Доброго дня вам. добрые люди!
Прошу не пинать - в Cisco я новичок.
Есть задача - настроить работу офиса через двух провайдеров, в будущем это будет своя AS. Возможно позже появится ещё один провайдер.
Для решения этой задачи взял Catalyst-2970-24T(C2970-LANBASEK9-M, Version 12.2(44)SE6) и Cisco-3825(C3825-ADVENTERPRISEK9-M, Version 12.4(24)T7). Идея - завести провайдеров портами в Catalyst, а с него Vlan'ами в 3825. Проблема возникла на стадии заведения 3 Vlan'ов на 3825. Вот кусок настроек 2970:
interface GigabitEthernet0/1
description ISP1
switchport access vlan 40
switchport mode access
!
interface GigabitEthernet0/2
description ROUTER_WAN
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,40,55
switchport mode trunk
!
interface GigabitEthernet0/3
description ISP2
switchport access vlan 55
switchport mode access
!
...
interface GigabitEthernet0/13
description ROUTER_LAN
!Вот кусок конфига Cisco-3825:
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/0.40
description ISP1
encapsulation dot1Q 40
ip address 4.4.4.18 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/0.55
description ISP2
encapsulation dot1Q 55
ip address 5.5.5.190 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.1
description LAN
encapsulation dot1Q 1 native
ip address 10.11.12.2 255.255.255.0
ip nat inside
ip virtual-reassembly
!то есть два провайдера на портах 1 и 3 у Catalyst-2970 Vlan 40 и 55 соответственно, попадают на 3825 через trunk на порту 2, на остальных портах Vlan 1.
GigabitEthernet0/1.1 на 3825 - глядит в локальную сеть(порт 13 на 2970) и его я могу пинговать и заходить на Cisco 3825, с самой циски пинговать адреса в локальной сети тоже.
Но адреса шлюзов за gi0/0.40 и gi0/0.55 - нет.Подскажите что не так? Мне кажется дело в прошивке либо на 2970, либо на 3825.
>[оверквотинг удален]
> !
> то есть два провайдера на портах 1 и 3 у Catalyst-2970 Vlan
> 40 и 55 соответственно, попадают на 3825 через trunk на порту
> 2, на остальных портах Vlan 1.
> GigabitEthernet0/1.1 на 3825 - глядит в локальную сеть(порт 13 на 2970) и
> его я могу пинговать и заходить на Cisco 3825, с самой
> циски пинговать адреса в локальной сети тоже.
> Но адреса шлюзов за gi0/0.40 и gi0/0.55 - нет.
> Подскажите что не так? Мне кажется дело в прошивке либо на 2970,
> либо на 3825.А покажите настройки nat. По ощущениям, заплет как раз в нем.
> А покажите настройки nat. По ощущениям, заплет как раз в нем.Этих настроек нет - удалил ранее, а в интерфейсах забыл удалить.
Пытаюсь добится просто прохождения ping на шлюзы ISP1, ISP2.
>> А покажите настройки nat. По ощущениям, заплет как раз в нем.
> Этих настроек нет - удалил ранее, а в интерфейсах забыл удалить.
> Пытаюсь добится просто прохождения ping на шлюзы ISP1, ISP2.Хорошо, а пингуете с указанием source-адреса?
>>> А покажите настройки nat. По ощущениям, заплет как раз в нем.
>> Этих настроек нет - удалил ранее, а в интерфейсах забыл удалить.
>> Пытаюсь добится просто прохождения ping на шлюзы ISP1, ISP2.
> Хорошо, а пингуете с указанием source-адреса?Разобрался с source-адресом, пингую - результат тот же.
В качестве source-адреса ставлю адрес интерфейса.
>>>> А покажите настройки nat. По ощущениям, заплет как раз в нем.
>>> Этих настроек нет - удалил ранее, а в интерфейсах забыл удалить.
>>> Пытаюсь добится просто прохождения ping на шлюзы ISP1, ISP2.
>> Хорошо, а пингуете с указанием source-адреса?
> Разобрался с source-адресом, пингую - результат тот же.
> В качестве source-адреса ставлю адрес интерфейса.покажите:
show ip int br
show ip route
>>>>> А покажите настройки nat. По ощущениям, заплет как раз в нем.
