[feeman]

Уважаемы гуру, подскажите!

Необходимо настроить маршрутизацию белой сети между маршрутизаторами.

Белая сетка повешена на Loopback, а связь между маршрутизаторами осуществляется через серые адреса 172.20.188.1 и 172.20.188.2

как правильно прописать маршруты? с маршрутизатора 1 до маршрутизатора 2 и обратно?

 

 

конфиг маршрутизатора № 1

interface Loopback0
194.X.X.1 255.255.255.0
!
interface GigabitEthernet0/1.414
encapsulation dot1Q 414
ip address 172.20.188.1 255.255.255.0
 no cdp enable
!



конфиг маршрутизатора № 2

interface Loopback0
194.X.X.2 255.255.255.0
!
interface GigabitEthernet0/1.414
encapsulation dot1Q 414
ip address 172.20.188.2 255.255.255.0
 no cdp enable
!

[feeman]

С первой задачей разобрался.

Остался еще вопрос.

 

С адреса 194.X.X.1 доступ в мир есть, а вот с адреса 172.22.64.1 нет.

Понятное дело, что для 172.22.64.1 нужен маршрут... Но не могу догнать какой...

 

 

interface GigabitEthernet0/0
ip address 185.X.X.146 255.255.255.252
ip access-group 101 in
ip access-group 111 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly in max-reassemblies 1024
duplex auto
speed auto
ntp disable
no mop enabled
!

interface GigabitEthernet0/1.500
encapsulation dot1Q 500
ip address 194.X.X.1 255.255.255.0
no ip redirects
no cdp enable

interface GigabitEthernet0/1.600
encapsulation dot1Q 600
ip address 172.22.64.1 255.255.255.0
no ip redirects
no cdp enable
!


router bgp 20ХХХХ
bgp router-id 185.X.X.146
bgp log-neighbor-changes
network 194.X.X.0 mask 255.255.254.0
neighbor 185.X.X.145 remote-as 60ХХХХ
!


ip route 194.X.X.0 255.255.254.0 Null0

[feeman]

Да ужж...

300 с лишним просмотров и не одного ответа...

[dimona1]

Попробуйте в любом looking glass найти вашу сеть 172.22.64.0/24

Если не найдете, посмотрите вот это: http://magicpast.net/set/

И в конце вот это: https://habrahabr.ru/post/108931/

[feeman]

Про цветность адресов к курсе, про NAT тоже.

Но в данном случае ищу красивое решение без него.

[stalker86]

Серые адреса в интернет Вы врядли выпустите..по кр мере дальше маршрутизатора Вашего провайдера/апплинка

[dmvy]

Про цветность адресов к курсе, про NAT тоже.

Но в данном случае ищу красивое решение без него.

его нет. каждый внутри может использовать серые адреса без ограничений, но в FullView его никто не примет. Вы не можете этот префикс анонсировать и следовательно ответ никогда к вам не вернется.

[feeman]

Да мне и не нужно подсетку 172.22.0.0 в FullView запихивать, у уж подавно анонсировать...

 

Собственно объединю две задачи в одну.

Мож тогда картина по яснее будет.

 

конфиг маршрутизатора № 1 который смотрит в мир.

 

interface Loopback0
194.X.X.1 255.255.255.255

!
interface GigabitEthernet0/0
ip address 185.X.X.146 255.255.255.252
ip access-group 101 in
ip access-group 111 out
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly in max-reassemblies 1024
duplex auto
speed auto
ntp disable
no mop enabled
!

interface GigabitEthernet0/1.414
encapsulation dot1Q 414
ip address 172.20.188.1 255.255.255.0
 no cdp enable

!

router bgp 20ХХХХ
bgp router-id 185.X.X.146
bgp log-neighbor-changes
network 194.X.X.0 mask 255.255.254.0
neighbor 185.X.X.145 remote-as 60ХХХХ

!

ip route 172.20.0.0 255.255.0.0 Null0
ip route 194.X.X.0 255.255.254.0 Null0
ip route 194.X.X.2 255.255.254.0 172.20.188.2

 

 

 

конфиг маршрутизатора № 2

 

interface Loopback0
194.X.X.2 255.255.255.255

!

interface GigabitEthernet0/1.414
encapsulation dot1Q 414
ip address 172.20.188.2 255.255.255.0
 no cdp enable

!

interface GigabitEthernet0/2.609
encapsulation dot1Q 609
ip unnumbered Loopback0 
 no cdp enable



ip route 0.0.0.0 0.0.0.0 172.20.188.1
ip route 194.X.X.9 255.255.255.255 GigabitEthernet0/2.609

 

 

Итого: задача видеть мир с 2-го маршрутизатора.

