URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23531
[ Назад ]
Исходное сообщение
"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 14-Фев-12 17:31 
Добрый день.

Гуру подскажите пож-ста есть ли некие особенности в настройке зверя Cisco 2921-sec/k9 (Version 15.0(1r)M12) для начала просто хотел поднять инет, для чего стандартно поднял интерфейсы, прибил ip-шники, роутинг по умолчанию и НАТ с ед. строчкой access листа. Дык не работает ни разу, может фишка какая есть с этим интерфейсами гигабитными ?
ниже конфиг: гляньте плиз свежим взглядом может что выпало из поля зрения ?
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description uplink
ip address XXX.XXX.20.66 255.255.255.240
ip flow ingress
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
interface GigabitEthernet0/2
description inside$ES_LAN$
ip address 192.168.0.234 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
ip forward-protocol nd
!
no ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip nat inside source list 7 interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 XXX.XXX.20.65
!
access-list 7 permit 192.168.0.0 0.0.0.255

не могу понять чего может быть проще, но в и-нет сеть не выходит и шлюз не пингуется 65-ый :(

Cisco курил и так и сяк настраивал - результат один :( Может нужно как то разрешить маршрутизацию. Не первый раз настраиваю, но здесь где то затык :(

Плиз хелп.

Заранее спасибо!

Содержание
Сообщения в этом обсуждении
"Cisco 2921 не пускает в и-нет :("
Отправлено Aleks305 , 14-Фев-12 18:04 
>[оверквотинг удален]
> ip route 0.0.0.0 0.0.0.0 XXX.XXX.20.65
> !
> access-list 7 permit 192.168.0.0 0.0.0.255
> не могу понять чего может быть проще, но в и-нет сеть не
> выходит и шлюз не пингуется 65-ый :(
> Cisco курил и так и сяк настраивал - результат один :( Может
> нужно как то разрешить маршрутизацию. Не первый раз настраиваю, но здесь
> где то затык :(
> Плиз хелп.
> Заранее спасибо!

так мож проблема в шлюзе если не пингуется?

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 14-Фев-12 18:53 
>[оверквотинг удален]
>> !
>> access-list 7 permit 192.168.0.0 0.0.0.255
>> не могу понять чего может быть проще, но в и-нет сеть не
>> выходит и шлюз не пингуется 65-ый :(
>> Cisco курил и так и сяк настраивал - результат один :( Может
>> нужно как то разрешить маршрутизацию. Не первый раз настраиваю, но здесь
>> где то затык :(
>> Плиз хелп.
>> Заранее спасибо!
> так мож проблема в шлюзе если не пингуется?

Да нет, щаз на ее месте стоит другая циска и все прекрасно работает, ставишь новую - как в танке :(

"Cisco 2921 не пускает в и-нет :("
Отправлено shadow_alone , 14-Фев-12 19:03 
А сами порты в UP-е?
"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 14-Фев-12 19:12 
> А сами порты в UP-е?

Угу,

#sh ip int brie
Interface                  IP-Address      OK? Method Status                Protocol
Embedded-Service-Engine0/0 unassigned      YES NVRAM  administratively down down
GigabitEthernet0/0         XXX.XXX.20.66    YES NVRAM  up                 up
GigabitEthernet0/1         unassigned      YES NVRAM  administratively down down
GigabitEthernet0/2         192.168.0.234   YES NVRAM  up                    up
NVI0                       XXX.XXX.20.66    YES unset  up                    up


я уже мозг сломал :(
Вот видел поднимают еще сабинтерфейсы на внешнем интерфейсе, может так нужно?

WBR.

"Cisco 2921 не пускает в и-нет :("
Отправлено shadow_alone , 14-Фев-12 19:16 
сабинтерфейсы поднимают если vlan есть. У Вас разве канал наружу тегированный приходит?
С самого рутера шлюз XXX.XXX.20.65 пингуется?

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 14-Фев-12 19:32 
> сабинтерфейсы поднимают если vlan есть. У Вас разве канал наружу тегированный приходит?

