ivcrash Опубликовано 4 декабря, 2010 · Жалоба Здравствуйте, уважаемые! Появилась такая проблемка. Две циски, указанные в теме соединены между собой, возникла необходимость проброса трафика от 2800 к 2620 через route-map, ACL для этого создан, route-map сконфигурирован, подсеть, которую необходимо пробросить указал в необходимом ACL, пакеты пошли, трафик перенаправляется, но! Теперь эта подсеть недоступна из других (( (не отвечают рутеры из той подсетки, не трассируются, не пингуются). Привожу конфиг: route-map ****, permit, sequence 3 Match clauses: ip address (access-lists): 169 - в этот ACL добавляю ту подсеть, которую надо пробросить на циску 2620 Set clauses: ip next-hop *.*.*.* Policy routing matches: 186553 packets, 53076277 bytes Как только удаляю подcеть из ACL 169, всё начинает пинговаться и быть доступным.. Как теперь быть? Как разграничить трафик? Чтобы он шёл и на 2620, и был доступен на интерфейсах циски 2800. Благодарю. P.S. Если потребуются какие конфиги выложу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivcrash Опубликовано 5 декабря, 2010 · Жалоба Обрисую поточнее. Cisco 2821 (1) <<->> Cisco 2620 (2) 1 - в ней несколько интерфейсов GigabitEthernet, в одном из которых - interface GigabitEthernet0/0.14 description *** encapsulation dot1Q 55 ip address 192.168.129.1 255.255.255.0 secondary ip access-group 155 in no ip proxy-arp Есть ACL для route-map, туда я заношу строчку permit ip 192.168.129.0 0.0.0.63 any И трафик от этой подсети начинает проходить на nexthop *.*.*.* (2) Cisco 2620 которая. Но, на 2821 кошке, перестаёт быть доступной эта подсеть. То есть с компа пингую 192.168.129.1 - отвечает, всё что дальше, например 192.168.129.2 и т.д. не трассируется и не пингуется, трассы затыкаются уже на ip address 192.168.129.1 interface GigabitEthernet0/0.4 description GateWay to 2620 encapsulation dot1Q 31 ip address *.*.*.* 255.255.255.252 ip access-group 155 in no ip proxy-arp no snmp trap link-status no cdp enable <<- это интерфейс на кошке 2821 смотрит в 2620. Далее bgp: router bgp 35212 no synchronization bgp log-neighbor-changes network 83.143.152.0 mask 255.255.248.0 neighbor 83.229.133.197 remote-as 6854 neighbor 83.229.133.197 shutdown neighbor 83.229.133.197 update-source GigabitEthernet0/1.2 neighbor 83.229.133.197 version 4 neighbor 83.229.133.197 soft-reconfiguration inbound neighbor 83.229.133.197 weight 100 neighbor 83.229.133.197 prefix-list to_Sinterra out neighbor 87.226.222.181 remote-as 12389 neighbor 87.226.222.181 update-source GigabitEthernet0/1.8 neighbor 87.226.222.181 version 4 neighbor 87.226.222.181 soft-reconfiguration inbound neighbor 87.226.222.181 weight 100 neighbor 87.226.222.181 prefix-list to_rt_new out no auto-summary Далее show route-map: route-map ***, permit, sequence 3 Match clauses: ip address (access-lists): 169 Set clauses: ip next-hop "Cisco 2620" Policy routing matches: 188431 packets, 53307338 bytes route-map itv-out, permit, sequence 10 Match clauses: Set clauses: as-path prepend 65000 Policy routing matches: 0 packets, 0 bytes route-map nauka-out, permit, sequence 10 Match clauses: Set clauses: as-path prepend 35212 35212 Policy routing matches: 0 packets, 0 bytes А также в конфиге, в ip classless есть роут ip route 192.168.129.0 255.255.255.0 Cisco 2620, и вот я думаю, может стоить прописать такую же строчку только с адресом кошки 2821? Благодарю Вас. З.Ы. И не уверен насчет аэсок, как узнать в одной они или нет? hostname rbgp ! boot-start-marker boot system flash c2800-nm-spservicesk9-mz.123-14T2.bin boot-end-marker ! logging buffered 51200 warnings enable secret 5 ! no aaa new-model ! resource policy ! ip subnet-zero ! ! ip cef no ip dhcp use vrf connected ! ! ip flow-cache entries 10000 ip flow-cache timeout inactive 60 ip flow-cache timeout active 1 ip domain name yourdomain.com no ip rcmd domain-lookup ip rcmd rsh-enable ip rcmd remote-host *** ip rcmd remote-host *** no ftp-server write-enable class-map match-all voice match access-group 123 ! ! policy-map policy1 class voice priority 128 class class-default fair-queue ! ! ! ! interface Tunnel0 description ### ip address tunnel source tunnel destination tunnel mode ipip ! interface GigabitEthernet0/0 description ### Trunk to 2950 no ip address rate-limit input access-group 123 128000 65536 65536 conform-action set-prec-transmit 5 exceed-action set-prec-continue 0 ip route-cache flow load-interval 30 duplex auto speed auto no keepalive no cdp enable service-policy output policy1 ! interface GigabitEthernet0/0.1 description ### GateWay inside encapsulation dot1Q 5 ip address *** secondary ip address *** secondary ip address *** no ip proxy-arp no snmp trap link-status no cdp enable ! interface GigabitEthernet0/0.2 encapsulation dot1Q 30 ip address no ip proxy-arp no snmp trap link-status no cdp enable ! interface GigabitEthernet0/0.3 description ### encapsulation dot1Q 3 ip address no ip proxy-arp no ip mroute-cache no snmp trap link-status no cdp enable ! interface GigabitEthernet0/0.4 description GateWay to 2620 encapsulation dot1Q 31 ip address **** 255.255.255.252 ip access-group 155 in no ip