Anticisco http://anticisco.ru/forum/ |
|
Cisco 2960 http://anticisco.ru/forum/viewtopic.php?f=2&t=10961 |
Страница 1 из 1 |
Автор: | Андрей44 [ 12 май 2019, 16:18 ] |
Заголовок сообщения: | Cisco 2960 |
Помогите а то туплю Провайдер выдал PE (10.207.220.9/29) и CE (10.207.220.10/29) с ноутбука через простой коммутатор D-Link ставлю шлюзом СЕ и PE пингуется. Ставлю патчкорд в cisco 2960 в 9 порт и с неё не могу пропинговать PE interface GigabitEthernet1/0/9 description === VPN === switchport access vlan 201 switchport mode access interface Vlan201 ip address 10.207.220.12 255.255.255.248 Что еще нужно чтоб пропинговать PE или CE прямо с коммутатора? |
Автор: | entertainm30 [ 12 май 2019, 18:19 ] |
Заголовок сообщения: | Re: Cisco 2960 |
Я, конечно, не специалист, но думаю что проблема в том, что на порте оборудования провайдера тоже стоит vlan и номер vlan не совпадает с вашим. Вам нужно узнать vlan провайдера и установить такой же. |
Автор: | tonve [ 12 май 2019, 20:44 ] |
Заголовок сообщения: | Re: Cisco 2960 |
switchport host в конфигурации порта |
Автор: | Silent_D [ 13 май 2019, 06:21 ] |
Заголовок сообщения: | Re: Cisco 2960 |
1. Провайдер выдал вам подсеть или "CE (10.207.220.10/29)" ? Range: 10.207.220.9 - 10.207.220.14 Может у него ACL стоит только на 10.207.220.10, тогда ваш 10.207.220.12 не годится. 2. Cat 2960 вообще-то железка access уровня. В ней routing может быть выключен по умолчанию. Команда "ip routing" в конфиге доступна? Если нет, то нужно поменять SDM template. show sdm prefer Before enabling routing, enter the sdm prefer lanbase-routing global configuration command and reload the switch. https://community.cisco.com/t5/switchin ... -p/2177069 3. Если вы хотите в режиме хоста его оставить, то проверьте, в Up-е ли int Vlan201? А то вроде была такая заморочка, что SVI интерфейс в дауне, пока в этом VLAN-е нет ни одного (живого) порта. Проверьте с ноута, пингуется ли у вас SVI интерфейс. 4. GigabitEthernet1/0/9 в Up-е? Ethernet патч-корд у вас crossover? А то циско не умеет в Auto MDI-X, не барское это дело. Вот еще почитайте: https://community.cisco.com/t5/switchin ... -p/1642567 My management vlan that I wanted to always be up was vlan 2. I do NOT have any ports in vlan 2 but I needed to be able to reach this SVI at all times. I made sure my trunk port was set to allow vlan 2 as well as all the other vlans I needed. Switch# Conf t Switch(config)# int vlan 2 Switch(config-if)# ip add ###.###.###.### 255.255.255.0 Switch(config-if)# exit Switch(config)# vlan 2 Switch(config-vlan)# state active Switch(config-vlan)# end Switch# wr mem That set the VLAN to always be active and brought the SVI with the IP address I assigned to an up/up state. |
Автор: | Silent_D [ 13 май 2019, 07:27 ] |
Заголовок сообщения: | Re: Cisco 2960 |
entertainm30 писал(а): думаю что проблема в том, что на порте оборудования провайдера тоже стоит vlan и номер vlan не совпадает с вашим. Вам нужно узнать vlan провайдера и установить такой же. Нет, если порт в режиме access, то совершенно фиолетово в каком VLAN-е он на стороне провайдера. |
Автор: | Андрей44 [ 13 май 2019, 08:57 ] |
Заголовок сообщения: | Re: Cisco 2960 |
