Фабула: Есть несколько сеток с белыми ip, в каждой сети несколько машин. Задача очень проста, соединить сети туннелями. Сейчас все работает на делинках и они периодически виснут. Купили 871 циски.Написал конфигурацию для хаба и спока (пока одного). Результат правда не очень... можно пропинговать с любого ПК в сети за Хабом, до vlan1 спока и точно так же пингуется с ПК за споком до vlan1 хаба . Туннели есть, но ПК - ПК за разными роутерами друг друга не пингуют. Подозреваю, что неправильно настроил OSPF. Буду очень благодарен, если покажите, где ошибка. И что почитать.
Листинг sh run Хаба
Building configuration...
Current configuration : 1880 bytes
!
! No configuration change since last restart
version 15.1
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname HUB
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
!
memory-size iomem 10
ip source-route
!
!
!
ip dhcp excluded-address 192.168.0.1 192.168.0.99
ip dhcp excluded-address 192.168.0.200 192.168.0.254
!
ip dhcp pool sov
network 192.168.0.0 255.255.255.0
dns-server 8.8.8.8 212.17.1.65
default-router 192.168.0.55
!
!
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
crypto pki token default removal timeout 0
!
!
license udi pid CISCO881-SEC-K9 sn FCZ171295D6
!
!
!
!
!
!
!
!
interface Tunnel1
ip address 172.168.0.1 255.255.255.224
no ip redirects
ip mtu 1368
ip nhrp authentication pass
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 10
tunnel source FastEthernet4
tunnel mode gre multipoint
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
ip address 195.234.96.236 255.255.255.224
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.0.55 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
router ospf 1
network 172.168.0.0 0.0.0.31 area 0
network 192.168.0.0 0.0.0.255 area 1
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list FOR_NAT interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 195.234.96.225
!
ip access-list extended FOR_NAT
permit ip 192.168.0.0 0.0.0.255 any
!
!
!
!
!
!
control-plane
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
login
transport input all
!
endHUB#
Листинг Спока
Building configuration...
Current configuration : 2129 bytes
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SPOKE
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
memory-size iomem 10
!
!
!
!
!
!
!
ip dhcp excluded-address 192.168.2.1 192.168.2.99
ip dhcp excluded-address 192.168.2.200 192.168.2.254
!
ip dhcp pool student
network 192.168.2.0 255.255.255.0
dns-server 8.8.8.8 212.17.1.65
default-router 192.168.2.55
!
!
!
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
license udi pid CISCO881-SEC-K9 sn FCZ1712C5J8
!
!
!
!
!
!
!
csdb tcp synwait-time 30
csdb tcp idle-time 3600
csdb tcp finwait-time 5
csdb tcp reassembly max-memory 1024
csdb tcp reassembly max-queue-length 16
csdb udp idle-time 30
csdb icmp idle-time 10
csdb session max-session 65535
!
!
!
!
!
!
!
!
!
interface Tunnel1
ip address 172.168.0.2 255.255.255.224
no ip redirects
ip mtu 1368
ip nhrp authentication pass
ip nhrp map 172.168.0.1 195.234.96.236
ip nhrp map multicast 195.234.96.236
ip nhrp network-id 1
ip nhrp nhs 172.168.0.1
ip nhrp registration no-unique
ip ospf network broadcast
ip ospf hello-interval 30
ip ospf priority 0
tunnel source FastEthernet4
tunnel mode gre multipoint
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
mac-address 0013.46dd.53be
ip address 80.69.177.195 255.255.255.192
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.2.55 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
router ospf 1
network 172.168.0.0 0.0.0.31 area 0
network 192.168.2.0 0.0.0.255 area 2
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list FOR_NAT interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 80.69.177.193
!
ip access-list extended FOR_NAT
permit ip 192.168.2.0 0.0.0.255 any
!
!
!
control-plane
!
!
!
line con 0
no modem enable
line aux 0
line vty 0 4
login
transport input all
!
!
endSPOKE#
> роутерами друг друга не пингуют. Подозреваю, что неправильно настроил OSPF.Похоже на то.
Поставьте везде area 0
>> роутерами друг друга не пингуют. Подозреваю, что неправильно настроил OSPF.
> Похоже на то.
> Поставьте везде area 0Результат тот же :(
>>> роутерами друг друга не пингуют. Подозреваю, что неправильно настроил OSPF.
>> Похоже на то.
>> Поставьте везде area 0
> Результат тот же :(Касперского не пробовал отключать на ПК(FW)?? :)
>>>> роутерами друг друга не пингуют. Подозреваю, что неправильно настроил OSPF.
>>> Похоже на то.
>>> Поставьте везде area 0
>> Результат тот же :(
> Касперского не пробовал отключать на ПК(FW)?? :)И можешь пока статику сделать, вместо ospf
> network 172.168.0.0а это нормально, использовать публичные адреса в впне? http://www.ris.ripe.net/dashboard/172.168.0.0
>> network 172.168.0.0
> а это нормально, использовать публичные адреса в впне? http://www.ris.ripe.net/dashboard/172.168.0.0Да пофиг... Мне кажется во первый это стенд. А во вторых - пофиг! Хоть гугловские юзай
>>> network 172.168.0.0
>> а это нормально, использовать публичные адреса в впне? http://www.ris.ripe.net/dashboard/172.168.0.0
> Да пофиг... Мне кажется во первый это стенд. А во вторых -
> пофиг! Хоть гугловские юзайПокажите sh ip route и на spoke и на hub-е
Всем огромное спасибо за участие. Конфиг 100% рабочий, затык был на конечных машинах в фаерволах.
> Всем огромное спасибо за участие. Конфиг 100% рабочий, затык был на конечных
> машинах в фаерволах.
> Касперского не пробовал отключать на ПК(FW)?? :)Эт хорошо, что все хорошо!!
На практике так часто сталкивался с таким, когда пинг при включенном FW не проходил (хотя вообщем то остальное работало)