[SAMbI4]

Коллеги, сломал уже мозг себе...может вы поймете и ткнете носом.

Есть 2 роутера HP procurve, между ними на оптике поднят линк, по которому я отдаю vlan100

vlan 100 
name "Managment-VLAN" 
tagged 49 
ip address 10.10.100.1 255.255.255.0 
ip access-group "BLOCK-VLAN-100-in" in 
primary-vlan 
arp-protect 
exit

 

если посмотреть:

CORE# sh ip route 
IP Route Entries 
Destination Gateway VLAN Type Sub-Type Metric Dist. 
------------------ --------------- ---- --------- ---------- ---------- ----- 
10.10.100.0/24 Managment-VLAN 100 connected 1 0 
127.0.0.0/8 reject static 0 0 
127.0.0.1/32 lo0 connected 1 0

ок, влан поднялся, линк жив, смотрим arp таблицу:

CORE# sh arp 
IP ARP table 
IP Address MAC Address Type Port 
--------------- ----------------- ------- ---- 
10.10.100.2 fc15b4-9a74c1 dynamic 49 

 

отлично, все живо, второй роутер светиться...все хорошо.

на втором роутере такая-же петрушка....все светиться, и в arp таблице вижу первый роутер:

blade-10G-1# sh arp 
IP ARP table 
IP Address MAC Address Type Port 
--------------- ----------------- ------- ---- 
10.10.100.1 002561-352b00 dynamic 22

 

осталось только понять, почему нету пингов...хотя пакеты ходят:

CORE# sh int 
Status and Counters - Port Counters 
Flow Bcast 
Port Total Bytes Total Frames Errors Rx Drops Tx Ctrl Limit 
------ -------------- -------------- ------------ ------------ ---- ----- 
49 7,718,066 89,175 0 0 off 0

 

при этом, если я начинаю давать еще и 1 vlan в этот порт, то по 1 VLANу пинги ходят....ничего не понимаю, что за бред...прошу помочь, спасибо

[DejaVu]

А что в acl?

[SAMbI4]

ip access-list extended "BLOCK-VLAN-100-in"
    10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0
    20 permit ip 10.10.100.0 255.255.255.0 10.10.200.0 255.255.255.0
    30 permit icmp 10.10.100.0 255.255.255.0 10.10.1.0 255.255.255.0 0
    31 permit icmp 10.10.100.0 255.255.255.0 10.10.100.0 255.255.255.0
    40 permit udp 10.10.100.0 255.255.255.0 eq 123 10.10.1.10 0.0.0.0 eq 123
    50 permit tcp 10.0.10.1 0.0.0.0 eq 23 10.10.200.0 255.255.255.0
    60 permit icmp 10.0.10.0 255.255.255.0 10.10.200.0 255.255.255.0
    1000 deny ip 0.0.0.0 0.0.0.0 0.0.0.0 255.255.255.255 log
  exit

[NikAlexAn]

А если ацл-и убрать пинговаться будет?

 

PS:странные какие то записи "10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0".

Если это понимать как разрешить tcp с сети 10.10.100.0/24 на хост 10.10.100.1 то должно быть - 10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 255.255.255.255

Или если инвертированная маска - 10 permit tcp 10.10.100.0 0.0.0.255 10.10.100.1 0.0.0.0

Или аля cisco - 10 permit tcp 10.10.100.0 0.0.0.255 host 10.10.100.1

Изменено 25 сентября, 2015 пользователем NikAlexAn

[SAMbI4]

А если ацл-и убрать пинговаться будет?

 

PS:странные какие то записи "10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0".

Если это понимать как разрешить tcp с сети 10.10.100.0/24 на хост 10.10.100.1 то должно быть - 10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 255.255.255.255

Или если инвертированная маска - 10 permit tcp 10.10.100.0 0.0.0.255 10.10.100.1 0.0.0.0

Или аля cisco - 10 permit tcp 10.10.100.0 0.0.0.255 host 10.10.100.1

Сообщение отредактировал NikAlexAn: Сегодня, 13:09

а вот это

10 permit tcp 10.10.100.0 255.255.255.0 10.10.100.1 0.0.0.0

как раз и есть "host" HP сама такую маску подставляет.

аля цискин вилдкард не работает...тут своя логика...мне пока недоступная...

 

P.S. тему можно закрывать, решение найдено, команда - management-vlan 100