Silent_D писал(а): 1. Провайдер выдал вам подсеть или "CE (10.207.220.10/29)" ? Range: 10.207.220.9 - 10.207.220.14 Может у него ACL стоит только на 10.207.220.10, тогда ваш 10.207.220.12 не годится. 2. Cat 2960 вообще-то железка access уровня. В ней routing может быть выключен по умолчанию. Команда "ip routing" в конфиге доступна? Если нет, то нужно поменять SDM template. show sdm prefer Before enabling routing, enter the sdm prefer lanbase-routing global configuration command and reload the switch. https://community.cisco.com/t5/switchin ... -p/2177069 3. Если вы хотите в режиме хоста его оставить, то проверьте, в Up-е ли int Vlan201? А то вроде была такая заморочка, что SVI интерфейс в дауне, пока в этом VLAN-е нет ни одного (живого) порта. Проверьте с ноута, пингуется ли у вас SVI интерфейс. 4. GigabitEthernet1/0/9 в Up-е? Ethernet патч-корд у вас crossover? А то циско не умеет в Auto MDI-X, не барское это дело. Вот еще почитайте: https://community.cisco.com/t5/switchin ... -p/1642567 My management vlan that I wanted to always be up was vlan 2. I do NOT have any ports in vlan 2 but I needed to be able to reach this SVI at all times. I made sure my trunk port was set to allow vlan 2 as well as all the other vlans I needed. Switch# Conf t Switch(config)# int vlan 2 Switch(config-if)# ip add ###.###.###.### 255.255.255.0 Switch(config-if)# exit Switch(config)# vlan 2 Switch(config-vlan)# state active Switch(config-vlan)# end Switch# wr mem That set the VLAN to always be active and brought the SVI with the IP address I assigned to an up/up state. 1. Раз маска 29, то я так понимаю что подсеть причем с ноутбука ведь пингуется? 2. команда ip routing доступна, но получается тогда мне надо прописать (где именно?) чтоб все пакеты для Сетей VPN с порта cisco заворачивались на шлюз 10.207.220.10? 3. sh vlan vlan 201 active и sh interf Vlan201 is up, line protocol is up 4. нет не crossover, но... в офисе где похоже (но не так) оборудование провайдера тоже соединено простым патч-кордом с 2960, но там пакетами управляет роутер у меня же есть только ASA 5506x, на ней я поднял interface GigabitEthernet1/2.40 vlan 201 nameif VPN security-level 50 ip address 10.207.220.11 255.255.255.248 | | route VPN 10.***.0.0 255.255.0.0 10.207.220.10 1 route VPN 10.**.0.0 255.255.0.0 10.207.220.10 1 кстати надо ли на ASA для этих пакетов (VPN) делать nat, так как nat поднимал только для пакетов идущих на outside. С VPN через оборудование cisco просто первый раз сталкиваюсь, поэтому очень нужна Ваша помощь. |
Автор: | Silent_D [ 13 май 2019, 10:05 ] |
Заголовок сообщения: | Re: Cisco 2960 |
Андрей44 писал(а): команда ip routing доступна, но получается тогда мне надо прописать L2, L3, все смешалось в доме Обломских. Господа офицеры, ни слова о ... модели OSI! Андрей44 писал(а): у меня же есть только ASA 5506x ASA - это отдельный секс, по ней лучше создать новую тему. А вообще, если проблема побороть Cat 2960, то желательно "обратиться к вашему системному администратору". C ASA так точно. |
Автор: | Андрей44 [ 13 май 2019, 11:18 ] |
Заголовок сообщения: | Re: Cisco 2960 |
Silent_D писал(а): Андрей44 писал(а): команда ip routing доступна, но получается тогда мне надо прописать L2, L3, все смешалось в доме Обломских. Господа офицеры, ни слова о ... модели OSI! Андрей44 писал(а): у меня же есть только ASA 5506x ASA - это отдельный секс, по ней лучше создать новую тему. А вообще, если проблема побороть Cat 2960, то желательно "обратиться к вашему системному администратору". C ASA так точно. Если бы он был "обратиться к вашему системному администратору", но потихоньку с помощью книг, интернета, вашей и божьей помощью разбираемся))) придя в сетевую видим 2шт. коммутаторов 2960 работающих в стеке, ASA 5506x, и оборудование