The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 2800 и Cisco 2620 route-map"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 04-Дек-10, 12:15 
Здравствуйте, уважаемые! Появилась такая проблемка. Две циски, указанные в теме соединены между собой, возникла необходимость проброса трафика от 2800 к 2620 через route-map, ACL для этого создан, route-map сконфигурирован, подсеть, которую необходимо пробросить указал в необходимом ACL, пакеты пошли, трафик перенаправляется, но! Теперь эта подсеть недоступна из других (( (не отвечают рутеры из той подсетки, не трассируются, не пингуются).

Привожу конфиг:

route-map ****, permit, sequence 3
  Match clauses:
    ip address (access-lists): 169 - в этот ACL добавляю ту подсеть, которую надо пробросить на циску 2620
  Set clauses:
    ip next-hop *.*.*.*
  Policy routing matches: 186553 packets, 53076277 bytes
route-map itv-out, permit, sequence 10
  Match clauses:
  Set clauses:
    as-path prepend 65000
  Policy routing matches: 0 packets, 0 bytes
route-map nauka-out, permit, sequence 10
  Match clauses:
  Set clauses:
    as-path prepend ***** *****
  Policy routing matches: 0 packets, 0 bytes

Как только удаляю подcеть из ACL 169, всё начинает пинговаться и быть доступным.. Как теперь быть? Как разграничить трафик? Чтобы он шёл и на 2620, и был доступен на интерфейсах циски 2800. Благодарю.
P.S. Если потребуются какие конфиги выложу.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 04-Дек-10, 18:23 
медиумы в отпуске... так что уж рисуйте схему, приводите конфиги
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 04-Дек-10, 18:58 
> медиумы в отпуске... так что уж рисуйте схему, приводите конфиги

)) понимаю, show configuration с обоих цисок, полностью?? О_о

Рисовать то нечего, Cisco 2821 (1) <<->> Cisco 2620 (2)  1 - в ней несколько интерфейсов GigabitEthernet, в одном из которых -
interface GigabitEthernet0/0.14
description ***
encapsulation dot1Q 55
ip address 192.168.129.1 255.255.255.0 secondary
ip access-group 155 in
no ip proxy-arp

Есть ACL для route-map, туда я заношу строчку permit ip 192.168.129.0 0.0.0.63 any
И трафик от этой подсети начинает проходить на nexthop *.*.*.* (2) Cisco 2620 которая. Но, на 2821 кошке, перестаёт быть доступной эта подсеть. То есть с компа пингую 192.168.129.1 - отвечает, всё что дальше, например 192.168.129.2 и т.д. не трассируется и не пингуется, трассы затыкаются уже на ip address 192.168.129.1

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 04-Дек-10, 19:59 
чтож подождем медиумов...

а пока для себя представьте маршруты пакетиков в обе стороны...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 04-Дек-10, 20:52 
> чтож подождем медиумов...
> а пока для себя представьте маршруты пакетиков в обе стороны...

А поконкретнее можно? Не совсем понял, что требуется.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 04-Дек-10, 21:23 
а конкретнее нужны конфиги и схемы, ну почему вы думаете что комуто охото гадать что вы у себя собрали?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 04-Дек-10, 21:24 
вот выяснилось, что используется бгп, что еще придется выяснить силой прежде, чем полная картина предстанет?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 04-Дек-10, 22:59 
> вот выяснилось, что используется бгп, что еще придется выяснить силой прежде, чем
> полная картина предстанет?

hostname rbgp
!
boot-start-marker
boot system flash c2800-nm-spservicesk9-mz.123-14T2.bin
boot-end-marker
!
logging buffered 51200 warnings
enable secret 5
!
no aaa new-model
!
resource policy
!
ip subnet-zero
!
!
ip cef
no ip dhcp use vrf connected
!
!
ip flow-cache entries 10000
ip flow-cache timeout inactive 60
ip flow-cache timeout active 1
ip domain name yourdomain.com
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host ***
ip rcmd remote-host ***
no ftp-server write-enable

class-map match-all voice
match access-group 123
!
!
policy-map policy1
class voice
  priority 128
class class-default
  fair-queue
!
!
!
!
interface Tunnel0
description ###
ip address
tunnel source
tunnel destination
tunnel mode ipip
!
interface GigabitEthernet0/0
description ### Trunk to 2950
no ip address
rate-limit input access-group 123 128000 65536 65536 conform-action set-prec-transmit 5 exceed-action set-prec-continue 0
ip route-cache flow
load-interval 30
duplex auto
speed auto
no keepalive
no cdp enable
service-policy output policy1
!
interface GigabitEthernet0/0.1
description ### GateWay inside
encapsulation dot1Q 5
ip address *** secondary
ip address *** secondary
ip address ***
no ip proxy-arp
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.2
encapsulation dot1Q 30
ip address
no ip proxy-arp
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.3
description ###
encapsulation dot1Q 3
ip address
no ip proxy-arp
no ip mroute-cache
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.4
description GateWay to 2620
encapsulation dot1Q 31
ip address **** 255.255.255.252
ip access-group 155 in
no ip proxy-arp
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.5
description
encapsulation dot1Q 32
no ip proxy-arp
shutdown
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.6
description ###
encapsulation dot1Q 33
ip address *** 255.255.255.252
no ip proxy-arp
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.7
description ###
encapsulation dot1Q 6
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 153 in
no ip proxy-arp
rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 184 384000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.8
description ###
encapsulation dot1Q 7
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 150 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.9
description ###
encapsulation dot1Q 8
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 151 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
traffic-shape group 160 512000 32000 32000 512
no cdp enable
!
interface GigabitEthernet0/0.10
description ###
encapsulation dot1Q 9
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 152 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit input access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 168 768000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 184 384000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
ПРОШУ ОБРАТИТЬ ВНИМАНИЕ! Ниже интерфейс, через который, компьютеры, находясь в его подсети, могут пинговать, трассировать подсеть 192.168.129.0/24 все остальные, находящиеся на других интерфейсах получают в ответ ping timeout, при трассе затыкается всё на ip address 'IP адрес интерфейса'. Еще ниже интерфейс на котором и стоит ip address 192.168.129.1 из сети 192.168.129.0/24 как раз та, которую необходимо прокинуть по route-map на 2620.

interface GigabitEthernet0/0.13
encapsulation dot1Q 47
ip address *** secondary
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 147 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/0.14
description
encapsulation dot1Q 55
ip address 192.168.129.1 255.255.255.0 secondary
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 155 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop
ip policy route-map MAP
no snmp trap link-status
no cdp enable
!
interface GigabitEthernet0/1
no ip address
ip route-cache flow
load-interval 30
duplex auto
speed auto
no keepalive
no cdp enable
!
Далее идут ip classless и списки ACL. Всё. Как то так... Благодарю заранее.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Cisco 2800 и Cisco 2620 route-map"  –1 +/
Сообщение от BoBa (??) on 05-Дек-10, 09:44 
все я сдаюсь... мне лень гадать, нет ни времени ни желания... вас просили конфиги и схемы, вы выложили какие то огрызки, и в тех все вырезали...

но если вы уж весь трафик с одного саба первой циски завернули nexthopом на вторую циску, то прикиньте как трафик должен с этого саба попасть на соседний саб первой циски..

>interface GigabitEthernet0/0.13
>encapsulation dot1Q 47

это чтобы враги не осилили разобрать?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 11:21 
> все я сдаюсь... мне лень гадать, нет ни времени ни желания... вас
> просили конфиги и схемы, вы выложили какие то огрызки, и в
> тех все вырезали...
> но если вы уж весь трафик с одного саба первой циски завернули
> nexthopом на вторую циску, то прикиньте как трафик должен с этого
> саба попасть на соседний саб первой циски..
>>interface GigabitEthernet0/0.13
>>encapsulation dot1Q 47
> это чтобы враги не осилили разобрать?