хм... вообще то на действующей циске подняты сабинтерфейсы, но я думал это типа доп портов нарезать и что можно без них, на действующей так:

interface FastEthernet0/0
description Internet
no ip address
ip virtual-reassembly
duplex auto
speed auto
custom-queue-list 1
!
interface FastEthernet0/0.1
!
interface FastEthernet0/0.10
encapsulation dot1Q 10
ip address XXX.XXX.20.66 255.255.255.248
ip access-group 110 in
ip nat outside
ip virtual-reassembly
no ip mroute-cache
!
interface FastEthernet0/0.20
description DMZ
encapsulation dot1Q 20
ip address XXX.XXX.20.76 255.255.255.248
ip nat outside
ip virtual-reassembly
!
interface FastEthernet0/1
description Local Network
ip address 192.168.0.234 255.255.255.0
ip access-group 101 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
custom-queue-list 2
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 XXX.XXX.20.65

но я хотел уйти от этой схемы и сделать классический вариант, или не могу?
провайдеру звонил - он кроме того, что нам отдана 28-ая подсеть больше ничего мне не сказал ни про какие вланы и т.д.

> С самого рутера шлюз XXX.XXX.20.65 пингуется?

нет, не пингуется, хотя со старой все прекрасно работает, может ios кривой

"Cisco 2921 не пускает в и-нет :("
Отправлено shadow_alone , 14-Фев-12 21:09 
Вообще-то у Вас тегированный трафик приходит в 10 vlan.
так что не мудрите и делайте dot1Q 10

Могли бы и сразу сказать.
А Вы тут делаете из мухи слона.

Ну или на свитче разрулите с транком, и сделайте access порт для рутера.

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 14-Фев-12 21:33 
> Вообще-то у Вас тегированный трафик приходит в 10 vlan.
> так что не мудрите и делайте dot1Q 10

Спасибо, понял.
А прову сказать чтоб человеческий трафик подал можно ?

> Могли бы и сразу сказать.
> А Вы тут делаете из мухи слона.
> Ну или на свитче разрулите с транком, и сделайте access порт для
> рутера.

Как это поможет внешнему интерфейсу, вроде такое делается на внутренних можно ли поподробнее или ссылкой киньте? Заранее спасибо.

"Cisco 2921 не пускает в и-нет :("
Отправлено shadow_alone , 14-Фев-12 21:38 
> Спасибо, понял.
> А прову сказать чтоб человеческий трафик подал можно ?

Да и сейчас все по человечески вообще-то.

> Как это поможет внешнему интерфейсу, вроде такое делается на внутренних можно ли
> поподробнее или ссылкой киньте? Заранее спасибо.

Нет, делается на тех интерфейсах на которых нужно.

Нет такой ссылки, ибо, Вы должны понимать зачем это нужно и нужно ли оно Вам.

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 14-Фев-12 21:54 
>> Спасибо, понял.
>> А прову сказать чтоб человеческий трафик подал можно ?
> Да и сейчас все по человечески вообще-то.

Простите но как ЭТО можно назвать "по человечески" если я тупо не могу присвоить ip адрес на внешнем интерфейсе, и мне приходится делать дополнительные телодвижения, особенно если мне этот тегированный  трафик не нужен. Не понимаю к чему этот "изврат" со стороны провайдера сделан ?

>> Как это поможет внешнему интерфейсу, вроде такое делается на внутренних можно ли
>> поподробнее или ссылкой киньте? Заранее спасибо.
> Нет, делается на тех интерфейсах на которых нужно.
> Нет такой ссылки, ибо, Вы должны понимать зачем это нужно и нужно
> ли оно Вам.

Хорошо - пойду курить cisco.com и форумы. Спасибо за помощь. Все не как у людей блин :)


"Cisco 2921 не пускает в и-нет :("
Отправлено McLeod095 , 15-Фев-12 11:21 
>[оверквотинг удален]
> могу присвоить ip адрес на внешнем интерфейсе, и мне приходится делать
> дополнительные телодвижения, особенно если мне этот тегированный  трафик не нужен.
> Не понимаю к чему этот "изврат" со стороны провайдера сделан ?
>>> Как это поможет внешнему интерфейсу, вроде такое делается на внутренних можно ли
>>> поподробнее или ссылкой киньте? Заранее спасибо.
>> Нет, делается на тех интерфейсах на которых нужно.
>> Нет такой ссылки, ибо, Вы должны понимать зачем это нужно и нужно
>> ли оно Вам.
> Хорошо - пойду курить cisco.com и форумы. Спасибо за помощь. Все не
> как у людей блин :)

К Вам линк в циску идет уже от провайдера? или линк от прова воткнут в какой-то свитч и уже от него идет в Вашу циску?

