Здравствуйте, уважаемые! Появилась такая проблемка. Две циски, указанные в теме соединены между собой, возникла необходимость проброса трафика от 2800 к 2620 через route-map, ACL для этого создан, route-map сконфигурирован, подсеть, которую необходимо пробросить указал в необходимом ACL, пакеты пошли, трафик перенаправляется, но! Теперь эта подсеть недоступна из других (( (не отвечают рутеры из той подсетки, не трассируются, не пингуются).Привожу конфиг:
route-map ****, permit, sequence 3
Match clauses:
ip address (access-lists): 169 - в этот ACL добавляю ту подсеть, которую надо пробросить на циску 2620
Set clauses:
ip next-hop *.*.*.*
Policy routing matches: 186553 packets, 53076277 bytes
route-map itv-out, permit, sequence 10
Match clauses:
Set clauses:
as-path prepend 65000
Policy routing matches: 0 packets, 0 bytes
route-map nauka-out, permit, sequence 10
Match clauses:
Set clauses:
as-path prepend ***** *****
Policy routing matches: 0 packets, 0 bytesКак только удаляю подcеть из ACL 169, всё начинает пинговаться и быть доступным.. Как теперь быть? Как разграничить трафик? Чтобы он шёл и на 2620, и был доступен на интерфейсах циски 2800. Благодарю.
P.S. Если потребуются какие конфиги выложу.
медиумы в отпуске... так что уж рисуйте схему, приводите конфиги
> медиумы в отпуске... так что уж рисуйте схему, приводите конфиги)) понимаю, show configuration с обоих цисок, полностью?? О_о
Рисовать то нечего, Cisco 2821 (1) <<->> Cisco 2620 (2) 1 - в ней несколько интерфейсов GigabitEthernet, в одном из которых -
interface GigabitEthernet0/0.14
description ***
encapsulation dot1Q 55
ip address 192.168.129.1 255.255.255.0 secondary
ip access-group 155 in
no ip proxy-arpЕсть ACL для route-map, туда я заношу строчку permit ip 192.168.129.0 0.0.0.63 any
И трафик от этой подсети начинает проходить на nexthop *.*.*.* (2) Cisco 2620 которая. Но, на 2821 кошке, перестаёт быть доступной эта подсеть. То есть с компа пингую 192.168.129.1 - отвечает, всё что дальше, например 192.168.129.2 и т.д. не трассируется и не пингуется, трассы затыкаются уже на ip address 192.168.129.1
чтож подождем медиумов...а пока для себя представьте маршруты пакетиков в обе стороны...
> чтож подождем медиумов...
> а пока для себя представьте маршруты пакетиков в обе стороны...А поконкретнее можно? Не совсем понял, что требуется.
а конкретнее нужны конфиги и схемы, ну почему вы думаете что комуто охото гадать что вы у себя собрали?
вот выяснилось, что используется бгп, что еще придется выяснить силой прежде, чем полная картина предстанет?
> вот выяснилось, что используется бгп, что еще придется выяснить силой прежде, чем
> полная картина предстанет?hostname rbgp
!
boot-start-marker
boot system flash c2800-nm-spservicesk9-mz.123-14T2.bin
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5
!
no aaa new-model
!
resource policy
!
ip subnet-zero
!
!
ip cef
no ip dhcp use vrf connected
!
!
ip flow-cache entries 10000
ip flow-cache timeout inactive 60
ip flow-cache timeout active 1
ip domain name yourdomain.com
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host ***
ip rcmd remote-host ***
no ftp-server write-enableclass-map match-all voice
match access-group 123
!
!
policy-map policy1
class voice
priority 128
class class-default
fair-queue
!
!
!
!
interface Tunnel0
description ###
ip address
tunnel source
tunnel destination
tunnel mode ipip
!
interface GigabitEthernet0/0
description ### Trunk to 2950
no ip address
rate-limit input access-group 123 128000 65536 65536 conform-action set-prec-transmit 5 exceed-action set-prec-continue 0
ip route-cache flow
load-interval 30
duplex auto
speed auto
no keepalive
no cdp enable
service-policy output policy1
!
interface GigabitEthernet0/0.1
description ### GateWay inside
encapsulation dot1Q 5
ip address *** secondary
ip address *** secondary
ip address ***
no ip proxy-arp
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.2
encapsulation dot1Q 30
ip address
no ip proxy-arp
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.3
description ###
encapsulation dot1Q 3
ip address
no ip proxy-arp
no ip mroute-cache
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.4
description GateWay to 2620
encapsulation dot1Q 31
ip address **** 255.255.255.252
ip access-group 155 in
no ip proxy-arp
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.5
description
encapsulation dot1Q 32
no ip proxy-arp
shutdown
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.6
description ###
encapsulation dot1Q 33
ip address *** 255.255.255.252
no ip proxy-arp
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.7
description ###
encapsulation dot1Q 6
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 153 in
no ip proxy-arp
rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 184 384000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.8
description ###
encapsulation dot1Q 7
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 150 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.9
description ###
encapsulation dot1Q 8
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 151 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
traffic-shape group 160 512000 32000 32000 512
no cdp enable
!
interface GigabitEthernet0/0.10
description ###
encapsulation dot1Q 9
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 152 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
ПРОШУ ОБРАТИТЬ ВНИМАНИЕ! Ниже интерфейс, через который, компьютеры, находясь в его подсети, могут пинговать, трассировать подсеть 192.168.129.0/24 все остальные, находящиеся на других интерфейсах получают в ответ ping timeout, при трассе затыкается всё на ip address 'IP адрес интерфейса'. Еще ниже интерфейс на котором и стоит ip address 192.168.129.1 из сети 192.168.129.0/24 как раз та, которую необходимо прокинуть по route-map на 2620.interface GigabitEthernet0/0.13
encapsulation dot1Q 47
ip address *** secondary
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 147 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.14
description
encapsulation dot1Q 55
ip address 192.168.129.1 255.255.255.0 secondary
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 155 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop
ip policy route-map MAP
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/1
no ip address
ip route-cache flow
load-interval 30
duplex auto
speed auto
no keepalive
no cdp enable
!
Далее идут ip classless и списки ACL. Всё. Как то так... Благодарю заранее.
все я сдаюсь... мне лень гадать, нет ни времени ни желания... вас просили конфиги и схемы, вы выложили какие то огрызки, и в тех все вырезали...но если вы уж весь трафик с одного саба первой циски завернули nexthopом на вторую циску, то прикиньте как трафик должен с этого саба попасть на соседний саб первой циски..
>interface GigabitEthernet0/0.13
>encapsulation dot1Q 47это чтобы враги не осилили разобрать?
> все я сдаюсь... мне лень гадать, нет ни времени ни желания... вас
> просили конфиги и схемы, вы выложили какие то огрызки, и в
> тех все вырезали...
> но если вы уж весь трафик с одного саба первой циски завернули
> nexthopом на вторую циску, то прикиньте как трафик должен с этого
> саба попасть на соседний саб первой циски..
>>interface GigabitEthernet0/0.13
>>encapsulation dot1Q 47
> это чтобы враги не осилили разобрать?)) Ничего не вырезал, убрал ип адреса, какая разница какие они? ну напишу я 1.1.1.1 на одном интерфейсе, 2.2.2.2 на другом - это что-то изменит? по поводу GE0/0.13 и инкапсуляции, здесь, вообще ничего не вырезал. Я кинул полный конфиг просто без acl и ip clasless, зачем здесь список ип адресов клиентов в три страницы?