)) Ничего не вырезал, убрал ип адреса, какая разница какие они? ну напишу я 1.1.1.1 на одном интерфейсе, 2.2.2.2 на другом - это что-то изменит? по поводу GE0/0.13 и инкапсуляции, здесь, вообще ничего не вырезал. Я кинул полный конфиг просто без acl и ip clasless, зачем здесь список ип адресов клиентов в три страницы?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 11:23 
> все я сдаюсь... мне лень гадать, нет ни времени ни желания... вас
> просили конфиги и схемы, вы выложили какие то огрызки, и в
> тех все вырезали...
> но если вы уж весь трафик с одного саба первой циски завернули
> nexthopом на вторую циску, то прикиньте как трафик должен с этого
> саба попасть на соседний саб первой циски..
>>interface GigabitEthernet0/0.13
>>encapsulation dot1Q 47
> это чтобы враги не осилили разобрать?

По поводу некстхопов, предлагаете создать route-map только уже на первую циску?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 05-Дек-10, 12:03 
> По поводу некстхопов, предлагаете создать route-map только уже на первую циску?

понятия не имею, ибо вы до сих пор не сказали, что хотите добиться и какими средствами...

айпишники имеют огромное значение... откуда я знаю, что у вас на сабах назначено и что в роутмапах и ацл написано? я не медиум.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

4. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 04-Дек-10, 20:05 
> route-map itv-out, permit, sequence 10
>   Match clauses:
>   Set clauses:
>     as-path prepend 65000
>   Policy routing matches: 0 packets, 0 bytes
> route-map nauka-out, permit, sequence 10
>   Match clauses:
>   Set clauses:
>     as-path prepend ***** *****
>   Policy routing matches: 0 packets, 0 bytes

as-path prepend *** - работает при eBGP.
У тебя роутеры в разных ASках?

Покажи куски конфига route-map и bgp

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 04-Дек-10, 20:47 
>[оверквотинг удален]
>>     as-path prepend 65000
>>   Policy routing matches: 0 packets, 0 bytes
>> route-map nauka-out, permit, sequence 10
>>   Match clauses:
>>   Set clauses:
>>     as-path prepend ***** *****
>>   Policy routing matches: 0 packets, 0 bytes
> as-path prepend *** - работает при eBGP.
> У тебя роутеры в разных ASках?
> Покажи куски конфига route-map и bgp

Рутеры в одной AS. куски конфигов:

interface GigabitEthernet0/0.4
description GateWay to 2620
encapsulation dot1Q 31
ip address *.*.*.* 255.255.255.252
ip access-group 155 in
no ip proxy-arp
no snmp trap link-status
no cdp enable
<<- это интерфейс на кошке 2821 смотрит в 2620.

Далее bgp:

router bgp 35212
no synchronization
bgp log-neighbor-changes
network 83.143.152.0 mask 255.255.248.0
neighbor 83.229.133.197 remote-as 6854
neighbor 83.229.133.197 shutdown
neighbor 83.229.133.197 update-source GigabitEthernet0/1.2
neighbor 83.229.133.197 version 4
neighbor 83.229.133.197 soft-reconfiguration inbound
neighbor 83.229.133.197 weight 100
neighbor 83.229.133.197 prefix-list to_Sinterra out
neighbor 87.226.222.181 remote-as 12389
neighbor 87.226.222.181 update-source GigabitEthernet0/1.8
neighbor 87.226.222.181 version 4
neighbor 87.226.222.181 soft-reconfiguration inbound
neighbor 87.226.222.181 weight 100
neighbor 87.226.222.181 prefix-list to_rt_new out
no auto-summary

Далее show route-map:

route-map ***, permit, sequence 3
  Match clauses:
    ip address (access-lists): 169
  Set clauses:
    ip next-hop "Cisco 2620"
  Policy routing matches: 188431 packets, 53307338 bytes
route-map itv-out, permit, sequence 10
  Match clauses:
  Set clauses:
    as-path prepend 65000
  Policy routing matches: 0 packets, 0 bytes
route-map nauka-out, permit, sequence 10
  Match clauses:
  Set clauses:
    as-path prepend 35212 35212 begin_of_the_skype_highlighting              35212 35212      end_of_the_skype_highlighting
  Policy routing matches: 0 packets, 0 bytes

А также в конфиге, в ip classless есть роут ip route 192.168.129.0 255.255.255.0 Cisco 2620, и вот я думаю, может стоить прописать такую же строчку только с адресом кошки 2821? Благодарю Вас. З.Ы. И не уверен насчет аэсок, как узнать в одной они или нет?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 14:14 
>[оверквотинг удален]
> interface GigabitEthernet0/0.4
>  description GateWay to 2620
>  encapsulation dot1Q 31
>  ip address *.*.*.* 255.255.255.252
>  ip access-group 155 in
>  no ip proxy-arp
>  no snmp trap link-status
>  no cdp enable
> <<- это интерфейс на кошке 2821 смотрит в 2620.
> Далее bgp:

Тоже конфиг на 2821?

>[оверквотинг удален]
>  neighbor 83.229.133.197 soft-reconfiguration inbound
>  neighbor 83.229.133.197 weight 100
>  neighbor 83.229.133.197 prefix-list to_Sinterra out
>  neighbor 87.226.222.181 remote-as 12389
>  neighbor 87.226.222.181 update-source GigabitEthernet0/1.8
>  neighbor 87.226.222.181 version 4
>  neighbor 87.226.222.181 soft-reconfiguration inbound
>  neighbor 87.226.222.181 weight 100
>  neighbor 87.226.222.181 prefix-list to_rt_new out
>  no auto-summary

Если вес одинаковый, зачем его прописывать? Но не суть.
>  neighbor 83.229.133.197 weight 100
>  neighbor 87.226.222.181 weight 100

Я тоже не особо тут понимаю. Этот конфиг на какой циске? 2 соседа вижу, кто из них 2620?
Если эти циски обмениваются маршрутами по BGP, то я бы не пользовался строчкой на сабинтерфейсе:

> ip access-group 155 in

а фильтровал именно на границе neighbor'a либо out, либо in

Узнать в одной ли они AS - зайти на 2821 и посмотреть bgp, зайти на 2620 и посмотреть bgp
Выложи топологию примерную хотя бы.
Фантазирую(если верхний конфиг - 2821):

2821 AS 35212 (анонсирую 83.143.152.0 /21....принимаю сеть Y) ------------ 2620 AS ??? (анонсирую Z...принимаю W)

2620 - default отдает? Вопщем дорисуй, что я "нарисовал". Тяжело разбираться.

Для понимания - лучше всего так рисовать.
Посмотри, если поймешь, то разберешься. Это рабочий конфиг с роут-мапами и резервацией.
http://www.opennet.me/openforum/vsluhforumID6/21910.html#8
Если заменить сети на внешние - то получается схема организации интернета по 3 аплинкам/провайдерам с балансировкой входящего и исходящего трафиков (AS в моем случае - одна)

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 14:33 
>[оверквотинг удален]
> Фантазирую(если верхний конфиг - 2821):
> 2821 AS 35212 (анонсирую 83.143.152.0 /21....принимаю сеть Y) ------------ 2620 AS ???
> (анонсирую Z...принимаю W)
> 2620 - default отдает? Вопщем дорисуй, что я "нарисовал". Тяжело разбираться.
> Для понимания - лучше всего так рисовать.
> Посмотри, если поймешь, то разберешься. Это рабочий конфиг с роут-мапами и резервацией.
> http://www.opennet.me/openforum/vsluhforumID6/21910.html#8
> Если заменить сети на внешние - то получается схема организации интернета по
> 3 аплинкам/провайдерам с балансировкой входящего и исходящего трафиков (AS в моем
> случае - одна)

Весь конф это 2821. На 2620 доступа не имею. BGP вообще сделан для другого. А циски между собой тупо кабелем соединены. Чего я хочу добиться? Чтобы подсеть 192.168.129.0/24 была проброшена через route-map на 2620, и была доступна на 2821, а не как сейчас, когда она с 2821 ping timeout. адрес 2821 интерфейса 83.143.154.229, а 2620 - 83.143.154.230, в роут мап некстхоп и указан циски 2620.
З.Ы. а соседи - это апстримы, трафик от вышестоящих провов через эти IP идут.

