично, все живо, второй роутер светиться...все хорошо. на втором роутере такая-же петрушка....все светиться, и в arp таблице вижу первый роутер: blade-10G-1# sh arp IP ARP table IP Address MAC Address Type Port --------------- ----------------- ------- ---- 10.10.100.1 002561-352b00 dynamic 22 осталось только понять, почему нету пингов...хотя пакеты ходят: CORE# sh int Status and Counters - Port Counters Flow Bcast Port Total Bytes Total Frames Errors Rx Drops Tx Ctrl Limit ------ -------------- -------------- ------------ ------------ ---- ----- 49 7,718,066 89,175 0 0 off 0 при этом, если я начинаю давать еще и 1 vlan в этот порт, то по 1 VLANу пинги ходят....ничего не понимаю, что за бред...прошу помочь, спасибо Share this post Link to post Share on other sites
DejaVu Posted September 25, 2015 · Report post А что в acl? Share this post Link to post Share on other sites
SAMbI4 Posted September 25, 2015 · Report post ip access-list extended "BLOCK-VLAN-100-in" 10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0 20 permit ip 10.10.100.0 255.255.255.0 10.10.200.0 255.255.255.0 30 permit icmp 10.10.100.0 255.255.255.0 10.10.1.0 255.255.255.0 0 31 permit icmp 10.10.100.0 255.255.255.0 10.10.100.0 255.255.255.0 40 permit udp 10.10.100.0 255.255.255.0 eq 123 10.10.1.10 0.0.0.0 eq 123 50 permit tcp 10.0.10.1 0.0.0.0 eq 23 10.10.200.0 255.255.255.0 60 permit icmp 10.0.10.0 255.255.255.0 10.10.200.0 255.255.255.0 1000 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 255.255.255.255 log exit Share this post Link to post Share on other sites
NikAlexAn Posted September 25, 2015 (edited) · Report post А если ацл-и убрать пинговаться будет? PS:странные какие то записи "10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0". Если это понимать как разрешить tcp с сети 10.10.100.0/24 на хост 10.10.100.1 то должно быть - 10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 255.255.255.255 Или если инвертированная маска - 10 permit tcp 10.10.100.0 0.0.0.255 10.10.100.1 0.0.0.0 Или аля cisco - 10 permit tcp 10.10.100.0 0.0.0.255 host 10.10.100.1 Edited September 25, 2015 by NikAlexAn Share this post Link to post Share on other sites
SAMbI4 Posted September 25, 2015 · Report post А если ацл-и убрать пинговаться будет? PS:странные какие то записи "10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0". Если это понимать как разрешить tcp с сети 10.10.100.0/24 на хост 10.10.100.1 то должно быть - 10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 255.255.255.255 Или если инвертированная маска - 10 permit tcp 10.10.100.0 0.0.0.255 10.10.100.1 0.0.0.0 Или аля cisco - 10 permit tcp 10.10.100.0 0.0.0.255 host 10.10.100.1 Сообщение отредактировал NikAlexAn: Сегодня, 13:09 а вот это 10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0 как раз и есть "host" HP сама такую маску подставляет. аля цискин вилдкард не работает...тут своя логика...мне пока недоступная... P.S. тему можно закрывать, решение найдено, команда - management-vlan 100 Share this post Link to post Share on other sites
