[ivcrash]

Здравствуйте, уважаемые! Появилась такая проблемка. Две циски, указанные в теме соединены между собой, возникла необходимость проброса трафика от 2800 к 2620 через route-map, ACL для этого создан, route-map сконфигурирован, подсеть, которую необходимо пробросить указал в необходимом ACL, пакеты пошли, трафик перенаправляется, но! Теперь эта подсеть недоступна из других (( (не отвечают рутеры из той подсетки, не трассируются, не пингуются).

 

Привожу конфиг:

 

route-map ****, permit, sequence 3

Match clauses:

ip address (access-lists): 169 - в этот ACL добавляю ту подсеть, которую надо пробросить на циску 2620

Set clauses:

ip next-hop *.*.*.*

Policy routing matches: 186553 packets, 53076277 bytes

 

Как только удаляю подcеть из ACL 169, всё начинает пинговаться и быть доступным.. Как теперь быть? Как разграничить трафик? Чтобы он шёл и на 2620, и был доступен на интерфейсах циски 2800. Благодарю.

P.S. Если потребуются какие конфиги выложу.

[ivcrash]

Обрисую поточнее. Cisco 2821 (1) <<->> Cisco 2620 (2) 1 - в ней несколько интерфейсов GigabitEthernet, в одном из которых -

interface GigabitEthernet0/0.14

description ***

encapsulation dot1Q 55

ip address 192.168.129.1 255.255.255.0 secondary

ip access-group 155 in

no ip proxy-arp

 

Есть ACL для route-map, туда я заношу строчку permit ip 192.168.129.0 0.0.0.63 any

И трафик от этой подсети начинает проходить на nexthop *.*.*.* (2) Cisco 2620 которая. Но, на 2821 кошке, перестаёт быть доступной эта подсеть. То есть с компа пингую 192.168.129.1 - отвечает, всё что дальше, например 192.168.129.2 и т.д. не трассируется и не пингуется, трассы затыкаются уже на ip address 192.168.129.1

 

interface GigabitEthernet0/0.4

description GateWay to 2620

encapsulation dot1Q 31

ip address *.*.*.* 255.255.255.252

ip access-group 155 in

no ip proxy-arp

no snmp trap link-status

no cdp enable

<<- это интерфейс на кошке 2821 смотрит в 2620.

 

Далее bgp:

 

router bgp 35212

no synchronization

bgp log-neighbor-changes

network 83.143.152.0 mask 255.255.248.0

neighbor 83.229.133.197 remote-as 6854

neighbor 83.229.133.197 shutdown

neighbor 83.229.133.197 update-source GigabitEthernet0/1.2

neighbor 83.229.133.197 version 4

neighbor 83.229.133.197 soft-reconfiguration inbound

neighbor 83.229.133.197 weight 100

neighbor 83.229.133.197 prefix-list to_Sinterra out

neighbor 87.226.222.181 remote-as 12389

neighbor 87.226.222.181 update-source GigabitEthernet0/1.8

neighbor 87.226.222.181 version 4

neighbor 87.226.222.181 soft-reconfiguration inbound

neighbor 87.226.222.181 weight 100

neighbor 87.226.222.181 prefix-list to_rt_new out

no auto-summary

 

Далее show route-map:

 

route-map ***, permit, sequence 3

Match clauses:

ip address (access-lists): 169

Set clauses:

ip next-hop "Cisco 2620"

Policy routing matches: 188431 packets, 53307338 bytes

route-map itv-out, permit, sequence 10

Match clauses:

Set clauses:

as-path prepend 65000

Policy routing matches: 0 packets, 0 bytes

route-map nauka-out, permit, sequence 10

Match clauses:

Set clauses:

as-path prepend 35212 35212

Policy routing matches: 0 packets, 0 bytes

 

А также в конфиге, в ip classless есть роут ip route 192.168.129.0 255.255.255.0 Cisco 2620, и вот я думаю, может стоить прописать такую же строчку только с адресом кошки 2821? Благодарю Вас. З.Ы. И не уверен насчет аэсок, как узнать в одной они или нет?

 

hostname rbgp

!

boot-start-marker

boot system flash c2800-nm-spservicesk9-mz.123-14T2.bin

boot-end-marker

!

logging buffered 51200 warnings

enable secret 5

!

no aaa new-model

!

resource policy

!

ip subnet-zero

!

!

ip cef

no ip dhcp use vrf connected

!

!

ip flow-cache entries 10000

ip flow-cache timeout inactive 60

ip flow-cache timeout active 1

ip domain name yourdomain.com

no ip rcmd domain-lookup

ip rcmd rsh-enable

ip rcmd remote-host ***

ip rcmd remote-host ***

no ftp-server write-enable

 

class-map match-all voice

match access-group 123

!

!

policy-map policy1

class voice

priority 128

class class-default

fair-queue

!