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 15-Фев-12 16:30 
>[оверквотинг удален]
>>>> Как это поможет внешнему интерфейсу, вроде такое делается на внутренних можно ли
>>>> поподробнее или ссылкой киньте? Заранее спасибо.
>>> Нет, делается на тех интерфейсах на которых нужно.
>>> Нет такой ссылки, ибо, Вы должны понимать зачем это нужно и нужно
>>> ли оно Вам.
>> Хорошо - пойду курить cisco.com и форумы. Спасибо за помощь. Все не
>> как у людей блин :)
> К Вам линк в циску идет уже от провайдера? или линк от
> прова воткнут в какой-то свитч и уже от него идет в
> Вашу циску?

У провайдера тут целая стойка, кабель к нашей циске выходит из провайдерской cisco me 3400.

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 15-Фев-12 18:32 
Тупо подключил обычный комп. - все прекрасно работает, провайдер сказал что канал у меня никакой не тегированный, однако 2921 Не работает с вышеописанными настройками - почему ?! Может кто ответит ??? Плииииз.


"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 16-Фев-12 00:14 
>>[оверквотинг удален]

В общем решил поэкспериментировать - поставил простую циску 800-ой серии, на внешний интерфейс присвоил выданный нам провайдером IP - прописал роутинг, результат один - шлюз не пингуется :( Провайдер говорит что нам приходит чистый канал - без тегирования. Однако на действующей циске, приписано след образом :

sh ip ro

Gateway of last resort is XXX.XXX.20.65 to network 0.0.0.0

     XXX.0.0.0/29 is subnetted, 2 subnets
C       XXX.XXX.20.72 is directly connected, FastEthernet0/0.20
C       XXX.XXX.20.64 is directly connected, FastEthernet0/0.10
C    192.168.0.0/24 is directly connected, FastEthernet0/1
S*   0.0.0.0/0 [1/0] via XXX.XXX.20.65

И вот что-то мне подсказывает если я захочу
C       XXX.XXX.20.64 is directly connected, FastEthernet0/0
то ничего маршрутизироватся не будет - вопрос ПОЧЕМУ ?

я просто первый раз с таким сталкиваюсь, что мне провайдеру сказать? Или каким образом сие настроить без sub интерфейсов, зачем мне вообще их поднимать, это вообще возможно ? Или провайдер мне пудрит мозг?

Заранее спасибО!

"Cisco 2921 не пускает в и-нет :("
Отправлено Dima , 16-Фев-12 00:20 
>[оверквотинг удален]
> C       XXX.XXX.20.64 is directly connected, FastEthernet0/0.10
> C    192.168.0.0/24 is directly connected, FastEthernet0/1
> S*   0.0.0.0/0 [1/0] via XXX.XXX.20.65
> И вот что-то мне подсказывает если я захочу
> C       XXX.XXX.20.64 is directly connected, FastEthernet0/0
> то ничего маршрутизироватся не будет - вопрос ПОЧЕМУ ?
> я просто первый раз с таким сталкиваюсь, что мне провайдеру сказать? Или
> каким образом сие настроить без sub интерфейсов, зачем мне вообще их
> поднимать, это вообще возможно ? Или провайдер мне пудрит мозг?
> Заранее спасибО!

Зачем SUBINT нужны в вашем случае ?
без них и надо делать.


убирайте.
Д.

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 16-Фев-12 11:38 
>[оверквотинг удален]
>> C       XXX.XXX.20.64 is directly connected, FastEthernet0/0
>> то ничего маршрутизироватся не будет - вопрос ПОЧЕМУ ?
>> я просто первый раз с таким сталкиваюсь, что мне провайдеру сказать? Или
>> каким образом сие настроить без sub интерфейсов, зачем мне вообще их
>> поднимать, это вообще возможно ? Или провайдер мне пудрит мозг?
>> Заранее спасибО!
> Зачем SUBINT нужны в вашем случае ?
> без них и надо делать.
> убирайте.
> Д.