>>>> Этих настроек нет - удалил ранее, а в интерфейсах забыл удалить.
>>>> Пытаюсь добится просто прохождения ping на шлюзы ISP1, ISP2.
>>> Хорошо, а пингуете с указанием source-адреса?
>> Разобрался с source-адресом, пингую - результат тот же.
>> В качестве source-адреса ставлю адрес интерфейса.
> покажите:
> show ip int br
> show ip routeи show vlan на коммутаторе...
>> А покажите настройки nat. По ощущениям, заплет как раз в нем.
> Этих настроек нет - удалил ранее, а в интерфейсах забыл удалить.
> Пытаюсь добится просто прохождения ping на шлюзы ISP1, ISP2.нет... А как это сделать?
(не туда нажал...)
> Доброго дня вам. добрые люди!
> Подскажите что не так? Мне кажется дело в прошивке либо на 2970,
> либо на 3825.Вланы в 40 и 55 на свиче завели ?
что видно по show mac address-table vlan 40 или 55 ?
>> Доброго дня вам. добрые люди!
>> Подскажите что не так? Мне кажется дело в прошивке либо на 2970,
>> либо на 3825.
> Вланы в 40 и 55 на свиче завели ?
> что видно по show mac address-table vlan 40 или 55 ?Оба вилана заведены:
Switch#show mac address-table vlan 40
Mac Address Table
-------------------------------------------Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0180.c200.0000 STATIC CPU
All 0180.c200.0001 STATIC CPU
All 0180.c200.0002 STATIC CPU
All 0180.c200.0003 STATIC CPU
All 0180.c200.0004 STATIC CPU
All 0180.c200.0005 STATIC CPU
All 0180.c200.0006 STATIC CPU
All 0180.c200.0007 STATIC CPU
All 0180.c200.0008 STATIC CPU
All 0180.c200.0009 STATIC CPU
All 0180.c200.000a STATIC CPU
All 0180.c200.000b STATIC CPU
All 0180.c200.000c STATIC CPU
All 0180.c200.000d STATIC CPU
All 0180.c200.000e STATIC CPU
All 0180.c200.000f STATIC CPU
All 0180.c200.0010 STATIC CPU
All ffff.ffff.ffff STATIC CPU
Total Mac Addresses for this criterion: 20
Switch#show mac address-table vlan 55
Mac Address Table
-------------------------------------------Vlan Mac Address Type Ports
---- ----------- -------- -----
All 0100.0ccc.cccc STATIC CPU
All 0100.0ccc.cccd STATIC CPU
All 0180.c200.0000 STATIC CPU
All 0180.c200.0001 STATIC CPU
All 0180.c200.0002 STATIC CPU
All 0180.c200.0003 STATIC CPU
All 0180.c200.0004 STATIC CPU
All 0180.c200.0005 STATIC CPU
All 0180.c200.0006 STATIC CPU
All 0180.c200.0007 STATIC CPU
All 0180.c200.0008 STATIC CPU
All 0180.c200.0009 STATIC CPU
All 0180.c200.000a STATIC CPU
All 0180.c200.000b STATIC CPU
All 0180.c200.000c STATIC CPU
All 0180.c200.000d STATIC CPU
All 0180.c200.000e STATIC CPU
All 0180.c200.000f STATIC CPU
All 0180.c200.0010 STATIC CPU
All ffff.ffff.ffff STATIC CPU
55 001b.2ad6.b3a0 DYNAMIC Gi0/2
Total Mac Addresses for this criterion: 21
>>> Доброго дня вам. добрые люди!
>>> Подскажите что не так? Мне кажется дело в прошивке либо на 2970,
>>> либо на 3825.
>> Вланы в 40 и 55 на свиче завели ?
>> что видно по show mac address-table vlan 40 или 55 ?
> Оба вилана заведены:
> Switch#show mac address-table vlan 40что то не видно мак адресов от ваших isp
на интерфейсах gi0/1 и 0/3 входящие пакеты есть от них ?
(возможно нужно попинговать маршрутизаторы провайдеров
с вашей циски что бы проявились маки)сделайте clear counters на свиче для полной ясности ...
>[оверквотинг удален]
>>>> либо на 3825.
>>> Вланы в 40 и 55 на свиче завели ?
>>> что видно по show mac address-table vlan 40 или 55 ?