З.З.Ы Вообщем. |Cisco 2821|83.143.154.229 Здесь же ACL 169 в котором прописана подсеть 192.168.129.0 Здесь же route-map конфиг выше <<->> |Cisco 2620|83.143.154.230
Как только я удаляю её из 169 acl, клиенты и рутеры подсети 192.168.129.0 доступны.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Aleks305 (ok) on 05-Дек-10, 14:40 
>[оверквотинг удален]
>   Policy routing matches: 0 packets, 0 bytes
> route-map nauka-out, permit, sequence 10
>   Match clauses:
>   Set clauses:
>     as-path prepend 35212 35212 begin_of_the_skype_highlighting              35212 35212      end_of_the_skype_highlighting
>   Policy routing matches: 0 packets, 0 bytes
> А также в конфиге, в ip classless есть роут ip route 192.168.129.0
> 255.255.255.0 Cisco 2620, и вот я думаю, может стоить прописать такую
> же строчку только с адресом кошки 2821? Благодарю Вас. З.Ы. И
> не уверен насчет аэсок, как узнать в одной они или нет?

router bgp 35212 - это ваша AS
neighbor 83.229.133.197 remote-as 6854 - первая AS
neighbor 87.226.222.181 remote-as 12389 - вторая AS
сосед 83.229.133.197 у вас выключен административно(сужу по конфигу)
ни один из приведенных route-map в bgp у вас не фигурирует вообще.

route-map itv-out увеличивает as_path для всех маршрутов, для одного из соседов, на as 65000, но он у вас ни к чему не применен, поэтому счетчики нулевые.

route-map nauka-out тоже ни к чему не применен в bgp. Меня смущает выражение begin_of_the_skype_highlighting - не знаю что это.

Первый route-map *** у Вас как раз должен задавать политику маршрутизации.
Не знаю есть ли у Вас в конфиге строка на интерфейсе, через который будет входить интересующий Вас трафик(матчится acl 169),
ip policy route-map ***.
То есть идей в следующем: трафик, входящий на интерейс матчится acl 169, если попадает под это услови, то вместо того чтобы перенаправлять согласно таблицы маршрутизации направится в интерфейс, указанный в route-map *** комадой set ip next-hop ...

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

17. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 14:48 
>[оверквотинг удален]
> route-map nauka-out тоже ни к чему не применен в bgp. Меня смущает
> выражение begin_of_the_skype_highlighting - не знаю что это.
> Первый route-map *** у Вас как раз должен задавать политику маршрутизации.
> Не знаю есть ли у Вас в конфиге строка на интерфейсе, через
> который будет входить интересующий Вас трафик(матчится acl 169),
> ip policy route-map ***.
> То есть идей в следующем: трафик, входящий на интерейс матчится acl 169,
> если попадает под это услови, то вместо того чтобы перенаправлять согласно
> таблицы маршрутизации направится в интерфейс, указанный в route-map *** комадой set
> ip next-hop ...

Именно! начнем. itv и nauka старые апстримы, на них можно не смотреть, просили полный конф я скинул, вот и попало лишнее. далее, route-map сделан чисто для циски 2620 и никакого отношения к bgp не имеет. ПО поводу begin_of_the_skype_highlighting, у мня на машине с которой щас пишу стоит скайп, он помечает всё 5-6-тизначное и 11-значное как номер телефона)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 14:54 
>[оверквотинг удален]
> route-map nauka-out тоже ни к чему не применен в bgp. Меня смущает
> выражение begin_of_the_skype_highlighting - не знаю что это.
> Первый route-map *** у Вас как раз должен задавать политику маршрутизации.
> Не знаю есть ли у Вас в конфиге строка на интерфейсе, через
> который будет входить интересующий Вас трафик(матчится acl 169),
> ip policy route-map ***.
> То есть идей в следующем: трафик, входящий на интерейс матчится acl 169,
> если попадает под это услови, то вместо того чтобы перенаправлять согласно
> таблицы маршрутизации направится в интерфейс, указанный в route-map *** комадой set
> ip next-hop ...

Что за строка должна быть на интерфейсе??

Вот роутмап -
route-map MAP, permit, sequence 3
  Match clauses:
    ip address (access-lists): 169
  Set clauses:
    ip next-hop 83.143.154.230
  Policy routing matches: 188431 packets, 53307338 bytes

ACL 169

10 permit ip 192.168.129.0 0.0.0.255 any

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Aleks305 (ok) on 05-Дек-10, 15:03 
>[оверквотинг удален]
> Что за строка должна быть на интерфейсе??
> Вот роутмап -
> route-map MAP, permit, sequence 3
>   Match clauses:
>     ip address (access-lists): 169
>   Set clauses:
>     ip next-hop 83.143.154.230
>   Policy routing matches: 188431 packets, 53307338 bytes
> ACL 169
> 10 permit ip 192.168.129.0 0.0.0.255 any

ip policy route-map MAP на интерефейсе, через который входит трафик из подсети 192.168.129.0/24
ip next-hop 83.143.154.230 должен указывать на интерфейс(ip next-hopa), через который трафик будет выходит. Как правило он отличается от next-hopa, указанного в таблице маршрутизации

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

22. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 15:20 
>[оверквотинг удален]
>>   Set clauses:
>>     ip next-hop 83.143.154.230
>>   Policy routing matches: 188431 packets, 53307338 bytes
>> ACL 169
>> 10 permit ip 192.168.129.0 0.0.0.255 any
> ip policy route-map MAP на интерефейсе, через который входит трафик из подсети
> 192.168.129.0/24
> ip next-hop 83.143.154.230 должен указывать на интерфейс(ip next-hopa), через который
> трафик будет выходит. Как правило он отличается от next-hopa, указанного в
> таблице маршрутизации

Ну вот она есть эта строчка здесь, как раз на интерфейсе, через который входит трафик от 192.168.129.0/24
!
interface GigabitEthernet0/0.14
description ***
encapsulation dot1Q 55
ip address 192.168.129.1 255.255.255.0 secondary
ip access-group 155 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 124 1024000 8000 8000 conform-action transmit exceed-action drop
ip policy route-map MAP
no snmp trap link-status
no cdp enable
!

А ip next-hop как раз указывает на ип интерфейса циски 2620 (83.143.154.230). или не так? а в таблице роутинга по поводу, цитирую - "Как правило он отличается от next-hopa, указанного в таблице маршрутизации" этого такая строчка -
ip route 192.168.129.0 255.255.255.0 83.143.154.230

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 05-Дек-10, 15:22 
вторая циска хоть что-то знает о ваших сетях первой циски?
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 15:33 
> вторая циска хоть что-то знает о ваших сетях первой циски?

Вот это я никак даже не могу узнать... знаю что через тот же 169 лист к ней проброшены две подсетки серая и белая, и там matches ситаются, трафик ходит и у нас всё доступно из тех подсетей, а вот как добавляешь 192.168.129.0/24 всё... (( она туда пробрасывает, а на циске 2821 она недоступна, хотя есть единственный интерфейс с которого она продолжает быть доступной я уже кидал его конф вот он -

interface GigabitEthernet0/0.13
encapsulation dot1Q 47
ip address *** secondary
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 147 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
!

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

60. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 05-Дек-10, 20:44 
> Вот это я никак даже не могу узнать...

