feeman Опубликовано 24 декабря, 2016 · Жалоба Уважаемы гуру, подскажите! Необходимо настроить маршрутизацию белой сети между маршрутизаторами. Белая сетка повешена на Loopback, а связь между маршрутизаторами осуществляется через серые адреса 172.20.188.1 и 172.20.188.2 как правильно прописать маршруты? с маршрутизатора 1 до маршрутизатора 2 и обратно? конфиг маршрутизатора № 1 interface Loopback0 194.X.X.1 255.255.255.0 ! interface GigabitEthernet0/1.414 encapsulation dot1Q 414 ip address 172.20.188.1 255.255.255.0 no cdp enable ! конфиг маршрутизатора № 2 interface Loopback0 194.X.X.2 255.255.255.0 ! interface GigabitEthernet0/1.414 encapsulation dot1Q 414 ip address 172.20.188.2 255.255.255.0 no cdp enable ! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 25 декабря, 2016 · Жалоба С первой задачей разобрался. Остался еще вопрос. С адреса 194.X.X.1 доступ в мир есть, а вот с адреса 172.22.64.1 нет. Понятное дело, что для 172.22.64.1 нужен маршрут... Но не могу догнать какой... interface GigabitEthernet0/0 ip address 185.X.X.146 255.255.255.252 ip access-group 101 in ip access-group 111 out no ip redirects no ip unreachables no ip proxy-arp ip virtual-reassembly in max-reassemblies 1024 duplex auto speed auto ntp disable no mop enabled ! interface GigabitEthernet0/1.500 encapsulation dot1Q 500 ip address 194.X.X.1 255.255.255.0 no ip redirects no cdp enable interface GigabitEthernet0/1.600 encapsulation dot1Q 600 ip address 172.22.64.1 255.255.255.0 no ip redirects no cdp enable ! router bgp 20ХХХХ bgp router-id 185.X.X.146 bgp log-neighbor-changes network 194.X.X.0 mask 255.255.254.0 neighbor 185.X.X.145 remote-as 60ХХХХ ! ip route 194.X.X.0 255.255.254.0 Null0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 26 декабря, 2016 · Жалоба Да ужж... 300 с лишним просмотров и не одного ответа... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimona1 Опубликовано 26 декабря, 2016 · Жалоба Попробуйте в любом looking glass найти вашу сеть 172.22.64.0/24 Если не найдете, посмотрите вот это: http://magicpast.net/set/ И в конце вот это: https://habrahabr.ru/post/108931/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 26 декабря, 2016 · Жалоба Про цветность адресов к курсе, про NAT тоже. Но в данном случае ищу красивое решение без него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 26 декабря, 2016 · Жалоба Серые адреса в интернет Вы врядли выпустите..по кр мере дальше маршрутизатора Вашего провайдера/апплинка Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 26 декабря, 2016 · Жалоба Про цветность адресов к курсе, про NAT тоже. Но в данном случае ищу красивое решение без него. его нет. каждый внутри может использовать серые адреса без ограничений, но в FullView его никто не примет. Вы не можете этот префикс анонсировать и следовательно ответ никогда к вам не вернется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 26 декабря, 2016 · Жалоба Да мне и не нужно подсетку 172.22.0.0 в FullView запихивать, у уж подавно анонсировать... Собственно объединю две задачи в одну. Мож тогда картина по яснее будет. конфиг маршрутизатора № 1 который смотрит в мир. interface Loopback0 194.X.X.1 255.255.255.255 ! interface GigabitEthernet0/0 ip address 185.X.X.146 255.255.255.252 ip access-group 101 in ip access-group 111 out no ip redirects no ip unreachables no ip proxy-arp ip virtual-reassembly in max-reassemblies 1024 duplex auto speed auto ntp disable no mop enabled ! interface GigabitEthernet0/1.414 encapsulation dot1Q 414 ip address 172.20.188.1 255.255.255.0 no cdp enable ! router bgp 20ХХХХ bgp router-id 185.X.X.146 bgp log-neighbor-changes network 194.X.X.0 mask 255.255.254.0 neighbor 185.X.X.145 remote-as 60ХХХХ ! ip route 172.20.0.0 255.255.0.0 Null0 ip route 194.X.X.0 255.255.254.0 Null0 ip route 194.X.X.2 255.255.254.0 172.20.188.2 конфиг маршрутизатора № 2 interface Loopback0 194.X.X.2 255.255.255.255 ! interface GigabitEthernet0/1.414 encapsulation dot1Q 414 ip address 172.20.188.2 255.255.255.0 no cdp enable ! interface GigabitEthernet0/2.609 encapsulation dot1Q 609 ip unnumbered Loopback0 no cdp enable ip route 0.0.0.0 0.0.0.0 172.20.188.1 ip route 194.X.X.9 255.255.255.255 GigabitEthernet0/2.609 Итого: задача видеть мир с 2-го маршрутизатора. Но в итоге получилось, что с маршрутизатора 2 видно все имеющиеся адреса на маршрутизаторе 1. Т.