> все я сдаюсь... мне лень гадать, нет ни времени ни желания... вас
> просили конфиги и схемы, вы выложили какие то огрызки, и в
> тех все вырезали...
> но если вы уж весь трафик с одного саба первой циски завернули
> nexthopом на вторую циску, то прикиньте как трафик должен с этого
> саба попасть на соседний саб первой циски..
>>interface GigabitEthernet0/0.13
>>encapsulation dot1Q 47
> это чтобы враги не осилили разобрать?По поводу некстхопов, предлагаете создать route-map только уже на первую циску?
> По поводу некстхопов, предлагаете создать route-map только уже на первую циску?понятия не имею, ибо вы до сих пор не сказали, что хотите добиться и какими средствами...
айпишники имеют огромное значение... откуда я знаю, что у вас на сабах назначено и что в роутмапах и ацл написано? я не медиум.
> route-map itv-out, permit, sequence 10
> Match clauses:
> Set clauses:
> as-path prepend 65000
> Policy routing matches: 0 packets, 0 bytes
> route-map nauka-out, permit, sequence 10
> Match clauses:
> Set clauses:
> as-path prepend ***** *****
> Policy routing matches: 0 packets, 0 bytesas-path prepend *** - работает при eBGP.
У тебя роутеры в разных ASках?Покажи куски конфига route-map и bgp
>[оверквотинг удален]
>> as-path prepend 65000
>> Policy routing matches: 0 packets, 0 bytes
>> route-map nauka-out, permit, sequence 10
>> Match clauses:
>> Set clauses:
>> as-path prepend ***** *****
>> Policy routing matches: 0 packets, 0 bytes
> as-path prepend *** - работает при eBGP.
> У тебя роутеры в разных ASках?
> Покажи куски конфига route-map и bgpРутеры в одной AS. куски конфигов:
interface GigabitEthernet0/0.4
description GateWay to 2620
encapsulation dot1Q 31
ip address *.*.*.* 255.255.255.252
ip access-group 155 in
no ip proxy-arp
no snmp trap link-status
no cdp enable
<<- это интерфейс на кошке 2821 смотрит в 2620.Далее bgp:
router bgp 35212
no synchronization
bgp log-neighbor-changes
network 83.143.152.0 mask 255.255.248.0
neighbor 83.229.133.197 remote-as 6854
neighbor 83.229.133.197 shutdown
neighbor 83.229.133.197 update-source GigabitEthernet0/1.2
neighbor 83.229.133.197 version 4
neighbor 83.229.133.197 soft-reconfiguration inbound
neighbor 83.229.133.197 weight 100
neighbor 83.229.133.197 prefix-list to_Sinterra out
neighbor 87.226.222.181 remote-as 12389
neighbor 87.226.222.181 update-source GigabitEthernet0/1.8
neighbor 87.226.222.181 version 4
neighbor 87.226.222.181 soft-reconfiguration inbound
neighbor 87.226.222.181 weight 100
neighbor 87.226.222.181 prefix-list to_rt_new out
no auto-summaryДалее show route-map:
route-map ***, permit, sequence 3
Match clauses:
ip address (access-lists): 169
Set clauses:
ip next-hop "Cisco 2620"
Policy routing matches: 188431 packets, 53307338 bytes
route-map itv-out, permit, sequence 10
Match clauses:
Set clauses:
as-path prepend 65000
Policy routing matches: 0 packets, 0 bytes
route-map nauka-out, permit, sequence 10
Match clauses:
Set clauses:
as-path prepend 35212 35212 begin_of_the_skype_highlighting 35212 35212 end_of_the_skype_highlighting
Policy routing matches: 0 packets, 0 bytesА также в конфиге, в ip classless есть роут ip route 192.168.129.0 255.255.255.0 Cisco 2620, и вот я думаю, может стоить прописать такую же строчку только с адресом кошки 2821? Благодарю Вас. З.Ы. И не уверен насчет аэсок, как узнать в одной они или нет?
>[оверквотинг удален]
> interface GigabitEthernet0/0.4
> description GateWay to 2620
> encapsulation dot1Q 31
> ip address *.*.*.* 255.255.255.252
> ip access-group 155 in
> no ip proxy-arp
> no snmp trap link-status
> no cdp enable
> <<- это интерфейс на кошке 2821 смотрит в 2620.
> Далее bgp:Тоже конфиг на 2821?
>[оверквотинг удален]
> neighbor 83.229.133.197 soft-reconfiguration inbound
> neighbor 83.229.133.197 weight 100
> neighbor 83.229.133.197 prefix-list to_Sinterra out
> neighbor 87.226.222.181 remote-as 12389
> neighbor 87.226.222.181 update-source GigabitEthernet0/1.8
> neighbor 87.226.222.181 version 4
> neighbor 87.226.222.181 soft-reconfiguration inbound
> neighbor 87.226.222.181 weight 100
> neighbor 87.226.222.181 prefix-list to_rt_new out
> no auto-summaryЕсли вес одинаковый, зачем его прописывать? Но не суть.
> neighbor 83.229.133.197 weight 100
> neighbor 87.226.222.181 weight 100Я тоже не особо тут понимаю. Этот конфиг на какой циске? 2 соседа вижу, кто из них 2620?
Если эти циски обмениваются маршрутами по BGP, то я бы не пользовался строчкой на сабинтерфейсе:> ip access-group 155 in
а фильтровал именно на границе neighbor'a либо out, либо in
Узнать в одной ли они AS - зайти на 2821 и посмотреть bgp, зайти на 2620 и посмотреть bgp
Выложи топологию примерную хотя бы.
Фантазирую(если верхний конфиг - 2821):2821 AS 35212 (анонсирую 83.143.152.0 /21....принимаю сеть Y) ------------ 2620 AS ??? (анонсирую Z...принимаю W)
2620 - default отдает? Вопщем дорисуй, что я "нарисовал". Тяжело разбираться.
Для понимания - лучше всего так рисовать.
Посмотри, если поймешь, то разберешься. Это рабочий конфиг с роут-мапами и резервацией.
http://www.opennet.me/openforum/vsluhforumID6/21910.html#8
Если заменить сети на внешние - то получается схема организации интернета по 3 аплинкам/провайдерам с балансировкой входящего и исходящего трафиков (AS в моем случае - одна)
>[оверквотинг удален]
> Фантазирую(если верхний конфиг - 2821):
> 2821 AS 35212 (анонсирую 83.143.152.0 /21....принимаю сеть Y) ------------ 2620 AS ???
> (анонсирую Z...принимаю W)
> 2620 - default отдает? Вопщем дорисуй, что я "нарисовал". Тяжело разбираться.
> Для понимания - лучше всего так рисовать.
> Посмотри, если поймешь, то разберешься. Это рабочий конфиг с роут-мапами и резервацией.
