- Cisco не работает с двумя внутренними сетями,
 Andrey, 08:04 , 25-Авг-14 (1)>[оверквотинг удален]
> только хост сети А перестаёт видеть CISCO ASA, его сразу начинает
> видеть хост сети В)
> - замечено, что, вроде как, эти перепады чаще когда много хостов в
> работе и реже когда компьютеры почти все выключены)
> - если для сети В шлюзом сделать другое устройство, но оставив CISCO
> ASA подключенной (заменив адрес). всё работает, по крайней мере без видимых
> проблем.
> Не знаю, важно ли это, но в сети А физически только один
> свич и компы, а в сети В три других свича, компы,
> тонкие клиенты, AD, DHCP, DNS, терминальная ферма.Вам нужно пригласить нормального специалиста. - Cisco не работает с двумя внутренними сетями, ShyLion, 08:17 , 25-Авг-14 (2)
> Здравствуйте!
> Прошу помощи в проблеме, которую не можем решить уже не один день. КОНФИГ
- Cisco не работает с двумя внутренними сетями, gurlov, 09:25 , 25-Авг-14 (4)
> Вам нужно пригласить нормального специалиста.Согласен. Да вот только кто за такие деньги пойдёт?! Вы пойдёте? Вот и приходиться мне разбираться (( > Эмм.. порт в нужный влан, не? Свичи работают без VLAN (если вы про это) > КОНФИГ Cryptochecksum: 3023d875 35d02342 3df13958 c2cea288
: Saved
: Written by admin at 09:20:11.409 UTC Fri Aug 22 2014
!
ASA Version 7.2(4)
!
hostname ASA-105
domain-name default.domain.invalid
enable password ******* encrypted
passwd ******* encrypted
names
name 10.144.4.33 serv_mail_EMTS
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.105.1 255.255.255.0
!
interface Vlan2
nameif emts
security-level 0
ip address 10.145.153.254 255.255.255.0
!
interface Vlan12
nameif inet
security-level 0
ip address 95.167.186.54 255.255.255.252
!
interface Vlan22
nameif inside_new
security-level 100
ip address 192.168.0.2 255.255.255.0
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
switchport access vlan 2
!
interface Ethernet0/2
switchport access vlan 22
!
interface Ethernet0/3
!
interface Ethernet0/4
!
interface Ethernet0/5
switchport access vlan 12
!
interface Ethernet0/6
!
interface Ethernet0/7
!
ftp mode passive
dns server-group DefaultDNS
domain-name default.domain.invalid
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object-group network DM_INLINE_NETWORK_1
network-object host 172.24.33.65
network-object host 172.24.61.65
object-group icmp-type DM_INLINE_ICMP_2
icmp-object echo-reply
icmp-object source-quench
icmp-object time-exceeded
icmp-object unreachable
object-group icmp-type DM_INLINE_ICMP_3
icmp-object echo-reply
icmp-object source-quench
icmp-object time-exceeded
icmp-object unreachable
access-list emts_1_cryptomap extended permit ip 192.168.105.0 255.255.255.0 192.168.0.0 255.255.255.0
access-list inside_nat0_outbound extended permit ip 192.168.105.0 255.255.255.0 172.24.0.0 255.255.0.0
access-list inside_nat0_outbound extended permit ip 192.168.105.0 255.255.255.0 host 192.168.106.2
access-list emts_access_in extended permit icmp object-group DM_INLINE_NETWORK_1 any time-exceeded inactive
access-list emts_access_in extended permit icmp any host 172.24.33.125 inactive
access-list emts_access_in remark allow the passage of the ping responses
access-list emts_access_in extended permit icmp any any object-group DM_INLINE_ICMP_3
access-list emts_access_in remark from RDP
access-list emts_access_in extended permit tcp host 10.145.150.200 host 10.145.153.254 eq 3389
access-list emts_2_cryptomap extended permit ip 192.168.105.0 255.255.255.0 172.24.0.0 255.255.0.0
access-list emts_3_cryptomap extended permit ip 192.168.105.0 255.255.255.0 host 192.168.106.2
access-list test_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 172.24.0.0 255.255.0.0
access-list test_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 host 192.168.106.2
