SAMbI4 Опубликовано 25 сентября, 2015 · Жалоба Коллеги, сломал уже мозг себе...может вы поймете и ткнете носом. Есть 2 роутера HP procurve, между ними на оптике поднят линк, по которому я отдаю vlan100 vlan 100 name "Managment-VLAN" tagged 49 ip address 10.10.100.1 255.255.255.0 ip access-group "BLOCK-VLAN-100-in" in primary-vlan arp-protect exit если посмотреть: CORE# sh ip route IP Route Entries Destination Gateway VLAN Type Sub-Type Metric Dist. ------------------ --------------- ---- --------- ---------- ---------- ----- 10.10.100.0/24 Managment-VLAN 100 connected 1 0 127.0.0.0/8 reject static 0 0 127.0.0.1/32 lo0 connected 1 0 ок, влан поднялся, линк жив, смотрим arp таблицу: CORE# sh arp IP ARP table IP Address MAC Address Type Port --------------- ----------------- ------- ---- 10.10.100.2 fc15b4-9a74c1 dynamic 49 отлично, все живо, второй роутер светиться...все хорошо. на втором роутере такая-же петрушка....все светиться, и в arp таблице вижу первый роутер: blade-10G-1# sh arp IP ARP table IP Address MAC Address Type Port --------------- ----------------- ------- ---- 10.10.100.1 002561-352b00 dynamic 22 осталось только понять, почему нету пингов...хотя пакеты ходят: CORE# sh int Status and Counters - Port Counters Flow Bcast Port Total Bytes Total Frames Errors Rx Drops Tx Ctrl Limit ------ -------------- -------------- ------------ ------------ ---- ----- 49 7,718,066 89,175 0 0 off 0 при этом, если я начинаю давать еще и 1 vlan в этот порт, то по 1 VLANу пинги ходят....ничего не понимаю, что за бред...прошу помочь, спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DejaVu Опубликовано 25 сентября, 2015 · Жалоба А что в acl? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SAMbI4 Опубликовано 25 сентября, 2015 · Жалоба ip access-list extended "BLOCK-VLAN-100-in" 10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0 20 permit ip 10.10.100.0 255.255.255.0 10.10.200.0 255.255.255.0 30 permit icmp 10.10.100.0 255.255.255.0 10.10.1.0 255.255.255.0 0 31 permit icmp 10.10.100.0 255.255.255.0 10.10.100.0 255.255.255.0 40 permit udp 10.10.100.0 255.255.255.0 eq 123 10.10.1.10 0.0.0.0 eq 123 50 permit tcp 10.0.10.1 0.0.0.0 eq 23 10.10.200.0 255.255.255.0 60 permit icmp 10.0.10.0 255.255.255.0 10.10.200.0 255.255.255.0 1000 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 255.255.255.255 log exit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 25 сентября, 2015 (изменено) · Жалоба А если ацл-и убрать пинговаться будет? PS:странные какие то записи "10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0". Если это понимать как разрешить tcp с сети 10.10.100.0/24 на хост 10.10.100.1 то должно быть - 10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 255.255.255.255 Или если инвертированная маска - 10 permit tcp 10.10.100.0 0.0.0.255 10.10.100.1 0.0.0.0 Или аля cisco - 10 permit tcp 10.10.100.0 0.0.0.255 host 10.10.100.1 Изменено 25 сентября, 2015 пользователем NikAlexAn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SAMbI4 Опубликовано 25 сентября, 2015 · Жалоба А если ацл-и убрать пинговаться будет? PS:странные какие то записи "10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0". Если это понимать как разрешить tcp с сети 10.10.100.0/24 на хост 10.10.100.1 то должно быть - 10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 255.255.255.255 Или если инвертированная маска - 10 permit tcp 10.10.100.0 0.0.0.255 10.10.100.1 0.0.0.0 Или аля cisco - 10 permit tcp 10.10.100.0 0.0.0.255 host 10.10.100.1 Сообщение отредактировал NikAlexAn: Сегодня, 13:09 а вот это 10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0 как раз и есть "host" HP сама такую маску подставляет. аля цискин вилдкард не работает...тут своя логика...мне пока недоступная... P.S. тему можно закрывать, решение найдено, команда - management-vlan 100 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...