 

Но в итоге получилось, что с маршрутизатора 2 видно все имеющиеся адреса на маршрутизаторе 1.

Т.е. это 194.X.X.1 и 185.X.X.146 и 172.20.188.1 и УСё.... дальше тишина...

[feeman]

И вот меня какая мысль гложит.

Из мира 2-ой маршрутизатор с адресом 194.X.X.2 видно.

Тогда по логике должен быть доступ в мир и с самого 2-го маршрутизатора.

Но его почему то нет...

 

P.S. Не может же быть связь односторонней...

[smart85]

И вот меня какая мысль гложит.

Из мира 2-ой маршрутизатор с адресом 194.X.X.2 видно.

Тогда по логике должен быть доступ в мир и с самого 2-го маршрутизатора.

Но его почему то нет...

 

P.S. Не может же быть связь односторонней...

А если пинговать в мир с роутера №2 указав соурсом белый адрес?

Так-то из-за ip route 0.0.0.0 0.0.0.0 172.20.188.1 соурс-интерфейсом является interface GigabitEthernet0/1.414 с соответствующим адресом...

А то что из мира видно роутер №2 - все верно, на 194.X.X.2 реквест пришел и от него же и ушел.

Edited December 26, 2016 by mse.rus77

[feeman]

Так и делал.

#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5) 

 

 

При трассировки запрос обрывается на адресе 172.20.188.1 маршрутизатора № 1.

Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1 172.20.188.1 4 msec 0 msec 4 msec
 2  *  *  *
 3  *  *  *
 4  *  *  *
 5  *  *  *

[smart85]

Так и делал.

#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5) 

 

 

При трассировки запрос обрывается на адресе 172.20.188.1 маршрутизатора № 1.

Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1 172.20.188.1 4 msec 0 msec 4 msec
 2  *  *  *
 3  *  *  *
 4  *  *  *
 5  *  *  *

Не вижу, что вы где-то явно указываете соурс...

 

btw, похоже вам будет полезно почитать http://www.cisco.com/c/en/us/support/docs/ip/routing-information-protocol-rip/13730-ext-ping-trace.html

а именно Source address or interface:

Edited December 26, 2016 by mse.rus77

[feeman]

А если пинговать в мир с роутера №2 указав соурсом белый адрес?

 

А пример можете привести?

Т.к. в мане cisco я не нашел описания конструкции ping 8.8.8.8 source X.X.X.X

[smart85]

А если пинговать в мир с роутера №2 указав соурсом белый адрес?

 

А пример можете привести?

Т.к. в мане cisco я не нашел описания конструкции ping 8.8.8.8 source X.X.X.X

что-то вроде того ping 192.168.1.1 source 10.15.2.1

[feeman]

Да, трассировка с Source адресом прошла!

 

#traceroute
Protocol [ip]:
Target IP address: 8.8.8.8
Source address: 194.X.X.2  (адрес 2-го маршрутизатора)
Numeric display [n]:
Timeout in seconds [3]:
Probe count [3]:
Minimum Time to Live [1]:
Maximum Time to Live [30]:
Port Number [33434]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Type escape sequence to abort.
Tracing the route to 8.8.8.8
VRF info: (vrf in name/id, vrf out name/id)
 1 172.20.188.1 4 msec 0 msec 4 msec
 2 185.X.X.145 0 msec 4 msec 0 msec
 3 82.138.44.49 4 msec 4 msec 4 msec
 4 72.14.213.188 0 msec 0 msec 4 msec
 5 72.14.252.12 0 msec
   216.239.47.151 4 msec
   72.14.252.10 4 msec
 6 8.8.8.8 0 msec 4 msec 0 msec

[feeman]

Так-то из-за ip route 0.0.0.0 0.0.0.0 172.20.188.1 соурс-интерфейсом является interface GigabitEthernet0/1.414 с соответствующим адресом...

А то что из мира видно роутер №2 - все верно, на 194.X.X.2 реквест пришел и от него же и ушел.

 

 

Т.е. это правило надо изменить на маршрутизаторе 2? Но на что?

 

если:

0.0.0.0 0.0.0.0 194.Х.Х.1 - результат отрицательный.

0.0.0.0 0.0.0.0 194.Х.Х.2 - циска говорит что это адрес самого маршрутизатора.

 

или на маршрутизаторе 1 нужно еще что то добавить?

У кого есть какие соображения по этому поводу?

[ShyLion]

Т.е. это правило надо изменить на маршрутизаторе 2? Но на что?

 

Ничего не надо изменять на маршрутизаторах. Надо изменять в голове.

Во первых самому роутеру что делать в интернете?

Во вторых чтобы что-то советовать, нужно понимать с какой целью вся эта конструкция нагорожена.

Вообще чтобы выпустить серый адрес в инет, его нужно NATить.

С какой целью линк между роутерами сделан приватными адресами? Жалко отрезать /31 подсеточку? На лупбеки не жалко?

[feeman]

С какой целью линк между роутерами сделан приватными адресами?

Для экономии белы адресов.

На каждый роутер по белому адресу, это уж через чур мажорно....

 

На лупбеки не жалко?

Через лупбек хочу организовать доступ в мир.

[dimona1]

Если вы хотите в интернет выходить с серых адресов, то без NAT ничего не получиться: пакеты в одну сторону улетят (если не фильтруется у апстрима серые сорс адреса) обратно не прилетят, т.к. в глобальной таблице маршрутизации нет маршрутов к серым сетям.

Если вы хотите использовать серые адреса для лупбеков и через них анонсировать публичные сети, то все будет работать.

[feeman]

Если вы хотите использовать серые адреса для лупбеков и через них анонсировать публичные сети, то все будет работать.

 

Вот тут точно лыжи встали....

А можете примерчик наглядный привести.

[smart85]

Если вы хотите использовать серые адреса для лупбеков и через них анонсировать публичные сети, то все будет работать.

 

Вот тут точно лыжи встали....

А можете примерчик наглядный привести.

Опишите, чего вы хотите добиться? Детально, пожалуйста.

[feeman]

Если вы хотите использовать серые адреса для лупбеков и через них анонсировать публичные сети, то все будет работать.

 

Вот тут точно лыжи встали....

А можете примерчик наглядный привести.

Опишите, чего вы хотите добиться? Детально, пожалуйста.

 

 

 

Изначально цель, это экономия белых адресов.

Соответственно хотелось прийти к:

1) связь между маршрутизаторами через серые адреса.

2) на маршрутизаторах вешать белый адрес на лупбек и без лишних затрат на белые адреса давать доступ в мир.

[smart85]

Если вы хотите использовать серые адреса для лупбеков и через них анонсировать публичные сети, то все будет работать.

 

Вот тут точно лыжи встали....

А можете примерчик наглядный привести.

Опишите, чего вы хотите добиться? Детально, пожалуйста.

 

 

 

Изначально цель, это экономия белых адресов.

Соответственно хотелось прийти к:

1) связь между маршрутизаторами через серые адреса.

2) на маршрутизаторах вешать белый адрес на лупбек и без лишних затрат на белые адреса давать доступ в мир.

Ну к п1 вы уже пришли. К п2 вы тоже уже пришли, если у пакета с Р2 соурс = белый адрес, то мир виден, если соурс != белый адрес, то мир не виден. Все верно и все работает.

А теперь по подробнее о "...без лишних затрат на белые адреса давать доступ в мир." - кому давать? Клиентам с серыми адресами терминированными на Р2? Если да, то поднимайте НАТ с серых адресов клиента на соурс белого адреса ифейса лупбэка и будет счастье вам.

[dmvy]

Транзит белых адресов будет работать без проблем на 2-м маршрутизаторе. А для пинга используйте белый адрес.

Алгоритм такой. Роутер смотрит куда направлен маршрут, который вы пингуете. Затем, если не указан source, то он смотрит какой ip-адрес на интерфейсе, в который указывает маршрут. В данном случае у вас там серая адресация и он берет local с этого интерфейса.

[ShyLion]

На каждый роутер по белому адресу, это уж через чур мажорно....

 

Сколько у вас таких роутеров?

Есть подозрение, что проблема из пальца высосана.