>> Оба вилана заведены:
>> Switch#show mac address-table vlan 40
> что то не видно мак адресов от ваших isp
> на интерфейсах gi0/1 и 0/3 входящие пакеты есть от них ?
> (возможно нужно попинговать маршрутизаторы провайдеров
> с вашей циски что бы проявились маки)
> сделайте clear counters на свиче для полной ясности ...Откуда пропинговать?
Если с Cisco-3825 - то не работает, а если со свитча - то не работает тоже, но я не уверен что делаю это правильно.
подскажите как правильно пинговать со свитча?
>[оверквотинг удален]
>> что то не видно мак адресов от ваших isp
>> на интерфейсах gi0/1 и 0/3 входящие пакеты есть от них ?
>> (возможно нужно попинговать маршрутизаторы провайдеров
>> с вашей циски что бы проявились маки)
>> сделайте clear counters на свиче для полной ясности ...
> Откуда пропинговать?
> Если с Cisco-3825 - то не работает, а если со свитча -
> то не работает тоже, но я не уверен что делаю это
> правильно.
> подскажите как правильно пинговать со свитча?Со свича без NAT'а не пропингуешь :) Пинговать можешь только свои шлюзы, потому как провайдер даже не представляет, какие сети у тебя за твоими роутерами
Покажи уже наконец состояние интерфейсов на всех девайсах: show ip int brief
и таблицу маршрутизации на роутере: show ip route
и состояние виланов на коммутаторе: show vlan
>[оверквотинг удален]
>> Если с Cisco-3825 - то не работает, а если со свитча -
>> то не работает тоже, но я не уверен что делаю это
>> правильно.
>> подскажите как правильно пинговать со свитча?
> Со свича без NAT'а не пропингуешь :) Пинговать можешь только свои шлюзы,
> потому как провайдер даже не представляет, какие сети у тебя за
> твоими роутерами
> Покажи уже наконец состояние интерфейсов на всех девайсах: show ip int brief
> и таблицу маршрутизации на роутере: show ip route
> и состояние виланов на коммутаторе: show vlanНа Cisco-3825 из последнего прописал default gateway...Реальные адреса подменяю на другие.
Вот с Cisco-3825:
main-gw#sh ip int br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 unassigned YES NVRAM up up
GigabitEthernet0/0.40 4.4.4.18 YES NVRAM up up
GigabitEthernet0/0.55 5.5.5.190 YES manual up up
GigabitEthernet0/1 unassigned YES NVRAM up up
GigabitEthernet0/1.1 10.11.12.2 YES NVRAM up up
NVI0 4.4.4.18 YES unset up up
Virtual-Access1 unassigned YES unset down down
Virtual-Template1 unassigned NO TFTP down down
main-gw#sh ip route
[поскипано]
Gateway of last resort is 5.5.5.189 to network 0.0.0.05.0.0.0/30 is subnetted, 1 subnets
C 5.5.5.188 is directly connected, GigabitEthernet0/0.55
10.0.0.0/24 is subnetted, 1 subnets
C 10.11.12.0 is directly connected, GigabitEthernet0/1.1
4.0.0.0/24 is subnetted, 1 subnets
C 4.4.4.0 is directly connected, GigabitEthernet0/0.40
S* 0.0.0.0/0 [1/0] via 5.5.5.189Это с Catalyst-2970:
Switch#sh ip int br
Interface IP-Address OK? Method Status Protocol
Vlan1 10.11.13.11 YES NVRAM up up
Vlan40 unassigned YES manual up up
Vlan55 unassigned YES manual up up
GigabitEthernet0/1 unassigned YES unset up up
GigabitEthernet0/2 unassigned YES unset up up
GigabitEthernet0/3 unassigned YES unset up up
GigabitEthernet0/4 unassigned YES unset up up
GigabitEthernet0/5 unassigned YES unset up up
GigabitEthernet0/6 unassigned YES unset down down
GigabitEthernet0/7 unassigned YES unset up up
GigabitEthernet0/8 unassigned YES unset up up
GigabitEthernet0/9 unassigned YES unset up up
GigabitEthernet0/10 unassigned YES unset up up
GigabitEthernet0/11 unassigned YES unset up up
GigabitEthernet0/12 unassigned YES unset up up
GigabitEthernet0/13 unassigned YES unset up up
GigabitEthernet0/14 unassigned YES unset down down
GigabitEthernet0/15 unassigned YES unset down down
GigabitEthernet0/16 unassigned YES unset up up
GigabitEthernet0/17 unassigned YES unset down down
GigabitEthernet0/18 unassigned YES unset up up
