[Kazam]

Добрый день!

 

Прошу помощи по настройке маршрутизации между sub-interface на Cisco Router.

Схема работы такая:

 

interface GigabitEthernet0/1

description Trunk port for catalyst // транк в сторону Catalyst (приходят vlan 1, 98, 3801)

no ip address

duplex full

speed auto

no mop enabled

!

interface GigabitEthernet0/1.98 // Тут все прекрасно

description SubInterface for vlan 98

encapsulation dot1Q 98

ip address 10.255.255.120 255.255.255.0

no cdp enable

!

 

interface GigabitEthernet0/1.100 //Это сеть клиентских машин

description SubInterface for OFFICE on vlan 100

encapsulation dot1Q 100

ip address 192.168.0.1 255.255.255.0

ip nat inside

ip virtual-reassembly

no cdp enable

!

interface GigabitEthernet0/1.3801 //А вот тут проблемы

encapsulation dot1Q 3801

no cdp enable

ip address 10.235.63.253 255.255.254.0 // Для меня шлюз 10.235.63.254

!

 

За данным интерфейсом сидит подсеть 10.235.62.0-10.235.63.254. Необходимо чтобы клиенты из сети 192.168.0.10/24 могли туда ходить.

 

За интерфейсом GigabitEthernet0/1.98 аналогичная подсеть, только с маской /24. Сюда клиенты ходят спокойно.

 

В текущем виде с cisco router спокойно пингуется 10.235.62.0-10.235.63.254. А с клиентов 192.168.0.0/24 - нет.

 

Пробывал прописывать static route , типа: route 10.235.62.0 255.255.255.0 10.235.63.254 - ноль реакции.

Понимаю что решение простое, но.

Благодарю за комментарии.

[zhenya`]

Зачем маршруты, если сети connected.

[Kazam]

Зачем маршруты, если сети connected.

 

наверное затем, что не работает. Почему-то cisco при получении пакета от клиента, не отправляет его на нужный хост.

[orlik]

наверное просто нужно поменять маску p address 10.235.63.253 255.255.254.0 на 255.255.255.252

 

наверное затем, что не работает

Вы вдумайтесь над тем что вам пишут. У вас сеть которую вы пытаешь маршрутизировать описана как коннектед , вы либо попутали что-то с маской , как я уже написал , либо у вас неправильно настроена маршрутизация

[Gromozeka]

В текущем виде с cisco router спокойно пингуется 10.235.62.0-10.235.63.254. А с клиентов 192.168.0.0/24 - нет.

 

1. А с каких клиентов с сети....? Если с 10.253.62.0/23, то я как понимаю у Вас на GigabitEthernet0/1.100 внутренняя сеть за NATom и как Вы её собираетесь из вне пинговать - она же прикрыта NATom.

 

2. Как Вам уже сказали на самой кошку не каких маршрутов прописывать не надо - у Вас все сети сидят на интерфейсах самой этой кошки и она обо всех их знает (коннектед).

Edited June 1, 2016 by Gromozeka

[Kazam]

В текущем виде с cisco router спокойно пингуется 10.235.62.0-10.235.63.254. А с клиентов 192.168.0.0/24 - нет.

 

1. А с каких клиентов с сети....? Если с 10.253.62.0/23, то я как понимаю у Вас на GigabitEthernet0/1.100 внутренняя сеть за NATom и как Вы её собираетесь из вне пинговать - она же прикрыта NATom.

 

2. Как Вам уже сказали на самой кошку не каких маршрутов прописывать не надо - у Вас все сети сидят на интерфейсах самой этой кошки и она обо всех их знает (коннектед).

 

1. хочу ходить с клиентов 192.168.0.0/24 на сеть 10.235.63.0/23

2. GigabitEthernet0/1.100 и GigabitEthernet0/1.3801 физически один интерфейс (разные тэги), потому и спрашиваю про маршрут, несмотря на то что кошка пишет connected, все равно не ходит.