> http://www.opennet.me/openforum/vsluhforumID6/21910.html#8
> Если заменить сети на внешние - то получается схема организации интернета по
> 3 аплинкам/провайдерам с балансировкой входящего и исходящего трафиков (AS в моем
> случае - одна)Весь конф это 2821. На 2620 доступа не имею. BGP вообще сделан для другого. А циски между собой тупо кабелем соединены. Чего я хочу добиться? Чтобы подсеть 192.168.129.0/24 была проброшена через route-map на 2620, и была доступна на 2821, а не как сейчас, когда она с 2821 ping timeout. адрес 2821 интерфейса 83.143.154.229, а 2620 - 83.143.154.230, в роут мап некстхоп и указан циски 2620.
З.Ы. а соседи - это апстримы, трафик от вышестоящих провов через эти IP идут.З.З.Ы Вообщем. |Cisco 2821|83.143.154.229 Здесь же ACL 169 в котором прописана подсеть 192.168.129.0 Здесь же route-map конфиг выше <<->> |Cisco 2620|83.143.154.230
Как только я удаляю её из 169 acl, клиенты и рутеры подсети 192.168.129.0 доступны.
>[оверквотинг удален]
> Policy routing matches: 0 packets, 0 bytes
> route-map nauka-out, permit, sequence 10
> Match clauses:
> Set clauses:
> as-path prepend 35212 35212 begin_of_the_skype_highlighting 35212 35212 end_of_the_skype_highlighting
> Policy routing matches: 0 packets, 0 bytes
> А также в конфиге, в ip classless есть роут ip route 192.168.129.0
> 255.255.255.0 Cisco 2620, и вот я думаю, может стоить прописать такую
> же строчку только с адресом кошки 2821? Благодарю Вас. З.Ы. И
> не уверен насчет аэсок, как узнать в одной они или нет?router bgp 35212 - это ваша AS
neighbor 83.229.133.197 remote-as 6854 - первая AS
neighbor 87.226.222.181 remote-as 12389 - вторая AS
сосед 83.229.133.197 у вас выключен административно(сужу по конфигу)
ни один из приведенных route-map в bgp у вас не фигурирует вообще.route-map itv-out увеличивает as_path для всех маршрутов, для одного из соседов, на as 65000, но он у вас ни к чему не применен, поэтому счетчики нулевые.
route-map nauka-out тоже ни к чему не применен в bgp. Меня смущает выражение begin_of_the_skype_highlighting - не знаю что это.
Первый route-map *** у Вас как раз должен задавать политику маршрутизации.
Не знаю есть ли у Вас в конфиге строка на интерфейсе, через который будет входить интересующий Вас трафик(матчится acl 169),
ip policy route-map ***.
То есть идей в следующем: трафик, входящий на интерейс матчится acl 169, если попадает под это услови, то вместо того чтобы перенаправлять согласно таблицы маршрутизации направится в интерфейс, указанный в route-map *** комадой set ip next-hop ...
>[оверквотинг удален]
> route-map nauka-out тоже ни к чему не применен в bgp. Меня смущает
> выражение begin_of_the_skype_highlighting - не знаю что это.
> Первый route-map *** у Вас как раз должен задавать политику маршрутизации.
> Не знаю есть ли у Вас в конфиге строка на интерфейсе, через
> который будет входить интересующий Вас трафик(матчится acl 169),
> ip policy route-map ***.
> То есть идей в следующем: трафик, входящий на интерейс матчится acl 169,
> если попадает под это услови, то вместо того чтобы перенаправлять согласно
> таблицы маршрутизации направится в интерфейс, указанный в route-map *** комадой set
> ip next-hop ...Именно! начнем. itv и nauka старые апстримы, на них можно не смотреть, просили полный конф я скинул, вот и попало лишнее. далее, route-map сделан чисто для циски 2620 и никакого отношения к bgp не имеет. ПО поводу begin_of_the_skype_highlighting, у мня на машине с которой щас пишу стоит скайп, он помечает всё 5-6-тизначное и 11-значное как номер телефона)
>[оверквотинг удален]
> route-map nauka-out тоже ни к чему не применен в bgp. Меня смущает
> выражение begin_of_the_skype_highlighting - не знаю что это.
> Первый route-map *** у Вас как раз должен задавать политику маршрутизации.
> Не знаю есть ли у Вас в конфиге строка на интерфейсе, через
> который будет входить интересующий Вас трафик(матчится acl 169),
> ip policy route-map ***.
> То есть идей в следующем: трафик, входящий на интерейс матчится acl 169,
> если попадает под это услови, то вместо того чтобы перенаправлять согласно
> таблицы маршрутизации направится в интерфейс, указанный в route-map *** комадой set
> ip next-hop ...Что за строка должна быть на интерфейсе??
Вот роутмап -
route-map MAP, permit, sequence 3
Match clauses:
ip address (access-lists): 169
Set clauses:
ip next-hop 83.143.154.230
Policy routing matches: 188431 packets, 53307338 bytesACL 169
10 permit ip 192.168.129.0 0.0.0.255 any
>[оверквотинг удален]
> Что за строка должна быть на интерфейсе??
> Вот роутмап -
> route-map MAP, permit, sequence 3
> Match clauses:
> ip address (access-lists): 169
> Set clauses:
> ip next-hop 83.143.154.230
> Policy routing matches: 188431 packets, 53307338 bytes
> ACL 169
> 10 permit ip 192.168.129.0 0.0.0.255 anyip policy route-map MAP на интерефейсе, через который входит трафик из подсети 192.168.129.0/24
ip next-hop 83.143.154.230 должен указывать на интерфейс(ip next-hopa), через который трафик будет выходит. Как правило он отличается от next-hopa, указанного в таблице маршрутизации
>[оверквотинг удален]
>> Set clauses:
>> ip next-hop 83.143.154.230
>> Policy routing matches: 188431 packets, 53307338 bytes
>> ACL 169
>> 10 permit ip 192.168.129.0 0.0.0.255 any
> ip policy route-map MAP на интерефейсе, через который входит трафик из подсети
> 192.168.129.0/24
> ip next-hop 83.143.154.230 должен указывать на интерфейс(ip next-hopa), через который
> трафик будет выходит. Как правило он отличается от next-hopa, указанного в
> таблице маршрутизацииНу вот она есть эта строчка здесь, как раз на интерфейсе, через который входит трафик от 192.168.129.0/24
!
interface GigabitEthernet0/0.14
description ***
encapsulation dot1Q 55
ip address 192.168.129.1 255.255.255.0 secondary
ip access-group 155 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop
ip policy route-map MAP
no snmp trap link-status
no cdp enable
!А ip next-hop как раз указывает на ип интерфейса циски 2620 (83.143.154.230). или не так? а в таблице роутинга по поводу, цитирую - "Как правило он отличается от next-hopa, указанного в таблице маршрутизации" этого такая строчка -
ip route 192.168.129.0 255.255.255.0 83.143.154.230
вторая циска хоть что-то знает о ваших сетях первой циски?
> вторая циска хоть что-то знает о ваших сетях первой циски?Вот это я никак даже не могу узнать... знаю что через тот же 169 лист к ней проброшены две подсетки серая и белая, и там matches ситаются, трафик ходит и у нас всё доступно из тех подсетей, а вот как добавляешь 192.168.129.0/24 всё... (( она туда пробрасывает, а на циске 2821 она недоступна, хотя есть единственный интерфейс с которого она продолжает быть доступной я уже кидал его конф вот он -
interface GigabitEthernet0/0.13
encapsulation dot1Q 47
ip address *** secondary
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 147 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
!
> Вот это я никак даже не могу узнать...значит не знает. так почему же вы весь трафик с 129 сети посылаете во вторую циску? в том числи и трафик для сетей первой циски?
>> Вот это я никак даже не могу узнать...
> значит не знает. так почему же вы весь трафик с 129 сети
> посылаете во вторую циску? в том числи и трафик для сетей
> первой циски?А как иначе пробросить то? Не вижу вариантов ((
> А как иначе пробросить то? Не вижу вариантов ((я вам уже привел вариант.
>> А как иначе пробросить то? Не вижу вариантов ((
> я вам уже привел вариант.Тот, что ниже? там два поста раз. Во-вторых, какой именно из них использовать?
>>> А как иначе пробросить то? Не вижу вариантов ((
>> я вам уже привел вариант.
> Тот, что ниже? там два поста раз. Во-вторых, какой именно из них
> использовать?Понял, что вторую..
> 10 permit ip 192.168.129.0 0.0.0.255 any10 deny ip 192.168.129.0 0.0.0.255 192.168.128.0 0.0.0.255 сеть первой циски, для которой не надо заворачивать
10 permit ip 192.168.129.0 0.0.0.255 any завернем все остальное
5 deny ip 192.168.129.0 0.0.0.255 192.168.128.0 0.0.0.255 сеть первой циски, для которой не надо заворачивать
10 permit ip 192.168.129.0 0.0.0.255 any завернем все остальное
> 5 deny ip 192.168.129.0 0.0.0.255 192.168.128.0 0.0.0.255 сеть первой циски, для которой
> не надо заворачивать
> 10 permit ip 192.168.129.0 0.0.0.255 any завернем все остальноеой..спасибо. стоп стоп. это все 4 строки в 169 acl прописать? а номера строк то повторяются же..
>> 5 deny ip 192.168.129.0 0.0.0.255 192.168.128.0 0.0.0.255 сеть первой циски, для которой
>> не надо заворачивать
>> 10 permit ip 192.168.129.0 0.0.0.255 any завернем все остальное
> ой..спасибо. стоп стоп. это все 4 строки в 169 acl прописать? а
> номера строк то повторяются же..честно говоря, мне я так и не понял для чего вы все это затеяли...рассказываю: есть у вас несколько линков ser0/1 и ser0/2 к одной и той же подсети 192.168.1.1. Внутренняя сеть (10.0.0.0) у вас за интерфейсом fa0/0. В таблице маршрутизации best route к 192.168.1.1 проходит через ser0/1.
вам хочется чтобы хосты из сети 10.0.1.0/24 ходили к 192.168.1.1 не через ser0/1, а через ser0/2. Для этого требуется такой конфиг:
int fa0/0
ip address 10.0.0.1 255.0.0.0
ip policy route-map Aleksroute-map Aleks permit
match ip address prefix-list 1
set ip next-hop 17.0.0.2 (ip next-hop маршрутизатора через ser0/2).ip prefix-list 1 permit 10.0.1.0/24
Вот и все. Префикс-листы можно заменить на acl. Вместо set ip next-hop 17.0.0.2 можно забить set interface ser0/2
Надеюсь понятно.
потом traceroute проверить как пакеты идут из подсети 10.0.1.0/24, а как из отличной подсети
>[оверквотинг удален]
> ip policy route-map Aleks
> route-map Aleks permit
> match ip address prefix-list 1
> set ip next-hop 17.0.0.2 (ip next-hop маршрутизатора через ser0/2).
> ip prefix-list 1 permit 10.0.1.0/24
> Вот и все. Префикс-листы можно заменить на acl. Вместо set ip next-hop
> 17.0.0.2 можно забить set interface ser0/2
> Надеюсь понятно.
> потом traceroute проверить как пакеты идут из подсети 10.0.1.0/24, а как из
> отличной подсетиспасибо.. брррр.. нет. просто, тупо, нужно, чтобы подсеть 192.168.129.0/24 была доступна и на 2821 и на 2620, на 2620 не я так задумал, начальство просит, чтобы было сделано через роутмап который еще в 90х годах был сделан, для этого сказали надо тупо в acl 169 добавить подсеть 192.168.129.0/24 я добавил, всё пробросилось, но на 2821 она перестала быть доступной! как быть??!
> спасибо.. брррр.. нет. просто, тупо, нужно, чтобы подсеть 192.168.129.0/24 была доступна
> и на 2821 и на 2620, на 2620 не я так
> задумал, начальство просит, чтобы было сделано через роутмап который еще в
> 90х годах был сделан, для этого сказали надо тупо в acl
> 169 добавить подсеть 192.168.129.0/24 я добавил, всё пробросилось, но на 2821
> она перестала быть доступной! как быть??!я не пойму, почему вы на route-map зациклились...сделайте ospf какой-нить простенький и все будет ок или два статических маршрута. не понятно, зачем со всякими route-map возиться. головная боль только
естественно, если у вас destination подсеть не одна и та же, через другой линк 192.168.129.0/24 не будет видна...вернее не так. с другой подсети пакеты будут идти в 192.168.129.0/24, но возвращаться назад не будут, так как будут попадать под политику. вот и все
>[оверквотинг удален]
>> 90х годах был сделан, для этого сказали надо тупо в acl
>> 169 добавить подсеть 192.168.129.0/24 я добавил, всё пробросилось, но на 2821
>> она перестала быть доступной! как быть??!
> я не пойму, почему вы на route-map зациклились...сделайте ospf какой-нить простенький и
> все будет ок или два статических маршрута. не понятно, зачем со
> всякими route-map возиться. головная боль только
> естественно, если у вас destination подсеть не одна и та же, через
> другой линк 192.168.129.0/24 не будет видна...вернее не так. с другой подсети
> пакеты будут идти в 192.168.129.0/24, но возвращаться назад не будут, так
> как будут попадать под политику. вот и всеЯ бы с радостью, даже изучил бы этот оспф.. только вот нельзя иначе ((
> нужно, чтобы подсеть 192.168.129.0/24 была доступна
> и на 2821 и на 2620, на 2620 не я так
> задумал, начальство просит, чтобы было сделано через роутмап который еще в
> 90х годах был сделан, для этого сказали надо тупо в acl
> 169 добавить подсеть 192.168.129.0/24 я добавил, всё пробросилось, но на 2821
> она перестала быть доступной! как быть??!1)
access-list 169 существовал до этого?Если ты говоришь, что необходимо просто в него было добавить сеть 192.168.129.0/24 - то это неверно.
Если access-list имел вид:
access-list 169 permit ip ... ... ... ...
access-list 169 deny ip ... ... ... ...и ты добавляешь еще одно правило, то получится:
access-list 169 permit ip ... ... ... ...
access-list 169 deny ip ... ... ... ...
access-list 169 permit ip 192.168.129.0 0.0.0.255Отсюда - не факт что работать будет, т.к. старшая строчка уже запретила что-то.
Правильно ли правил acess-list(если он уже был создан)?2)
>[оверквотинг удален]
> route-map itv-out, permit, sequence 10
> Match clauses:
> Set clauses:
> as-path prepend 65000
> Policy routing matches: 0 packets, 0 bytes
> route-map nauka-out, permit, sequence 10
> Match clauses:
> Set clauses:
> as-path prepend ***** *****
> Policy routing matches: 0 packets, 0 bytesчто здесь делает, если у тебя не по BGP маршрутизируется?
