Продоложаем ломать 800 series ;)В одну дырку из vlan1 воткнут клиент со статическим "серым" IP, сама циска на интерфейсе fa4 получает адрес по dhcp и должна туда натить всё с "серых" адресов. Имеем - циска НЕ пингуется, НЕ натит, при этом пинги с неё самой до аплинка идут. Перечитал массу руководств, никакой лажи в своих настройках не рассмотрел....
show run, собственно:
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname gwtest
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
dot11 syslog
!
!
ip cef
no ip domain lookup
!
!
!
!
archive
log config
hidekeys
!
!
!
!
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address dhcp hostname gwtest
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.0.88 255.255.255.0
ip access-group 101 in
ip nat inside
ip virtual-reassembly
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
ip nat inside source list 101 interface FastEthernet4 overload
!
access-list 101 permit ip 192.168.0.0 0.0.0.255 any
access-list 102 permit ip any any
!
control-plane
!
!
no modem enable
line aux 0
line vty 0 4
login
!
scheduler max-task-time 5000
end
>[оверквотинг удален]
>control-plane
>!
>!
> no modem enable
>line aux 0
>line vty 0 4
> login
>!
>scheduler max-task-time 5000
>endТут по моему встроенный 4-х портовый свич.
А нет такой команды no switchport на fa4?
>[оверквотинг удален]
>> no modem enable
>>line aux 0
>>line vty 0 4
>> login
>>!
>>scheduler max-task-time 5000
>>end
>
> Тут по моему встроенный 4-х портовый свич.
> А нет такой команды no switchport на fa4?На сколько я знаю там на vlan2 надо все вешать а не на fa4. какая модель точно? sh ver
sho int fa0
sho int fa0 switchport
>sho int fa0
>sho int fa0 switchportgwtest#sho int fa0
FastEthernet0 is up, line protocol is up
Hardware is Fast Ethernet, address is 0021.a03e.e81b (bia 0021.a03e.e81b)
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s
ARP type: ARPA, ARP Timeout 04:00:00
Last input never, output never, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
173 packets input, 17449 bytes, 0 no buffer
Received 106 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
453 packets output, 34124 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
gwtest#sho int fa0 switchport
Name: Fa0
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Disabled
Access Mode VLAN: 1 (default)
Trunking Native Mode VLAN: 1 (default)
Trunking VLANs Enabled: ALL
Trunking VLANs Active: 1
Protected: false
Priority for untagged frames: 0
Override vlan tag priority: FALSE
Voice VLAN: none
Appliance trust: none
>На сколько я знаю там на vlan2 надо все вешать а не
>на fa4. какая модель точно? sh verCisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T7, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2008 by Cisco Systems, Inc.
Compiled Thu 14-Aug-08 07:18 by prod_rel_teamROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
gwtest uptime is 6 minutes
System returned to ROM by power-on
System image file is "flash:c850-advsecurityk9-mz.124-15.T7.bin"....
Cisco 851 (MPC8272) processor (revision 0x300) with 59392K/6144K bytes of memory.
Processor board ID FCZ1247913H
MPC8272 CPU Rev: Part Number 0xC, Mask Number 0x10
5 FastEthernet interfaces
128K bytes of non-volatile configuration memory.
20480K bytes of processor board System flash (Intel Strataflash)Configuration register is 0x2102
B c fa4 как раз всё нормально, с него аплинк пингуется и всё уходит-приходит. Не работает локалочный интерфейс. Отдельно на fa0-3 адреса повесить нельзя, только на vlan1 куда они входят.
Так вот, адрес на vlan1 повесили, линк есть, но ничего ни в какую сторону не идёт. Ни от роутера до клиента, ни от клиента до роутера. Вообще ничего. "Отлупов" никаких нет, одни таймауты.
>[оверквотинг удален]
>
>
>
>B c fa4 как раз всё нормально, с него аплинк пингуется и
>всё уходит-приходит. Не работает локалочный интерфейс. Отдельно на fa0-3 адреса повесить
>нельзя, только на vlan1 куда они входят.
>
>Так вот, адрес на vlan1 повесили, линк есть, но ничего ни в
>какую сторону не идёт. Ни от роутера до клиента, ни от
>клиента до роутера. Вообще ничего. "Отлупов" никаких нет, одни таймауты.sh int fa4 в студию
А ip route 0.0.0.0 0.0.0.0 <ip-адрес шлюза> вы выставлять не собираетесь? ;)
>sh int fa4 в студиюFastEthernet4 is up, line protocol is up
Hardware is PQUICC_FEC, address is 0021.a03e.e825 (bia 0021.a03e.e825)
Internet address is 10.1.3.214/24
MTU 1500 bytes, BW 100000 Kbit/sec, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive set (10 sec)
Full-duplex, 100Mb/s, 100BaseTX/FX
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:02, output 00:00:30, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 1 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
42 packets input, 3580 bytes
Received 42 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog
0 input packets with dribble condition detected
350 packets output, 142157 bytes, 0 underruns
0 output errors, 0 collisions, 2 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped outping 195.34.32.116
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 195.34.32.116, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 172/207/288 ms
>А ip route 0.0.0.0 0.0.0.0 <ip-адрес шлюза> вы выставлять не собираетесь? ;)Адрес с dhcp приходит... Как это прописать? В таблице роутинга правильный шлюз по умолчанию появляется, NAT просто "на интерфейс" тоже вроде прописан.
>[оверквотинг удален]
>Type escape sequence to abort.
>Sending 5, 100-byte ICMP Echos to 195.34.32.116, timeout is 2 seconds:
>!!!!!
>Success rate is 100 percent (5/5), round-trip min/avg/max = 172/207/288 ms
>
>
>>А ip route 0.0.0.0 0.0.0.0 <ip-адрес шлюза> вы выставлять не собираетесь? ;)
>
>Адрес с dhcp приходит... Как это прописать? В таблице роутинга правильный шлюз
>по умолчанию появляется, NAT просто "на интерфейс" тоже вроде прописан.Тогда давайте sh ip route в студию.
Выполните команду ping и нажмите enter, выбирайте все по умолчанию, за исключением того, что вам надо будет выбрать расширенный вариант и указать в качестве источника не внешний интерфейс циски, а внутренний (ip-адрес его), а в качестве назначения укажите внешний интерфейс циски (ip-адрес его), если все пройдет нормально, то значит NAT у вас работает, если нет, то проблема в нем. В обшем должно быть нечто типа такого:
#ping
Protocol [ip]:
Target IP address: <внешний ip-адрес циски>
Repeat count [5]:
Datagram size [100]:
Timeout in seconds [2]:
Extended commands [n]: y
Source address or interface: 192.168.0.88
Type of service [0]:
Set DF bit in IP header? [no]:
Validate reply data? [no]:
Data pattern [0xABCD]:
Loose, Strict, Record, Timestamp, Verbose[none]:
Sweep range of sizes [n]:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to <внешний ip-адрес>, timeout is 2 seconds:
А дальше успешный или не успешный результат.
>Тогда давайте sh ip route в студию.Gateway of last resort is 10.1.3.1 to network 0.0.0.0
10.0.0.0/24 is subnetted, 1 subnets
C 10.1.3.0 is directly connected, FastEthernet4
C 192.168.0.0/24 is directly connected, Vlan1
S* 0.0.0.0/0 [254/0] via 10.1.3.1>А дальше успешный или не успешный результат.
Sending 5, 100-byte ICMP Echos to 10.1.3.214, timeout is 2 seconds:
Packet sent with a source address of 192.168.0.88
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
>[оверквотинг удален]
>
>C 192.168.0.0/24 is directly connected, Vlan1
>S* 0.0.0.0/0 [254/0] via 10.1.3.1
>
>>А дальше успешный или не успешный результат.
>
>Sending 5, 100-byte ICMP Echos to 10.1.3.214, timeout is 2 seconds:
>Packet sent with a source address of 192.168.0.88
>!!!!!
>Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 msто бишь NAT работает.
> то бишь NAT работает.Именно. Так что тут что-то другое.... Тем более, как я понял, циска не пингуется по внутреннему адресу...
>[оверквотинг удален]
>
>
>
>B c fa4 как раз всё нормально, с него аплинк пингуется и
>всё уходит-приходит. Не работает локалочный интерфейс. Отдельно на fa0-3 адреса повесить
>нельзя, только на vlan1 куда они входят.
>
>Так вот, адрес на vlan1 повесили, линк есть, но ничего ни в
>какую сторону не идёт. Ни от роутера до клиента, ни от
>клиента до роутера. Вообще ничего. "Отлупов" никаких нет, одни таймауты.Разнесите порты по разным VLAN-ам, ну и NAT на них настройте.
