URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22763
[ Назад ]

Исходное сообщение
"Cisco 877 в кач роутера сети"

Отправлено Vladsky , 16-Июн-11 18:59 
Hi All!

Коллеги, просто тупик ) не могу победить. Есть Cisco 877 роутер, который использую для организации лок сети для 4 пк. Схема след - инет от прова (ethernet)  в портWAN (ethernet4) - далее в порт Ethernet 2 (VLAN 2) воткнут хаб Длинк в него ПК.

Вот конф, роутер не пускает в инет лок клиентов. Роут прописал, что еще нужно прописать?

ip dhcp pool DATA
   network 172.16.3.0 255.255.255.0
   default-router 172.16.3.1
   option 150 ip 192.168.3.1
   dns-server 8.8.8.8

interface FastEthernet1
shutdown

interface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
ip address x.x.x.x 255.255.255.224
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
!
interface Vlan2
description -- FA1-3 LAN --
ip address 172.16.3.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
!
router eigrp 999
network 172.16.3.0 0.0.0.255
no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.y


акцесс листы и т.д. пока убрал.

Локальные ПК пингуют роутер, др друга. но не пингуют внешний мир. внешний адрес роутера пингуется..


Содержание

Сообщения в этом обсуждении
"Cisco 877 в кач роутера сети"
Отправлено tanker , 16-Июн-11 19:26 
не увидел в конфиге выше

access-list 102 permit ip 172.16.3.0 0.0.0.255 any

ip nat inside source list 102 interface FastEthernet4 overload


"Cisco 877 в кач роутера сети"
Отправлено VolanD , 16-Июн-11 20:46 
> не увидел в конфиге выше
> access-list 102 permit ip 172.16.3.0 0.0.0.255 any
> ip nat inside source list 102 interface FastEthernet4 overload

+1

А eigrp то зачем?


"Cisco 877 в кач роутера сети"
Отправлено Vladsky , 16-Июн-11 22:59 
>> не увидел в конфиге выше
>> access-list 102 permit ip 172.16.3.0 0.0.0.255 any
>> ip nat inside source list 102 interface FastEthernet4 overload
> +1
> А eigrp то зачем?

да, у меня 100 акцесс лист есть и

ip nat inside source list 100 interface FastEthernet4 overload

eigrp для туннеля, кстати он поднят и функционирует норм.


"Cisco 877 в кач роутера сети"
Отправлено tanker , 16-Июн-11 23:10 
у Вас в заголовке темы указана 877, а по приведенному конфигу у вас 871
что у Вас там еще есть?
а то как-то сложно лечить по фотографии...



"Cisco 877 в кач роутера сети"
Отправлено Vladsky , 16-Июн-11 23:16 
> у Вас в заголовке темы указана 877, а по приведенному конфигу у
> вас 871
> что у Вас там еще есть?
> а то как-то сложно лечить по фотографии...

вот полный конф роутера:

!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xxx
!
boot-start-marker
boot-end-marker
!
logging buffered 51200 warnings
!
aaa new-model
!
!
aaa authentication login local_auth local
!
!
aaa session-id common
clock timezone pst 3
clock summer-time gmt recurring last Sun Mar 2:00 last Sun Oct 2:00
!
ip cef
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 172.16.3.2 172.16.3.20
ip dhcp excluded-address 172.16.3.100
!
ip dhcp pool DATA
   network 172.16.3.0 255.255.255.0
   default-router 172.16.3.1
   option 150 ip 192.168.3.1
   dns-server 8.8.8.8
!
!
no ip domain lookup
ip name-server  8.8.8.8
ip multicast-routing
ip inspect max-incomplete low 400
ip inspect max-incomplete high 500
ip inspect one-minute low 400
ip inspect one-minute high 500
ip inspect tcp max-incomplete host 50 block-time 0
ip inspect name FIREWALL ftp alert off
ip inspect name FIREWALL rcmd alert off
ip inspect name FIREWALL netshow alert off
ip inspect name FIREWALL realaudio alert off
ip inspect name FIREWALL rtsp alert off
ip inspect name FIREWALL tftp alert off
ip inspect name FIREWALL tcp alert off
ip inspect name FIREWALL udp alert off
ip inspect name FIREWALL vdolive alert off
ip inspect name FIREWALL icmp alert off
ip inspect name FIREWALL http java-list 1 alert on
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
multilink bundle-name authenticated
!
!