значит не знает. так почему же вы весь трафик с 129 сети посылаете во вторую циску? в том числи и трафик для сетей первой циски?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

61. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 20:50 
>> Вот это я никак даже не могу узнать...
> значит не знает. так почему же вы весь трафик с 129 сети
> посылаете во вторую циску? в том числи и трафик для сетей
> первой циски?

А как иначе пробросить то? Не вижу вариантов ((

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

63. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 05-Дек-10, 20:52 
> А как иначе пробросить то? Не вижу вариантов ((

я вам уже привел вариант.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

65. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 21:31 
>> А как иначе пробросить то? Не вижу вариантов ((
> я вам уже привел вариант.

Тот, что ниже? там два поста раз. Во-вторых, какой именно из них использовать?

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

66. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 21:32 
>>> А как иначе пробросить то? Не вижу вариантов ((
>> я вам уже привел вариант.
> Тот, что ниже? там два поста раз. Во-вторых, какой именно из них
> использовать?

Понял, что вторую..

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

20. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 05-Дек-10, 15:16 
> 10 permit ip 192.168.129.0 0.0.0.255 any

10 deny ip 192.168.129.0 0.0.0.255 192.168.128.0 0.0.0.255 сеть первой циски, для которой не надо заворачивать
10 permit ip 192.168.129.0 0.0.0.255 any завернем все остальное

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

21. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 05-Дек-10, 15:17 
5 deny ip 192.168.129.0 0.0.0.255 192.168.128.0 0.0.0.255 сеть первой циски, для которой не надо заворачивать
10 permit ip 192.168.129.0 0.0.0.255 any завернем все остальное
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

23. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 15:22 
> 5 deny ip 192.168.129.0 0.0.0.255 192.168.128.0 0.0.0.255 сеть первой циски, для которой
> не надо заворачивать
> 10 permit ip 192.168.129.0 0.0.0.255 any завернем все остальное

ой..спасибо. стоп стоп. это все 4 строки в 169 acl прописать? а номера строк то повторяются же..

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

27. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Aleks305 (ok) on 05-Дек-10, 15:47 
>> 5 deny ip 192.168.129.0 0.0.0.255 192.168.128.0 0.0.0.255 сеть первой циски, для которой
>> не надо заворачивать
>> 10 permit ip 192.168.129.0 0.0.0.255 any завернем все остальное
> ой..спасибо. стоп стоп. это все 4 строки в 169 acl прописать? а
> номера строк то повторяются же..

честно говоря, мне я так и не понял для чего вы все это затеяли...рассказываю: есть у вас несколько линков ser0/1 и ser0/2 к одной и той же подсети 192.168.1.1. Внутренняя сеть (10.0.0.0) у вас за интерфейсом  fa0/0. В таблице маршрутизации best route к 192.168.1.1 проходит через ser0/1.

вам хочется чтобы хосты из сети 10.0.1.0/24 ходили к 192.168.1.1 не через ser0/1, а через ser0/2. Для этого требуется такой конфиг:

int fa0/0
ip address 10.0.0.1 255.0.0.0
ip policy route-map Aleks

route-map Aleks permit
match ip address prefix-list 1
set ip next-hop 17.0.0.2 (ip next-hop маршрутизатора через ser0/2).

ip prefix-list 1 permit 10.0.1.0/24

Вот и все. Префикс-листы можно заменить на acl. Вместо set ip next-hop 17.0.0.2 можно забить set interface ser0/2

Надеюсь понятно.

потом traceroute проверить как пакеты идут из подсети 10.0.1.0/24, а как из отличной подсети

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 16:20 
>[оверквотинг удален]
> ip policy route-map Aleks
> route-map Aleks permit
> match ip address prefix-list 1
> set ip next-hop 17.0.0.2 (ip next-hop маршрутизатора через ser0/2).
> ip prefix-list 1 permit 10.0.1.0/24
> Вот и все. Префикс-листы можно заменить на acl. Вместо set ip next-hop
> 17.0.0.2 можно забить set interface ser0/2
> Надеюсь понятно.
> потом traceroute проверить как пакеты идут из подсети 10.0.1.0/24, а как из
> отличной подсети

спасибо.. брррр.. нет. просто, тупо, нужно, чтобы подсеть 192.168.129.0/24 была доступна и на 2821 и на 2620, на 2620 не я так задумал, начальство просит, чтобы было сделано через роутмап который еще в 90х годах был сделан, для этого сказали надо тупо в acl 169 добавить подсеть 192.168.129.0/24 я добавил, всё пробросилось, но на 2821 она перестала быть доступной! как быть??!

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Aleks305 (ok) on 05-Дек-10, 16:52 
> спасибо.. брррр.. нет. просто, тупо, нужно, чтобы подсеть 192.168.129.0/24 была доступна
> и на 2821 и на 2620, на 2620 не я так
> задумал, начальство просит, чтобы было сделано через роутмап который еще в
> 90х годах был сделан, для этого сказали надо тупо в acl
> 169 добавить подсеть 192.168.129.0/24 я добавил, всё пробросилось, но на 2821
> она перестала быть доступной! как быть??!

я не пойму, почему вы на route-map зациклились...сделайте ospf какой-нить простенький и все будет ок или два статических маршрута. не понятно, зачем со всякими route-map возиться. головная боль только
естественно, если у вас destination подсеть не одна и та же, через другой линк 192.168.129.0/24 не будет видна...вернее не так. с другой подсети пакеты будут идти в 192.168.129.0/24, но возвращаться назад не будут, так как будут попадать под политику. вот и все

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 18:09 
>[оверквотинг удален]
>> 90х годах был сделан, для этого сказали надо тупо в acl
>> 169 добавить подсеть 192.168.129.0/24 я добавил, всё пробросилось, но на 2821
>> она перестала быть доступной! как быть??!
> я не пойму, почему вы на route-map зациклились...сделайте ospf какой-нить простенький и
> все будет ок или два статических маршрута. не понятно, зачем со
> всякими route-map возиться. головная боль только
> естественно, если у вас destination подсеть не одна и та же, через
> другой линк 192.168.129.0/24 не будет видна...вернее не так. с другой подсети
> пакеты будут идти в 192.168.129.0/24, но возвращаться назад не будут, так
> как будут попадать под политику. вот и все

Я бы с радостью, даже изучил бы этот оспф.. только вот нельзя иначе ((

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 18:17 
> нужно, чтобы подсеть 192.168.129.0/24 была доступна
> и на 2821 и на 2620, на 2620 не я так
> задумал, начальство просит, чтобы было сделано через роутмап который еще в
> 90х годах был сделан, для этого сказали надо тупо в acl
> 169 добавить подсеть 192.168.129.0/24 я добавил, всё пробросилось, но на 2821
> она перестала быть доступной! как быть??!

1)
access-list 169 существовал до этого?

Если ты говоришь, что необходимо просто в него было добавить сеть 192.168.129.0/24 - то это неверно.
Если access-list имел вид:
access-list 169 permit ip ... ... ... ...
access-list 169 deny ip ... ... ... ...

и ты добавляешь еще одно правило, то получится:
access-list 169 permit ip ... ... ... ...
access-list 169 deny ip ... ... ... ...
access-list 169 permit ip 192.168.129.0 0.0.0.255

Отсюда - не факт что работать будет, т.к. старшая строчка уже запретила что-то.
Правильно ли правил acess-list(если он уже был создан)?

2)

>[оверквотинг удален]
> route-map itv-out, permit, sequence 10
>   Match clauses:
>   Set clauses:
>     as-path prepend 65000
>   Policy routing matches: 0 packets, 0 bytes
> route-map nauka-out, permit, sequence 10
>   Match clauses:
>   Set clauses:
>     as-path prepend ***** *****
>   Policy routing matches: 0 packets, 0 bytes

что здесь делает, если у тебя не по BGP маршрутизируется?
>     as-path prepend 65000

3)
С какой стороны хочешь попасть в 192.168.129.0/24 ?
Судя по :
> Чего я
> хочу добиться? Чтобы подсеть 192.168.129.0/24 была проброшена через route-map на 2620,
> и была доступна на 2821, а не как сейчас, когда она
> с 2821 ping timeout. адрес 2821 интерфейса 83.143.154.229, а 2620 -
> 83.143.154.230, в роут мап некстхоп и указан циски 2620.
> З.Ы. а соседи - это апстримы, трафик от вышестоящих провов через эти
> IP идут.

как понимаю сеть 192.168.129.0/24 живет за 2821 (твоя циска).
И получается так, что при добавлении в access-list этой сети ты перестаешь ее пинговать?
Если оно так и есть, то см. пункт 1)

Я тяжело понимаю эту схему.
Если есть связь по BGP между 2821 и 2620. И тебе необходимо попасть с 2620 в сеть 192.168.129.0/24 живущую за 2821, то действительно знает ли 2620 о твоей сети?  

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 18:30 
.
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 18:31 
>[оверквотинг удален]
>> З.Ы. а соседи - это апстримы, трафик от вышестоящих провов через эти
>> IP идут.
> как понимаю сеть 192.168.129.0/24 живет за 2821 (твоя циска).
> И получается так, что при добавлении в access-list этой сети ты перестаешь
> ее пинговать?
> Если оно так и есть, то см. пункт 1)
> Я тяжело понимаю эту схему.
> Если есть связь по BGP между 2821 и 2620. И тебе необходимо
> попасть с 2620 в сеть 192.168.129.0/24 живущую за 2821, то действительно
> знает ли 2620 о твоей сети?

Спасибо! Итак. 1) ACL 169 существовал. Вот его полный конфиг -
Extended IP access list 169 (Compiled)
    10 permit ip 213.24.195.0 0.0.0.63 any (54371 matches)
    20 permit ip 84.47.129.0 0.0.0.255 any (232 matches)
    30 deny ip any any (72603793 matches)

То есть строчек с deny как видно здесь нет.
2) Это уже с 90х годов уже запись, я тогда еще в школе учился.. совершенно без понятия для чего она там, тем более этого прова уже не существует, следовательно не обращаем внимания.
3) Всё верно! Кроме одного, мне необходимо попадать в сетку эту с 2821, а в 2620 она тупо должна быть проброшена. (через роутмап.. чтоб его). Спасибо!

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

34. "Cisco 2800 и Cisco 2620 route-map"  +1 +/
Сообщение от Semop email(ok) on 05-Дек-10, 18:38 
>[оверквотинг удален]
>     10 permit ip 213.24.195.0 0.0.0.63 any (54371 matches)
>     20 permit ip 84.47.129.0 0.0.0.255 any (232 matches)
>     30 deny ip any any (72603793 matches)
> То есть строчек с deny как видно здесь нет.
> 2) Это уже с 90х годов уже запись, я тогда еще в
> школе учился.. совершенно без понятия для чего она там, тем более
> этого прова уже не существует, следовательно не обращаем внимания.
> 3) Всё верно! Кроме одного, мне необходимо попадать в сетку эту с
> 2821, а в 2620 она тупо должна быть проброшена. (через роутмап..
> чтоб его). Спасибо!

как это нет?))))))) а это что?
>     30 deny ip any any (72603793 matches)

твой аксэс лист должен иметь вид:
permit ip 213.24.195.0 0.0.0.63 any
permit ip 84.47.129.0 0.0.0.255 any
permit ip 192.168.129.0 0.0.0.255 any
deny ip any any

Если просто добавляешь свою сеть, то подозреваю у тебя выходит так:
permit ip 213.24.195.0 0.0.0.63 any
permit ip 84.47.129.0 0.0.0.255 any
deny ip any any
permit ip 192.168.129.0 0.0.0.255 any

И естественно любые хосты из 192.168.129.0 сети не будут доступны, т.к. 3 строчка уже запретила ВСЁ, хоть упишИсь там ниже.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 18:47 
>[оверквотинг удален]
> permit ip 84.47.129.0 0.0.0.255 any
> permit ip 192.168.129.0 0.0.0.255 any
> deny ip any any
> Если просто добавляешь свою сеть, то подозреваю у тебя выходит так:
> permit ip 213.24.195.0 0.0.0.63 any
> permit ip 84.47.129.0 0.0.0.255 any
> deny ip any any
> permit ip 192.168.129.0 0.0.0.255 any
> И естественно любые хосты из 192.168.129.0 сети не будут доступны, т.к. 3
> строчка уже запретила ВСЁ, хоть упишИсь там ниже.

)))) Вы про эту.. так извольте сообщу, что всё продумано, я знаю что последняя строка - это убийца, для этого есть номера строк, и моя строчка как раз по номеру не превышает номер строки, где прописан запрет на все адреса остальные. Тобиш сейчас у меня вот так:

10 permit ip 213.24.195.0 0.0.0.63 any
20 permit ip 84.47.129.0 0.0.0.255 any
25 permit ip 192.168.129.0 0.0.0.255 any
30 deny ip any any

Вот так)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Aleks305 (ok) on 05-Дек-10, 18:51 
>[оверквотинг удален]
> )))) Вы про эту.. так извольте сообщу, что всё продумано, я знаю
> что последняя строка - это убийца, для этого есть номера строк,
> и моя строчка как раз по номеру не превышает номер строки,
> где прописан запрет на все адреса остальные. Тобиш сейчас у меня
> вот так:
> 10 permit ip 213.24.195.0 0.0.0.63 any
> 20 permit ip 84.47.129.0 0.0.0.255 any
> 25 permit ip 192.168.129.0 0.0.0.255 any
> 30 deny ip any any
> Вот так)

все правильно)))получилось? а  я ток сейчас догнал,что тебе нужно.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 18:56 
>[оверквотинг удален]
>> что последняя строка - это убийца, для этого есть номера строк,
>> и моя строчка как раз по номеру не превышает номер строки,
>> где прописан запрет на все адреса остальные. Тобиш сейчас у меня
>> вот так:
>> 10 permit ip 213.24.195.0 0.0.0.63 any
>> 20 permit ip 84.47.129.0 0.0.0.255 any
>> 25 permit ip 192.168.129.0 0.0.0.255 any
>> 30 deny ip any any
>> Вот так)
> все правильно)))получилось? а  я ток сейчас догнал,что тебе нужно.

))) Вот именно что нет) Поэтому сюда к Вам и пришел на форум, дорогие камрады) Выручайте.. завтра каюк (( сеть не проброшена.. а если я снова добавлю её в acl то на 2821 будет недоступна (((

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 19:07 
> 10 permit ip 213.24.195.0 0.0.0.63 any
> 20 permit ip 84.47.129.0 0.0.0.255 any
> 25 permit ip 192.168.129.0 0.0.0.255 any
> 30 deny ip any any

при таком аксэс листе ты пингуешь с 2821 хосты из 192.168.129.0/24 ?
Или с хостов шлюз 192.168.129.1 ?
Скажи еще раз диагноз. При добавлении в 169 аксэс лист 192.168.129.0/24 у тебя пропадает доступ на эту сеть или нет с твоей 2821? Без правки аксэс листов с 2620 она доступна?

>[оверквотинг удален]
>  no ip proxy-arp
>  !
>  interface GigabitEthernet0/0.14
>  description
>  encapsulation dot1Q 55
>  ip address 192.168.129.1 255.255.255.0 secondary
>  ip address *** secondary
>  ip address *** secondary
>  ip address ***
>  ip access-group 155 in

я тут разглядел еще 147 и 155 аксэс листы на вход.


Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

39. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 19:24 
>[оверквотинг удален]
>>  encapsulation dot1Q 55
>>  ip address 192.168.129.1 255.255.255.0 secondary
>>  ip access-group 155 in
>>  no ip proxy-arp
> я тут разглядел еще 155 аксэс лист на вход.
> 2620 знает о твоей 192.168.129.0/24 ??? Как ты ее "пробрасываешь"?
> Без правки аксэс листов с 2620 она доступна?
> Если в таблице маршрутизации на 2620 нет сети 192.168.129.0/24 то ничего никогда
> пинговаться не будет.
> при таком аксэс листе ты пингуешь с 2821 хосты из 192.168.129.0/24 ?

Да, при таком. И причем с хостов шлюз сам 192.168.129.1 пингуется! Все что дальше, нет (( При добавлении в 169 доступ пропадает на неё, всё верно. 155 acl там ип адреса клиентов, в нем же указана подсетка эта, чтобы там ходили серые адреса этой подсети, назначенные на рутеры. на 2620 доступа нет, поэтому, что там в таблице неизвестно, пробрасываю я её как раз через роутмап добавляя в 169 лист эту подсеть и она пробрасывается, но на 2821 уже недоступна становится, и повторюсь с интерфейса ниже она полностью доступна, не знаю, может глюк может что-то такое на нем прописано, но там всё ходит.

Привожу конф этого интерфейса:
!
interface GigabitEthernet0/0.13
encapsulation dot1Q 47
ip address *** secondary
ip address *** secondary
ip address *** secondary
ip address ***
ip access-group 147 in
no ip proxy-arp
rate-limit input access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action drop
rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action drop
no snmp trap link-status
no cdp enable
!

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 19:29 
>[оверквотинг удален]
> drop
> rate-limit input access-group 112 512000 3000 3000 conform-action transmit exceed-action
> drop
> rate-limit output access-group 156 256000 8000 8000 conform-action transmit exceed-action
> drop
> rate-limit output access-group 112 512000 3000 3000 conform-action transmit exceed-action
> drop
> no snmp trap link-status
> no cdp enable
> !

иэх, убери на время тестов аксэс-листы с

> interface GigabitEthernet0/0.13

no ip access-group 147 in

> interface GigabitEthernet0/0.14

no ip access-group 155 in


Оставив только роут-мап. Будет работать?

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 19:35 
>[оверквотинг удален]
>> drop
>> no snmp trap link-status
>> no cdp enable
>> !
> иэх, убери на время тестов аксэс-листы с
>> interface GigabitEthernet0/0.13
> no ip access-group 147 in
>> interface GigabitEthernet0/0.14
> no ip access-group 155 in
> Оставив только роут-мап. Будет работать?

Эхм.. жестоко.. 147 то ладно.. это офис.. мой.. а вот 155.. там целая ведь область сейчас в интернете сидит.. попробую.. То есть яща добавляю в 169 снова эту подсеть, на интерфейсах делаю no ip access-group 147,155 и пробую пинговать так?

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 19:41 
>> иэх, убери на время тестов аксэс-листы с
>>> interface GigabitEthernet0/0.13
>> no ip access-group 147 in
>>> interface GigabitEthernet0/0.14
>> no ip access-group 155 in
>> Оставив только роут-мап. Будет работать?
> Эхм.. жестоко.. 147 то ладно.. это офис.. мой.. а вот 155.. там
> целая ведь область сейчас в интернете сидит.. попробую.. То есть яща
> добавляю в 169 снова эту подсеть, на интерфейсах делаю no ip
> access-group 147,155 и пробую пинговать так?

Если уберешь аксэс-листы - ничего по идее отвалиться не должно. При добавлении - да(если неверно что то прописано)
Аксэс-листы своего рода фильтры. Отменив их на сабинтерфейсах ты просто разрешишь все на out и на in.

Отмени эти аксэс-листы и попингуй с компов 192.168.129.1 Роут-мап сделай как задумывал и посади на интерфейс. Ну и дальше, будет ли она доступна за 2620

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 19:43 
>[оверквотинг удален]
>> Эхм.. жестоко.. 147 то ладно.. это офис.. мой.. а вот 155.. там
>> целая ведь область сейчас в интернете сидит.. попробую.. То есть яща
>> добавляю в 169 снова эту подсеть, на интерфейсах делаю no ip
>> access-group 147,155 и пробую пинговать так?
> Если уберешь аксэс-листы - ничего по идее отвалиться не должно. При добавлении
> - да(если неверно что то прописано)
> Аксэс-листы своего рода фильтры. Отменив их на сабинтерфейсах ты просто разрешишь все
> на out и на in.
> Отмени эти аксэс-листы и попингуй с компов 192.168.129.1 Ну и дальше, будет
> ли она доступна за 2620

Хорошо! Спасибо. ща))

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

43. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 19:42 
>[оверквотинг удален]
>> иэх, убери на время тестов аксэс-листы с
>>> interface GigabitEthernet0/0.13
>> no ip access-group 147 in
>>> interface GigabitEthernet0/0.14
>> no ip access-group 155 in
>> Оставив только роут-мап. Будет работать?
> Эхм.. жестоко.. 147 то ладно.. это офис.. мой.. а вот 155.. там
> целая ведь область сейчас в интернете сидит.. попробую.. То есть яща
> добавляю в 169 снова эту подсеть, на интерфейсах делаю no ip
> access-group 147,155 и пробую пинговать так?

ПРОШУ ПРОЩЕНИЯ! Моя ошибка, вот интерфейс с которого всё продолжает быть доступным, даже когда добавляю подсеть в 169 acl, просто спутал потому что у нас сети из 147 проброшены в офис.

!
interface GigabitEthernet0/1.4
description To_office
encapsulation dot1Q 63
ip address 83.143.158.17 255.255.255.240
ip access-group 148 in
no ip proxy-arp
no ip mroute-cache
no snmp trap link-status
no cdp enable
!

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

45. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 19:44 
>[оверквотинг удален]
> interface GigabitEthernet0/1.4
>  description To_office
>  encapsulation dot1Q 63
>  ip address 83.143.158.17 255.255.255.240
>  ip access-group 148 in
>  no ip proxy-arp
>  no ip mroute-cache
>  no snmp trap link-status
>  no cdp enable
> !

Блин, у тебя с аксэс листами трабла всего лишь видимо.
Сверяй 147 148 155

Эти сетки на интерфейсах - directly connected
Т.е. без аксэс листов на этих сабинтерфейсах (при прописывании своих шлюзов на компах) ты увидишь каждую из них.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

47. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 19:49 
>[оверквотинг удален]
>>  no ip proxy-arp
>>  no ip mroute-cache
>>  no snmp trap link-status
>>  no cdp enable
>> !
> Блин, у тебя с аксэс листами трабла всего лишь видимо.
> Сверяй 147 148 155
> Эти сетки на интерфейсах - directly connected
> Т.е. без аксэс листов на этих сабинтерфейсах (при прописывании своих шлюзов на
> компах) ты увидишь каждую из них.

Сверил... В 155 подсеть 192.168.129.0./24 которую я добавляю в 169. В 147 и 148 ни слова о ней. Она недоступна везде после добавления кроме 148 листа.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

46. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 19:46 
>[оверквотинг удален]
> interface GigabitEthernet0/1.4
>  description To_office
>  encapsulation dot1Q 63
>  ip address 83.143.158.17 255.255.255.240
>  ip access-group 148 in
>  no ip proxy-arp
>  no ip mroute-cache
>  no snmp trap link-status
>  no cdp enable
> !

P.S. так что не вижу смысла отключать 147, и вопросик, как потом включить? вместо no, набрать ip access-group 155 in так?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

48. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 19:49 
> P.S. так что не вижу смысла отключать 147, и вопросик, как потом
> включить? вместо no, набрать ip access-group 155 in так?