е. это 194.X.X.1 и 185.X.X.146 и 172.20.188.1 и УСё.... дальше тишина... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 26 декабря, 2016 · Жалоба И вот меня какая мысль гложит. Из мира 2-ой маршрутизатор с адресом 194.X.X.2 видно. Тогда по логике должен быть доступ в мир и с самого 2-го маршрутизатора. Но его почему то нет... P.S. Не может же быть связь односторонней... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 26 декабря, 2016 (изменено) · Жалоба И вот меня какая мысль гложит. Из мира 2-ой маршрутизатор с адресом 194.X.X.2 видно. Тогда по логике должен быть доступ в мир и с самого 2-го маршрутизатора. Но его почему то нет... P.S. Не может же быть связь односторонней... А если пинговать в мир с роутера №2 указав соурсом белый адрес? Так-то из-за ip route 0.0.0.0 0.0.0.0 172.20.188.1 соурс-интерфейсом является interface GigabitEthernet0/1.414 с соответствующим адресом... А то что из мира видно роутер №2 - все верно, на 194.X.X.2 реквест пришел и от него же и ушел. Изменено 26 декабря, 2016 пользователем mse.rus77 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 26 декабря, 2016 · Жалоба Так и делал. #ping 8.8.8.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) При трассировки запрос обрывается на адресе 172.20.188.1 маршрутизатора № 1. Tracing the route to 8.8.8.8 VRF info: (vrf in name/id, vrf out name/id) 1 172.20.188.1 4 msec 0 msec 4 msec 2 * * * 3 * * * 4 * * * 5 * * * Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 26 декабря, 2016 (изменено) · Жалоба Так и делал. #ping 8.8.8.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) При трассировки запрос обрывается на адресе 172.20.188.1 маршрутизатора № 1. Tracing the route to 8.8.8.8 VRF info: (vrf in name/id, vrf out name/id) 1 172.20.188.1 4 msec 0 msec 4 msec 2 * * * 3 * * * 4 * * * 5 * * * Не вижу, что вы где-то явно указываете соурс... btw, похоже вам будет полезно почитать http://www.cisco.com/c/en/us/support/docs/ip/routing-information-protocol-rip/13730-ext-ping-trace.html а именно Source address or interface: Изменено 26 декабря, 2016 пользователем mse.rus77 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 26 декабря, 2016 · Жалоба А если пинговать в мир с роутера №2 указав соурсом белый адрес? А пример можете привести? Т.к. в мане cisco я не нашел описания конструкции ping 8.8.8.8 source X.X.X.X Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 26 декабря, 2016 · Жалоба А если пинговать в мир с роутера №2 указав соурсом белый адрес? А пример можете привести? Т.к. в мане cisco я не нашел описания конструкции ping 8.8.8.8 source X.X.X.X что-то вроде того ping 192.168.1.1 source 10.15.2.1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 26 декабря, 2016 · Жалоба Да, трассировка с Source адресом прошла! #traceroute Protocol [ip]: Target IP address: 8.8.8.8 Source address: 194.X.X.2 (адрес 2-го маршрутизатора) Numeric display [n]: Timeout in seconds [3]: Probe count [3]: Minimum Time to Live [1]: Maximum Time to Live [30]: Port Number [33434]: Loose, Strict, Record, Timestamp, Verbose[none]: Type escape sequence to abort. Tracing the route to 8.8.8.8 VRF info: (vrf in name/id, vrf out name/id) 1 172.20.188.1 4 msec 0 msec 4 msec 2 185.X.X.145 0 msec 4 msec 0 msec 3 82.138.44.49 4 msec 4 msec 4 msec 4 72.14.213.188 0 msec 0 msec 4 msec 5 72.14.252.12 0 msec 216.239.47.151 4 msec 72.14.252.10 4 msec 6 8.8.8.8 0 msec 4 msec 0 msec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 26 декабря, 2016 · Жалоба Так-то из-за ip route 0.0.0.0 0.0.0.0 172.20.188.1 соурс-интерфейсом является interface GigabitEthernet0/1.414 с соответствующим адресом... А то что из мира видно роутер №2 - все верно, на 194.X.X.2 реквест пришел и от него же и ушел. Т.е. это правило надо изменить на маршрутизаторе 2? Но на что? если: 0.0.0.0 0.0.0.0 194.Х.Х.1 - результат отрицательный. 0.0.0.0 0.0.0.0 194.Х.Х.2 - циска говорит что это адрес самого маршрутизатора. или на маршрутизаторе 1 нужно еще что то добавить? У кого есть какие соображения по этому поводу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 27 декабря, 2016 · Жалоба Т.