Jump to content
Калькуляторы

Cisco 2800 and Cisco 2620 Маршрутизация

Здравствуйте, уважаемые! Появилась такая проблемка. Две циски, указанные в теме соединены между собой, возникла необходимость проброса трафика от 2800 к 2620 через route-map, ACL для этого создан, route-map сконфигурирован, подсеть, которую необходимо пробросить указал в необходимом ACL, пакеты пошли, трафик перенаправляется, но! Теперь эта подсеть недоступна из других (( (не отвечают рутеры из той подсетки, не трассируются, не пингуются).

 

Привожу конфиг:

 

route-map ****, permit, sequence 3

Match clauses:

ip address (access-lists): 169 - в этот ACL добавляю ту подсеть, которую надо пробросить на циску 2620

Set clauses:

ip next-hop *.*.*.*

Policy routing matches: 186553 packets, 53076277 bytes

 

Как только удаляю подcеть из ACL 169, всё начинает пинговаться и быть доступным.. Как теперь быть? Как разграничить трафик? Чтобы он шёл и на 2620, и был доступен на интерфейсах циски 2800. Благодарю.

P.S. Если потребуются какие конфиги выложу.

Share this post


Link to post
Share on other sites

Обрисую поточнее. Cisco 2821 (1) <<->> Cisco 2620 (2) 1 - в ней несколько интерфейсов GigabitEthernet, в одном из которых -

interface GigabitEthernet0/0.14

description ***

encapsulation dot1Q 55

ip address 192.168.129.1 255.255.255.0 secondary

ip access-group 155 in

no ip proxy-arp

 

Есть ACL для route-map, туда я заношу строчку permit ip 192.168.129.0 0.0.0.63 any

И трафик от этой подсети начинает проходить на nexthop *.*.*.* (2) Cisco 2620 которая. Но, на 2821 кошке, перестаёт быть доступной эта подсеть. То есть с компа пингую 192.168.129.1 - отвечает, всё что дальше, например 192.168.129.2 и т.д. не трассируется и не пингуется, трассы затыкаются уже на ip address 192.168.129.1

 

interface GigabitEthernet0/0.4

description GateWay to 2620

encapsulation dot1Q 31

ip address *.*.*.* 255.255.255.252

ip access-group 155 in

no ip proxy-arp

no snmp trap link-status

no cdp enable

<<- это интерфейс на кошке 2821 смотрит в 2620.

 

Далее bgp:

 

router bgp 35212

no synchronization

bgp log-neighbor-changes

network 83.143.152.0 mask 255.255.248.0

neighbor 83.229.133.197 remote-as 6854

neighbor 83.229.133.197 shutdown

neighbor 83.229.133.197 update-source GigabitEthernet0/1.2

neighbor 83.229.133.197 version 4

neighbor 83.229.133.197 soft-reconfiguration inbound

neighbor 83.229.133.197 weight 100

neighbor 83.229.133.197 prefix-list to_Sinterra out

neighbor 87.226.222.181 remote-as 12389

neighbor 87.226.222.181 update-source GigabitEthernet0/1.8

neighbor 87.226.222.181 version 4

neighbor 87.226.222.181 soft-reconfiguration inbound

neighbor 87.226.222.181 weight 100

neighbor 87.226.222.181 prefix-list to_rt_new out

no auto-summary

 

Далее show route-map:

 

route-map ***, permit, sequence 3

Match clauses:

ip address (access-lists): 169

Set clauses:

ip next-hop "Cisco 2620"

Policy routing matches: 188431 packets, 53307338 bytes

route-map itv-out, permit, sequence 10

Match clauses:

Set clauses:

as-path prepend 65000

Policy routing matches: 0 packets, 0 bytes

route-map nauka-out, permit, sequence 10

Match clauses:

Set clauses:

as-path prepend 35212 35212

Policy routing matches: 0 packets, 0 bytes

 

А также в конфиге, в ip classless есть роут ip route 192.168.129.0 255.255.255.0 Cisco 2620, и вот я думаю, может стоить прописать такую же строчку только с адресом кошки 2821? Благодарю Вас. З.Ы. И не уверен насчет аэсок, как узнать в одной они или нет?

 

hostname rbgp

!

boot-start-marker

boot system flash c2800-nm-spservicesk9-mz.123-14T2.bin

boot-end-marker

!

logging buffered 51200 warnings

enable secret 5

!

no aaa new-model

!

resource policy

!

ip subnet-zero

!

!

ip cef

no ip dhcp use vrf connected

!

!

ip flow-cache entries 10000

ip flow-cache timeout inactive 60

ip flow-cache timeout active 1

ip domain name yourdomain.com

no ip rcmd domain-lookup

ip rcmd rsh-enable

ip rcmd remote-host ***

ip rcmd remote-host ***

no ftp-server write-enable

 

class-map match-all voice

match access-group 123

!