!
!
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key xxxxxxxxxx address 0.0.0.0 255.255.255.0
crypto isakmp keepalive 60 3
!
!
crypto ipsec transform-set xxxxxxx esp-3des esp-md5-hmac
mode transport
!
crypto ipsec profile DMVPN
set transform-set xxxxxxxxx
!
!
archive
log config
  hidekeys
!
!
!
class-map match-all rt
match ip precedence 5
class-map match-any mgnt
match ip precedence 2
class-map match-all lan-mgnt
match access-group 190
class-map match-all routing
match ip precedence 6
class-map match-all signaling
match ip dscp cs3
!
!
policy-map intersite
class rt
  priority percent 33
class signaling
  bandwidth remaining percent 10
class routing
  bandwidth remaining percent 10
class mgnt
  bandwidth remaining percent 10
class class-default
  bandwidth remaining percent 70
  random-detect
!
!
!
!
interface Loopback1
ip address 10.1.3.1 255.255.255.0
!
interface Tunnel0
bandwidth 1000
ip address 192.168.168.3 255.255.255.0
no ip redirects
ip mtu 1400
ip nat inside
ip nhrp authentication DMVPN_NW
ip nhrp map 192.168.168.1 xxxxxxxxxx
ip nhrp map multicast xxxxxxxxxx
ip nhrp network-id 100000
ip nhrp holdtime 360
ip nhrp nhs 192.168.168.1
ip virtual-reassembly
ip tcp adjust-mss 1360
delay 1000
tunnel source FastEthernet4
tunnel mode gre multipoint
tunnel key xxxxxxxxxx
tunnel protection ipsec profile DMVPN
!
interface FastEthernet0
!
interface FastEthernet1
switchport access vlan 2
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 2
!
interface FastEthernet4
ip address xxxxxxxxxxxx 255.255.255.224
ip access-group 104 in
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$
ip address 10.10.10.1 255.255.255.248
ip tcp adjust-mss 1452
!
interface Vlan2
description -- FA1-3 LAN --
ip address 172.16.3.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
    
!
router eigrp 999
network 10.1.3.0 0.0.0.255
network 172.16.3.0 0.0.0.255
network 192.168.168.0
no auto-summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 x.x.x.x
ip route 172.16.0.0 255.255.255.0 Tunnel0
!
!
no ip http server
no ip http secure-server
ip nat inside source list 100 interface FastEthernet4 overload
!
access-list 100 remark ---local users to ---
access-list 100 permit ip 172.16.3.0 0.0.0.255 any log
access-list 100 permit ip 10.10.10.0 0.0.0.255 any    log
!
access-list 104 remark ---Firewall---
access-list 104 remark ---private adresses---
access-list 104 deny   ip 10.0.0.0 0.255.255.255 any
access-list 104 deny   ip 172.16.0.0 0.15.255.255 any
access-list 104 deny   ip 192.168.0.0 0.0.255.255 any
access-list 104 deny   ip 127.0.0.0 0.255.255.255 any
access-list 104 deny   ip host 255.255.255.255 any
access-list 104 deny   ip host 0.0.0.0 any
access-list 104 remark ---vpn---
access-list 104 permit gre any host x.x.x.x
access-list 104 permit ahp any host x.x.x.x
access-list 104 permit esp any host x.x.x.x
access-list 104 permit tcp any host x.x.x.x eq 5000
access-list 104 permit udp any host x.x.x.x eq 5000
access-list 104 permit udp any host x.x.x.x eq isakmp
access-list 104 permit udp any host x.x.x.x eq non500-isakmp
access-list 104 remark ---ssh---
access-list 104 permit tcp any host x.x.x.x eq 22
access-list 104 remark ---icmp---
access-list 104 permit icmp any any echo
access-list 104 permit icmp any any echo-reply
access-list 104 permit icmp any any time-exceeded
access-list 104 permit icmp any any unreachable
access-list 104 permit icmp any any packet-too-big
access-list 104 permit icmp any any traceroute

access-list 104 remark ---DNS---
access-list 104 permit udp host 8.8.8.8 eq domain any

access-list 104 remark ---Deny_Any---
access-list 104 deny   tcp any any eq 1720 log
access-list 104 deny   tcp any any eq 5060 log
access-list 104 deny   tcp any any eq 2000 log
access-list 104 deny   tcp any any eq www log
access-list 104 deny   tcp any any eq 443 log
access-list 104 deny   ip any any log
no cdp run
!
!
!
!
control-plane
!
alias exec shrf show run | tee http://1.1.1.1
alias exec c conf t
!
line con 0
no modem enable
line aux 0
line vty 0 4
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
ntp logging
ntp clock-period 17175028
ntp server 130.88.200.98
ntp server 194.87.0.20
end


"Cisco 877 в кач роутера сети"
Отправлено VolanD , 17-Июн-11 08:29 
>[оверквотинг удален]
> line vty 0 4
>  logging synchronous
>  transport input telnet ssh
> !
> scheduler max-task-time 5000
> ntp logging
> ntp clock-period 17175028
> ntp server 130.88.200.98
> ntp server 194.87.0.20
> end

А трансляция происходит? Че show ip nat transtations показывает?


