Jump to content
Калькуляторы

secondary ip

Господа цисководы, цисковеды, экстрасенсы и мимо проходящие.

Вообщем кто в курсе, подскажите.

 

На интерфейсе GI0/1.100 добавил пару секондари адресов, с надеждой молясь сегментиовать сеть.

Но вот не задача, нет доступа через секондари адреса к оборудованию.

Хотя если указать source (ping vrf MGMT 10.0.1.5 source 10.0.1.1) то всё ок...

 

 

P.S. хотя на XGU.RU написано:

При использовании команды network, анонсируются сети любых secondary адресов, которые попадают в сеть;

 

 

 

interface GigabitEthernet0/1.1001

description Vlan_for_output_users_in_the_world

encapsulation dot1Q 1001

ip address 172.16.100.1 255.255.255.248

no ip redirects

no cdp enable

!

 

interface GigabitEthernet0/1.100

description managment_Vlan

encapsulation dot1Q 100

ip vrf forwarding MGMT

ip address 10.0.2.1 255.255.255.0 secondary

ip address 10.0.1.1 255.255.255.0 secondary

ip address 10.0.0.1 255.255.255.0

no cdp enable

!

 

 

router ospf 100 vrf MGMT

router-id 10.255.255.1

passive-interface default

no passive-interface GigabitEthernet0/1.100

network 10.0.2.1 0.0.0.0 area 0

network 10.0.1.1 0.0.0.0 area 0

network 10.0.0.1 0.0.0.0 area 0

network 10.255.255.1 0.0.0.0 area 0

!

 

router ospf 1000

router-id 172.16.100.1

passive-interface default

no passive-interface GigabitEthernet0/1.1001

network 172.16.100.0 0.0.0.7 area 0

default-information originate always

!

 

Share this post


Link to post
Share on other sites

Проблема в том, что если к примеру выполнить

ping vrf MGMT 10.0.1.5 то в ответ тишина.

хотя данная подсеть (ip address 10.0.1.1 255.255.255.0 secondary) указана как секондари.

Share this post


Link to post
Share on other sites

interface GigabitEthernet0/1.100
description managment_Vlan
encapsulation dot1Q 100
ip vrf forwarding MGMT
ip address 10.0.2.1 255.255.255.0 secondary
ip address 10.0.1.1 255.255.255.0 secondary
ip address 10.0.0.1 255.255.255.0
no cdp enable
!


router ospf 100 vrf MGMT

network 10.0.2.1 0.0.0.0 area 0
network 10.0.1.1 0.0.0.0 area 0
network 10.0.0.1 0.0.0.0 area 0
!

 

А чего анонсируемые сети /32 не соответствуют сетям на интерфейсе /24 ?

Share this post


Link to post
Share on other sites

interface GigabitEthernet0/1.100
description managment_Vlan
encapsulation dot1Q 100
ip vrf forwarding MGMT
ip address 10.0.2.1 255.255.255.0 secondary
ip address 10.0.1.1 255.255.255.0 secondary
ip address 10.0.0.1 255.255.255.0
no cdp enable
!


router ospf 100 vrf MGMT

network 10.0.2.1 0.0.0.0 area 0
network 10.0.1.1 0.0.0.0 area 0
network 10.0.0.1 0.0.0.0 area 0
!

 

А чего анонсируемые сети /32 не соответствуют сетям на интерфейсе /24 ?

 

А нетворк не анонсирует сети, ее задача включить интерфейс в работу OSPF процесса. Хотя, чисто визуально выглядит криво ИМХО, но схема должна работать.

 

Можно посмотреть в ospf базе, что роутер соседям должен анонсить.

Share this post


Link to post
Share on other sites

А нетворк не анонсирует сети, ее задача включить интерфейс в работу OSPF процесса. Хотя, чисто визуально выглядит криво ИМХО, но схема должна работать.

ОТНЮТЬ не криво.

В Network можно указывать диапазон либо конкретные адреса.

 

Можно посмотреть в ospf базе, что роутер соседям должен анонсить.

Врублю блондинку и переспрошу.

Речь идет о: show ip ospf database ?

Share this post


Link to post
Share on other sites

ОТНЮТЬ не криво.

В Network можно указывать диапазон либо конкретные адреса.

Если мне память не изменяет у кисок протоколы маршрутизации и ещё чего то не работают на secondary - не помню где натыкался.

 

PS: Вот - https://supportforums.cisco.com/document/23811/network-belongs-secondary-ip-address-not-advertised

Edited by NikAlexAn

Share this post


Link to post
Share on other sites

А может стоит добавить в router ospf 100 vrf MGMT

default-information originate always?

он ведь у вас не указан?

