Всем большой привет.Люди помогите пожалуйста!!!
Надо зацепить несколько компов за маршрутизатор cisco 3845 через модуль HWIC 4ESW.
Вот конфигурация:
Building configuration...
Current configuration : 1905 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname 4Dobr8_R3845_Glob
!
boot-start-marker
boot-end-marker
!
enable secret 5
!
aaa new-model
!
!
!
aaa session-id common
!
resource policy
!
ip subnet-zero
no ip routing
no ip cef
!
!
!
!
!
username admin privilege 15 secret 5
!
!
!
interface GigabitEthernet0/0
ip address 10.100.15.5 255.255.255.0
no ip route-cache
duplex auto
speed auto
media-type sfp
negotiation auto
no cdp enable
no mop enabled
!
interface GigabitEthernet0/0.2
description link to Korovii7
encapsulation dot1Q 2
ip address 10.100.15.6 255.255.255.0
no ip route-cache
no snmp trap link-status
!
interface GigabitEthernet0/0.3
description -Link to WS-C6509E-
encapsulation dot1Q 3
ip address 192.168.8.253 255.255.255.0
no ip route-cache
no snmp trap link-status
!
interface GigabitEthernet0/0.5
encapsulation dot1Q 5
ip address 10.100.16.17 255.255.255.240
no ip route-cache
no snmp trap link-status
!
interface GigabitEthernet0/1
no ip address
no ip route-cache
duplex auto
speed auto
media-type rj45
negotiation auto
no cdp enable
no mop enabled
!
interface FastEthernet0/1/0
shutdown
no cdp enable
spanning-tree portfast
!
interface FastEthernet0/1/1
shutdown
no cdp enable
!
interface FastEthernet0/1/2
shutdown
no cdp enable
!
interface FastEthernet0/1/3
switchport access vlan 5
no cdp enable
!
interface Vlan1
no ip address
no ip route-cache
shutdown
!
interface Vlan5
ip address 10.100.16.18 255.255.255.240
!
ip classless
ip route 10.100.16.16 255.255.255.240 Vlan5
!
no ip http server
!
dialer-list 1 protocol ip permit
!
control-plane
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
!
scheduler allocate 20000 1000
no process cpu extended
no process cpu autoprofile hog
!
end
Настройки компьютеров следующие:
IP 10.100.16.21
маска 255.255.255.240
шлюз 10.100.16.17IP 10.100.16.22
маска 255.255.255.240
шлюз 10.100.16.17Так вот пинги на компы не ходят. Есть предположение, что шлюз на компах неправильный прописан, подскажите пожалуйста какой надо прописать.
по sh arp выдает следующее:
Protocol Address Age (min) Hardware Addr Type Interface
Internet 10.100.15.1 38 0015.2bd7.0990 ARPA GigabitEthernet0/0
Internet 10.100.15.3 152 0015.62cf.0452 ARPA GigabitEthernet0/0
Internet 10.100.15.5 - 0016.9dae.2300 ARPA GigabitEthernet0/0
Internet 10.100.15.6 - 0016.9dae.2300 ARPA GigabitEthernet0/0.2
Internet 10.100.16.22 136 0015.62cf.0452 ARPA GigabitEthernet0/0
Internet 10.100.16.20 19 0015.62cf.0452 ARPA GigabitEthernet0/0
Internet 10.100.16.21 94 0015.62cf.0452 ARPA GigabitEthernet0/0
Internet 10.100.16.18 - 0016.9dae.2300 ARPA Vlan5
Internet 10.100.16.19 25 0015.62cf.0444 ARPA GigabitEthernet0/0.5
Internet 10.100.16.17 - 0016.9dae.2300 ARPA GigabitEthernet0/0.5
Internet 10.100.15.21 121 0017.5973.0740 ARPA GigabitEthernet0/0
Internet 10.100.15.22 121 0017.5973.34c0 ARPA GigabitEthernet0/0
Internet 192.168.8.253 - 0016.9dae.2300 ARPA GigabitEthernet0/0.3
Internet 10.100.16.203 38 0015.2bd7.0990 ARPA GigabitEthernet0/0почему то траф на 10.100.16.21 и на 10.100.16.22 хочет пройти через GigabitEthernet0/0, а не через GigabitEthernet0/0.5 или vlan 5.
есть еще такая закономерность, что если с компов попинговать адрес vlan 5, то потом виден интерфейс GigabitEthernet0/0.5
ПОМОГИТЕ ПЛИЗ, умучался уже.
>[оверквотинг удален]
>Internet 10.100.16.203
>38 0015.2bd7.0990 ARPA GigabitEthernet0/0
>
>почему то траф на 10.100.16.21 и на 10.100.16.22 хочет пройти через GigabitEthernet0/0,
>а не через GigabitEthernet0/0.5 или vlan 5.
>
>есть еще такая закономерность, что если с компов попинговать адрес vlan 5,
>то потом виден интерфейс GigabitEthernet0/0.5
>
>ПОМОГИТЕ ПЛИЗ, умучался уже.оставьте айпи адрес interface Vlan5 либо на gi 0/0.5
и порты в которые у вас воткнуты пк сделайте
swi mode acce
swi acce vlan 5
>[оверквотинг удален]
>>
>>есть еще такая закономерность, что если с компов попинговать адрес vlan 5,
>>то потом виден интерфейс GigabitEthernet0/0.5
>>
>>ПОМОГИТЕ ПЛИЗ, умучался уже.
>
>оставьте айпи адрес interface Vlan5 либо на gi 0/0.5
>и порты в которые у вас воткнуты пк сделайте
>swi mode acce
>swi acce vlan 5Извините не полность описал состав оборудования.
А он выглядит так:К модулю подключен свич d-link (самый простой на 8 портов), а уже к нему подключены компы. По экономическим соображениям от меня независящим нельзя использовать более одного порта на cisco, поэтому стоит свич, как я уже сказал - к нему уже подключены компы.
>
>Надо зацепить несколько компов за маршрутизатор cisco 3845 через модуль HWIC 4ESW.
>no ip routingОтключили себе роутинг ;)
>no ip cef
А Это то зачем? Хотите, чтоб все проц обрабатывал?
>interface GigabitEthernet0/0
> ip address 10.100.15.5 255.255.255.0
>!
>interface GigabitEthernet0/0.2
> ip address 10.100.15.6 255.255.255.0А ничего, что это ОДНА сетка на разных интерфейсах? Кошка вам дала именно так прописать? Странно....
>interface GigabitEthernet0/0.5
> encapsulation dot1Q 5
> ip address 10.100.16.17 255.255.255.240
> no ip route-cache
> no snmp trap link-statusУберите Этот интерфейс.
>!
>interface FastEthernet0/1/3
> switchport access vlan 5
> no cdp enable
>!
>interface Vlan5
> ip address 10.100.16.18 255.255.255.240
>!
>ip route 10.100.16.16 255.255.255.240 Vlan5Нафик не надо.
Вообще то это сеть класса connected (только в вашем случае непонятно куда ;) )
>
>Настройки компьютеров следующие:
>IP 10.100.16.21
>маска 255.255.255.240
>шлюз 10.100.16.17
>
>IP 10.100.16.22
>маска 255.255.255.240
>шлюз 10.100.16.17Итого - гейт получиться 10.100.16.18 (ну, или поменяйте адрес на int Vlan)
>>Надо зацепить несколько компов за маршрутизатор cisco 3845 через модуль HWIC 4ESW.
>>no ip routing
>
>Отключили себе роутинг ;)блин не заметил даже, спасибо. но не знаю теперь даже как и применять, так как classless включен. может classless выключить?
>>no ip cef
>
>А Это то зачем? Хотите, чтоб все проц обрабатывал?на ней пользователей пока нет, да я вообще не знал что это обозначает.
>>interface GigabitEthernet0/0
>> ip address 10.100.15.5 255.255.255.0
>>!
>>interface GigabitEthernet0/0.2
>> ip address 10.100.15.6 255.255.255.0
>
>А ничего, что это ОДНА сетка на разных интерфейсах? Кошка вам дала
>именно так прописать? Странно....согласен. но уйти из влана по умолчанию в 2-ой влан на получилось, как только удаляю ип адрес с GigabitEthernet0/0 сразу связь пропадает с другими цисками (ниже опишу)
>
>
>>interface GigabitEthernet0/0.5
>> encapsulation dot1Q 5
>> ip address 10.100.16.17 255.255.255.240
>> no ip route-cache
>> no snmp trap link-status
>
>Уберите Этот интерфейс.
>мне он наверное все-таки нужен (тоже ниже опишу)
>[оверквотинг удален]
>>interface FastEthernet0/1/3
>> switchport access vlan 5
>> no cdp enable
>>!
>>interface Vlan5
>> ip address 10.100.16.18 255.255.255.240
>>!
>>ip route 10.100.16.16 255.255.255.240 Vlan5
>
>Нафик не надо.не нужна последняя строчка в этом абзаце, я правильно понял?
>[оверквотинг удален]
>>IP 10.100.16.21
>>маска 255.255.255.240
>>шлюз 10.100.16.17
>>
>>IP 10.100.16.22
>>маска 255.255.255.240
>>шлюз 10.100.16.17
>
>Итого - гейт получиться 10.100.16.18 (ну, или поменяйте адрес на int Vlan)
>я пробовал ставить на компах в качестве шлюза ип адрес влан 5, но все равно не работает, наверное в другом месте затыка.
а что можете сказать по записям в арп таблице, почему траф для адресов 21 и 22 пытается пойти через GigabitEthernet0/0, а не через влан 5?
то что обещал описать ниже:
У меня нестандартная схема на самом деле по оборудованию. Есть циска 3845, которая смотрит в инет, за ней 3750, за ней еще 3845 (его конфигурация здесь приведена).у первой циски есть субинтерфейс g0/0.4 ip add 10.100.16.1 255.255.255.240, у 3750 ip add 10.100.16.3 255.255.255.240, и 3845 (его конфигурация здесь приведена). у последний циски модуль HWIC 4ESW, за ним d-link 8 портовый, в этот свич воткнуты 3 компа. и нет связи между компами и первой циской (10.100.16.1). хотя пинги с первой 3845 до ип адреса влана на второй 3845 ходили, а до компов нет.
