[RN3DCX]

Господа цисководы, цисковеды, экстрасенсы и мимо проходящие.

Вообщем кто в курсе, подскажите.

 

На интерфейсе GI0/1.100 добавил пару секондари адресов, с надеждой молясь сегментиовать сеть.

Но вот не задача, нет доступа через секондари адреса к оборудованию.

Хотя если указать source (ping vrf MGMT 10.0.1.5 source 10.0.1.1) то всё ок...

 

 

P.S. хотя на XGU.RU написано:

При использовании команды network, анонсируются сети любых secondary адресов, которые попадают в сеть;

 

 

 

interface GigabitEthernet0/1.1001

description Vlan_for_output_users_in_the_world

encapsulation dot1Q 1001

ip address 172.16.100.1 255.255.255.248

no ip redirects

no cdp enable

!

 

interface GigabitEthernet0/1.100

description managment_Vlan

encapsulation dot1Q 100

ip vrf forwarding MGMT

ip address 10.0.2.1 255.255.255.0 secondary

ip address 10.0.1.1 255.255.255.0 secondary

ip address 10.0.0.1 255.255.255.0

no cdp enable

!

 

 

router ospf 100 vrf MGMT

router-id 10.255.255.1

passive-interface default

no passive-interface GigabitEthernet0/1.100

network 10.0.2.1 0.0.0.0 area 0

network 10.0.1.1 0.0.0.0 area 0

network 10.0.0.1 0.0.0.0 area 0

network 10.255.255.1 0.0.0.0 area 0

!

 

router ospf 1000

router-id 172.16.100.1

passive-interface default

no passive-interface GigabitEthernet0/1.1001

network 172.16.100.0 0.0.0.7 area 0

default-information originate always

!

 

[VolanD666]

А они не анонсируются или в чем проблема?

[RN3DCX]

Проблема в том, что если к примеру выполнить

ping vrf MGMT 10.0.1.5 то в ответ тишина.

хотя данная подсеть (ip address 10.0.1.1 255.255.255.0 secondary) указана как секондари.

[VolanD666]

Соседу то эти сети прилетают?

[ShyLion]

interface GigabitEthernet0/1.100
description managment_Vlan
encapsulation dot1Q 100
ip vrf forwarding MGMT
ip address 10.0.2.1 255.255.255.0 secondary
ip address 10.0.1.1 255.255.255.0 secondary
ip address 10.0.0.1 255.255.255.0
no cdp enable
!


router ospf 100 vrf MGMT

network 10.0.2.1 0.0.0.0 area 0
network 10.0.1.1 0.0.0.0 area 0
network 10.0.0.1 0.0.0.0 area 0
!

 

А чего анонсируемые сети /32 не соответствуют сетям на интерфейсе /24 ?

[VolanD666]

interface GigabitEthernet0/1.100
description managment_Vlan
encapsulation dot1Q 100
ip vrf forwarding MGMT
ip address 10.0.2.1 255.255.255.0 secondary
ip address 10.0.1.1 255.255.255.0 secondary
ip address 10.0.0.1 255.255.255.0
no cdp enable
!


router ospf 100 vrf MGMT

network 10.0.2.1 0.0.0.0 area 0
network 10.0.1.1 0.0.0.0 area 0
network 10.0.0.1 0.0.0.0 area 0
!

 

А чего анонсируемые сети /32 не соответствуют сетям на интерфейсе /24 ?

 

А нетворк не анонсирует сети, ее задача включить интерфейс в работу OSPF процесса. Хотя, чисто визуально выглядит криво ИМХО, но схема должна работать.

 

Можно посмотреть в ospf базе, что роутер соседям должен анонсить.

[RN3DCX]

А нетворк не анонсирует сети, ее задача включить интерфейс в работу OSPF процесса. Хотя, чисто визуально выглядит криво ИМХО, но схема должна работать.

ОТНЮТЬ не криво.

В Network можно указывать диапазон либо конкретные адреса.

 

Можно посмотреть в ospf базе, что роутер соседям должен анонсить.

Врублю блондинку и переспрошу.

Речь идет о: show ip ospf database ?

[VolanD666]

sh ip ospf 200 database self-originate

[NikAlexAn]

ОТНЮТЬ не криво.

В Network можно указывать диапазон либо конкретные адреса.

Если мне память не изменяет у кисок протоколы маршрутизации и ещё чего то не работают на secondary - не помню где натыкался.

 

PS: Вот - https://supportforums.cisco.com/document/23811/network-belongs-secondary-ip-address-not-advertised

Edited May 10, 2017 by NikAlexAn

[feeman]

А может стоит добавить в router ospf 100 vrf MGMT

default-information originate always?

он ведь у вас не указан?