Share this post


Link to post
Share on other sites

Проблема в том, что если к примеру выполнить

ping vrf MGMT 10.0.1.5 то в ответ тишина.

хотя данная подсеть (ip address 10.0.1.1 255.255.255.0 secondary) указана как секондари.

а с чего вы взяли, что железка должна пинговать 10.0.1.5 с source 10.0.1.1? 100% она с src 10.0.0.1 отправляет

Share this post


Link to post
Share on other sites

Да и сегментация такая мало чем поможет в борьбе с броадкастами и арпами

Share this post


Link to post
Share on other sites

И всё же любая сегментация сокращает нагрузку на железки.

Вообщем тут как мне видеться есть два варианта:

1. На интерфейсе указывать secondary ip для каждой подсети.

2. Влупить /16 маску. Но этот вариант пожалуй самый худший.

Share this post


Link to post
Share on other sites

Еще раз проблему опишите. Не понятно ни черта.

Нет пинга с самого роутера? А не похрену ли? С дальнейших станций, роутеров есть доступ? Схему в двух росчерках на draw.io накидайте. Тут простейшая конструкция, все должно работать.

И я не пойму у вас ospf внутри 100 влана что-ли? Или вы вместо redistribute включаете на интерфейсе?

Кароче схему и что надо в итоге.

Share this post


Link to post
Share on other sites

На интерфейсе GI0/1.100 добавил пару секондари адресов, с надеждой молясь сегментиовать сеть.

Но вот не задача, нет доступа через секондари адреса к оборудованию.

Хотя если указать source (ping vrf MGMT 10.0.1.5 source 10.0.1.1) то всё ок...

 

циска по дефолту никогда не инициирует подключение с secondary адреса интерфейса, вне зависимости от того в какую Вы сеть обращаетесь,

все подключения только с primary адреса интерфейса.

Share this post


Link to post
Share on other sites

На интерфейсе GI0/1.100 добавил пару секондари адресов, с надеждой молясь сегментиовать сеть.

Но вот не задача, нет доступа через секондари адреса к оборудованию.

Хотя если указать source (ping vrf MGMT 10.0.1.5 source 10.0.1.1) то всё ок...

 

циска по дефолту никогда не инициирует подключение с secondary адреса интерфейса, вне зависимости от того в какую Вы сеть обращаетесь,

все подключения только с primary адреса интерфейса.

 

Что значит по дефолту не инициирует? Если есть команда нетворк с этой подсетью, то анонсы летят хоть с примари, хоть с секондари. Другое дело, что ТС не может нормально продиагностировать, а мы тут гадаем, прилетают анонсы или нет...

Share this post


Link to post
Share on other sites

Что значит по дефолту не инициирует? Если есть команда нетворк с этой подсетью, то анонсы летят хоть с примари, хоть с секондари. Другое дело, что ТС не может нормально продиагностировать, а мы тут гадаем, прилетают анонсы или нет...

 

ping trace telnet ssh по умолчанию уходят с примари адреса а если хочется чтоб с секондари пошло то надо явно указать source.

 

Ссылку то не смотрели что ли? EIGP и OSPF не могут установить соседство с секондари адреса - только с примари.

И ещё есть вроде ограничения насчёт секондари.

Всёж лучше подсети на разные виланы раскидать.

Share this post


Link to post
Share on other sites

ping trace telnet ssh по умолчанию уходят с примари адреса а если хочется чтоб с секондари пошло то надо явно указать source.

 

и не только эти протоколы, в моем случае столкнулись с проблемой когда tftp сервер находился на адресах secondary сети, и соответственно подключиться к внешнему tftp не удавалось с такой адресацией

Share this post


Link to post
Share on other sites

Да, ссылку видел. Конечно лучше по вланам раскидать, кто же спорит. Но речь идет про ОСПФ и про анонс (не соседство) и оно работает, у меня так работает.

Share this post


Link to post
Share on other sites

Да, ссылку видел. Конечно лучше по вланам раскидать, кто же спорит. Но речь идет про ОСПФ и про анонс (не соседство) и оно работает, у меня так работает.

 

Вы писали что 1.5 без указания source не пингуется а с указанием 1.1 пингуется.

Лично у меня сразу вопрос даж три:

1 с 1.5 пингуется 1.1?

2 с 1.5 пингуется 0.1?

3 на 1.5 как адреса прописаны и есть ли маршрут на 0.0?

Edited by NikAlexAn

Share this post


Link to post
Share on other sites

Да, тоже по началу была мысль организовать влан для каждого сегмента.

Но лень предложила не раздувать конфинг и замутить secondary IP.

Share this post


Link to post
Share on other sites

1.5 литра!?

 

Дак "Хотя если указать source (ping vrf MGMT 10.0.1.5 source 10.0.1.1) то всё ок... "

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this