--- так я же говорю в такой схеме не работает :((( - когда я просто сношу сабинтерфейсы и прибиваю на физ. интерефейс.


"Cisco 2921 не пускает в и-нет :("
Отправлено Aleks305 , 16-Фев-12 12:03 
>[оверквотинг удален]
>>> я просто первый раз с таким сталкиваюсь, что мне провайдеру сказать? Или
>>> каким образом сие настроить без sub интерфейсов, зачем мне вообще их
>>> поднимать, это вообще возможно ? Или провайдер мне пудрит мозг?
>>> Заранее спасибО!
>> Зачем SUBINT нужны в вашем случае ?
>> без них и надо делать.
>> убирайте.
>> Д.
> --- так я же говорю в такой схеме не работает :((( -
> когда я просто сношу сабинтерфейсы и прибиваю на физ. интерефейс.

так а Вы попробовали с sub - работает?мало что там говорит провайдер...опирайтесь на то,что вы видите по факту.
Пробуйте с тэгированием и пишите результат. Да - заработало, нет - не заработало.
А то пудрите тут всем мозги...не понимаю таких людей. Попробуй - потом пиши!!!

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 16-Фев-12 12:14 
>>[оверквотинг удален]
>> --- так я же говорю в такой схеме не работает :((( -
>> когда я просто сношу сабинтерфейсы и прибиваю на физ. интерефейс.
> так а Вы попробовали с sub - работает?мало что там говорит провайдер...опирайтесь
> на то,что вы видите по факту.
> Пробуйте с тэгированием и пишите результат. Да - заработало, нет - не
> заработало.
> А то пудрите тут всем мозги...не понимаю таких людей. Попробуй - потом
> пиши!!!

Вроде как я ситуацию уже раз пять описал - еще раз повторюсь, у меня не получается поднять/настроить cisco БЕЗ SUB интерфейсов, т.е. путем присваивания ip адреса физ интерфейсу, при такой конфигурации НЕ РАБОТАЕТ - вот я и пытаюсь понять - ПОЧЕМУ?! и каким образом настроить cisco. Есть мысль что из-за того что выше стоит 3400 нужно перевести порт в режим switchport access, на него прибить vlanи к нему ip адрес ? Собственно так же делается на 800-ой серии цисок на внутренних интерфейсах ?

"Cisco 2921 не пускает в и-нет :("
Отправлено VolanD , 16-Фев-12 12:57 
>[оверквотинг удален]
>> А то пудрите тут всем мозги...не понимаю таких людей. Попробуй - потом
>> пиши!!!
> Вроде как я ситуацию уже раз пять описал - еще раз повторюсь,
> у меня не получается поднять/настроить cisco БЕЗ SUB интерфейсов, т.е. путем
> присваивания ip адреса физ интерфейсу, при такой конфигурации НЕ РАБОТАЕТ -
> вот я и пытаюсь понять - ПОЧЕМУ?! и каким образом настроить
> cisco. Есть мысль что из-за того что выше стоит 3400 нужно
> перевести порт в режим switchport access, на него прибить vlanи к
> нему ip адрес ? Собственно так же делается на 800-ой серии
> цисок на внутренних интерфейсах ?

Если у Вас не работает без сабинтерфейсов, но работает с сабинтерфейсами. То чтобы не говорил провайдер, траффик к вам идет тегированный!

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 16-Фев-12 17:01 
>>[оверквотинг удален]

2VolanD:

> Если у Вас не работает без сабинтерфейсов, но работает с сабинтерфейсами. То
> чтобы не говорил провайдер, траффик к вам идет тегированный!

Может немного не по теме, но как объяснить что простой ноутбук с 7-кой на борту воткнутый вместо циски замечательно работает? Или сейчас ноутбуки пошли хитрые, которые понимают какой трафик, ну или распознают и подстраиваются?
вот.

не знаю как убедить провайдера и доказать что Вы сказали ?

PS а может в какойто хитрый режим порт нужно поставить, что он понимал 3400?

"Cisco 2921 не пускает в и-нет :("
Отправлено Andrey , 16-Фев-12 17:08 
>>>[оверквотинг удален]
> 2VolanD:
>> Если у Вас не работает без сабинтерфейсов, но работает с сабинтерфейсами. То
>> чтобы не говорил провайдер, траффик к вам идет тегированный!
> Может немного не по теме, но как объяснить что простой ноутбук с
> 7-кой на борту воткнутый вместо циски замечательно работает? Или сейчас ноутбуки
> пошли хитрые, которые понимают какой трафик, ну или распознают и подстраиваются?
> вот.
> не знаю как убедить провайдера и доказать что Вы сказали ?

Для себя нарисуйте схему как включено сейчас и что выхотите получить. Потом задавайте вопросы.

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 16-Фев-12 17:28 
>[оверквотинг удален]
>> 2VolanD:
>>> Если у Вас не работает без сабинтерфейсов, но работает с сабинтерфейсами. То
>>> чтобы не говорил провайдер, траффик к вам идет тегированный!
>> Может немного не по теме, но как объяснить что простой ноутбук с
>> 7-кой на борту воткнутый вместо циски замечательно работает? Или сейчас ноутбуки
>> пошли хитрые, которые понимают какой трафик, ну или распознают и подстраиваются?
>> вот.
>> не знаю как убедить провайдера и доказать что Вы сказали ?
> Для себя нарисуйте схему как включено сейчас и что выхотите получить. Потом
> задавайте вопросы.

Да чего ее рисовать ? есть две железки что рядом стоят 3400 и 2921 - соединены витой парой все просто (Cisco 3400) XXX.XXX.20.64 <-----> (cisco 2921) XXX.XXX.20.66/28 (GigaEthernet0/0) - вот и все, я пытаюсь добится что хотя бы просто видели друг друга эти два интерфейса просто на прямую не работает.:((( я понимаю что достал, и может решение простое, но пока не могу найти его :((

"Cisco 2921 не пускает в и-нет :("
Отправлено fantom , 16-Фев-12 17:52 
>[оверквотинг удален]
>>> вот.
>>> не знаю как убедить провайдера и доказать что Вы сказали ?
>> Для себя нарисуйте схему как включено сейчас и что выхотите получить. Потом
>> задавайте вопросы.
> Да чего ее рисовать ? есть две железки что рядом стоят 3400
> и 2921 - соединены витой парой все просто (Cisco 3400) XXX.XXX.20.64
> <-----> (cisco 2921) XXX.XXX.20.66/28 (GigaEthernet0/0) - вот и все, я пытаюсь
> добится что хотя бы просто видели друг друга эти два интерфейса
> просто на прямую не работает.:((( я понимаю что достал, и может
> решение простое, но пока не могу найти его :((

Гы...
ИП XXX.XXX.20.64 НЕ ЯВЛЯЕТСЯ ИП-ом из XXX.XXX.20.66/28 подсети :) вернее XXX.XXX.20.64 - адрес сети для XXX.XXX.20.66/28 и соответственно не должен быть присвоен ни одному из узлов... выводы делайте сами ;)

"Cisco 2921 не пускает в и-нет :("
Отправлено meb1us , 17-Фев-12 17:03 
>[оверквотинг удален]
>> Да чего ее рисовать ? есть две железки что рядом стоят 3400
>> и 2921 - соединены витой парой все просто (Cisco 3400) XXX.XXX.20.64
>> <-----> (cisco 2921) XXX.XXX.20.66/28 (GigaEthernet0/0) - вот и все, я пытаюсь
>> добится что хотя бы просто видели друг друга эти два интерфейса
>> просто на прямую не работает.:((( я понимаю что достал, и может
>> решение простое, но пока не могу найти его :((
> Гы...
> ИП XXX.XXX.20.64 НЕ ЯВЛЯЕТСЯ ИП-ом из XXX.XXX.20.66/28 подсети :) вернее XXX.XXX.20.64
> - адрес сети для XXX.XXX.20.66/28 и соответственно не должен быть присвоен
> ни одному из узлов... выводы делайте сами ;)

ой ну ошибся я немного - конечно 65-ый :)