> as-path prepend 650003)
С какой стороны хочешь попасть в 192.168.129.0/24 ?
Судя по :
> Чего я
> хочу добиться? Чтобы подсеть 192.168.129.0/24 была проброшена через route-map на 2620,
> и была доступна на 2821, а не как сейчас, когда она
> с 2821 ping timeout. адрес 2821 интерфейса 83.143.154.229, а 2620 -
> 83.143.154.230, в роут мап некстхоп и указан циски 2620.
> З.Ы. а соседи - это апстримы, трафик от вышестоящих провов через эти
> IP идут.как понимаю сеть 192.168.129.0/24 живет за 2821 (твоя циска).
И получается так, что при добавлении в access-list этой сети ты перестаешь ее пинговать?
Если оно так и есть, то см. пункт 1)Я тяжело понимаю эту схему.
Если есть связь по BGP между 2821 и 2620. И тебе необходимо попасть с 2620 в сеть 192.168.129.0/24 живущую за 2821, то действительно знает ли 2620 о твоей сети?
.
>[оверквотинг удален]
>> З.Ы. а соседи - это апстримы, трафик от вышестоящих провов через эти
>> IP идут.
> как понимаю сеть 192.168.129.0/24 живет за 2821 (твоя циска).
> И получается так, что при добавлении в access-list этой сети ты перестаешь
> ее пинговать?
> Если оно так и есть, то см. пункт 1)
> Я тяжело понимаю эту схему.
> Если есть связь по BGP между 2821 и 2620. И тебе необходимо
> попасть с 2620 в сеть 192.168.129.0/24 живущую за 2821, то действительно
> знает ли 2620 о твоей сети?Спасибо! Итак. 1) ACL 169 существовал. Вот его полный конфиг -
Extended IP access list 169 (Compiled)
10 permit ip 213.24.195.0 0.0.0.63 any (54371 matches)
20 permit ip 84.47.129.0 0.0.0.255 any (232 matches)
30 deny ip any any (72603793 matches)То есть строчек с deny как видно здесь нет.
2) Это уже с 90х годов уже запись, я тогда еще в школе учился.. совершенно без понятия для чего она там, тем более этого прова уже не существует, следовательно не обращаем внимания.
3) Всё верно! Кроме одного, мне необходимо попадать в сетку эту с 2821, а в 2620 она тупо должна быть проброшена. (через роутмап.. чтоб его). Спасибо!
>[оверквотинг удален]
> 10 permit ip 213.24.195.0 0.0.0.63 any (54371 matches)
> 20 permit ip 84.47.129.0 0.0.0.255 any (232 matches)
> 30 deny ip any any (72603793 matches)
> То есть строчек с deny как видно здесь нет.
> 2) Это уже с 90х годов уже запись, я тогда еще в
> школе учился.. совершенно без понятия для чего она там, тем более
> этого прова уже не существует, следовательно не обращаем внимания.
> 3) Всё верно! Кроме одного, мне необходимо попадать в сетку эту с
> 2821, а в 2620 она тупо должна быть проброшена. (через роутмап..
> чтоб его). Спасибо!как это нет?))))))) а это что?
> 30 deny ip any any (72603793 matches)твой аксэс лист должен иметь вид:
permit ip 213.24.195.0 0.0.0.63 any
permit ip 84.47.129.0 0.0.0.255 any
permit ip 192.168.129.0 0.0.0.255 any
deny ip any anyЕсли просто добавляешь свою сеть, то подозреваю у тебя выходит так:
permit ip 213.24.195.0 0.0.0.63 any
permit ip 84.47.129.0 0.0.0.255 any
deny ip any any
permit ip 192.168.129.0 0.0.0.255 anyИ естественно любые хосты из 192.168.129.0 сети не будут доступны, т.к. 3 строчка уже запретила ВСЁ, хоть упишИсь там ниже.
>[оверквотинг удален]
> permit ip 84.47.129.0 0.0.0.255 any
> permit ip 192.168.129.0 0.0.0.255 any
> deny ip any any
> Если просто добавляешь свою сеть, то подозреваю у тебя выходит так:
> permit ip 213.24.195.0 0.0.0.63 any
> permit ip 84.47.129.0 0.0.0.255 any
> deny ip any any
> permit ip 192.168.129.0 0.0.0.255 any
> И естественно любые хосты из 192.168.129.0 сети не будут доступны, т.к. 3
> строчка уже запретила ВСЁ, хоть упишИсь там ниже.)))) Вы про эту.. так извольте сообщу, что всё продумано, я знаю что последняя строка - это убийца, для этого есть номера строк, и моя строчка как раз по номеру не превышает номер строки, где прописан запрет на все адреса остальные. Тобиш сейчас у меня вот так:
10 permit ip 213.24.195.0 0.0.0.63 any
20 permit ip 84.47.129.0 0.0.0.255 any
25 permit ip 192.168.129.0 0.0.0.255 any
30 deny ip any anyВот так)
>[оверквотинг удален]
> )))) Вы про эту.. так извольте сообщу, что всё продумано, я знаю
> что последняя строка - это убийца, для этого есть номера строк,
> и моя строчка как раз по номеру не превышает номер строки,
> где прописан запрет на все адреса остальные. Тобиш сейчас у меня
> вот так:
> 10 permit ip 213.24.195.0 0.0.0.63 any
> 20 permit ip 84.47.129.0 0.0.0.255 any
> 25 permit ip 192.168.129.0 0.0.0.255 any
> 30 deny ip any any
> Вот так)все правильно)))получилось? а я ток сейчас догнал,что тебе нужно.
>[оверквотинг удален]
>> что последняя строка - это убийца, для этого есть номера строк,
>> и моя строчка как раз по номеру не превышает номер строки,
>> где прописан запрет на все адреса остальные. Тобиш сейчас у меня
>> вот так:
>> 10 permit ip 213.24.195.0 0.0.0.63 any
>> 20 permit ip 84.47.129.0 0.0.0.255 any
>> 25 permit ip 192.168.129.0 0.0.0.255 any
>> 30 deny ip any any
>> Вот так)
> все правильно)))получилось? а я ток сейчас догнал,что тебе нужно.))) Вот именно что нет) Поэтому сюда к Вам и пришел на форум, дорогие камрады) Выручайте.. завтра каюк (( сеть не проброшена.. а если я снова добавлю её в acl то на 2821 будет недоступна (((
> 10 permit ip 213.24.195.0 0.0.0.63 any
> 20 permit ip 84.47.129.0 0.0.0.255 any
> 25 permit ip 192.168.129.0 0.0.0.255 any
> 30 deny ip any anyпри таком аксэс листе ты пингуешь с 2821 хосты из 192.168.129.0/24 ?
Или с хостов шлюз 192.168.129.1 ?
Скажи еще раз диагноз. При добавлении в 169 аксэс лист 192.168.129.0/24 у тебя пропадает доступ на эту сеть или нет с твоей 2821? Без правки аксэс листов с 2620 она доступна?>[оверквотинг удален]
> no ip proxy-arp
> !