!

!

!

interface Tunnel0

description ###

ip address

tunnel source

tunnel destination

tunnel mode ipip

!

interface GigabitEthernet0/0

description ### Trunk to 2950

no ip address

rate-limit input access-group 123 128000 65536 65536 conform-action set-prec-transmit 5 exceed-action set-prec-continue 0

ip route-cache flow

load-interval 30

duplex auto

speed auto

no keepalive

no cdp enable

service-policy output policy1

!

interface GigabitEthernet0/0.1

description ### GateWay inside

encapsulation dot1Q 5

ip address *** secondary

ip address *** secondary

ip address ***

no ip proxy-arp

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.2

encapsulation dot1Q 30

ip address

no ip proxy-arp

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.3

description ###

encapsulation dot1Q 3

ip address

no ip proxy-arp

no ip mroute-cache

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.4

description GateWay to 2620

encapsulation dot1Q 31

ip address **** 255.255.255.252

ip access-group 155 in

no ip proxy-arp

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.5

description

encapsulation dot1Q 32

no ip proxy-arp

shutdown

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.6

description ###

encapsulation dot1Q 33

ip address *** 255.255.255.252

no ip proxy-arp

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.7

description ###

encapsulation dot1Q 6

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 153 in

no ip proxy-arp

rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 184 384000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.8

description ###

encapsulation dot1Q 7

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 150 in

no ip proxy-arp

rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.9

description ###

encapsulation dot1Q 8

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 151 in

no ip proxy-arp

rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

no snmp trap link-status

traffic-shape group 160 512000 32000 32000 512

no cdp enable

!

interface GigabitEthernet0/0.10

description ###

encapsulation dot1Q 9

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 152 in

no ip proxy-arp

rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop

no snmp trap link-status

no cdp enable

ПРОШУ ОБРАТИТЬ ВНИМАНИЕ! Ниже интерфейс, через который, компьютеры, находясь в его подсети, могут пинговать, трассировать подсеть 192.168.129.0/24 все остальные, находящиеся на других интерфейсах получают в ответ ping timeout, при трассе затыкается всё на ip address 'IP адрес интерфейса'. Еще ниже интерфейс на котором и стоит ip address 192.168.129.1 из сети 192.168.129.0/24 как раз та, которую необходимо прокинуть по route-map на 2620.

 

interface GigabitEthernet0/0.13

encapsulation dot1Q 47

ip address *** secondary

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 147 in

no ip proxy-arp

rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action drop

rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action drop

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/0.14

description

encapsulation dot1Q 55

ip address 192.168.129.1 255.255.255.0 secondary

ip address *** secondary

ip address *** secondary

ip address ***

ip access-group 155 in

no ip proxy-arp

rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit input access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop

rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop

ip policy route-map MAP

no snmp trap link-status

no cdp enable

!

interface GigabitEthernet0/1

no ip address

ip route-cache flow

load-interval 30

duplex auto

speed auto

no keepalive

no cdp enable

!

Далее идут ip classless и списки ACL. Всё. Как то так... Благодарю заранее.

[azhur]

Скорее всего тупо не доходят ответные пакеты.

Знает ли Cisco 2620 маршрут к тем сетям, из которых перестает пинговаться при применении роутмапа?

[dsk]

set default ip next-hop ??

[ivcrash]

Скорее всего тупо не доходят ответные пакеты.

Знает ли Cisco 2620 маршрут к тем сетям, из которых перестает пинговаться при применении роутмапа?

Точно!! То есть на циске 2620 в ip classless должен быть по сути ip route 192.168.129.0 255.255.255.0 'IP addr Cisco 2821' так?

 

set default ip next-hop ??

Пардон. а где мне это указать? и что-то как я помню на форуме оупеннета считали эту строчку не очень хорошей для роутмапа.. Благодарю.

 

Допустим я укажу дефолт некстхопом циску 2620.. то есть ту, куда надо подсеть пробросить, а будет ли она отвечать мне на 2821 циске?

Изменено 5 декабря, 2010 пользователем ivcrash

[dsk]

Если set ip next-hop то не будет, если set default ip next-hop, то будет.

Сейчас у вас все форвардится по вашему некстхопу, будет то, что должно идти по default route.

[ivcrash]

Если set ip next-hop то не будет, если set default ip next-hop, то будет.

Сейчас у вас все форвардится по вашему некстхопу, будет то, что должно идти по default route.

Хорошо. А где мне это прописать? В конфиге роутмапа? или просто набрав configure terminal и далее эту строчку? Спасибо!

[ivcrash]

Если set ip next-hop то не будет, если set default ip next-hop, то будет.

Сейчас у вас все форвардится по вашему некстхопу, будет то, что должно идти по default route.

благодарю Вас!!! заработало! кучу манов прочел по роутмапу) тока set ip default next-hop) но не суть)) спасибо!