удаляешь:
interface GigabitEthernet0/1.4
no ip access-group 155

прописываешь:
interface GigabitEthernet0/1.4
ip access-group 155


это пример, удаляй именно тот, какой там прописан.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

50. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 20:02 
>> P.S. так что не вижу смысла отключать 147, и вопросик, как потом
>> включить? вместо no, набрать ip access-group 155 in так?
> удаляешь:
> interface GigabitEthernet0/1.4
> no ip access-group 155
> прописываешь:
> interface GigabitEthernet0/1.4
> ip access-group 155
> это пример, удаляй именно тот, какой там прописан.

эх.. Не хочу огорчать, но не помогло.. с хостов 192.168.129.1 отвечает, всё остальное шиш.. (( как только удалил из 169 эту подсетку всё с хостов запинговалось...

Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

51. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 20:09 
> эх.. Не хочу огорчать, но не помогло.. с хостов 192.168.129.1 отвечает, всё
> остальное шиш.. (( как только удалил из 169 эту подсетку всё
> с хостов запинговалось...

Если удалить аксэс листы с сабинтерфейсов, то все будет пинговаться. Это directly connected сети. Что-то неверно делаешь значит. Или не со всех интерфейсов удалил аксэс листы.

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

54. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 20:18 
>> эх.. Не хочу огорчать, но не помогло.. с хостов 192.168.129.1 отвечает, всё
>> остальное шиш.. (( как только удалил из 169 эту подсетку всё
>> с хостов запинговалось...
> Если удалить аксэс листы с сабинтерфейсов, то все будет пинговаться. Это directly
> connected сети. Что-то неверно делаешь значит. Или не со всех интерфейсов
> удалил аксэс листы.

Удалил со всех интерфейсов. (( никак.. не отвечают... только шлюз..

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

49. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 19:57 
++
Покажи 147 148 155 169 аксэс листы

И не так как тут:
> 10 permit ip 213.24.195.0 0.0.0.63 any
> 20 permit ip 84.47.129.0 0.0.0.255 any
> 30 deny ip any any

а потом говорить мол, что там уже вот так:

> 10 permit ip 213.24.195.0 0.0.0.63 any
> 20 permit ip 84.47.129.0 0.0.0.255 any
> 25 permit ip 192.168.129.0 0.0.0.255 any
> 30 deny ip any any

А полноценные конфиги аксэс листов. Исправленные/добавленные и тп. кароче полный конфиг.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

52. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 20:11 
>[оверквотинг удален]
> И не так как тут:
>> 10 permit ip 213.24.195.0 0.0.0.63 any
>> 20 permit ip 84.47.129.0 0.0.0.255 any
>> 30 deny ip any any
> а потом говорить мол, что там уже вот так:
>> 10 permit ip 213.24.195.0 0.0.0.63 any
>> 20 permit ip 84.47.129.0 0.0.0.255 any
>> 25 permit ip 192.168.129.0 0.0.0.255 any
>> 30 deny ip any any
> А полноценные конфиги аксэс листов. Исправленные/добавленные и тп. кароче полный конфиг.

)) ок. Лови.

Extended IP access list 147
    10 permit ip any host  (581420 matches)
    20 permit ip any host  (27586 matches)
    30 permit ip any host  (205627 matches)
    40 Dynamic 47 deny   ip any any
    50 deny tcp any any eq 135 (3 matches)
    60 deny ip any host 195.216.243.24 (30 matches)
    70 deny ip any host 94.198.53.151
    80 deny ip any host 80.90.118.109 (18 matches)
    90 deny ip any host 95.211.30.29
    100 permit ip host  any (777019 matches)
    110 permit ip host  any
    120 permit ip host  any (7391932 matches)
    130 permit ip host  any (13795 matches)
    140 permit ip host  any (209079 matches)
    150 permit ip host  any (540273 matches)
    160 permit ip host  any (379356 matches)
    170 permit ip host  any
    180 permit ip host  any
    190 permit ip host  any (291095 matches)
    200 permit ip host  any (890457 matches)
    210 permit ip host  any (268999 matches)
    220 permit ip host  any (1578187 matches)   <<-- Здесь тупо IP адреса клиентов
    230 permit ip host  any (10452472 matches)
    240 permit ip host  any (2952529 matches)
    250 permit ip host  any (7007839 matches)
    260 permit ip host  any (4192715 matches)
    270 permit ip host  any (3971380 matches)
    280 permit ip host  any
    290 permit ip host  any (586509 matches)
    300 permit ip host  any (164134 matches)
    310 deny ip  0.0.0.63 any log (2 matches)
    320 permit ip any any (6999101 matches)

Extended IP access list 148 (Compiled)
    10 permit ip any host
    20 permit ip any host
    30 permit ip any host
    40 permit ip host  any
    50 permit ip host  any
    60 permit ip host  any  
    70 permit ip host  any      << - отсюда ВСЕГДА доступно
    80 permit ip host  any
    90 permit ip host  any
    100 permit ip host  any
    110 permit ip host  any
    120 permit ip host any
    130 permit ip host  any
    140 permit ip host  any
    150 deny ip  0.0.0.63 any log
    160 permit ip any any

Extended IP access list 155
    10 permit ip any host  (3467003 matches)
    20 permit ip any host  (3155 matches)
    30 permit ip any host  (2867967 matches)
    40 deny tcp any any eq 135 (65060 matches)
    50 Dynamic oblast_ip deny   ip any any
       deny ip host **** any
    60 permit ip host  any
    70 permit ip host  any (1125355 matches)
    80 permit ip host  any
    90 permit ip host  any (5066366 matches)  << -  здесь тупо IP адреса клиентов
    100 permit ip host  any (2451788 matches)
    110 permit ip host  any (3084972 matches)
    120 permit ip host  any (1275716 matches)
    130 permit ip host  any (34952 matches)
    140 permit ip host  any
    150 permit ip host  any (87 matches)
    160 permit ip host  any (885145 matches)
    170 permit ip host any
    180 permit ip host  any (217 matches)
    190 permit ip host  any
    200 permit ip host  any (186005 matches)

Extended IP access list 169 (Compiled)
    10 permit ip 213.24.195.0 0.0.0.63 any (54723 matches)
    20 permit ip 84.47.129.0 0.0.0.255 any (232 matches)    << - Этот ACL для роутмап
    25 permit ip 192.168.129.0 0.0.0.255 any (312 matches)
    30 deny ip any any (74164138 matches)

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

53. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 20:17 
> )) ок. Лови.
> Extended IP access list 147
>     10 permit ip any host  (581420 matches)
>     20 permit ip any host  (27586 matches)
>     30 permit ip any host  (205627 matches)

Интересные аксэс листы. Первый раз такое вижу)
А конфиг можешь показать? Или опять потер что-то?
>     20 permit ip any host  (27586 matches)
>     30 permit ip any host  (205627 matches)

как это в одинаковых строчках отрабатывают разные матчи. Я ламером себя чувствую. Убег на cisco.com


Вот это я просил:
sh run | i access-list 147

sh run | i access-list 155

sh run | i access-list 169

sh run | i access-list 148

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

55. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 20:20 
>[оверквотинг удален]
>> Extended IP access list 147
>>     10 permit ip any host  (581420 matches)
>>     20 permit ip any host  (27586 matches)
>>     30 permit ip any host  (205627 matches)
> Интересные аксэс листы. Первый раз такое вижу)
> А конфиг можешь показать? Или опять потер что-то?
>>     20 permit ip any host  (27586 matches)
>>     30 permit ip any host  (205627 matches)
> как это в одинаковых строчках отрабатывают разные матчи. Я ламером себя чувствую.
> Убег на cisco.com

))) просто тут как бы IP адреса белые клиентов.. вот и потёр в целях безопасности. все таки статика.. светятся они ими в нете.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

56. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 20:21 
>[оверквотинг удален]
> А конфиг можешь показать? Или опять потер что-то?
>>     20 permit ip any host  (27586 matches)
>>     30 permit ip any host  (205627 matches)
> как это в одинаковых строчках отрабатывают разные матчи. Я ламером себя чувствую.
> Убег на cisco.com
> Вот это я просил:
> sh run | i access-list 147
> sh run | i access-list 155
> sh run | i access-list 169
> sh run | i access-list 148

Я это и привел) просто без белых IP на каждой строке.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

57. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 20:24 
>[оверквотинг удален]
> А конфиг можешь показать? Или опять потер что-то?
>>     20 permit ip any host  (27586 matches)
>>     30 permit ip any host  (205627 matches)
> как это в одинаковых строчках отрабатывают разные матчи. Я ламером себя чувствую.
> Убег на cisco.com
> Вот это я просил:
> sh run | i access-list 147
> sh run | i access-list 155
> sh run | i access-list 169
> sh run | i access-list 148

Блин, давай я тебе на почту или в асю скину весь конф, дай контакты)

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

58. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 05-Дек-10, 20:30 
> Блин, давай я тебе на почту или в асю скину весь конф,
> дай контакты)

уже ухожу с работы к сожалению.
Если не срочно это тебе, то завтра посмотрю.