> interface GigabitEthernet0/0.14
> description
> encapsulation dot1Q 55
> ip address 192.168.129.1 255.255.255.0 secondary
> ip address *** secondary
> ip address *** secondary
> ip address ***
> ip access-group 155 inя тут разглядел еще 147 и 155 аксэс листы на вход.
>[оверквотинг удален]
>> encapsulation dot1Q 55
>> ip address 192.168.129.1 255.255.255.0 secondary
>> ip access-group 155 in
>> no ip proxy-arp
> я тут разглядел еще 155 аксэс лист на вход.
> 2620 знает о твоей 192.168.129.0/24 ??? Как ты ее "пробрасываешь"?
> Без правки аксэс листов с 2620 она доступна?
> Если в таблице маршрутизации на 2620 нет сети 192.168.129.0/24 то ничего никогда
> пинговаться не будет.
> при таком аксэс листе ты пингуешь с 2821 хосты из 192.168.129.0/24 ?Да, при таком. И причем с хостов шлюз сам 192.168.129.1 пингуется! Все что дальше, нет (( При добавлении в 169 доступ пропадает на неё, всё верно. 155 acl там ип адреса клиентов, в нем же указана подсетка эта, чтобы там ходили серые адреса этой подсети, назначенные на рутеры. на 2620 доступа нет, поэтому, что там в таблице неизвестно, пробрасываю я её как раз через роутмап добавляя в 169 лист эту подсеть и она пробрасывается, но на 2821 уже недоступна становится, и повторюсь с интерфейса ниже она полностью доступна, не знаю, может глюк может что-то такое на нем прописано, но там всё ходит.
Привожу конф этого интерфейса:
!
interface GigabitEthernet0/0.13
encapsulation dot1Q 47
ip address *** secondary
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 147 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
!
>[оверквотинг удален]
> drop
> rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action
> drop
> rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action
> drop
> rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action
> drop
> no snmp trap link-status
> no cdp enable
> !иэх, убери на время тестов аксэс-листы с
> interface GigabitEthernet0/0.13
no ip access-group 147 in
> interface GigabitEthernet0/0.14
no ip access-group 155 in
Оставив только роут-мап. Будет работать?
>[оверквотинг удален]
>> drop
>> no snmp trap link-status
>> no cdp enable
>> !
> иэх, убери на время тестов аксэс-листы с
>> interface GigabitEthernet0/0.13
> no ip access-group 147 in
>> interface GigabitEthernet0/0.14
> no ip access-group 155 in
> Оставив только роут-мап. Будет работать?Эхм.. жестоко.. 147 то ладно.. это офис.. мой.. а вот 155.. там целая ведь область сейчас в интернете сидит.. попробую.. То есть яща добавляю в 169 снова эту подсеть, на интерфейсах делаю no ip access-group 147,155 и пробую пинговать так?
>> иэх, убери на время тестов аксэс-листы с
>>> interface GigabitEthernet0/0.13
>> no ip access-group 147 in
>>> interface GigabitEthernet0/0.14
>> no ip access-group 155 in
>> Оставив только роут-мап. Будет работать?
> Эхм.. жестоко.. 147 то ладно.. это офис.. мой.. а вот 155.. там
> целая ведь область сейчас в интернете сидит.. попробую.. То есть яща
> добавляю в 169 снова эту подсеть, на интерфейсах делаю no ip
> access-group 147,155 и пробую пинговать так?Если уберешь аксэс-листы - ничего по идее отвалиться не должно. При добавлении - да(если неверно что то прописано)
Аксэс-листы своего рода фильтры. Отменив их на сабинтерфейсах ты просто разрешишь все на out и на in.Отмени эти аксэс-листы и попингуй с компов 192.168.129.1 Роут-мап сделай как задумывал и посади на интерфейс. Ну и дальше, будет ли она доступна за 2620
>[оверквотинг удален]
>> Эхм.. жестоко.. 147 то ладно.. это офис.. мой.. а вот 155.. там
>> целая ведь область сейчас в интернете сидит.. попробую.. То есть яща
>> добавляю в 169 снова эту подсеть, на интерфейсах делаю no ip
>> access-group 147,155 и пробую пинговать так?
> Если уберешь аксэс-листы - ничего по идее отвалиться не должно. При добавлении
> - да(если неверно что то прописано)
> Аксэс-листы своего рода фильтры. Отменив их на сабинтерфейсах ты просто разрешишь все
> на out и на in.
> Отмени эти аксэс-листы и попингуй с компов 192.168.129.1 Ну и дальше, будет
> ли она доступна за 2620Хорошо! Спасибо. ща))
>[оверквотинг удален]
>> иэх, убери на время тестов аксэс-листы с
>>> interface GigabitEthernet0/0.13
>> no ip access-group 147 in
>>> interface GigabitEthernet0/0.14
>> no ip access-group 155 in
>> Оставив только роут-мап. Будет работать?
> Эхм.. жестоко.. 147 то ладно.. это офис.. мой.. а вот 155.. там
> целая ведь область сейчас в интернете сидит.. попробую.. То есть яща
> добавляю в 169 снова эту подсеть, на интерфейсах делаю no ip
> access-group 147,155 и пробую пинговать так?ПРОШУ ПРОЩЕНИЯ! Моя ошибка, вот интерфейс с которого всё продолжает быть доступным, даже когда добавляю подсеть в 169 acl, просто спутал потому что у нас сети из 147 проброшены в офис.
!
interface GigabitEthernet0/1.4
description To_office
encapsulation dot1Q 63
ip address 83.143.158.17 255.255.255.240
ip access-group 148 in
no ip proxy-arp
no ip mroute-cache
no snmp trap link-status
no cdp enable
!
>[оверквотинг удален]
> interface GigabitEthernet0/1.4
> description To_office
> encapsulation dot1Q 63
> ip address 83.143.158.17 255.255.255.240
> ip access-group 148 in
> no ip proxy-arp
> no ip mroute-cache
> no snmp trap link-status
> no cdp enable
> !Блин, у тебя с аксэс листами трабла всего лишь видимо.
Сверяй 147 148 155Эти сетки на интерфейсах - directly connected
Т.е. без аксэс листов на этих сабинтерфейсах (при прописывании своих шлюзов на компах) ты увидишь каждую из них.
>[оверквотинг удален]
>> no ip proxy-arp
>> no ip mroute-cache
>> no snmp trap link-status
>> no cdp enable
>> !
> Блин, у тебя с аксэс листами трабла всего лишь видимо.
> Сверяй 147 148 155
> Эти сетки на интерфейсах - directly connected
> Т.е. без аксэс листов на этих сабинтерфейсах (при прописывании своих шлюзов на
> компах) ты увидишь каждую из них.Сверил... В 155 подсеть 192.168.129.0./24 которую я добавляю в 169. В 147 и 148 ни слова о ней. Она недоступна везде после добавления кроме 148 листа.
>[оверквотинг удален]
> interface GigabitEthernet0/1.4
> description To_office
> encapsulation dot1Q 63
> ip address 83.143.158.17 255.255.255.240
> ip access-group 148 in
> no ip proxy-arp
> no ip mroute-cache
> no snmp trap link-status
> no cdp enable
> !P.S. так что не вижу смысла отключать 147, и вопросик, как потом включить? вместо no, набрать ip access-group 155 in так?
> P.S. так что не вижу смысла отключать 147, и вопросик, как потом
> включить? вместо no, набрать ip access-group 155 in так?удаляешь:
interface GigabitEthernet0/1.4
no ip access-group 155прописываешь:
interface GigabitEthernet0/1.4
ip access-group 155
это пример, удаляй именно тот, какой там прописан.
>> P.S. так что не вижу смысла отключать 147, и вопросик, как потом
>> включить? вместо no, набрать ip access-group 155 in так?
> удаляешь:
> interface GigabitEthernet0/1.4
> no ip access-group 155
> прописываешь:
> interface GigabitEthernet0/1.4
> ip access-group 155
> это пример, удаляй именно тот, какой там прописан.эх.. Не хочу огорчать, но не помогло.. с хостов 192.168.129.1 отвечает, всё остальное шиш.. (( как только удалил из 169 эту подсетку всё с хостов запинговалось...
> эх.. Не хочу огорчать, но не помогло.. с хостов 192.168.129.1 отвечает, всё
> остальное шиш.. (( как только удалил из 169 эту подсетку всё
> с хостов запинговалось...Если удалить аксэс листы с сабинтерфейсов, то все будет пинговаться. Это directly connected сети. Что-то неверно делаешь значит. Или не со всех интерфейсов удалил аксэс листы.
>> эх.. Не хочу огорчать, но не помогло.. с хостов 192.168.129.1 отвечает, всё
>> остальное шиш.. (( как только удалил из 169 эту подсетку всё
>> с хостов запинговалось...
> Если удалить аксэс листы с сабинтерфейсов, то все будет пинговаться. Это directly
> connected сети. Что-то неверно делаешь значит. Или не со всех интерфейсов
> удалил аксэс листы.Удалил со всех интерфейсов. (( никак.. не отвечают... только шлюз..
++
Покажи 147 148 155 169 аксэс листыИ не так как тут:
> 10 permit ip 213.24.195.0 0.0.0.63 any
> 20 permit ip 84.47.129.0 0.0.0.255 any
> 30 deny ip any anyа потом говорить мол, что там уже вот так:
> 10 permit ip 213.24.195.0 0.0.0.63 any
> 20 permit ip 84.47.129.0 0.0.0.255 any
> 25 permit ip 192.168.129.0 0.0.0.255 any
> 30 deny ip any anyА полноценные конфиги аксэс листов. Исправленные/добавленные и тп. кароче полный конфиг.
>[оверквотинг удален]
> И не так как тут:
>> 10 permit ip 213.24.195.0 0.0.0.63 any
>> 20 permit ip 84.47.129.0 0.0.0.255 any
>> 30 deny ip any any
> а потом говорить мол, что там уже вот так:
>> 10 permit ip 213.24.195.0 0.0.0.63 any
>> 20 permit ip 84.47.129.0 0.0.0.255 any
>> 25 permit ip 192.168.129.0 0.0.0.255 any
>> 30 deny ip any any
> А полноценные конфиги аксэс листов. Исправленные/добавленные и тп. кароче полный конфиг.)) ок. Лови.
Extended IP access list 147
10 permit ip any host (581420 matches)
20 permit ip any host (27586 matches)
30 permit ip any host (205627 matches)
40 Dynamic 47 deny ip any any
50 deny tcp any any eq 135 (3 matches)
60 deny ip any host 195.216.243.24 (30 matches)
70 deny ip any host 94.198.53.151
80 deny ip any host 80.90.118.109 (18 matches)
90 deny ip any host 95.211.30.29
100 permit ip host any (777019 matches)
110 permit ip host any
120 permit ip host any (7391932 matches)
130 permit ip host any (13795 matches)
140 permit ip host any (209079 matches)
150 permit ip host any (540273 matches)
160 permit ip host any (379356 matches)
170 permit ip host any
180 permit ip host any
190 permit ip host any (291095 matches)
200 permit ip host any (890457 matches)
210 permit ip host any (268999 matches)
220 permit ip host any (1578187 matches) <<-- Здесь тупо IP адреса клиентов
230 permit ip host any (10452472 matches)
240 permit ip host any (2952529 matches)
250 permit ip host any (7007839 matches)
260 permit ip host any (4192715 matches)
270 permit ip host any (3971380 matches)
280 permit ip host any
290 permit ip host any (586509 matches)
300 permit ip host any (164134 matches)
310 deny ip 0.0.0.63 any log (2 matches)
320 permit ip any any (6999101 matches)Extended IP access list 148 (Compiled)
10 permit ip any host
20 permit ip any host
30 permit ip any host
40 permit ip host any
50 permit ip host any
60 permit ip host any
70 permit ip host any << - отсюда ВСЕГДА доступно
80 permit ip host any
90 permit ip host any
100 permit ip host any
110 permit ip host any
120 permit ip host any
130 permit ip host any
140 permit ip host any
150 deny ip 0.0.0.63 any log
160 permit ip any anyExtended IP access list 155
10 permit ip any host (3467003 matches)
20 permit ip any host (3155 matches)
30 permit ip any host (2867967 matches)
40 deny tcp any any eq 135 (65060 matches)
50 Dynamic oblast_ip deny ip any any
deny ip host **** any
60 permit ip host any
70 permit ip host any (1125355 matches)
80 permit ip host any
90 permit ip host any (5066366 matches) << - здесь тупо IP адреса клиентов
100 permit ip host any (2451788 matches)
110 permit ip host any (3084972 matches)
120 permit ip host any (1275716 matches)
130 permit ip host any (34952 matches)
140 permit ip host any
150 permit ip host any (87 matches)
160 permit ip host any (885145 matches)
170 permit ip host any
180 permit ip host any (217 matches)
190 permit ip host any
200 permit ip host any (186005 matches)Extended IP access list 169 (Compiled)
10 permit ip 213.24.195.0 0.0.0.63 any (54723 matches)
20 permit ip 84.47.129.0 0.0.0.255 any (232 matches) << - Этот ACL для роутмап
25 permit ip 192.168.129.0 0.0.0.255 any (312 matches)
30 deny ip any any (74164138 matches)
> )) ок. Лови.
> Extended IP access list 147
> 10 permit ip any host (581420 matches)
> 20 permit ip any host (27586 matches)
> 30 permit ip any host (205627 matches)Интересные аксэс листы. Первый раз такое вижу)
А конфиг можешь показать? Или опять потер что-то?
> 20 permit ip any host (27586 matches)
> 30 permit ip any host (205627 matches)как это в одинаковых строчках отрабатывают разные матчи. Я ламером себя чувствую. Убег на cisco.com
Вот это я просил:
sh run | i access-list 147sh run | i access-list 155
sh run | i access-list 169
sh run | i access-list 148
>[оверквотинг удален]
>> Extended IP access list 147
>> 10 permit ip any host (581420 matches)
>> 20 permit ip any host (27586 matches)
>> 30 permit ip any host (205627 matches)
> Интересные аксэс листы. Первый раз такое вижу)
> А конфиг можешь показать? Или опять потер что-то?
>> 20 permit ip any host (27586 matches)
>> 30 permit ip any host (205627 matches)
> как это в одинаковых строчках отрабатывают разные матчи. Я ламером себя чувствую.
> Убег на cisco.com))) просто тут как бы IP адреса белые клиентов.. вот и потёр в целях безопасности. все таки статика.. светятся они ими в нете.
>[оверквотинг удален]
> А конфиг можешь показать? Или опять потер что-то?
>> 20 permit ip any host (27586 matches)
>> 30 permit ip any host (205627 matches)
> как это в одинаковых строчках отрабатывают разные матчи. Я ламером себя чувствую.
> Убег на cisco.com
> Вот это я просил:
> sh run | i access-list 147
> sh run | i access-list 155
> sh run | i access-list 169
> sh run | i access-list 148Я это и привел) просто без белых IP на каждой строке.
>[оверквотинг удален]
> А конфиг можешь показать? Или опять потер что-то?
>> 20 permit ip any host (27586 matches)
>> 30 permit ip any host (205627 matches)
> как это в одинаковых строчках отрабатывают разные матчи. Я ламером себя чувствую.
> Убег на cisco.com
> Вот это я просил:
> sh run | i access-list 147
> sh run | i access-list 155
> sh run | i access-list 169
> sh run | i access-list 148Блин, давай я тебе на почту или в асю скину весь конф, дай контакты)
> Блин, давай я тебе на почту или в асю скину весь конф,
> дай контакты)уже ухожу с работы к сожалению.
Если не срочно это тебе, то завтра посмотрю.мыло - semop@kosnet.ru
ася - 388439296Это все таки аксэс листы мне кажется.
>> Блин, давай я тебе на почту или в асю скину весь конф,
>> дай контакты)
> уже ухожу с работы к сожалению.
> Если не срочно это тебе, то завтра посмотрю.
> мыло - semop@kosnet.ru
> ася - 388439296
> Это все таки аксэс листы мне кажется.Давай) Спасибо! не горит, потерпят еще) Это где это у нас так цискари долго и в воскресенье пашут?))
З.Ы. В асю ща постучусь. Конф на мыло отправлю. Благодарствую!
>> Блин, давай я тебе на почту или в асю скину весь конф,
>> дай контакты)
> уже ухожу с работы к сожалению.
> Если не срочно это тебе, то завтра посмотрю.
> мыло - semop@kosnet.ru
> ася - 388439296
> Это все таки аксэс листы мне кажется.Ура! Спасибо Вам и всем!!! RTFM как говорится, RTFM!!! )) если кому интересно, достаточно было поправить конф route-map, там стояло значение set ip next-hop 83.143.154.230 то есть был форвардинг по моему некстхопу, сделав команду set ip default next-hop 83.143.154.230 все идет по дефолт маршруту! Всё. Всё доступно, трафик проброшен, на 2821 доступна везде)
>[оверквотинг удален]
>> уже ухожу с работы к сожалению.
>> Если не срочно это тебе, то завтра посмотрю.
>> мыло - semop@kosnet.ru
>> ася - 388439296
>> Это все таки аксэс листы мне кажется.
> Ура! Спасибо Вам и всем!!! RTFM как говорится, RTFM!!! )) если кому
> интересно, достаточно было поправить конф route-map, там стояло значение set ip
> next-hop 83.143.154.230 то есть был форвардинг по моему некстхопу, сделав команду
> set ip default next-hop 83.143.154.230 все идет по дефолт маршруту! Всё.
> Всё доступно, трафик проброшен, на 2821 доступна везде)так в этом случае cisco переправляет трафик по пути указанному в таблице маршрутизации, если путь падает, тогда через next-hop, указанный в route-map...как это помогло?
>[оверквотинг удален]
>>> ася - 388439296
>>> Это все таки аксэс листы мне кажется.
>> Ура! Спасибо Вам и всем!!! RTFM как говорится, RTFM!!! )) если кому
>> интересно, достаточно было поправить конф route-map, там стояло значение set ip
>> next-hop 83.143.154.230 то есть был форвардинг по моему некстхопу, сделав команду
>> set ip default next-hop 83.143.154.230 все идет по дефолт маршруту! Всё.
>> Всё доступно, трафик проброшен, на 2821 доступна везде)
> так в этом случае cisco переправляет трафик по пути указанному в таблице
> маршрутизации, если путь падает, тогда через next-hop, указанный в route-map...как это
> помогло?Нет, ну а как же тогда? матчи отрабатываются в 169 листе, а сеть 192.168.129.0./24 доступна теперь везде. если вы о таблице роутинга на 2821 то там и есть ip route 192.168.129.0 255.255.255.0 83.143.154.230
а некстхоп в роутмапе и указан 83.143.154.230
не знаю.. неужели щас на циске что-то страшное тогда творится...пошел на работу. Спасибо.
да так и помогает, что для сетей первой циски политика не работает, для всех остальных работает. практически это тоже самое, что я предлагал ранее.
> Ура! Спасибо Вам и всем!!! RTFM как говорится, RTFM!!! )) если кому
> интересно, достаточно было поправить конф route-map, там стояло значение set ip
> next-hop 83.143.154.230 то есть был форвардинг по моему некстхопу, сделав команду
> set ip default next-hop 83.143.154.230 все идет по дефолт маршруту! Всё.
> Всё доступно, трафик проброшен, на 2821 доступна везде)Победа!
Но на счет правильности решения и реализации я все-таки не уверен ;)
Удачи.
>> 10 permit ip 192.168.129.0 0.0.0.255 any
> 10 deny ip 192.168.129.0 0.0.0.255 192.168.128.0 0.0.0.255 сеть первой циски, для которой
> не надо заворачивать
> 10 permit ip 192.168.129.0 0.0.0.255 any завернем все остальноеВопрос, причем тут 192.168.128.0 0.0.0.255 ?
> Вопрос, причем тут 192.168.128.0 0.0.0.255 ?может вы включите мозг? прочтете каменты к каждой строчке?
последний раз спрашиваю и потом удаляюсь (надоело время терять):
опишите по шагам маршрут пакета трасерта туда и обратно. и сразу все поймете.
>> Вопрос, причем тут 192.168.128.0 0.0.0.255 ?
> может вы включите мозг? прочтете каменты к каждой строчке?
> последний раз спрашиваю и потом удаляюсь (надоело время терять):
> опишите по шагам маршрут пакета трасерта туда и обратно. и сразу все
> поймете.Простите конечно, мозг включен и кипит уже какой день из-за этой траблы, просто тот, кто реально хочет помочь описывает что ему нужно в каких местах. Я вот не понимаю какой необходимо описать маршрут пакета туда и обратно? Что это "туда и обратно"? И какого пакета? Неужели сложно поконкретнее написать?
>>> Вопрос, причем тут 192.168.128.0 0.0.0.255 ?
>> может вы включите мозг? прочтете каменты к каждой строчке?
>> последний раз спрашиваю и потом удаляюсь (надоело время терять):
>> опишите по шагам маршрут пакета трасерта туда и обратно. и сразу все
>> поймете.
> Простите конечно, мозг включен и кипит уже какой день из-за этой траблы,
> просто тот, кто реально хочет помочь описывает что ему нужно в
> каких местах. Я вот не понимаю какой необходимо описать маршрут пакета
> туда и обратно? Что это "туда и обратно"? И какого пакета?
> Неужели сложно поконкретнее написать?P.S. Всё ведь понятно в Вашем варианте, за исключением одного 192.168.128.0 0.0.0.255 увы..ну не могу понять, бывает, что теперь. Спасибо.