>[оверквотинг удален]
>>B c fa4 как раз всё нормально, с него аплинк пингуется и
>>всё уходит-приходит. Не работает локалочный интерфейс. Отдельно на fa0-3 адреса повесить
>>нельзя, только на vlan1 куда они входят.
>>
>>Так вот, адрес на vlan1 повесили, линк есть, но ничего ни в
>>какую сторону не идёт. Ни от роутера до клиента, ни от
>>клиента до роутера. Вообще ничего. "Отлупов" никаких нет, одни таймауты.
>
> Разнесите порты по разным VLAN-ам, ну и NAT на них настройте.
>Cisco IOS Software, C850 Software (C850-ADVSECURITYK9-M), Version 12.4(15)T7, RELEASE SOFTWARE (fc3)
тут других вланов не создашь! тока первый и все!
sho ip arp
sho mac-ad int f0/0
надо бы разобраться для начала почему не пингается int vl 1.Вообще у меня был такой глюк на 851 - пытался сделать или транк или вилан отличный от 1, хотя знал, что она виланы не поддерживает и у машинки напрочь снесло мозг (нат не работал напрочь). Пришлось обнулять конфигу и все поновой делать.
>sho ip arp
>sho mac-ad int f0/0
>
>
>надо бы разобраться для начала почему не пингается int vl 1.
>
>Вообще у меня был такой глюк на 851 - пытался сделать
>или транк или вилан отличный от 1, хотя знал, что она
>виланы не поддерживает и у машинки напрочь снесло мозг (нат не
>работал напрочь). Пришлось обнулять конфигу и все поновой делать.Адайпи иос если ставить, то она много виланов понимает.
А по вопросу. ты соединяешь например 1 порт с компом, ставишь айпи и не пингуется шлюз который 88? Или то что дальше?
>А по вопросу. ты соединяешь например 1 порт с компом, ставишь айпи
>и не пингуется шлюз который 88? Или то что дальше?.88 это сама циска внутри в локалке. .88 с подключенного к fa0 компа не пингуется. Сам комп с той же подсетке с циски также не пингуется. С компа через циску ничего не проходит, ни пинги, ни tracert, ничего. С циски во внешний мир пинги идут прекрасно.
>sho ip arp
>sho mac-ad int f0/0Последняя строчка не сработала, сделал так:
gwtest#show mac-address-table int fa0
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------gwtest#show mac-address-table vlan 1
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
0021.a03e.e81b Self 1 Vlan1
>Пришлось обнулять конфигу и все поновой делать.И обнулял, и делал :(
>[оверквотинг удален]
>Destination Address Address Type VLAN Destination Port
>------------------- ------------ ---- --------------------
>0021.a03e.e81b Self
> 1
> Vlan1
>
>
>>Пришлось обнулять конфигу и все поновой делать.
>
>И обнулял, и делал :(убей аксеслист с интерфейса влан1, убери нат с него, перезабей айпи и сделай shut, no shut
после скажешь стало ли пинговаться
>убей аксеслист с интерфейса влан1, убери нат с него, перезабей айпи и
>сделай shut, no shutНе пингуется, ни в одну сторону.
>>убей аксеслист с интерфейса влан1, убери нат с него, перезабей айпи и
>>сделай shut, no shut
>
>Не пингуется, ни в одну сторону.но судя по статистике на интерфейсе fa0 ранее
173 packets input, 17449 bytes, 0 no buffer
Received 106 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 input packets with dribble condition detected
453 packets output, 34124 bytes, 0 underruns
пакетики ходили, может дело не в cisco?
>пакетики ходили, может дело не в cisco?Исключено. Сетевая карта с этим же проводом со всех остальных случаях работает нормально.
Ещё варианты есть, чего в циске посмотреть можно?
>>пакетики ходили, может дело не в cisco?
>
>Исключено. Сетевая карта с этим же проводом со всех остальных случаях работает
>нормально.
>
>Ещё варианты есть, чего в циске посмотреть можно?мистика)
>>пакетики ходили, может дело не в cisco?
>
>Исключено. Сетевая карта с этим же проводом со всех остальных случаях работает
>нормально.
