|
|
Страница 1 из 1
|
[ Сообщений: 21 ] |
|
Автор |
Сообщение |
Андрей44
Зарегистрирован: 29 апр 2019, 17:21 Сообщения: 9
|
Помогите а то туплю Провайдер выдал PE (10.207.220.9/29) и CE (10.207.220.10/29) с ноутбука через простой коммутатор D-Link ставлю шлюзом СЕ и PE пингуется. Ставлю патчкорд в cisco 2960 в 9 порт и с неё не могу пропинговать PE interface GigabitEthernet1/0/9 description === VPN === switchport access vlan 201 switchport mode access
interface Vlan201 ip address 10.207.220.12 255.255.255.248
Что еще нужно чтоб пропинговать PE или CE прямо с коммутатора?
|
12 май 2019, 16:18 |
|
|
entertainm30
Зарегистрирован: 04 май 2019, 16:35 Сообщения: 2
|
Я, конечно, не специалист, но думаю что проблема в том, что на порте оборудования провайдера тоже стоит vlan и номер vlan не совпадает с вашим. Вам нужно узнать vlan провайдера и установить такой же.
|
12 май 2019, 18:19 |
|
|
tonve
Зарегистрирован: 26 сен 2013, 10:29 Сообщения: 422
|
switchport host в конфигурации порта
|
12 май 2019, 20:44 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
1. Провайдер выдал вам подсеть или "CE (10.207.220.10/29)" ? Range: 10.207.220.9 - 10.207.220.14 Может у него ACL стоит только на 10.207.220.10, тогда ваш 10.207.220.12 не годится. 2. Cat 2960 вообще-то железка access уровня. В ней routing может быть выключен по умолчанию. Команда "ip routing" в конфиге доступна? Если нет, то нужно поменять SDM template. show sdm prefer Before enabling routing, enter the sdm prefer lanbase-routing global configuration command and reload the switch. https://community.cisco.com/t5/switchin ... -p/21770693. Если вы хотите в режиме хоста его оставить, то проверьте, в Up-е ли int Vlan201? А то вроде была такая заморочка, что SVI интерфейс в дауне, пока в этом VLAN-е нет ни одного (живого) порта. Проверьте с ноута, пингуется ли у вас SVI интерфейс. 4. GigabitEthernet1/0/9 в Up-е? Ethernet патч-корд у вас crossover? А то циско не умеет в Auto MDI-X, не барское это дело. Вот еще почитайте: https://community.cisco.com/t5/switchin ... -p/1642567My management vlan that I wanted to always be up was vlan 2. I do NOT have any ports in vlan 2 but I needed to be able to reach this SVI at all times. I made sure my trunk port was set to allow vlan 2 as well as all the other vlans I needed. Switch# Conf t Switch(config)# int vlan 2 Switch(config-if)# ip add ###.###.###.### 255.255.255.0 Switch(config-if)# exit Switch(config)# vlan 2 Switch(config-vlan)# state active Switch(config-vlan)# end Switch# wr mem That set the VLAN to always be active and brought the SVI with the IP address I assigned to an up/up state.
_________________ Knowledge is Power
|
13 май 2019, 06:21 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
entertainm30 писал(а): думаю что проблема в том, что на порте оборудования провайдера тоже стоит vlan и номер vlan не совпадает с вашим. Вам нужно узнать vlan провайдера и установить такой же. Нет, если порт в режиме access, то совершенно фиолетово в каком VLAN-е он на стороне провайдера.