е. это правило надо изменить на маршрутизаторе 2? Но на что? Ничего не надо изменять на маршрутизаторах. Надо изменять в голове. Во первых самому роутеру что делать в интернете? Во вторых чтобы что-то советовать, нужно понимать с какой целью вся эта конструкция нагорожена. Вообще чтобы выпустить серый адрес в инет, его нужно NATить. С какой целью линк между роутерами сделан приватными адресами? Жалко отрезать /31 подсеточку? На лупбеки не жалко? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 27 декабря, 2016 · Жалоба С какой целью линк между роутерами сделан приватными адресами? Для экономии белы адресов. На каждый роутер по белому адресу, это уж через чур мажорно.... На лупбеки не жалко? Через лупбек хочу организовать доступ в мир. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimona1 Опубликовано 27 декабря, 2016 · Жалоба Если вы хотите в интернет выходить с серых адресов, то без NAT ничего не получиться: пакеты в одну сторону улетят (если не фильтруется у апстрима серые сорс адреса) обратно не прилетят, т.к. в глобальной таблице маршрутизации нет маршрутов к серым сетям. Если вы хотите использовать серые адреса для лупбеков и через них анонсировать публичные сети, то все будет работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 27 декабря, 2016 · Жалоба Если вы хотите использовать серые адреса для лупбеков и через них анонсировать публичные сети, то все будет работать. Вот тут точно лыжи встали.... А можете примерчик наглядный привести. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 27 декабря, 2016 · Жалоба Если вы хотите использовать серые адреса для лупбеков и через них анонсировать публичные сети, то все будет работать. Вот тут точно лыжи встали.... А можете примерчик наглядный привести. Опишите, чего вы хотите добиться? Детально, пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 27 декабря, 2016 · Жалоба Если вы хотите использовать серые адреса для лупбеков и через них анонсировать публичные сети, то все будет работать. Вот тут точно лыжи встали.... А можете примерчик наглядный привести. Опишите, чего вы хотите добиться? Детально, пожалуйста. Изначально цель, это экономия белых адресов. Соответственно хотелось прийти к: 1) связь между маршрутизаторами через серые адреса. 2) на маршрутизаторах вешать белый адрес на лупбек и без лишних затрат на белые адреса давать доступ в мир. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smart85 Опубликовано 27 декабря, 2016 · Жалоба Если вы хотите использовать серые адреса для лупбеков и через них анонсировать публичные сети, то все будет работать. Вот тут точно лыжи встали.... А можете примерчик наглядный привести. Опишите, чего вы хотите добиться? Детально, пожалуйста. Изначально цель, это экономия белых адресов. Соответственно хотелось прийти к: 1) связь между маршрутизаторами через серые адреса. 2) на маршрутизаторах вешать белый адрес на лупбек и без лишних затрат на белые адреса давать доступ в мир. Ну к п1 вы уже пришли. К п2 вы тоже уже пришли, если у пакета с Р2 соурс = белый адрес, то мир виден, если соурс != белый адрес, то мир не виден. Все верно и все работает. А теперь по подробнее о "...без лишних затрат на белые адреса давать доступ в мир." - кому давать? Клиентам с серыми адресами терминированными на Р2? Если да, то поднимайте НАТ с серых адресов клиента на соурс белого адреса ифейса лупбэка и будет счастье вам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dmvy Опубликовано 27 декабря, 2016 · Жалоба Транзит белых адресов будет работать без проблем на 2-м маршрутизаторе. А для пинга используйте белый адрес. Алгоритм такой. Роутер смотрит куда направлен маршрут, который вы пингуете. Затем, если не указан source, то он смотрит какой ip-адрес на интерфейсе, в который указывает маршрут. В данном случае у вас там серая адресация и он берет local с этого интерфейса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 27 декабря, 2016 · Жалоба На каждый роутер по белому адресу, это уж через чур мажорно.... Сколько у вас таких роутеров? Есть подозрение, что проблема из пальца высосана. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...