>
>Ещё варианты есть, чего в циске посмотреть можно?тогда комп напрямую в f0/0 и смотреть снифером что происходит при пинге в компа и при пинге с циски (лучше с интерфейса vl 1, не просто пинг x.x.x.x, а расширенным)
Карта сетевая точно в 100 фулдуплекс встала? Проверьте плз.
>Карта сетевая точно в 100 фулдуплекс встала? Проверьте плз.Да, точно.
>тогда комп напрямую в f0/0 и смотреть снифером что происходит при пинге
>в компа и при пинге с циски (лучше с интерфейса vl
>1, не просто пинг x.x.x.x, а расширенным)Там даже без пинга постоянно валится что-то типа:
14:18:06.130427 802.1d config TOP_CHANGE 8000.00:21:a0:3e:e8:1b.8001 root 8000.0
0:21:a0:3e:e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:08.129867 802.1d config TOP_CHANGE 8000.00:21:a0:3e:e8:1b.8001 root 8000.0
0:21:a0:3e:e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:10.129296 802.1d config TOP_CHANGE 8000.00:21:a0:3e:e8:1b.8001 root 8000.0
0:21:a0:3e:e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:11.077204 CDPv2, ttl: 180s, Device-ID 'gwtest'[|cdp]
14:18:12.128733 802.1d config TOP_CHANGE 8000.00:21:a0:3e:e8:1b.8001 root 8000.0
0:21:a0:3e:e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:14.128162 802.1d config TOP_CHANGE 8000.00:21:a0:3e:e8:1b.8001 root 8000.0
0:21:a0:3e:e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:16.127592 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:18.127039 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:20.126463 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:22.125902 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:24.125343 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:26.124762 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:28.124209 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:30.123621 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:32.123080 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:33.367477 IP AAA.138 > 192.168.0.255.138: UDP, length 204
14:18:34.122491 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:36.121954 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:38.121372 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
14:18:40.120810 802.1d config 8000.00:21:a0:3e:e8:1b.8001 root 8000.00:21:a0:3e:
e8:1b pathcost 0 age 0 max 20 hello 2 fdelay 15
>>тогда комп напрямую в f0/0 и смотреть снифером что происходит при пинге
>>в компа и при пинге с циски (лучше с интерфейса vl
>>1, не просто пинг x.x.x.x, а расширенным)
>
>Там даже без пинга постоянно валится что-то типа:это нормально,
если мешает сделайте на интерфейсе no cdp run и spann-tre bpdu-filter enable
так чтоже снифер с пингом кажет?
>так чтоже снифер с пингом кажет?При пинге с компа в сторону циски много раз
arp who-has 192.168.0.88 tell AAA
При пинге с циски до компа, опять же много раз:
arp who-has AAA tell 192.168.0.88
arp reply AAA is-at ff:ff:e9:0b:16:58 (oui Unknown)
>>пакетики ходили, может дело не в cisco?
>
>Исключено. Сетевая карта с этим же проводом со всех остальных случаях работает
>нормально.
>
>Ещё варианты есть, чего в циске посмотреть можно?На комментарий #15 обратите все же внимание...
>>так чтоже снифер с пингом кажет?ff:ff:e9:0b:16:58 ------- что это было? =)
ipconfig /all
>ff:ff:e9:0b:16:58 ------- что это было? =)
>
>ipconfig /allDNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 MT Desktop Adapter
Физический адрес. . . . . . . . . : FF-FF-E9-0B-16-58
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 192.168.0.100
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 192.168.0.88
>. . : Intel(R) PRO/1000 MT Desktop Adapter
>Физический адрес. . . . . . . . . : FF-FF-E9-0B-16-58первый раз такое вижу. Откуда он такой взялся? Адрес, который начинается с FF очевидно вводит циску в ступор.
>первый раз такое вижу. Откуда он такой взялся? Адрес, который начинается с
>FF очевидно вводит циску в ступор.Поменял MAC на рандомный - действительно заработало!
А откуда мак такой я даже не знаю - cетевушку вообще никак не перенастраивали, всё в "default" было.
>>первый раз такое вижу. Откуда он такой взялся? Адрес, который начинается с
>>FF очевидно вводит циску в ступор.
>
>Поменял MAC на рандомный - действительно заработало!
>
>А откуда мак такой я даже не знаю - cетевушку вообще никак
>не перенастраивали, всё в "default" было.удачи ... вообще такие вещи как FF-FF-E9-0B-16-58 должны сразу глаз резать.