_________________ Knowledge is Power
|
13 май 2019, 07:27 |
|
|
Андрей44
Зарегистрирован: 29 апр 2019, 17:21 Сообщения: 9
|
Silent_D писал(а): 1. Провайдер выдал вам подсеть или "CE (10.207.220.10/29)" ? Range: 10.207.220.9 - 10.207.220.14 Может у него ACL стоит только на 10.207.220.10, тогда ваш 10.207.220.12 не годится. 2. Cat 2960 вообще-то железка access уровня. В ней routing может быть выключен по умолчанию. Команда "ip routing" в конфиге доступна? Если нет, то нужно поменять SDM template. show sdm prefer Before enabling routing, enter the sdm prefer lanbase-routing global configuration command and reload the switch. https://community.cisco.com/t5/switchin ... -p/21770693. Если вы хотите в режиме хоста его оставить, то проверьте, в Up-е ли int Vlan201? А то вроде была такая заморочка, что SVI интерфейс в дауне, пока в этом VLAN-е нет ни одного (живого) порта. Проверьте с ноута, пингуется ли у вас SVI интерфейс. 4. GigabitEthernet1/0/9 в Up-е? Ethernet патч-корд у вас crossover? А то циско не умеет в Auto MDI-X, не барское это дело. Вот еще почитайте: https://community.cisco.com/t5/switchin ... -p/1642567My management vlan that I wanted to always be up was vlan 2. I do NOT have any ports in vlan 2 but I needed to be able to reach this SVI at all times. I made sure my trunk port was set to allow vlan 2 as well as all the other vlans I needed. Switch# Conf t Switch(config)# int vlan 2 Switch(config-if)# ip add ###.###.###.### 255.255.255.0 Switch(config-if)# exit Switch(config)# vlan 2 Switch(config-vlan)# state active Switch(config-vlan)# end Switch# wr mem That set the VLAN to always be active and brought the SVI with the IP address I assigned to an up/up state. 1. Раз маска 29, то я так понимаю что подсеть причем с ноутбука ведь пингуется? 2. команда ip routing доступна, но получается тогда мне надо прописать (где именно?) чтоб все пакеты для Сетей VPN с порта cisco заворачивались на шлюз 10.207.220.10? 3. sh vlan vlan 201 active и sh interf Vlan201 is up, line protocol is up 4. нет не crossover, но... в офисе где похоже (но не так) оборудование провайдера тоже соединено простым патч-кордом с 2960, но там пакетами управляет роутер у меня же есть только ASA 5506x, на ней я поднял interface GigabitEthernet1/2.40 vlan 201 nameif VPN security-level 50 ip address 10.207.220.11 255.255.255.248 | | route VPN 10.***.0.0 255.255.0.0 10.207.220.10 1 route VPN 10.**.0.0 255.255.0.0 10.207.220.10 1 кстати надо ли на ASA для этих пакетов (VPN) делать nat, так как nat поднимал только для пакетов идущих на outside. С VPN через оборудование cisco просто первый раз сталкиваюсь, поэтому очень нужна Ваша помощь.
|
13 май 2019, 08:57 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
Андрей44 писал(а): команда ip routing доступна, но получается тогда мне надо прописать L2, L3, все смешалось в доме Обломских. Господа офицеры, ни слова о ... модели OSI! Андрей44 писал(а): у меня же есть только ASA 5506x ASA - это отдельный секс, по ней лучше создать новую тему. А вообще, если проблема побороть Cat 2960, то желательно "обратиться к вашему системному администратору". C ASA так точно.
_________________ Knowledge is Power
|
13 май 2019, 10:05 |
|
|
Андрей44
Зарегистрирован: 29 апр 2019, 17:21 Сообщения: 9
|
Silent_D писал(а): Андрей44 писал(а): команда ip routing доступна, но получается тогда мне надо прописать L2, L3, все смешалось в доме Обломских. Господа офицеры, ни слова о ... модели OSI! Андрей44 писал(а): у меня же есть только ASA 5506x ASA - это отдельный секс, по ней лучше создать новую тему. А вообще, если проблема побороть Cat 2960, то желательно "обратиться к вашему системному администратору". C ASA так точно. Если бы он был "обратиться к вашему системному администратору", но потихоньку с помощью книг, интернета, вашей и божьей помощью разбираемся))) придя в сетевую видим 2шт. коммутаторов 2960 работающих в стеке, ASA 5506x, и оборудование провайдера с выделенным ip адресом настроенное в режиме бридж. Почитав и осмыслив, зная что роутер не купят, принял решение что ASA ,будет выполнять и роль роутера. Первый порт OUTSIDE, Второй с подинтерфейсами который рулит Vlan, соответственно все пользователи имеют выход в интернет. Вот осталось разобраться как сделать VPN от провайдера. Опять же почитав понял что лучше патч-корд в коммутатор в отдельный VLAN или сразу можно в ASу? на ней свободные порты есть. Но тогда это ещё один порт будет OUTSIDE? или в случае с VPN нет. Мне бы нужное направление, а усидчивости хватит чтоб разобраться.