[ikiliikkuja]

Проблема в том, что если к примеру выполнить

ping vrf MGMT 10.0.1.5 то в ответ тишина.

хотя данная подсеть (ip address 10.0.1.1 255.255.255.0 secondary) указана как секондари.

а с чего вы взяли, что железка должна пинговать 10.0.1.5 с source 10.0.1.1? 100% она с src 10.0.0.1 отправляет

[myth]

Да и сегментация такая мало чем поможет в борьбе с броадкастами и арпами

[RN3DCX]

И всё же любая сегментация сокращает нагрузку на железки.

Вообщем тут как мне видеться есть два варианта:

1. На интерфейсе указывать secondary ip для каждой подсети.

2. Влупить /16 маску. Но этот вариант пожалуй самый худший.

[vurd]

Еще раз проблему опишите. Не понятно ни черта.

Нет пинга с самого роутера? А не похрену ли? С дальнейших станций, роутеров есть доступ? Схему в двух росчерках на draw.io накидайте. Тут простейшая конструкция, все должно работать.

И я не пойму у вас ospf внутри 100 влана что-ли? Или вы вместо redistribute включаете на интерфейсе?

Кароче схему и что надо в итоге.

[maruk]

На интерфейсе GI0/1.100 добавил пару секондари адресов, с надеждой молясь сегментиовать сеть.

Но вот не задача, нет доступа через секондари адреса к оборудованию.

Хотя если указать source (ping vrf MGMT 10.0.1.5 source 10.0.1.1) то всё ок...

 

циска по дефолту никогда не инициирует подключение с secondary адреса интерфейса, вне зависимости от того в какую Вы сеть обращаетесь,

все подключения только с primary адреса интерфейса.

[VolanD666]

На интерфейсе GI0/1.100 добавил пару секондари адресов, с надеждой молясь сегментиовать сеть.

Но вот не задача, нет доступа через секондари адреса к оборудованию.

Хотя если указать source (ping vrf MGMT 10.0.1.5 source 10.0.1.1) то всё ок...

 

циска по дефолту никогда не инициирует подключение с secondary адреса интерфейса, вне зависимости от того в какую Вы сеть обращаетесь,

все подключения только с primary адреса интерфейса.

 

Что значит по дефолту не инициирует? Если есть команда нетворк с этой подсетью, то анонсы летят хоть с примари, хоть с секондари. Другое дело, что ТС не может нормально продиагностировать, а мы тут гадаем, прилетают анонсы или нет...

[NikAlexAn]

Что значит по дефолту не инициирует? Если есть команда нетворк с этой подсетью, то анонсы летят хоть с примари, хоть с секондари. Другое дело, что ТС не может нормально продиагностировать, а мы тут гадаем, прилетают анонсы или нет...

 

ping trace telnet ssh по умолчанию уходят с примари адреса а если хочется чтоб с секондари пошло то надо явно указать source.

 

Ссылку то не смотрели что ли? EIGP и OSPF не могут установить соседство с секондари адреса - только с примари.

И ещё есть вроде ограничения насчёт секондари.

Всёж лучше подсети на разные виланы раскидать.

[maruk]

ping trace telnet ssh по умолчанию уходят с примари адреса а если хочется чтоб с секондари пошло то надо явно указать source.

 

и не только эти протоколы, в моем случае столкнулись с проблемой когда tftp сервер находился на адресах secondary сети, и соответственно подключиться к внешнему tftp не удавалось с такой адресацией

[VolanD666]

Да, ссылку видел. Конечно лучше по вланам раскидать, кто же спорит. Но речь идет про ОСПФ и про анонс (не соседство) и оно работает, у меня так работает.

[NikAlexAn]

Да, ссылку видел. Конечно лучше по вланам раскидать, кто же спорит. Но речь идет про ОСПФ и про анонс (не соседство) и оно работает, у меня так работает.

 

Вы писали что 1.5 без указания source не пингуется а с указанием 1.1 пингуется.

Лично у меня сразу вопрос даж три:

1 с 1.5 пингуется 1.1?

2 с 1.5 пингуется 0.1?

3 на 1.5 как адреса прописаны и есть ли маршрут на 0.0?

Edited May 12, 2017 by NikAlexAn

[RN3DCX]

Набросал схему

Edited May 12, 2017 by RN3DCX

[RN3DCX]

Да, тоже по началу была мысль организовать влан для каждого сегмента.

Но лень предложила не раздувать конфинг и замутить secondary IP.

[NikAlexAn]

а 1.5 то где?

[RN3DCX]

1.5 литра!?

[NikAlexAn]

1.5 литра!?

 

Дак "Хотя если указать source (ping vrf MGMT 10.0.1.5 source 10.0.1.1) то всё ок... "