[SergeiK]

В текущем виде с cisco router спокойно пингуется 10.235.62.0-10.235.63.254. А с клиентов 192.168.0.0/24 - нет.

 

1. А с каких клиентов с сети....? Если с 10.253.62.0/23, то я как понимаю у Вас на GigabitEthernet0/1.100 внутренняя сеть за NATom и как Вы её собираетесь из вне пинговать - она же прикрыта NATom.

 

2. Как Вам уже сказали на самой кошку не каких маршрутов прописывать не надо - у Вас все сети сидят на интерфейсах самой этой кошки и она обо всех их знает (коннектед).

 

1. хочу ходить с клиентов 192.168.0.0/24 на сеть 10.235.63.0/23

2. GigabitEthernet0/1.100 и GigabitEthernet0/1.3801 физически один интерфейс (разные тэги), потому и спрашиваю про маршрут, несмотря на то что кошка пишет connected, все равно не ходит.

Как минимум, надо увидеть:

sh ip int

sh ip route

 

И ipconfig с клиента.

[Gromozeka]

Хорошо, исходим из того что чудес не бывает.

 

на машинах из 192.168.0.0/24:

1. в cmd набери route print

2. в cmd набери tracert 10.253.63.253

3. в cmd набери tracert 10.253.6X.XXX (адрес любого существ. хоста без вайервола)

 

и выложи сюда все что эти комманды выдадут...

[Kazam]

sh ip route connected

C       10.255.255.0/24 is directly connected, GigabitEthernet0/1.98
C       10.1.159.0/24 is directly connected, GigabitEthernet0/0
C       10.235.62.0/23 is directly connected, GigabitEthernet0/1.3801
C    192.168.0.0/24 is directly connected, GigabitEthernet0/1.100

sh ip int

GigabitEthernet0/1 is up, line protocol is up
 Internet protocol processing disabled
GigabitEthernet0/1.98 is up, line protocol is up
 Internet address is 10.255.255.120/24
 Broadcast address is 255.255.255.255
 Address determined by setup command
 MTU is 1500 bytes
 Helper address is not set
 Directed broadcast forwarding is disabled
 Outgoing access list is not set
Inbound  access list is not set
 Proxy ARP is enabled
 Local Proxy ARP is disabled
 Security level is default
 Split horizon is enabled
 ICMP redirects are always sent
 ICMP unreachables are always sent
 ICMP mask replies are never sent
 IP fast switching is enabled
 IP fast switching on the same interface is enabled
 IP Flow switching is disabled
 IP CEF switching is enabled
 IP CEF Feature Fast switching turbo vector
 IP multicast fast switching is enabled
 IP multicast distributed fast switching is disabled
 IP route-cache flags are Fast, CEF
 Router Discovery is disabled
 IP output packet accounting is disabled
 IP access violation accounting is disabled
 TCP/IP header compression is disabled
 RTP/IP header compression is disabled
 Policy routing is disabled
 Network address translation is disabled
BGP Policy Mapping is disabled
 WCCP Redirect outbound is disabled
 WCCP Redirect inbound is disabled
 WCCP Redirect exclude is disabled

GigabitEthernet0/1.100 is up, line protocol is up
 Internet address is 192.168.0.1/24
 Broadcast address is 255.255.255.255
 Address determined by setup command
 MTU is 1500 bytes
 Helper address is not set
 Directed broadcast forwarding is disabled
 Outgoing access list is not set
 Inbound  access list is not set
 Proxy ARP is enabled
 Local Proxy ARP is disabled
 Security level is default
 Split horizon is enabled
 ICMP redirects are always sent
 ICMP unreachables are always sent
 ICMP mask replies are never sent
 IP fast switching is enabled
 IP fast switching on the same interface is enabled
 IP Flow switching is disabled
IP CEF switching is enabled
 IP CEF Feature Fast switching turbo vector
 IP multicast fast switching is enabled
 IP multicast distributed fast switching is disabled
 IP route-cache flags are Fast, CEF
 Router Discovery is disabled
 IP output packet accounting is disabled
 IP access violation accounting is disabled
 TCP/IP header compression is disabled
 RTP/IP header compression is disabled
 Policy routing is disabled
 Network address translation is enabled, interface in domain inside
 BGP Policy Mapping is disabled
 WCCP Redirect outbound is disabled
 WCCP Redirect inbound is disabled
 WCCP Redirect exclude is disabled
GigabitEthernet0/1.3801 is up, line protocol is up
 Internet address is 10.235.63.253/23
 Broadcast address is 255.255.255.255
 Address determined by setup command
 MTU is 1500 bytes
 Helper address is not set
 Directed broadcast forwarding is disabled
Outgoing access list is not set
 Inbound  access list is not set
 Proxy ARP is enabled
 Local Proxy ARP is disabled
 Security level is default
 Split horizon is enabled
 ICMP redirects are always sent
 ICMP unreachables are always sent
 ICMP mask replies are never sent
 IP fast switching is enabled
 IP fast switching on the same interface is enabled
 IP Flow switching is disabled
 IP CEF switching is enabled
 IP CEF Feature Fast switching turbo vector
 IP multicast fast switching is enabled
 IP multicast distributed fast switching is disabled
 IP route-cache flags are Fast, CEF
 Router Discovery is disabled
 IP output packet accounting is disabled
 IP access violation accounting is disabled
 TCP/IP header compression is disabled
 RTP/IP header compression is disabled
 Policy routing is disabled
Network address translation is disabled
 BGP Policy Mapping is disabled
 WCCP Redirect outbound is disabled
 WCCP Redirect inbound is disabled
 WCCP Redirect exclude is disabled

 

 

 

Клиент:

IPv4-адрес. . . . . . . . . . . . : 192.168.0.45
  Маска подсети . . . . . . . . . . : 255.255.255.0
  Основной шлюз. . . . . . . . . : 192.168.0.1

 

пингуется 10.235.63.253, но не пингуется с клиента (192.168.0.45) 10.235.63.252 (живой хост в сети), но при этом с кошки этот хост спокойно пингуется.

пингуется 10.255.255.120, пингуется с клиента (192.168.0.45) 10.255.255.4 (живой хост в сети)

 

И так понятно, что дело в кошке:

Трассировка маршрута к 10.235.63.252 с максимальным числом прыжков 30

 1     2 ms     3 ms     2 ms  192.168.0.1
 2     *        *        *     Превышен интервал ожидания для запроса.
 3

Edited June 1, 2016 by Kazam

[applx]

sh run | sec nat

[mixerinc]

А на хосте 10.235.63.252 шлюз какой?

[Gromozeka]

sh runn | access-list

[Kazam]

sh run | sec nat

 

ip nat inside source list 100 interface GigabitEthernet0/0 overload

 

access list

 

access-list 100 permit ip 192.168.0.0 0.255.255.255 10.0.0.0 0.0.0.255

 

А на хосте 10.235.63.252 шлюз какой?

10.235.63.254

[ikiliikkuja]

пингуется 10.235.63.253, но не пингуется с клиента (192.168.0.45) 10.235.63.252 (живой хост в сети), но при этом с кошки этот хост спокойно пингуется.

пингуется 10.255.255.120, пингуется с клиента (192.168.0.45) 10.255.255.4 (живой хост в сети)

 

И так понятно, что дело в кошке:

 

Просмотр сообщенияmixerinc (Сегодня, 10:08) писал:

А на хосте 10.235.63.252 шлюз какой?

 

10.235.63.254

 

во ферзь, конечно циска виновата

а на 10.235.63.254 есть маршрут в сторону 192.168.0.0 через 10.235.63.253?