если возможно пообщаться по аське или по почте был бы очень признателен. уже давно борьюсь с этой проблемой. но знаний явно не хватает.
я просто думал, что возможно просто прокинуть на всем этом хозяйстве один влан, чтобы в нем все варились, а никак не получается, нужно обязательно хотя бы сеть расколоть, так как на разных интерфейсах нельзя ип адреса иметь в одной сети.
я бы схему прислал и конфиги для наглядности если не лень помочь.
но все равно спасибо.
я еще в одной ветке свою проблему описывал, в вланах, тунелях и впн:
http://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi?az=li...
еще если с самих компов пингануть адрес влана на циске, то интерфейс g0/0.5 начинал пинговаться и циска начинала видеть компы, до очистки арп кэша.все-таки мне кажется надо classless выключать и ключить роутинг.
Вы бы здесь опубликовали топологию и "хотелки" ;)
Может все гораздо проще...
>Вы бы здесь опубликовали топологию и "хотелки" ;)
>Может все гораздо проще...Скорее всего. Только я не знаю как топологию нарисовать. Подскажите если можно.
Я могу только следующим образом:
vpn client - интернет - cisco 3845 по оптике (int ge x/x) к cisco 3750 - далее опять по оптике к int ge x/x cisco 3845 - в этой циске модуль HWIC 4ESW - к модулю подключен свич - к свичу 3 компа.теперь хотелки:
нужно чтобы клиент подключался к компам (последний этап схемы) по рдп и по другим портам, и никого кроме этих компов не видел, я имею ввиду управляющий влан и маршрутизаторы по пути до компов.
в ощбем чтобы первая схема была следующая: vpn client - черный ящик - компы по рдп и по 23 порту.
Вот что хотелось бы иметь.
на данный момент у меня даже не получилось увидеть компы с роутера, к которому они подключены. может через модуль нельзя маршрутить несколько компов?
Спасибо.
>[оверквотинг удален]
>
>
>Я могу только следующим образом:
>
>
>vpn client - интернет - cisco 3845 по оптике (int ge x/x)
>к cisco 3750 - далее опять по оптике к int ge
>x/x cisco 3845 - в этой циске модуль HWIC 4ESW -
>к модулю подключен свич - к свичу 3 компа.
>Нарисуйте картинку на бумаге, отсканируйте и запихните в какой нибудь файло-обменник ;)
C указанием интерфейса, и его конфига, типа такого:
http://xgu.ru/w/images/thumb/8/8d/DMVPN_ph.jpg/400px-DMVPN_p...
>теперь хотелки:
>
>нужно чтобы клиент подключался к компам (последний этап схемы) по рдп и
>по другим портам, и никого кроме этих компов не видел, я
>имею ввиду управляющий влан и маршрутизаторы по пути до компов."Нет препядствий патриотам..." ;)
>
>в ощбем чтобы первая схема была следующая: vpn client - черный ящик
>- компы по рдп и по 23 порту."Черный ящик" придется, тоже, "подпилить" ;)
http://www.opennet.me/openforum/vsluhforumID6/19913.html
ACL EasyVPN, да и правая кошка должна знать маршрут до клиентов (динамиком, статиком)
>
>Вот что хотелось бы иметь.
>
>на данный момент у меня даже не получилось увидеть компы с роутера,
>к которому они подключены. может через модуль нельзя маршрутить несколько компов?Да хоть 16777214 ;) Можно и больше, но, боюсь, адресное пространство не дадут ;)
Конфиг нормальный сделайте....
Всем спасибо! Все разрулил.Ошибка была в том что, на интерфейсе g0/0.4 и на vlan 4 были ип адреса из одной подсети и трафик шел все время на интерфейс ge, видимо как на приоритетный.
Разрулил следующим образом:
Я отколол две подсети 10.100.16.0/28 и 10.100.16.16/28. VPN клиент получает адрес 10.100.16.4, попадает в первую подсеть, где также находится 1-ый маршрутизатор. А во второй подсети находятся VLAN 4 2-ого маршрутизатора и компьютеры. На интерфейсе VLAN 4 прописан IP адрес 10.100.16.17. Этот же адрес является шлюзом для компьютеров. Между маршрутизаторами статические маршруты:
1-ый маршрутизатор - ip route 10.100.16.16 255.255.255.240 10.100.15.5
2-ой маршрутизатор - ip route 10.100.16.0 255.255.255.240 10.100.15.1Поэтому полностью изолированную "Управляющую сеть АТС" сделать не получилось, так как используются адреса управляющей сети 2. Отсечь их листами доступа не получается.
Есть еще мысль поставить IP адерс 10.100.16.17 на g0/0.4, а VLAN 4 оставить без адреса. Но по моим понятиям оставлять VLAN без адреса нельзя. Но попробовать стоит.