proxy-arp no snmp trap link-status no cdp enable ! interface GigabitEthernet0/0.5 description encapsulation dot1Q 32 no ip proxy-arp shutdown no snmp trap link-status no cdp enable ! interface GigabitEthernet0/0.6 description ### encapsulation dot1Q 33 ip address *** 255.255.255.252 no ip proxy-arp no snmp trap link-status no cdp enable ! interface GigabitEthernet0/0.7 description ### encapsulation dot1Q 6 ip address *** secondary ip address *** secondary ip address *** ip access-group 153 in no ip proxy-arp rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop rate-limit output access-group 184 384000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop no snmp trap link-status no cdp enable ! interface GigabitEthernet0/0.8 description ### encapsulation dot1Q 7 ip address *** secondary ip address *** secondary ip address *** ip access-group 150 in no ip proxy-arp rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop no snmp trap link-status no cdp enable ! interface GigabitEthernet0/0.9 description ### encapsulation dot1Q 8 ip address *** secondary ip address *** secondary ip address *** ip access-group 151 in no ip proxy-arp rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop no snmp trap link-status traffic-shape group 160 512000 32000 32000 512 no cdp enable ! interface GigabitEthernet0/0.10 description ### encapsulation dot1Q 9 ip address *** secondary ip address *** secondary ip address *** ip access-group 152 in no ip proxy-arp rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop no snmp trap link-status no cdp enable ПРОШУ ОБРАТИТЬ ВНИМАНИЕ! Ниже интерфейс, через который, компьютеры, находясь в его подсети, могут пинговать, трассировать подсеть 192.168.129.0/24 все остальные, находящиеся на других интерфейсах получают в ответ ping timeout, при трассе затыкается всё на ip address 'IP адрес интерфейса'. Еще ниже интерфейс на котором и стоит ip address 192.168.129.1 из сети 192.168.129.0/24 как раз та, которую необходимо прокинуть по route-map на 2620. interface GigabitEthernet0/0.13 encapsulation dot1Q 47 ip address *** secondary ip address *** secondary ip address *** secondary ip address *** ip access-group 147 in no ip proxy-arp rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action drop rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action drop no snmp trap link-status no cdp enable ! interface GigabitEthernet0/0.14 description encapsulation dot1Q 55 ip address 192.168.129.1 255.255.255.0 secondary ip address *** secondary ip address *** secondary ip address *** ip access-group 155 in no ip proxy-arp rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop rate-limit input access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop ip policy route-map MAP no snmp trap link-status no cdp enable ! interface GigabitEthernet0/1 no ip address ip route-cache flow load-interval 30 duplex auto speed auto no keepalive no cdp enable ! Далее идут ip classless и списки ACL. Всё. Как то так... Благодарю заранее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
azhur Опубликовано 5 декабря, 2010 · Жалоба Скорее всего тупо не доходят ответные пакеты. Знает ли Cisco 2620 маршрут к тем сетям, из которых перестает пинговаться при применении роутмапа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 5 декабря, 2010 · Жалоба set default ip next-hop ?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivcrash Опубликовано 5 декабря, 2010 (изменено) · Жалоба Скорее всего тупо не доходят ответные пакеты.Знает ли Cisco 2620 маршрут к тем сетям, из которых перестает пинговаться при применении роутмапа? Точно!! То есть на циске 2620 в ip classless должен быть по сути ip route 192.168.129.0 255.255.255.0 'IP addr Cisco 2821' так? set default ip next-hop ??Пардон. а где мне это указать? и что-то как я помню на форуме оупеннета считали эту строчку не очень хорошей для роутмапа.. Благодарю. Допустим я укажу дефолт некстхопом циску 2620.. то есть ту, куда надо подсеть пробросить, а будет ли она отвечать мне на 2821 циске? Изменено 5 декабря, 2010 пользователем ivcrash Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dsk Опубликовано 5 декабря, 2010 · Жалоба Если set ip next-hop то не будет, если set default ip next-hop, то будет. Сейчас у вас все форвардится по вашему некстхопу, будет то, что должно идти по default route. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivcrash Опубликовано 5 декабря, 2010 · Жалоба Если set ip next-hop то не будет, если set default ip next-hop, то будет.Сейчас у вас все форвардится по вашему некстхопу, будет то, что должно идти по default route. Хорошо. А где мне это прописать? В конфиге роутмапа? или просто набрав configure terminal и далее эту строчку? Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ivcrash Опубликовано 5 декабря, 2010 · Жалоба Если set ip next-hop то не будет, если set default ip next-hop, то будет.Сейчас у вас все форвардится по вашему некстхопу, будет то, что должно идти по default route. благодарю Вас!!! заработало! кучу манов прочел по роутмапу) тока set ip default next-hop) но не суть)) спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...