access-list test_access_in extended permit ip any any
access-list inet_access_in remark allow the passage of the ping responses
access-list inet_access_in extended permit icmp any any object-group DM_INLINE_ICMP_2
pager lines 24
logging enable
logging asdm informational
mtu inside 1500
mtu emts 1300
mtu inet 1500
mtu inside_new 1500
no failover
monitor-interface inside
monitor-interface emts
monitor-interface inet
monitor-interface inside_new
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-524.bin
asdm location 192.168.0.3 255.255.255.255 inside
asdm location 10.145.150.200 255.255.255.255 inside
asdm location 10.145.153.254 255.255.255.255 inside
no asdm history enable
arp timeout 14400
global (emts) 1 interface
global (inet) 1 interface
nat (inside) 0 access-list inside_nat0_outbound
nat (inside) 1 0.0.0.0 0.0.0.0
nat (inside_new) 0 access-list test_nat0_outbound
nat (inside_new) 1 0.0.0.0 0.0.0.0
static (inside_new,emts) tcp interface 3389 192.168.0.11 3389 netmask 255.255.255.255
access-group emts_access_in in interface emts
access-group inet_access_in in interface inet
access-group test_access_in in interface inside_new
route emts 10.0.0.0 255.0.0.0 10.145.153.1 1
route emts 192.168.106.0 255.255.255.0 10.145.155.254 1
route inet 0.0.0.0 0.0.0.0 95.167.186.53 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
http server enable
http 192.168.105.0 255.255.255.0 inside
http 192.168.1.0 255.255.255.0 inside
http 10.145.150.0 255.255.255.0 emts
http 192.168.0.0 255.255.255.0 inside_new
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto map emts_map 1 match address emts_1_cryptomap
crypto map emts_map 1 set pfs group5
crypto map emts_map 1 set peer 10.145.150.254
crypto map emts_map 1 set transform-set ESP-AES-128-SHA
crypto map emts_map 2 match address emts_2_cryptomap
crypto map emts_map 2 set pfs group5
crypto map emts_map 2 set peer 10.144.206.254
crypto map emts_map 2 set transform-set ESP-AES-128-SHA
crypto map emts_map 3 match address emts_3_cryptomap
crypto map emts_map 3 set pfs
crypto map emts_map 3 set peer 10.145.155.254
crypto map emts_map 3 set transform-set ESP-AES-128-SHA
crypto map emts_map 3 set trustpoint GP106 chain
crypto map emts_map interface emts
crypto ca trustpoint GP106
enrollment terminal
crl configure
crypto ca certificate chain GP106
certificate 0080a2d13912e6ca69
30820483 3082036b a0030201 02020900 80a2d139 12e6ca69 300d0609 2a864886
*****
1c68f7d9 b14101
quit
certificate ca 01
3082058f 30820477 a0030201 02020101 300d0609 2a864886 f70d0101 05050030
*****
f8ed9c27 bec6e9b1 a934ed92 d719a064 b6a62d
quit
crypto isakmp enable inside
crypto isakmp enable emts
crypto isakmp policy 10
authentication pre-share
encryption aes-256
hash sha
group 2
lifetime 86400
crypto isakmp policy 30
authentication pre-share
encryption aes
hash sha
group 5
lifetime 86400
crypto isakmp policy 50
authentication rsa-sig
encryption aes
hash sha
group 2
lifetime 86400
telnet timeout 5
ssh timeout 5
console timeout 0
dhcpd auto_config emts
! username admin password ****** encrypted privilege 15
tunnel-group 172.24.33.125 type ipsec-l2l
tunnel-group 172.24.33.125 ipsec-attributes
pre-shared-key 9165105605027
tunnel-group 172.24.35.41 type ipsec-l2l
tunnel-group 172.24.35.41 ipsec-attributes
pre-shared-key 9165105605027
tunnel-group 10.144.206.254 type ipsec-l2l
tunnel-group 10.144.206.254 ipsec-attributes
pre-shared-key 916510560
tunnel-group 10.145.155.254 type ipsec-l2l
tunnel-group 10.145.155.254 ipsec-attributes
peer-id-validate cert
chain
trust-point GP106
tunnel-group 10.145.150.254 type ipsec-l2l
tunnel-group 10.145.150.254 ipsec-attributes
pre-shared-key 916510560
tunnel-group-map enable rules
!
!
prompt hostname context
Cryptochecksum:*******
: end
- Cisco не работает с двумя внутренними сетями, Andrey, 11:54 , 25-Авг-14 (5)
>> Вам нужно пригласить нормального специалиста.
> Согласен. Да вот только кто за такие деньги пойдёт?! Вы пойдёте? Вот
> и приходиться мне разбираться (( А какие? Озвучте.
Разовая работа - почему бы не поработать. Можно даже рассмотреть вопрос разовой или постоянной удаленки, если такой вариант возможен с вашей стороны.
>[оверквотинг удален]
> Свичи работают без VLAN (если вы про это)
>> КОНФИГ
> interface Vlan1
> nameif inside
> security-level 100
> ip address 192.168.105.1 255.255.255.0
> interface Vlan22
> nameif inside_new
> security-level 100
> ip address 192.168.0.2 255.255.255.0
Естественно что все будет работать через...
На свитчах есть возможность прописать VLAN? Модели свитчей? Клиенты все по DHCP или статические? Сменить пул DHCP есть возможность?
Если клиенты статические - поднять нужный пул адресов, прописать в резервацию всех критически важных клиентов, так-же прописать их в новый пул. После этого просто переткнуть свитч с клиентами из ASA в другой свитч в нужный VLAN.
- Cisco не работает с двумя внутренними сетями, gurlov, 13:12 , 25-Авг-14 (7)
> А какие? Озвучте.
> Разовая работа - почему бы не поработать. Можно даже рассмотреть вопрос разовой
> или постоянной удаленки, если такой вариант возможен с вашей стороны.Бюджетная организация (поликлиника), платят чуть меньше 20тки. Про удалёнку здесь и слушать не будут. Если получиться поднабраться опыта - сам свалю от сюда > Естественно что все будет работать через...
> На свитчах есть возможность прописать VLAN? Модели свитчей? Можно прописать, но зачем, сеть то всё равно в итоге одна должна быть.
Три Huawei и один D-Link, модели точно сейчас не скажу (в другом здании), но VLAN все поддерживают. А почему два VLAN на CISCO (и два кабеля, без транков) должно мешать работе "неоVLANеным" ситчам? > Клиенты все по DHCP или статические? Сменить пул DHCP есть возможность?
> Если клиенты статические - поднять нужный пул адресов, прописать в резервацию всех
> критически важных клиентов, так-же прописать их в новый пул. После этого
> просто переткнуть свитч с клиентами из ASA в другой свитч в
> нужный VLAN. По факту на всех свитчах уже клиенты обоих сетей и всё работает, при условии, что для каждой сети отдельное устройство-шлюз:
Сеть 192.198.105.0/24 - только статика. шлюз ASA
Сеть 192.198.0.1/24 - динамика (компы и тонкие клиенты), статика (сервера AD,DHCP,DNS, терминальная ферма). шлюз - другое, неподконтрольное нам устройство
И как только я отключаю кабель от "ненашего" шлюза и включаю в соответствующий порт в ASA - симптомы, описанные выше.
- Cisco не работает с двумя внутренними сетями, ShyLion, 13:35 , 25-Авг-14 (10)
> И как только я отключаю кабель от "ненашего" шлюза и включаю в
> соответствующий порт в ASA - симптомы, описанные выше.Какого м...ь еще "невашего" шлюза? Можешь дать ВСЮ информацию сразу?
- Cisco не работает с двумя внутренними сетями, gurlov, 17:32 , 25-Авг-14 (13)
> Какого м...ь еще "невашего" шлюза? Можешь дать ВСЮ информацию сразу?Не стал описывать то, что вроде не относиться к моей проблеме. "ненаш" шлюз в данной ситуации роли не играет (т.к. он отключен от сети), но его корректная работа была приведена как ещё один дополнительный симптом, призванный ускорить постановку диагноза.
Вот на сколько подробно надо описывать положение вещей?
Есть ещё пара сетей и несколько серверов в этом здании которые практически не касаются рассматриваемой, всё это взаимодействует ещё с несколькими такими же отдельными подразделениями.
- Cisco не работает с двумя внутренними сетями, Andrey, 14:19 , 25-Авг-14 (11)
> Бюджетная организация (поликлиника), платят чуть меньше 20тки. Про удалёнку здесь и слушать
> не будут. Если получиться поднабраться опыта - сам свалю от сюда Вам нужно решить проблему. Поиск специалиста или самостоятельное обучение - побочный вопрос в рамках решения проблемы.
С мед.учреждениями по удаленке нельзя, согласен. Можно попасть под ФЗ-152 и сопутствующие ему. Будет больше геммороя, чем пользы.
Прописывате на свитчах, на обоих площадках, оба необходимых VLAN (inside и inside_new). Порты, на которых сидят все сетевые устройства, переносите в соответствующие VLAN на обоих площадках. Порты с серверами, клиентами, прочими устройствами работают в режим access.
Порты, которыми вы планируете соеденять свитчи, переводите в режим trunk и прописываете на них оба VLAN. После этого соединяете свитчи друг с другом.
После того, как соедените свитчи, сможете плавно переносить клиентов в новый VLAN.
- Cisco не работает с двумя внутренними сетями, ShyLion, 12:37 , 25-Авг-14 (6) +1
> Cryptochecksum: 3023d875 35d02342 3df13958 c2cea288
> : Saved
> : Written by admin at 09:20:11.409 UTC Fri Aug 22 2014
> !
> ASA Version 7.2(4) С DHCP какая ситуация?
если он один или вообще нет, тогда один внутренний интерфейс убираете, а его IP вешаете как secondary на втором. Локалки соединяете и асю ОДНИМ интерфейсом в локалку.
- Cisco не работает с двумя внутренними сетями, gurlov, 13:24 , 25-Авг-14 (8)
> С DHCP какая ситуация?DHCP раздаётся сервером (192.168.0.0/24) > если он один или вообще нет, тогда один внутренний интерфейс убираете, а
> его IP вешаете как secondary на втором. Локалки соединяете и асю
> ОДНИМ интерфейсом в локалку. Т.е. сделать Транк на ASA и на свитче?
Вариант с двумя внутренними интерфейсами ни как не сработает?
- Cisco не работает с двумя внутренними сетями, ShyLion, 13:33 , 25-Авг-14 (9)
>> С DHCP какая ситуация?
> DHCP раздаётся сервером (192.168.0.0/24)
>> если он один или вообще нет, тогда один внутренний интерфейс убираете, а
>> его IP вешаете как secondary на втором. Локалки соединяете и асю
>> ОДНИМ интерфейсом в локалку.
> Т.е. сделать Транк на ASA и на свитче?никаких транков, у вас же тупо свичи без виланов.
или я что-то не так понял? > Вариант с двумя внутренними интерфейсами ни как не сработает? Зачем?
- Cisco не работает с двумя внутренними сетями, gurlov, 17:20 , 25-Авг-14 (12)
> никаких транков, у вас же тупо свичи без виланов.
> или я что-то не так понял?Думал, что если с одной стороны кабеля порт свитча без транка, а с другой стороны один порт ASA с двумя разными IP, то это не будет работать. Хотя, пока писал это, стал, видимо, сам понимать как это работает. Видать, мои базовые знания в сетях ну уж очень базовые ))
- Cisco не работает с двумя внутренними сетями, VolanD, 08:20 , 25-Авг-14 (3)
> Здравствуйте!
> Прошу помощи в проблеме, которую не можем решить уже не один день.
> Есть две сети(сеть А и сеть В) со своими свичами, которые объединены
> в CISCO ASA
> Необходимо плавно перевести клиентов из IPадресов сети А в сеть В.Эмм.. порт в нужный влан, не? - Cisco не работает с двумя внутренними сетями, Maxim, 18:20 , 25-Авг-14 (14)
Нет ли у вас еще одного соединения между сетью А и В? Возможно когда Вы включаете две сети в Cisco ASA создаете кольцо.