"Cisco 877 в кач роутера сети"
Отправлено h , 17-Июн-11 09:24 

> вот полный конф роутера:
> !
> interface FastEthernet4
>  ip address xxxxxxxxxxxx 255.255.255.224
>  ip access-group 104 in
>  ip nat outside
>  ip virtual-reassembly
>  duplex auto
>  speed auto

104 access list попробуйте на время убрать ...


"Cisco 877 в кач роутера сети"
Отправлено Vladsky , 17-Июн-11 10:12 
>> вот полный конф роутера:
>> !
>> interface FastEthernet4
>>  ip address xxxxxxxxxxxx 255.255.255.224
>>  ip access-group 104 in
>>  ip nat outside
>>  ip virtual-reassembly
>>  duplex auto
>>  speed auto
> 104 access list попробуйте на время убрать ...

в самом первом посте написал же акцесс листы отключены, имел ввиду именно этот на внешнем интерфейсе.
в том то и дело, что должно быть а не идет ( при этом туннельный работает. маршрут по умолчанию прописан на прова.


"Cisco 877 в кач роутера сети"
Отправлено Vladsky , 17-Июн-11 18:40 
да в чем же трабл то..
есть ощущение, что vlan 2 который прописан роутером сети таковым не является.
немного изменил конф, добавил бридж.


bridge irb

interface FastEthernet4
no ip address
ip virtual-reassembly
duplex auto
speed auto
bridge-group 1
!
!
interface BVI1
ip address x.x.x.x 55.255.255.224
ip access-group 104 in
ip nat outside
ip virtual-reassembly

но не помогло все равно.. 104 акцесс лист отключал для чистоты эскперимента. куда покрутить?


"Cisco 877 в кач роутера сети"
Отправлено cant , 17-Июн-11 19:01 
> куда покрутить?

подергайте cef,
смотрите трансляцию как выше советовали,
и смотрите пролет пакетов любым способом.

Далее стандартные процедуры:  ребут, апгрейд, workaround, отключать всё по очереди.

Обычный тупой NAT не может не работать на этой циске.



"Cisco 877 в кач роутера сети"
Отправлено BJ , 19-Июн-11 21:29 
> ip nat inside source list 100 interface FastEthernet4 overload
> !
> access-list 100 remark ---local users to ---
> access-list 100 permit ip 172.16.3.0 0.0.0.255 any log
> access-list 100 permit ip 10.10.10.0 0.0.0.255 any    log

Уберите "log" из acl, и в будущем никуда не вставляйте если реально не нужен.


"Cisco 877 в кач роутера сети"
Отправлено Vladsky , 20-Июн-11 15:05 
>> ip nat inside source list 100 interface FastEthernet4 overload
>> !
>> access-list 100 remark ---local users to ---
>> access-list 100 permit ip 172.16.3.0 0.0.0.255 any log
>> access-list 100 permit ip 10.10.10.0 0.0.0.255 any    log
> Уберите "log" из acl, и в будущем никуда не вставляйте если реально
> не нужен.

log вставил так будет собираться на syslog сервер, есть такой. думаете в это причина?

sh ip nat translations


show ip nat translation

Pro Inside global         Inside local          Outside local         Outside global
tcp x.x.x.x:59679     172.16.3.24:59679     93.186.224.242:80     93.186.224.242:80
tcp :59681     172.16.3.24:59681     188.127.247.115:3389  188.127.247.115:3389
tcp x.x.x.x:59708     172.16.3.24:59708     93.186.224.242:80     93.186.224.242:80
tcp x.x.x.x:59714     172.16.3.24:59714     93.186.224.240:80     93.186.224.240:80
tcp x.x.x.x:59715     172.16.3.24:59715     93.186.224.240:80     93.186.224.240:80
tcp x.x.x.x:59726     172.16.3.24:59726     87.240.188.250:80     87.240.188.250:80
tcp x.x.x.x:59728     172.16.3.24:59728     188.127.247.115:3389  188.127.247.115:3389
tcp x.x.x.x:59729     172.16.3.24:59729     93.153.161.50:80      93.153.161.50:80
tcp x.x.x.x:59730     172.16.3.24:59730     95.78.227.191:80      95.78.227.191:80
tcp x.x.x.x:59731     172.16.3.24:59731     86.62.83.118:80       86.62.83.118:80
tcp x.x.x.x:59733     172.16.3.24:59733     93.153.161.50:39173   93.153.161.50:39173
tcp x.x.x.x:59734     172.16.3.24:59734     95.78.227.191:2536    95.78.227.191:2536
tcp x.x.x.x:59735     172.16.3.24:59735     86.62.83.118:14400    86.62.83.118:14400


трансляция есть! но все равно инета у ПК нет. Может как то провайдер неразрешать НАТ? Дело в том, что в офисе где инет данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор, у каждого клиента свой порт и выделен белый IP. так вот у всех одна маска и один шлюз! и все клиенты одного бизнес центра в одной подсети. бред.


"Cisco 877 в кач роутера сети"
Отправлено Vladsky , 20-Июн-11 15:36 
>[оверквотинг удален]
> tcp x.x.x.x:59734     172.16.3.24:59734     95.78.227.191:2536
>    95.78.227.191:2536
> tcp x.x.x.x:59735     172.16.3.24:59735     86.62.83.118:14400
>    86.62.83.118:14400
> трансляция есть! но все равно инета у ПК нет. Может как то
> провайдер неразрешать НАТ? Дело в том, что в офисе где инет
> данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор,
> у каждого клиента свой порт и выделен белый IP. так вот
> у всех одна маска и один шлюз! и все клиенты одного
> бизнес центра в одной подсети. бред.

обьяснили отсутсвие VLAN  для каждого клиента неразумным использ IP адресов.
но ната так и нет. может циска глючит?


"Cisco 877 в кач роутера сети"
Отправлено VolanD , 20-Июн-11 16:12 
>[оверквотинг удален]
>> tcp x.x.x.x:59735     172.16.3.24:59735     86.62.83.118:14400
>>    86.62.83.118:14400
>> трансляция есть! но все равно инета у ПК нет. Может как то
>> провайдер неразрешать НАТ? Дело в том, что в офисе где инет
>> данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор,
>> у каждого клиента свой порт и выделен белый IP. так вот
>> у всех одна маска и один шлюз! и все клиенты одного
>> бизнес центра в одной подсети. бред.
> обьяснили отсутсвие VLAN  для каждого клиента неразумным использ IP адресов.
> но ната так и нет. может циска глючит?

debug ip packet че показывает? (Осторожно! Может посыпаться куча пакетов, циска может "захлебнуться")


"Cisco 877 в кач роутера сети"
Отправлено Vladsky , 20-Июн-11 16:14 
>[оверквотинг удален]
>>> трансляция есть! но все равно инета у ПК нет. Может как то
>>> провайдер неразрешать НАТ? Дело в том, что в офисе где инет
>>> данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор,
>>> у каждого клиента свой порт и выделен белый IP. так вот
>>> у всех одна маска и один шлюз! и все клиенты одного
>>> бизнес центра в одной подсети. бред.
>> обьяснили отсутсвие VLAN  для каждого клиента неразумным использ IP адресов.
>> но ната так и нет. может циска глючит?
> debug ip packet че показывает? (Осторожно! Может посыпаться куча пакетов, циска может
> "захлебнуться")

так дебаг будет идти на syslog server?


"Cisco 877 в кач роутера сети"
Отправлено Vladsky , 20-Июн-11 16:39 
>[оверквотинг удален]
>>>> провайдер неразрешать НАТ? Дело в том, что в офисе где инет
>>>> данный подключен, организован он не оч хорошо. Видимо пров поставил коммутатор,
>>>> у каждого клиента свой порт и выделен белый IP. так вот
>>>> у всех одна маска и один шлюз! и все клиенты одного
>>>> бизнес центра в одной подсети. бред.
>>> обьяснили отсутсвие VLAN  для каждого клиента неразумным использ IP адресов.
>>> но ната так и нет. может циска глючит?
>> debug ip packet че показывает? (Осторожно! Может посыпаться куча пакетов, циска может
>> "захлебнуться")
> так дебаг будет идти на syslog server?

нашел причину.. мдя )
дебаг отчасти помог, включил его только для 100 акцесс листа. этож extended лист! маска то др.

вообщем решил так:

ip nat inside source list 1 interface BVI1 overload
!
access-list 1 remark ---local users to ---
access-list 1 permit 172.16.3.0 0.0.0.255
access-list 1 permit 10.10.10.0 0.0.0.255