GigabitEthernet0/19 unassigned YES unset down down
GigabitEthernet0/20 unassigned YES unset up up
GigabitEthernet0/21 unassigned YES unset up up
GigabitEthernet0/22 unassigned YES unset down down
GigabitEthernet0/23 unassigned YES unset up up
GigabitEthernet0/24 unassigned YES unset up down
Switch#sh vlanVLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gi0/4, Gi0/5, Gi0/6, Gi0/7
Gi0/8, Gi0/9, Gi0/10, Gi0/11
Gi0/12, Gi0/13, Gi0/14, Gi0/15
Gi0/16, Gi0/17, Gi0/18, Gi0/19
Gi0/20, Gi0/21, Gi0/22, Gi0/23
2 VLAN0002 active
4 VLAN0004 active
10 A active
20 B active
25 VLAN0025 active
26 VLAN0026 active
27 VLAN0027 active
28 VLAN0028 active
29 VLAN0029 active
30 vlana active
31 VLAN0031 active
32 VLAN0032 active
40 ISP1 active Gi0/1
48 VLAN0048 active
50 BB2 active
55 ISP2 active Gi0/3
...
>[оверквотинг удален]
>
> active
> 50 BB2
>
> active
> 55 ISP2
>
> active
> Gi0/3
> ...Так, тут вроде все нормально.
Покажите состояние интерфейсов коммутатора gi0/1 и gi0/3
Бывает, оборудование провайдера шлет BPDU-пакеты и порты тупо блокируютсяПопробуйте на этих портах коммутатора дать команду:
spanning-tree bpdufilter enable
> Покажите состояние интерфейсов коммутатора gi0/1 и gi0/3
> Бывает, оборудование провайдера шлет BPDU-пакеты и порты тупо блокируются
> Попробуйте на этих портах коммутатора дать команду:
> spanning-tree bpdufilter enableВот состояние интерфейсов:
GigabitEthernet0/1 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 0011.92c6.2981 (bia 0011.92c6.2981)
Description: ISP1
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:01, output hang never
Last clearing of "show interface" counters 16:38:12
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 1000 bits/sec, 2 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
266129 packets input, 23362612 bytes, 0 no buffer
Received 179749 broadcasts (91913 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 91916 multicast, 0 pause input
0 input packets with dribble condition detected
36857 packets output, 2692180 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped out
GigabitEthernet0/3 is up, line protocol is up (connected)
Hardware is Gigabit Ethernet, address is 0011.92c6.2983 (bia 0011.92c6.2983)
Description: ISP2
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 1000Mb/s, media type is 10/100/1000BaseTX
input flow-control is off, output flow-control is unsupported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:00, output 00:00:00, output hang never
Last clearing of "show interface" counters 16:39:26
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 1000 bits/sec, 2 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
133948 packets input, 9242449 bytes, 0 no buffer
Received 129685 broadcasts (62068 multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 62068 multicast, 0 pause input
0 input packets with dribble condition detected
36903 packets output, 2695458 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier, 0 PAUSE output
0 output buffer failures, 0 output buffers swapped outДобавил "spanning-tree bpdufilter enable" в настройку интерфейсов gi0/1 и gi0/3 - эффект тот же.
Как предложил <b>h</b> при ping 5.5.5.189 смотрю с другой консоли show arp и вижу Incomplete на месте MAC-адреса.
>[оверквотинг удален]
> speed auto
> media-type rj45
> !
> interface GigabitEthernet0/1.1
> description LAN
> encapsulation dot1Q 1 native
> ip address 10.11.12.2 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> !Что за бред, вот так попоробуйте
interface GigabitEthernet0/1.1
description LAN
ip address 10.11.12.2 255.255.255.0
ip nat inside
ip virtual-reassembly> то есть два провайдера на портах 1 и 3 у Catalyst-2970 Vlan
> 40 и 55 соответственно, попадают на 3825 через trunk на порту
> 2, на остальных портах Vlan 1.
> GigabitEthernet0/1.1 на 3825 - глядит в локальную сеть(порт 13 на 2970) и
> его я могу пинговать и заходить на Cisco 3825, с самой
> циски пинговать адреса в локальной сети тоже.
> Но адреса шлюзов за gi0/0.40 и gi0/0.55 - нет.
> Подскажите что не так? Мне кажется дело в прошивке либо на 2970,
> либо на 3825.
>[оверквотинг удален]
>> ip address 10.11.12.2 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
>> !
> Что за бред, вот так попоробуйте
> interface GigabitEthernet0/1.1
> description LAN
> ip address 10.11.12.2 255.255.255.0
> ip nat inside
> ip virtual-reassemblyТак точно не получится, циска требует указания инкапсуляции на подинтерфейсах. Если нужно отключить тегирование, то указывается native. Что и сделано у ТС. Все у него тут правильно
>[оверквотинг удален]
>>> !
>> Что за бред, вот так попоробуйте
>> interface GigabitEthernet0/1.1
>> description LAN
>> ip address 10.11.12.2 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
> Так точно не получится, циска требует указания инкапсуляции на подинтерфейсах. Если нужно
> отключить тегирование, то указывается native. Что и сделано у ТС. Все
> у него тут правильноНу тогда так
interface GigabitEthernet0
description LAN
ip address 10.11.12.2 255.255.255.0
ip nat inside
ip virtual-reassembly
>[оверквотинг удален]
>>> ip virtual-reassembly
>> Так точно не получится, циска требует указания инкапсуляции на подинтерфейсах. Если нужно
>> отключить тегирование, то указывается native. Что и сделано у ТС. Все
>> у него тут правильно
> Ну тогда так
> interface GigabitEthernet0
> description LAN
> ip address 10.11.12.2 255.255.255.0
> ip nat inside
> ip virtual-reassemblyПочитайте соответствующий раздел CCNA. http://www.netconfig.org/routing/864/
Вам должно быть очень интересно...
>[оверквотинг удален]
>>> отключить тегирование, то указывается native. Что и сделано у ТС. Все
>>> у него тут правильно
>> Ну тогда так
>> interface GigabitEthernet0
>> description LAN
>> ip address 10.11.12.2 255.255.255.0
>> ip nat inside
>> ip virtual-reassembly
> Почитайте соответствующий раздел CCNA. http://www.netconfig.org/routing/864/
> Вам должно быть очень интересно...Спасибо, сейчас и почитаю...
Почитал, только в Packet Tracer я подобную схему делал и она до сих пор(!) работает :)
Не получается у меня на реальных устройствах!Господа, проблему всё ещё не решил. Есть у кого-нибудь мысли?
>>[оверквотинг удален]
> Господа, проблему всё ещё не решил. Есть у кого-нибудь мысли?на циске show arp, при этом в соседней консоле пингуя адрес 5.5.5.189
что видно ?
>>>[оверквотинг удален]
>> Господа, проблему всё ещё не решил. Есть у кого-нибудь мысли?
> на циске show arp, при этом в соседней консоле пингуя адрес 5.5.5.189
> что видно ?пишет такое:
Internet 5.5.5.189 0 Incomplete ARPA
Забыл указать - Связь с провайдерами у меня идёт через коммутатор DLink DGS-1100-16 разделённый по портам на 2 port-based VLAN'а. В него также воткнуто несколько серверов - все работают без сбоев.
Это важно?
> Забыл указать - Связь с провайдерами у меня идёт через коммутатор DLink
> DGS-1100-16 разделённый по портам на 2 port-based VLAN'а. В него также
> воткнуто несколько серверов - все работают без сбоев.
> Это важно?Господа - решение найдено!
Всё оказалось почти просто, по рекомендации самой Cisco - на порту подключённом к не-Cisco устройству обязательно отключать протокол cdp.
Также по рекомендации vigogne нужно включить spanning-tree bpdufilter enable.Итог - для двух моих интерфесов на свитче, смотрящих в провайдеров нужно включить:
no cdp enable
spanning-tree bpdufilter enable
Всем помогаторам - большое СПАСИБО!!!
> Всем помогаторам - большое СПАСИБО!!!Рад, что хоть чем-то помог ;)
Удачи!