- Cisco не работает с двумя внутренними сетями, gurlov, 18:32 , 25-Авг-14 (15)
> Нет ли у вас еще одного соединения между сетью А и В?
> Возможно когда Вы включаете две сети в Cisco ASA создаете кольцо. Смотрели внимательно, кольца не нашли. Да и потом, оно же нормально работает когда CISCO видит одну сеть. А когда два включенно? - на CISCO разные Vlan-ы, разные физические интерфейсы, разные MAC-адреса - не должно быть кольца (или я не прав?)
- Cisco не работает с двумя внутренними сетями, Andrey, 20:04 , 25-Авг-14 (16)
> на CISCO разные Vlan-ы, разные физические интерфейсы, разные MAC-адреса Почитайте что такое CAM таблица и чем она отличается от ARP таблицы.
При включении 2-х разных SVI интерфейсов в единый сегмент сети вы получите MAC-flooding созданный собственными руками. Именно поэтому вы и получаете коллапс в своей сети.
- Cisco не работает с двумя внутренними сетями, gurlov, 22:22 , 25-Авг-14 (17)
> Почитайте что такое CAM таблица и чем она отличается от ARP таблицы.
> При включении 2-х разных SVI интерфейсов в единый сегмент сети вы получите
> MAC-flooding созданный собственными руками. Именно поэтому вы и получаете коллапс в
> своей сети.Постойте, я был уверен, что два физических интерфейса CISCO ASA имеют разные и не изменяемые постоянно MAC-адреса. Это не так?
Если я прав, откуда же тогда берётся огромное количество записей в CAM-таблице, откуда взяться такому количеству mac-адресов? Объясните, пожалуйста, ну очень хочу понять что происходит у меня )))
- Cisco не работает с двумя внутренними сетями, ShyLion, 07:39 , 26-Авг-14 (18) +1
>> Почитайте что такое CAM таблица и чем она отличается от ARP таблицы.
>> При включении 2-х разных SVI интерфейсов в единый сегмент сети вы получите
>> MAC-flooding созданный собственными руками. Именно поэтому вы и получаете коллапс в
>> своей сети.
> Постойте, я был уверен, что два физических интерфейса CISCO ASA имеют разные
> и не изменяемые постоянно MAC-адреса. Это не так?
> Если я прав, откуда же тогда берётся огромное количество записей в CAM-таблице,
> откуда взяться такому количеству mac-адресов?
> Объясните, пожалуйста, ну очень хочу понять что происходит у меня ))) На самом деле MACи SVI интерфейсов могут быть разными или одинаковыми в зависимости от платформы. На относительно старых платформах были одинаковые, на современных разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно либо виланы на свичах делать, либо secondary адрес прописывать, в любом случае в локалку один интерфейс физически должен быть.
- Cisco не работает с двумя внутренними сетями, gurlov, 09:55 , 26-Авг-14 (19)
> На самом деле MACи SVI интерфейсов могут быть разными или одинаковыми в
> зависимости от платформы. На относительно старых платформах были одинаковые, на современных
> разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно
> либо виланы на свичах делать, либо secondary адрес прописывать, в любом
> случае в локалку один интерфейс физически должен быть.Действительно MAC-адреса VLAN-ов одинаковые. (у Ethernet-ов разные)
Получается, свитч передаёт кадр на MAC-адрес VLAN-а минуя MAC-адрес Ethernet порта, к которому подключён кабель и прикреплён VLAN?
Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме inside/outside VLAN-ы?
- Cisco не работает с двумя внутренними сетями, ShyLion, 12:12 , 26-Авг-14 (21)
>> На самом деле MACи SVI интерфейсов могут быть разными или одинаковыми в
>> зависимости от платформы. На относительно старых платформах были одинаковые, на современных
>> разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно
>> либо виланы на свичах делать, либо secondary адрес прописывать, в любом
>> случае в локалку один интерфейс физически должен быть.
> Действительно MAC-адреса VLAN-ов одинаковые. (у Ethernet-ов разные)
> Получается, свитч передаёт кадр на MAC-адрес VLAN-а минуя MAC-адрес Ethernet порта, к
> которому подключён кабель и прикреплён VLAN?
> Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме
> inside/outside VLAN-ы?Очень сложно в стране с телепатами. Ктож его знает что и как там понавоткнуто у вас.
- Cisco не работает с двумя внутренними сетями, gurlov, 12:27 , 26-Авг-14 (22)
>[оверквотинг удален]
>>> разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно
>>> либо виланы на свичах делать, либо secondary адрес прописывать, в любом
>>> случае в локалку один интерфейс физически должен быть.
>> Действительно MAC-адреса VLAN-ов одинаковые. (у Ethernet-ов разные)
>> Получается, свитч передаёт кадр на MAC-адрес VLAN-а минуя MAC-адрес Ethernet порта, к
>> которому подключён кабель и прикреплён VLAN?
>> Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме
>> inside/outside VLAN-ы?
> Очень сложно в стране с телепатами. Ктож его знает что и как
> там понавоткнуто у вас."Есть две сети(сеть А и сеть В) со своими свитчами, которые объединены в CISCO ASA" - в эту фразу я и вкладывал смысл того, что от каждой сети идёт по одному кабелю к ASA. Но теперь понимаю, что не очень однозначная фраза получилась.
Приношу свои извинения. В следующий раз постараюсь писать без надежды на телепатические способности форумчан )))
- Cisco не работает с двумя внутренними сетями, ShyLion, 13:13 , 26-Авг-14 (23)
>>[оверквотинг удален]
>>>> разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно
>>>> либо виланы на свичах делать, либо secondary адрес прописывать, в любом
>>>> случае в локалку один интерфейс физически должен быть.
>>> Действительно MAC-адреса VLAN-ов одинаковые. (у Ethernet-ов разные)
>>> Получается, свитч передаёт кадр на MAC-адрес VLAN-а минуя MAC-адрес Ethernet порта, к
>>> которому подключён кабель и прикреплён VLAN?
>>> Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме
>>> inside/outside VLAN-ы?Интернет что, тоже в этот-же свитч воткнут?? или всетаки в асю напрямую?
- Cisco не работает с двумя внутренними сетями, gurlov, 13:42 , 26-Авг-14 (24)
>>>[оверквотинг удален]
>>>>> разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно
>>>>> либо виланы на свичах делать, либо secondary адрес прописывать, в любом
>>>>> случае в локалку один интерфейс физически должен быть.
>>>> Действительно MAC-адреса VLAN-ов одинаковые. (у Ethernet-ов разные)
>>>> Получается, свитч передаёт кадр на MAC-адрес VLAN-а минуя MAC-адрес Ethernet порта, к
>>>> которому подключён кабель и прикреплён VLAN?
>>>> Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме
>>>> inside/outside VLAN-ы?
> Интернет что, тоже в этот-же свитч воткнут?? или всетаки в асю напрямую? в фразе
>>Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме
>> inside/outside VLAN-ы? я имел ввиду ASA а не свитч. Допустим в ASA:
VLAN 1, outside, eth 0/1
VLAN 2, inside_old, eth 0/2
VLAN 3, inside_new, eth 0/3
из eth 0/2 и eth 0/3 по одному кабелю идёт в один свитч (не настроенный на VLAN, заводские настройки) Так как MACадреса VLAN-ов одинаковые, то в двух inside сетях будет коллизия.
Почему по этой же причине нет коллизии при обмене кадрами с outside сетью?
- Cisco не работает с двумя внутренними сетями, Andrey, 17:15 , 26-Авг-14 (25)
>[оверквотинг удален]
> я имел ввиду ASA а не свитч.
> Допустим в ASA:
> VLAN 1, outside, eth 0/1
> VLAN 2, inside_old, eth 0/2
> VLAN 3, inside_new, eth 0/3
> из eth 0/2 и eth 0/3 по одному кабелю идёт в один
> свитч (не настроенный на VLAN, заводские настройки)
> Так как MACадреса VLAN-ов одинаковые, то в двух inside сетях будет коллизия.
> Почему по этой же причине нет коллизии при обмене кадрами с outside
> сетью?Потому, что есть уровень IP, а есть уровень ethernet.