провайдера с выделенным ip адресом настроенное в режиме бридж. Почитав и осмыслив, зная что роутер не купят, принял решение что ASA ,будет выполнять и роль роутера. Первый порт OUTSIDE, Второй с подинтерфейсами который рулит Vlan, соответственно все пользователи имеют выход в интернет. Вот осталось разобраться как сделать VPN от провайдера. Опять же почитав понял что лучше патч-корд в коммутатор в отдельный VLAN или сразу можно в ASу? на ней свободные порты есть. Но тогда это ещё один порт будет OUTSIDE? или в случае с VPN нет. Мне бы нужное направление, а усидчивости хватит чтоб разобраться. |
Автор: | crash [ 13 май 2019, 11:55 ] |
Заголовок сообщения: | Re: Cisco 2960 |
давайте схему что-ли. |
Автор: | Silent_D [ 13 май 2019, 12:10 ] |
Заголовок сообщения: | Re: Cisco 2960 |
Андрей44 писал(а): Мне бы нужное направление, а усидчивости хватит чтоб разобраться. Если действительно есть желание разобраться, то почитайте книжки по курсу Cisco CCNA (ICND1 и ICND2). |
Автор: | Андрей44 [ 13 май 2019, 12:59 ] |
Заголовок сообщения: | Re: Cisco 2960 |
crash писал(а): давайте схему что-ли. Я думал воткнуть VPN в коммутатор и создать VLAN |
Автор: | crash [ 13 май 2019, 13:12 ] |
Заголовок сообщения: | Re: Cisco 2960 |
а зачем втыкать в коммутатор? |
Автор: | Андрей44 [ 13 май 2019, 13:36 ] | ||
Заголовок сообщения: | Re: Cisco 2960 | ||
Андрей44 писал(а): crash писал(а): давайте схему что-ли. Я думал воткнуть VPN в коммутатор и создать VLAN
|
Автор: | Андрей44 [ 13 май 2019, 13:40 ] |
Заголовок сообщения: | Re: Cisco 2960 |
crash писал(а): а зачем втыкать в коммутатор? А если сразу в ASу, то это ещё один интерфейс outside cоздать нужно? Туда завернуть нужные пакеты и тогда вообще дополнительный VLAN не нужно будет создавать, так что ли? А в этом случае (VPN) пакеты тоже нужно nat-тить? |
Автор: | aliotru [ 13 май 2019, 14:03 ] |
Заголовок сообщения: | Re: Cisco 2960 |
вы бы сказали, что это за впн такой. |
Автор: | Андрей44 [ 13 май 2019, 14:10 ] |
Заголовок сообщения: | Re: Cisco 2960 |
aliotru писал(а): вы бы сказали, что это за впн такой. Самый обычный который предоставляет провайдер. tracert из удаленного офиса, где стоит простой модем до СЕ проходит (10.207.220.9) а вот как мне правильно с этой стороны настроить |
Автор: | crash [ 13 май 2019, 17:36 ] |
Заголовок сообщения: | Re: Cisco 2960 |
то есть провайдер вам предоставляет L2VPN? То есть на оборудовании провайдера у вас два vlan: 1. интернет, 2. vpn? |
Автор: | crash [ 13 май 2019, 18:11 ] |
Заголовок сообщения: | Re: Cisco 2960 |
И если запустить ping с коммутатора указав source интерфейс, что будет? |
Автор: | Андрей44 [ 13 май 2019, 21:53 ] |
Заголовок сообщения: | Re: Cisco 2960 |
crash писал(а): то есть провайдер вам предоставляет L2VPN? То есть на оборудовании провайдера у вас два vlan: 1. интернет, 2. vpn? совершенно верно |
Автор: | Андрей44 [ 13 май 2019, 21:56 ] |
Заголовок сообщения: | Re: Cisco 2960 |
crash писал(а): И если запустить ping с коммутатора указав source интерфейс, что будет? вообще ничего, пошел через ASA, пинги пошли только до СЕ, так понимаю чтоб нормально VPN через ASA нужно как и в случае с интернетом натить трафик? |
Автор: | crash [ 14 май 2019, 04:06 ] |
Заголовок сообщения: | Re: Cisco 2960 |
то есть ничего? Два ip из одной подсети у вас идут через ASA? Андрей44 писал(а): так понимаю чтоб нормально VPN через ASA нужно как и в случае с интернетом натить трафик? |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |