Народ ! Помогите - что-то туплю не по-детски, а где? - понять не могу. Есть Cisco 877, но порт ADSL сейчас не использую. На interface FastEthernet3 подключен провайдер, на interface FastEthernet0 основная локалка, а на FastEthernet2 включил дополнительную сеть. Так вот: ping с копьютера основной сети не идет на ком.дополнительной сети. Что не так сделал?
Конфиг циски:
!
version 12.4
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Br877
!
boot-start-marker
boot system flash c870-advipservicesk9-mz.124-9.T.bin
boot-end-marker
!
logging buffered 51200 warnings
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
ip domain name XXXXXXXX
ip name-server XX.XX.XX.XXX
ip name-server YYY.YY.Y.YY
ip inspect name srv ssh
ip inspect name srv telnet
!
!
username xxxx privilege 15 secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
archive
log config
hidekeys
!
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 1800
crypto isakmp key 6 xxxxxxxKey address PROVIDER_IP PROVIDER_MASK no-xauth
crypto isakmp invalid-spi-recovery
crypto isakmp keepalive 1800 periodic
!
crypto ipsec security-association lifetime seconds 28800
!
crypto ipsec transform-set BNK esp-3des esp-sha-hmac
!
crypto map IPSec_Policy 20 ipsec-isakmp
set peer PROVIDER_IP
set transform-set BNK
set pfs group2
match address ipsec_acc
!
!
interface ATM0
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
ip virtual-reassembly
ip route-cache flow
shutdown
no atm ilmi-keepalive
dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
switchport access vlan 2
!
interface FastEthernet3
switchport access vlan 3
!
interface Vlan1
description Link to LAN
ip address 10.16.0.1 255.255.255.0
ip tcp adjust-mss 1452
!
interface Vlan3
description Link to Provider
ip address dhcp
ip access-group Tun_IN in
ip access-group Tun_OUT out
ip tcp adjust-mss 1452
crypto map IPSec_Policy
!
interface Vlan2
description local network 2
ip address 172.25.0.253 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 DEF_GATE_PROVIDER
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip access-list extended Tun_IN
permit icmp any any
permit ip host INTERNET_IP host MY_OUT_IP
permit udp any any eq bootpc
deny ip any any
ip access-list extended Tun_OUT
permit icmp any any
permit ip host MY_OUT_IP host INTERNET_IP
permit udp any any eq bootpc
deny ip any any
ip access-list extended ipsec_BNK
permit ip XX.XX.X.X 0.0.0.255 XX.0.0.0 0.255.255.255
permit ip host YYY.YY.Y.Y XX.0.0.0 0.255.255.255
!
access-list 23 permit INTERNET_IP
access-list 23 permit XX.X.X.X 0.0.0.255
access-list 23 permit 10.16.0.0 0.0.0.255
access-list 23 permit 172.25.0.0 0.0.0.255
no cdp run
!
!
!
!
control-plane
!
!
line con 0
login local
no modem enable
line aux 0
line vty 0 4
access-class 23 in
privilege level 15
login local
transport input telnet ssh
!
scheduler max-task-time 5000
end
Криминала вроде не видать.
Тут не мешало бы увидеть вывод от sh vlan-switch и убедится что сам VLAN2 создан, ну и sh ip int brie чтобы посмотреть в каком состоянии у тебя сам интерфейс VLAN2
> Криминала вроде не видать.
> Тут не мешало бы увидеть вывод от sh vlan-switch и убедится что
> сам VLAN2 создан, ну и sh ip int brie чтобы посмотреть
> в каком состоянии у тебя сам интерфейс VLAN2Br877#sh vlan-switch
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0, Fa1
2 VLAN0002 active Fa2
3 VLAN0003 active Fa3
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default activeVLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1 enet 100001 1500 - - - - - 1002 1003
2 enet 100002 1500 - - - - - 0 0
3 enet 100003 1500 - - - - - 0 0
1002 fddi 101002 1500 - - - - - 1 1003
1003 tr 101003 1500 1005 0 - - srb 1 1002
1004 fdnet 101004 1500 - - 1 ibm - 0 0
1005 trnet 101005 1500 - - 1 ibm - 0 0
Br877#Br877#sh ip int brie
Interface IP-Address OK? Method Status Protocol
FastEthernet0 unassigned YES unset up up
FastEthernet1 unassigned YES unset up down
FastEthernet2 unassigned YES unset up up
FastEthernet3 unassigned YES unset up up
ATM0 unassigned YES NVRAM administratively down down
ATM0.1 unassigned YES unset deleted down
Vlan1 10.16.0.1 YES NVRAM up up
Vlan3 91.203.25.234 YES DHCP up up
Vlan2 172.25.0.253 YES manual up up
Br877#В том то и дело, что вижу "все активно". С роутера ping 172.25.0.4 идет "на ура", также с роутера ping 10.16.0.2 тоже идет. А вот с машины 10.16.0.2 ping 172.25.0.4 никак !!! При этом с машины 10.16.0.2 ping 172.25.0.253 проходит. Вот тут я в "ступор" и вхожу :)
>[оверквотинг удален]
> no modem enable
> line aux 0
> line vty 0 4
> access-class 23 in
> privilege level 15
> login local
> transport input telnet ssh
> !
> scheduler max-task-time 5000
> endping c router к компам есть?
sh int vlan 2
ping 172.25.0.253ну и vlan database проверить
>[оверквотинг удален]
>> privilege level 15
>> login local
>> transport input telnet ssh
>> !
>> scheduler max-task-time 5000
>> end
> ping c router к компам есть?
> sh int vlan 2
> ping 172.25.0.253
> ну и vlan database проверитьsh ip route
и проверьте фаерволы на компах
> sh ip route
> и проверьте фаерволы на компахBr877#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static routeGateway of last resort is 91.203.27.254 to network 0.0.0.0
172.25.0.0/24 is subnetted, 1 subnets
C 172.25.0.0 is directly connected, Vlan2
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
C 10.16.0.0/24 is directly connected, Vlan1
S 10.192.109.254/32 [254/0] via 91.203.27.254, Vlan3
91.0.0.0/22 is subnetted, 1 subnets
C 91.203.24.0 is directly connected, Vlan3
S* 0.0.0.0/0 [1/0] via 91.203.27.254
Br877#Вроде как все правильно ?
Файервола на PC 10.16.0.2 вообще не поднято - голый linux без iptables
Какие еще мысли ???
>[оверквотинг удален]
> masks
> C 10.16.0.0/24 is directly connected, Vlan1
> S 10.192.109.254/32 [254/0] via 91.203.27.254, Vlan3
> 91.0.0.0/22 is subnetted, 1 subnets
> C 91.203.24.0 is directly connected, Vlan3
> S* 0.0.0.0/0 [1/0] via 91.203.27.254
> Br877#
> Вроде как все правильно ?
> Файервола на PC 10.16.0.2 вообще не поднято - голый linux без iptables
> Какие еще мысли ???ip route на компах
> ip route на компах[root@BrvFS ~]# ip route
10.16.0.0/24 dev eth0 proto kernel scope link src 10.16.0.2
169.254.0.0/16 dev eth0 scope link
default via 10.16.0.1 dev eth0
[root@BrvFS ~]#
>> ip route на компах
> [root@BrvFS ~]# ip route
> 10.16.0.0/24 dev eth0 proto kernel scope link src 10.16.0.2
> 169.254.0.0/16 dev eth0 scope link
> default via 10.16.0.1 dev eth0
> [root@BrvFS ~]#а на втором компе?
ну и укажите на fast ах switchport mode access....
иии я припоминаю, что где-то здесь всплывала проблема похожая при использовании дефолтового влана
> ip route на компахВы меня натолкнули на мысль ! Спасибо. Дело в том, что на адресе 172.25.0.4 стоит cisco 861 (это WAN-интерфейс). Думаю, что на ней как-то "неправильно" default routing прописан. Сейчас попробую организовать как-то доступ до этой железки, посмотрю настройки, затем отпишусь.
> ip route на компахЕще раз спасибо !!! "Все гениальное - просто !!!" На 861циске с адресом 172.25.0.4 вообще не было дефолтной маршрутизации. Поправил - все заработало. Еще раз - СПАСИБО !
Тема закрыта.