Допустим у вас ASA eth0/2 включен в свитч в порт 1, а eth0/3 в порт 2. В случае, когда хост хочет передать пакет на IP в другом сегменте, он посылает Ethernet фрейм в котором стоит src-mac и dst-mac. При этом в качестве dst-mac указывается MAC адрес шлюза. Свитч видит, что этот MAC в данный конкретный момент принадлежит порту 1 и перенаправит этот ethernet фрейм в сторону порта eth0/2 на ASA. ASA видит, что на уровне L2 Ethernet фрейм пришел нормальный и передает обработку на уровень L3. И тут возникает проблема - оказывается что src-IP не принадлежит той-же подсети, через интерфейс которого этот пакет пришел. Пакет дропается.
Outside, из ваших описаний, не подключен к пользовательским коммутаторам, в результате подобные коллизии у него исключены.
- Cisco не работает с двумя внутренними сетями, gurlov, 18:31 , 26-Авг-14 (26)
>[оверквотинг удален]
> на IP в другом сегменте, он посылает Ethernet фрейм в котором
> стоит src-mac и dst-mac. При этом в качестве dst-mac указывается MAC
> адрес шлюза. Свитч видит, что этот MAC в данный конкретный момент
> принадлежит порту 1 и перенаправит этот ethernet фрейм в сторону порта
> eth0/2 на ASA. ASA видит, что на уровне L2 Ethernet фрейм
> пришел нормальный и передает обработку на уровень L3. И тут возникает
> проблема - оказывается что src-IP не принадлежит той-же подсети, через интерфейс
> которого этот пакет пришел. Пакет дропается.
> Outside, из ваших описаний, не подключен к пользовательским коммутаторам, в результате
> подобные коллизии у него исключены.Здесь согласен. С insid интерфейсами у меня, как раз, вопрос не возникал.
Как происходит передача пакета внутри ASA на L2 уровне из outside в inside и обратно? MAC-и то одинаковые. - Cisco не работает с двумя внутренними сетями, Andrey, 19:20 , 26-Авг-14 (27)
>[оверквотинг удален]
> Здесь согласен. С insid интерфейсами у меня, как раз, вопрос не возникал.
> Как происходит передача пакета внутри ASA на L2 уровне из outside в
> inside и обратно? MAC-и то одинаковые.Между inside и outside даже не L3 работает. Причем тут передача пакетов на уровне L2?
- Cisco не работает с двумя внутренними сетями, gurlov, 19:42 , 26-Авг-14 (28)
> Между inside и outside даже не L3 работает. Причем тут передача пакетов
> на уровне L2?Какжись доходит до меня... (я то даже начинающим в вопросах CISCO назваться не могу)
Внутреннее взаимодействие между интерфейсами внутри ASA происходит на более высоком уровне (нежели L2 и L3)
Спасибо ))))
- Cisco не работает с двумя внутренними сетями, ShyLion, 07:27 , 27-Авг-14 (29)
>> Между inside и outside даже не L3 работает. Причем тут передача пакетов
>> на уровне L2?
> Какжись доходит до меня... (я то даже начинающим в вопросах CISCO назваться
> не могу) Ради справедливости - Cisco тут не причем. Это азы IP, лучше почитай буквари на эту тему.
- Cisco не работает с двумя внутренними сетями, gurlov, 12:08 , 26-Авг-14 (20)
>[оверквотинг удален]
> только хост сети А перестаёт видеть CISCO ASA, его сразу начинает
> видеть хост сети В)
> - замечено, что, вроде как, эти перепады чаще когда много хостов в
> работе и реже когда компьютеры почти все выключены)
> - если для сети В шлюзом сделать другое устройство, но оставив CISCO
> ASA подключенной (заменив адрес). всё работает, по крайней мере без видимых
> проблем.
> Не знаю, важно ли это, но в сети А физически только один
> свич и компы, а в сети В три других свича, компы,
> тонкие клиенты, AD, DHCP, DNS, терминальная ферма.В CISCO ASA задал разные MAC адреса для двух задействованнык VLAN (по умолчанию они были одинаковыми !!!) после чего всё заработало. Настраивать VLAN на комутаторах не понадобилось.
Всем большое спасибо ))
|
Версия для распечатки
Cisco не работает с двумя внутренними сетями, 