|
13 май 2019, 11:18 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
давайте схему что-ли.
|
13 май 2019, 11:55 |
|
|
Silent_D
Зарегистрирован: 07 сен 2014, 02:54 Сообщения: 548 Откуда: Msk
|
Андрей44 писал(а): Мне бы нужное направление, а усидчивости хватит чтоб разобраться. Если действительно есть желание разобраться, то почитайте книжки по курсу Cisco CCNA (ICND1 и ICND2).
_________________ Knowledge is Power
|
13 май 2019, 12:10 |
|
|
Андрей44
Зарегистрирован: 29 апр 2019, 17:21 Сообщения: 9
|
crash писал(а): давайте схему что-ли. Я думал воткнуть VPN в коммутатор и создать VLAN
|
13 май 2019, 12:59 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
а зачем втыкать в коммутатор?
|
13 май 2019, 13:12 |
|
|
Андрей44
Зарегистрирован: 29 апр 2019, 17:21 Сообщения: 9
|
Андрей44 писал(а): crash писал(а): давайте схему что-ли. Я думал воткнуть VPN в коммутатор и создать VLAN
Вложения:
1-min.jpg [ 63.98 КБ | Просмотров: 9216 ]
|
13 май 2019, 13:36 |
|
|
Андрей44
Зарегистрирован: 29 апр 2019, 17:21 Сообщения: 9
|
crash писал(а): а зачем втыкать в коммутатор? А если сразу в ASу, то это ещё один интерфейс outside cоздать нужно? Туда завернуть нужные пакеты и тогда вообще дополнительный VLAN не нужно будет создавать, так что ли? А в этом случае (VPN) пакеты тоже нужно nat-тить?
|
13 май 2019, 13:40 |
|
|
aliotru
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 925
|
вы бы сказали, что это за впн такой.
|
13 май 2019, 14:03 |
|
|
Андрей44
Зарегистрирован: 29 апр 2019, 17:21 Сообщения: 9
|
aliotru писал(а): вы бы сказали, что это за впн такой. Самый обычный который предоставляет провайдер. tracert из удаленного офиса, где стоит простой модем до СЕ проходит (10.207.220.9) а вот как мне правильно с этой стороны настроить
|
13 май 2019, 14:10 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
то есть провайдер вам предоставляет L2VPN? То есть на оборудовании провайдера у вас два vlan: 1. интернет, 2. vpn?
|
13 май 2019, 17:36 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
И если запустить ping с коммутатора указав source интерфейс, что будет?
|
13 май 2019, 18:11 |
|
|
Андрей44
Зарегистрирован: 29 апр 2019, 17:21 Сообщения: 9
|
crash писал(а): то есть провайдер вам предоставляет L2VPN? То есть на оборудовании провайдера у вас два vlan: 1. интернет, 2. vpn? совершенно верно
|
13 май 2019, 21:53 |
|
|
Андрей44
Зарегистрирован: 29 апр 2019, 17:21 Сообщения: 9
|
crash писал(а): И если запустить ping с коммутатора указав source интерфейс, что будет? вообще ничего, пошел через ASA, пинги пошли только до СЕ, так понимаю чтоб нормально VPN через ASA нужно как и в случае с интернетом натить трафик?
|
13 май 2019, 21:56 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
то есть ничего? Два ip из одной подсети у вас идут через ASA? Андрей44 писал(а): так понимаю чтоб нормально VPN через ASA нужно как и в случае с интернетом натить трафик? либо натить, либо делать, типа nat0.
|
14 май 2019, 04:06 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 21 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 47 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|