мыло - semop@kosnet.ru
ася - 388439296

Это все таки аксэс листы мне кажется.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

59. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 20:33 
>> Блин, давай я тебе на почту или в асю скину весь конф,
>> дай контакты)
> уже ухожу с работы к сожалению.
> Если не срочно это тебе, то завтра посмотрю.
> мыло - semop@kosnet.ru
> ася - 388439296
> Это все таки аксэс листы мне кажется.

Давай) Спасибо! не горит, потерпят еще) Это где это у нас так цискари долго и в воскресенье пашут?))
З.Ы. В асю ща постучусь. Конф на мыло отправлю. Благодарствую!

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

68. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 22:18 
>> Блин, давай я тебе на почту или в асю скину весь конф,
>> дай контакты)
> уже ухожу с работы к сожалению.
> Если не срочно это тебе, то завтра посмотрю.
> мыло - semop@kosnet.ru
> ася - 388439296
> Это все таки аксэс листы мне кажется.

Ура! Спасибо Вам и всем!!! RTFM как говорится, RTFM!!! )) если кому интересно, достаточно было поправить конф route-map, там стояло значение set ip next-hop 83.143.154.230 то есть был форвардинг по моему некстхопу, сделав команду set ip default next-hop 83.143.154.230 все идет по дефолт маршруту! Всё. Всё доступно, трафик проброшен, на 2821 доступна везде)

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

69. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Aleks305 (ok) on 05-Дек-10, 23:46 
>[оверквотинг удален]
>> уже ухожу с работы к сожалению.
>> Если не срочно это тебе, то завтра посмотрю.
>> мыло - semop@kosnet.ru
>> ася - 388439296
>> Это все таки аксэс листы мне кажется.
> Ура! Спасибо Вам и всем!!! RTFM как говорится, RTFM!!! )) если кому
> интересно, достаточно было поправить конф route-map, там стояло значение set ip
> next-hop 83.143.154.230 то есть был форвардинг по моему некстхопу, сделав команду
> set ip default next-hop 83.143.154.230 все идет по дефолт маршруту! Всё.
> Всё доступно, трафик проброшен, на 2821 доступна везде)

так в этом случае cisco переправляет трафик по пути указанному в таблице маршрутизации, если путь падает, тогда через next-hop, указанный в route-map...как это помогло?

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

71. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash (ok) on 06-Дек-10, 08:40 
>[оверквотинг удален]
>>> ася - 388439296
>>> Это все таки аксэс листы мне кажется.
>> Ура! Спасибо Вам и всем!!! RTFM как говорится, RTFM!!! )) если кому
>> интересно, достаточно было поправить конф route-map, там стояло значение set ip
>> next-hop 83.143.154.230 то есть был форвардинг по моему некстхопу, сделав команду
>> set ip default next-hop 83.143.154.230 все идет по дефолт маршруту! Всё.
>> Всё доступно, трафик проброшен, на 2821 доступна везде)
> так в этом случае cisco переправляет трафик по пути указанному в таблице
> маршрутизации, если путь падает, тогда через next-hop, указанный в route-map...как это
> помогло?

Нет, ну а как же тогда? матчи отрабатываются в 169 листе, а сеть 192.168.129.0./24 доступна теперь везде. если вы о таблице роутинга на 2821 то там и есть ip route 192.168.129.0 255.255.255.0 83.143.154.230
а некстхоп в роутмапе и указан 83.143.154.230
не знаю.. неужели щас на циске что-то страшное тогда творится...пошел на работу. Спасибо.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

72. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 06-Дек-10, 12:11 
да так и помогает, что для сетей первой циски политика не работает, для всех остальных работает. практически это тоже самое, что я предлагал ранее.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

70. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от Semop email(ok) on 06-Дек-10, 08:25 
> Ура! Спасибо Вам и всем!!! RTFM как говорится, RTFM!!! )) если кому
> интересно, достаточно было поправить конф route-map, там стояло значение set ip
> next-hop 83.143.154.230 то есть был форвардинг по моему некстхопу, сделав команду
> set ip default next-hop 83.143.154.230 все идет по дефолт маршруту! Всё.
> Всё доступно, трафик проброшен, на 2821 доступна везде)

Победа!
Но на счет правильности решения и реализации я все-таки не уверен ;)
Удачи.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

26. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 15:33 
>> 10 permit ip 192.168.129.0 0.0.0.255 any
> 10 deny ip 192.168.129.0 0.0.0.255 192.168.128.0 0.0.0.255 сеть первой циски, для которой
> не надо заворачивать
> 10 permit ip 192.168.129.0 0.0.0.255 any завернем все остальное

Вопрос, причем тут 192.168.128.0 0.0.0.255 ?

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

62. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от BoBa (??) on 05-Дек-10, 20:51 
> Вопрос, причем тут 192.168.128.0 0.0.0.255 ?

может вы включите мозг? прочтете каменты к каждой строчке?

последний раз спрашиваю и потом удаляюсь (надоело время терять):
опишите по шагам маршрут пакета трасерта туда и обратно. и сразу все поймете.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

64. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 21:29 
>> Вопрос, причем тут 192.168.128.0 0.0.0.255 ?
> может вы включите мозг? прочтете каменты к каждой строчке?
> последний раз спрашиваю и потом удаляюсь (надоело время терять):
> опишите по шагам маршрут пакета трасерта туда и обратно. и сразу все
> поймете.

Простите конечно, мозг включен и кипит уже какой день из-за этой траблы, просто тот, кто реально хочет помочь описывает что ему нужно в каких местах. Я вот не понимаю какой необходимо описать маршрут пакета туда и обратно? Что это "туда и обратно"? И какого пакета? Неужели сложно поконкретнее написать?

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

67. "Cisco 2800 и Cisco 2620 route-map"  +/
Сообщение от ivcrash email(ok) on 05-Дек-10, 21:36 
>>> Вопрос, причем тут 192.168.128.0 0.0.0.255 ?
>> может вы включите мозг? прочтете каменты к каждой строчке?
>> последний раз спрашиваю и потом удаляюсь (надоело время терять):
>> опишите по шагам маршрут пакета трасерта туда и обратно. и сразу все
>> поймете.
> Простите конечно, мозг включен и кипит уже какой день из-за этой траблы,
> просто тот, кто реально хочет помочь описывает что ему нужно в
> каких местах. Я вот не понимаю какой необходимо описать маршрут пакета
> туда и обратно? Что это "туда и обратно"? И какого пакета?
> Неужели сложно поконкретнее написать?

P.S. Всё ведь понятно в Вашем варианте, за исключением одного 192.168.128.0 0.0.0.255 увы..ну не могу понять, бывает, что теперь. Спасибо.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру