Kazam Опубликовано 1 июня, 2016 · Жалоба Добрый день! Прошу помощи по настройке маршрутизации между sub-interface на Cisco Router. Схема работы такая: interface GigabitEthernet0/1 description Trunk port for catalyst // транк в сторону Catalyst (приходят vlan 1, 98, 3801) no ip address duplex full speed auto no mop enabled ! interface GigabitEthernet0/1.98 // Тут все прекрасно description SubInterface for vlan 98 encapsulation dot1Q 98 ip address 10.255.255.120 255.255.255.0 no cdp enable ! interface GigabitEthernet0/1.100 //Это сеть клиентских машин description SubInterface for OFFICE on vlan 100 encapsulation dot1Q 100 ip address 192.168.0.1 255.255.255.0 ip nat inside ip virtual-reassembly no cdp enable ! interface GigabitEthernet0/1.3801 //А вот тут проблемы encapsulation dot1Q 3801 no cdp enable ip address 10.235.63.253 255.255.254.0 // Для меня шлюз 10.235.63.254 ! За данным интерфейсом сидит подсеть 10.235.62.0-10.235.63.254. Необходимо чтобы клиенты из сети 192.168.0.10/24 могли туда ходить. За интерфейсом GigabitEthernet0/1.98 аналогичная подсеть, только с маской /24. Сюда клиенты ходят спокойно. В текущем виде с cisco router спокойно пингуется 10.235.62.0-10.235.63.254. А с клиентов 192.168.0.0/24 - нет. Пробывал прописывать static route , типа: route 10.235.62.0 255.255.255.0 10.235.63.254 - ноль реакции. Понимаю что решение простое, но. Благодарю за комментарии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 1 июня, 2016 · Жалоба Зачем маршруты, если сети connected. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kazam Опубликовано 1 июня, 2016 · Жалоба Зачем маршруты, если сети connected. наверное затем, что не работает. Почему-то cisco при получении пакета от клиента, не отправляет его на нужный хост. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 1 июня, 2016 · Жалоба наверное просто нужно поменять маску p address 10.235.63.253 255.255.254.0 на 255.255.255.252 наверное затем, что не работает Вы вдумайтесь над тем что вам пишут. У вас сеть которую вы пытаешь маршрутизировать описана как коннектед , вы либо попутали что-то с маской , как я уже написал , либо у вас неправильно настроена маршрутизация Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 1 июня, 2016 (изменено) · Жалоба В текущем виде с cisco router спокойно пингуется 10.235.62.0-10.235.63.254. А с клиентов 192.168.0.0/24 - нет. 1. А с каких клиентов с сети....? Если с 10.253.62.0/23, то я как понимаю у Вас на GigabitEthernet0/1.100 внутренняя сеть за NATom и как Вы её собираетесь из вне пинговать - она же прикрыта NATom. 2. Как Вам уже сказали на самой кошку не каких маршрутов прописывать не надо - у Вас все сети сидят на интерфейсах самой этой кошки и она обо всех их знает (коннектед). Изменено 1 июня, 2016 пользователем Gromozeka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kazam Опубликовано 1 июня, 2016 · Жалоба В текущем виде с cisco router спокойно пингуется 10.235.62.0-10.235.63.254. А с клиентов 192.168.0.0/24 - нет. 1. А с каких клиентов с сети....? Если с 10.253.62.0/23, то я как понимаю у Вас на GigabitEthernet0/1.100 внутренняя сеть за NATom и как Вы её собираетесь из вне пинговать - она же прикрыта NATom. 2. Как Вам уже сказали на самой кошку не каких маршрутов прописывать не надо - у Вас все сети сидят на интерфейсах самой этой кошки и она обо всех их знает (коннектед). 1. хочу ходить с клиентов 192.168.0.0/24 на сеть 10.235.63.0/23 2. GigabitEthernet0/1.100 и GigabitEthernet0/1.3801 физически один интерфейс (разные тэги), потому и спрашиваю про маршрут, несмотря на то что кошка пишет connected, все равно не ходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 1 июня, 2016 · Жалоба В текущем виде с cisco router спокойно пингуется 10.235.62.0-10.235.63.254. А с клиентов 192.168.0.0/24 - нет. 1. А с каких клиентов с сети....? Если с 10.253.62.0/23, то я как понимаю у Вас на GigabitEthernet0/1.100 внутренняя сеть за NATom и как Вы её собираетесь из вне пинговать - она же прикрыта NATom. 2. Как Вам уже сказали на самой кошку не каких маршрутов прописывать не надо - у Вас все сети сидят на интерфейсах самой этой кошки и она обо всех их знает (коннектед). 1. хочу ходить с клиентов 192.168.0.0/24 на сеть 10.235.63.0/23 2. GigabitEthernet0/1.100 и GigabitEthernet0/1.3801 физически один интерфейс (разные тэги), потому и спрашиваю про маршрут, несмотря на то что кошка пишет connected, все равно не ходит. Как минимум, надо увидеть: sh ip int sh ip route И ipconfig с клиента. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 1 июня, 2016 · Жалоба Хорошо, исходим из того что чудес не бывает. на машинах из 192.168.0.0/24: 1. в cmd набери route print 2. в cmd набери tracert 10.253.63.253 3. в cmd набери tracert 10.253.6X.XXX (адрес любого существ. хоста без вайервола) и выложи сюда все что эти комманды выдадут... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kazam Опубликовано 1 июня, 2016 (изменено) · Жалоба sh ip route connected C 10.255.255.0/24 is directly connected, GigabitEthernet0/1.98 C 10.1.159.0/24 is directly connected, GigabitEthernet0/0 C 10.235.62.0/23 is directly connected, GigabitEthernet0/1.3801 C 192.168.0.0/24 is directly connected, GigabitEthernet0/1.100 sh ip int GigabitEthernet0/1 is up, line protocol is up Internet protocol processing disabled GigabitEthernet0/1.98 is up, line protocol is up Internet address is 10.255.255.120/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP CEF switching is enabled IP CEF Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, CEF Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Policy routing is disabled Network address translation is disabled BGP Policy Mapping is disabled WCCP Redirect outbound is disabled WCCP Redirect inbound is disabled WCCP Redirect exclude is disabled GigabitEthernet0/1.100 is up, line protocol is up Internet address is 192.168.0.1/24 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP CEF switching is enabled IP CEF Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, CEF Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Policy routing is disabled Network address translation is enabled, interface in domain inside BGP Policy Mapping is disabled WCCP Redirect outbound is disabled WCCP Redirect inbound is disabled WCCP Redirect exclude is disabled GigabitEthernet0/1.3801 is up, line protocol is up Internet address is 10.235.63.253/23 Broadcast address is 255.255.255.255 Address determined by setup command MTU is 1500 bytes Helper address is not set Directed broadcast forwarding is disabled Outgoing access list is not set Inbound access list is not set Proxy ARP is enabled Local Proxy ARP is disabled Security level is default Split horizon is enabled ICMP redirects are always sent ICMP unreachables are always sent ICMP mask replies are never sent IP fast switching is enabled IP fast switching on the same interface is enabled IP Flow switching is disabled IP CEF switching is enabled IP CEF Feature Fast switching turbo vector IP multicast fast switching is enabled IP multicast distributed fast switching is disabled IP route-cache flags are Fast, CEF Router Discovery is disabled IP output packet accounting is disabled IP access violation accounting is disabled TCP/IP header compression is disabled RTP/IP header compression is disabled Policy routing is disabled Network address translation is disabled BGP Policy Mapping is disabled WCCP Redirect outbound is disabled WCCP Redirect inbound is disabled WCCP Redirect exclude is disabled Клиент: IPv4-адрес. . . . . . . . . . . . : 192.168.0.45 Маска подсети . . . . . . . . . . : 255.255.255.0 Основной шлюз. . . . . . . . . : 192.168.0.1 пингуется 10.235.63.253, но не пингуется с клиента (192.168.0.45) 10.235.63.252 (живой хост в сети), но при этом с кошки этот хост спокойно пингуется. пингуется 10.255.255.120, пингуется с клиента (192.168.0.45) 10.255.255.4 (живой хост в сети) И так понятно, что дело в кошке: Трассировка маршрута к 10.235.63.252 с максимальным числом прыжков 30 1 2 ms 3 ms 2 ms 192.168.0.1 2 * * * Превышен интервал ожидания для запроса. 3 Изменено 1 июня, 2016 пользователем Kazam Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 1 июня, 2016 · Жалоба sh run | sec nat Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixerinc Опубликовано 1 июня, 2016 · Жалоба А на хосте 10.235.63.252 шлюз какой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 1 июня, 2016 · Жалоба sh runn | access-list Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kazam Опубликовано 1 июня, 2016 · Жалоба sh run | sec nat ip nat inside source list 100 interface GigabitEthernet0/0 overload access list access-list 100 permit ip 192.168.0.0 0.255.255.255 10.0.0.0 0.0.0.255 А на хосте 10.235.63.252 шлюз какой? 10.235.63.254 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ikiliikkuja Опубликовано 1 июня, 2016 (изменено) · Жалоба пингуется 10.235.63.253, но не пингуется с клиента (192.168.0.45) 10.235.63.252 (живой хост в сети), но при этом с кошки этот хост спокойно пингуется.пингуется 10.255.255.120, пингуется с клиента (192.168.0.45) 10.255.255.4 (живой хост в сети) И так понятно, что дело в кошке: Просмотр сообщенияmixerinc (Сегодня, 10:08) писал: А на хосте 10.235.63.252 шлюз какой? 10.235.63.254 во ферзь, конечно циска виновата а на 10.235.63.254 есть маршрут в сторону 192.168.0.0 через 10.235.63.253? Изменено 1 июня, 2016 пользователем ikiliikkuja Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 1 июня, 2016 (изменено) · Жалоба <<< А на хосте 10.235.63.252 шлюз какой?>>> 10.235.63.254 interface GigabitEthernet0/1.3801 //А вот тут проблемы encapsulation dot1Q 3801 no cdp enable ip address 10.235.63.253 255.255.254.0 // Для меня шлюз 10.235.63.254 Батенька да у Вас шлюз не правильно указан - должен же быть 10.253.63.253 У Вас адреса в сети 10.253.62.0/23 выдаются по DHCP или Ручками Если ручками то поправите на 10.253.63.253 иначе идите в DHCP Изменено 1 июня, 2016 пользователем Gromozeka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Kazam Опубликовано 1 июня, 2016 · Жалоба interface GigabitEthernet0/1.3801 //А вот тут проблемы encapsulation dot1Q 3801 no cdp enable ip address 10.235.63.253 255.255.254.0 // Для меня шлюз 10.235.63.254 Батенька да у Вас шлюз не правильно указан - должен же быть 10.253.63.253 угу и у всех 510 хостов сети 10.235.63.253 255.255.254.0? 10.253.63.253 - один из хостов, за которым сидит 192.168.0.0/24 которая очень хочет стучаться ко всем хостам 10.235.63.253 255.255.254.0. При этом все хосты имеют у себя GW 10.235.63.254 - от оператора и изменить я его не могу. Пока в качестве решения запустил PC с двумя интерфейсами (vlan 100 и vlan 3801 ) и между ними NAT 100 -> 3801. Пока работает так. сеть 10.235.63.0/23 не моя, и изменить GW я там не могу, так же у меня нет доступа к 254 хосту. У меня только хост 253. Сейчас как уже писал сижу за ним (NAT). При том нужно иметь доступ ко всем хостам сети /23, но без NAT на PC Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ikiliikkuja Опубликовано 1 июня, 2016 · Жалоба нат на GigabitEthernet0/1.3801, иначе никак Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixerinc Опубликовано 1 июня, 2016 · Жалоба Kazam Получается, что все хосты из сети 10.253.62.0/23 за исключением 10.253.63.253 отправляют пакеты адресованные сети 192.168.0.0/24 на свой шлюз = 10.253.63.254, который не знает где находиться адресат а с циски все пингуется так как они в одном L2 сегменте находятся и шлюз не используют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapydan Опубликовано 1 июня, 2016 · Жалоба нарисуй схему с зонами отвественности и что-куда не пингуется, а то опять будет гадание на кофейной гуще. так будет всем проще понять, тем более что конфиги уже выложил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
moonfire Опубликовано 1 июня, 2016 · Жалоба Т.е. правильно я понимаю твою просьбу: помогите наколдовать кошку так, что-бы GW 10.235.63.254(к которому нет доступа) начал правильно маршрутизировать пакетики? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gromozeka Опубликовано 1 июня, 2016 (изменено) · Жалоба А что за оборудование 10.253.63.254 - оно в твоей административной зоне? Есть еще вариант с настройкой маршрутов в машинах из 10.253.62.0/23 в cmd с правами Администраторов : route -p add 0.0.0.0 mask 0.0.0.0 10.253.63.254 METRIC 10 route -p add 192.168.0.0 mask 255.255.255.0 10.253.63.253 METRIC 1 Изменено 1 июня, 2016 пользователем Gromozeka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
moonfire Опубликовано 1 июня, 2016 · Жалоба ip nat inside source list 100 interface GigabitEthernet0/0 overload access list access-list 100 permit ip 192.168.0.0 0.255.255.255 10.0.0.0 0.0.0.255 Зачем это вообще? Что за интерфейс gi0/0? Вот так нельзя разве сделать? ip nat inside source route-map vlan98 interface GigabitEthernet0/1.98 overload ip nat inside source route-map vlan3801 interface GigabitEthernet0/1.3801 overload ! route-map vlan98 permit 10 match ip address nat match interface GigabitEthernet0/1.98 ! route-map vlan3801 permit 10 match ip address nat match interface GigabitEthernet0/1.3801 ! ip access-list extended nat permit ip 192.168.0.0 0.0.0.255 any ! interface GigabitEthernet0/1.98 ip nat outside ! interface GigabitEthernet0/1.3801 ip nat outside ! interface GigabitEthernet0/1.100 ip nat inside Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...