!

policy-map policy1

class voice

priority 128

class class-default

fair-queue

!

!

!

!

interface Tunnel0

description ###

ip address

tunnel source

tunnel destination

tunnel mode ipip

!

interface GigabitEthernet0/0

description ### Trunk to 2950

no ip address

rate-limit input access-group 123 128000 65536 65536 conform-action set-prec-transmit 5 exceed-action set-prec-continue 0

ip route-cache flow

load-interval 30

duplex auto

speed auto

no keepalive

no cdp enable

service-policy output policy1

!

interface GigabitEthernet0/0.1

description ### GateWay inside

encapsulation dot1Q 5

ip address *** secondary

ip address *** secondary

ip address ***

no ip proxy-arp

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.2

encapsulation dot1Q 30

ip address

no ip proxy-arp

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.3

description ###

encapsulation dot1Q 3

ip address

no ip proxy-arp

no ip mroute-cache

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.4

description GateWay to 2620

encapsulation dot1Q 31

ip address **** 255.255.255.252

ip access-group 155 in

no ip proxy-arp

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.5

description

encapsulation dot1Q 32

no ip proxy-arp

shutdown

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.6

description ###

encapsulation dot1Q 33

ip address *** 255.255.255.252

no ip proxy-arp

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.7

description ###

encapsulation dot1Q 6

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 153 in

no ip proxy-arp

rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 184 384000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.8

description ###

encapsulation dot1Q 7

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 150 in

no ip proxy-arp

rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.9

description ###

encapsulation dot1Q 8

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 151 in

no ip proxy-arp

rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

no snmp trap link-status

traffic-shape group 160 512000 32000 32000 512

no cdp enable

!

interface GigabitEthernet0/0.10

description ###

encapsulation dot1Q 9

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 152 in

no ip proxy-arp

rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

no snmp trap link-status

no cdp enable

ПРОШУ ОБРАТИТЬ ВНИМАНИЕ! Ниже интерфейс, через который, компьютеры, находясь в его подсети, могут пинговать, трассировать подсеть 192.168.129.0/24 все остальные, находящиеся на других интерфейсах получают в ответ ping timeout, при трассе затыкается всё на ip address 'IP адрес интерфейса'. Еще ниже интерфейс на котором и стоит ip address 192.168.129.1 из сети 192.168.129.0/24 как раз та, которую необходимо прокинуть по route-map на 2620.

 

interface GigabitEthernet0/0.13

encapsulation dot1Q 47

ip address *** secondary

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 147 in

no ip proxy-arp

rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action drop

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.14

description

encapsulation dot1Q 55

ip address 192.168.129.1 255.255.255.0 secondary

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 155 in

no ip proxy-arp

rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop

ip policy route-map MAP

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/1

no ip address

ip route-cache flow

load-interval 30

duplex auto

speed auto

no keepalive

no cdp enable

!

Далее идут ip classless и списки ACL. Всё. Как то так... Благодарю заранее.

Share this post


Link to post
Share on other sites

Скорее всего тупо не доходят ответные пакеты.

Знает ли Cisco 2620 маршрут к тем сетям, из которых перестает пинговаться при применении роутмапа?

Share this post


Link to post
Share on other sites
Скорее всего тупо не доходят ответные пакеты.

Знает ли Cisco 2620 маршрут к тем сетям, из которых перестает пинговаться при применении роутмапа?

Точно!! То есть на циске 2620 в ip classless должен быть по сути ip route 192.168.129.0 255.255.255.0 'IP addr Cisco 2821' так?

 

set default ip next-hop ??
Пардон. а где мне это указать? и что-то как я помню на форуме оупеннета считали эту строчку не очень хорошей для роутмапа.. Благодарю.

 

Допустим я укажу дефолт некстхопом циску 2620.. то есть ту, куда надо подсеть пробросить, а будет ли она отвечать мне на 2821 циске?

Edited by ivcrash

Share this post


Link to post
Share on other sites

Если set ip next-hop то не будет, если set default ip next-hop, то будет.

Сейчас у вас все форвардится по вашему некстхопу, будет то, что должно идти по default route.

Share this post


Link to post
Share on other sites
Если set ip next-hop то не будет, если set default ip next-hop, то будет.

Сейчас у вас все форвардится по вашему некстхопу, будет то, что должно идти по default route.

Хорошо. А где мне это прописать? В конфиге роутмапа? или просто набрав configure terminal и далее эту строчку? Спасибо!

Share this post


Link to post
Share on other sites
Если set ip next-hop то не будет, если set default ip next-hop, то будет.

Сейчас у вас все форвардится по вашему некстхопу, будет то, что должно идти по default route.

благодарю Вас!!! заработало! кучу манов прочел по роутмапу) тока set ip default next-hop) но не суть)) спасибо!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this