Edited June 1, 2016 by ikiliikkuja

[Gromozeka]

<<< А на хосте 10.235.63.252 шлюз какой?>>>

 

10.235.63.254

 

interface GigabitEthernet0/1.3801 //А вот тут проблемы

encapsulation dot1Q 3801

no cdp enable

ip address 10.235.63.253 255.255.254.0 // Для меня шлюз 10.235.63.254

 

Батенька да у Вас шлюз не правильно указан - должен же быть 10.253.63.253

У Вас адреса в сети 10.253.62.0/23 выдаются по DHCP или Ручками

Если ручками то поправите на 10.253.63.253 иначе идите в DHCP

Edited June 1, 2016 by Gromozeka

[Kazam]

interface GigabitEthernet0/1.3801 //А вот тут проблемы

encapsulation dot1Q 3801

no cdp enable

ip address 10.235.63.253 255.255.254.0 // Для меня шлюз 10.235.63.254

 

Батенька да у Вас шлюз не правильно указан - должен же быть 10.253.63.253

угу и у всех 510 хостов сети 10.235.63.253 255.255.254.0?

 

10.253.63.253 - один из хостов, за которым сидит 192.168.0.0/24 которая очень хочет стучаться ко всем хостам 10.235.63.253 255.255.254.0.

При этом все хосты имеют у себя GW 10.235.63.254 - от оператора и изменить я его не могу.

 

Пока в качестве решения запустил PC с двумя интерфейсами (vlan 100 и vlan 3801 ) и между ними NAT 100 -> 3801. Пока работает так.

 

сеть 10.235.63.0/23 не моя, и изменить GW я там не могу, так же у меня нет доступа к 254 хосту.

У меня только хост 253. Сейчас как уже писал сижу за ним (NAT).

При том нужно иметь доступ ко всем хостам сети /23, но без NAT на PC

[ikiliikkuja]

нат на GigabitEthernet0/1.3801, иначе никак

[mixerinc]

Kazam

 

Получается, что все хосты из сети 10.253.62.0/23 за исключением 10.253.63.253 отправляют пакеты адресованные сети 192.168.0.0/24 на свой шлюз = 10.253.63.254, который не знает где находиться адресат

а с циски все пингуется так как они в одном L2 сегменте находятся и шлюз не используют.

[kapydan]

нарисуй схему с зонами отвественности и что-куда не пингуется, а то опять будет гадание на кофейной гуще. так будет всем проще понять, тем более что конфиги уже выложил.

[moonfire]

Т.е. правильно я понимаю твою просьбу: помогите наколдовать кошку так, что-бы GW 10.235.63.254(к которому нет доступа) начал правильно маршрутизировать пакетики?

[Gromozeka]

А что за оборудование 10.253.63.254 - оно в твоей административной зоне?

 

Есть еще вариант с настройкой маршрутов в машинах из 10.253.62.0/23

 

в cmd с правами Администраторов :

 

route -p add 0.0.0.0 mask 0.0.0.0 10.253.63.254 METRIC 10

route -p add 192.168.0.0 mask 255.255.255.0 10.253.63.253 METRIC 1

Edited June 1, 2016 by Gromozeka

[moonfire]

ip nat inside source list 100 interface GigabitEthernet0/0 overload

 

access list

 

access-list 100 permit ip 192.168.0.0 0.255.255.255 10.0.0.0 0.0.0.255

Зачем это вообще? Что за интерфейс gi0/0?

 

Вот так нельзя разве сделать?

ip nat inside source route-map vlan98 interface GigabitEthernet0/1.98 overload
ip nat inside source route-map vlan3801 interface GigabitEthernet0/1.3801 overload
!
route-map vlan98 permit 10
match ip address nat
match interface GigabitEthernet0/1.98
!
route-map vlan3801 permit 10
match ip address nat
match interface GigabitEthernet0/1.3801
!
ip access-list extended nat
permit ip 192.168.0.0 0.0.0.255 any
!
interface GigabitEthernet0/1.98
ip nat outside
!
interface GigabitEthernet0/1.3801
ip nat outside
!
interface GigabitEthernet0/1.100
ip nat inside