Сообщения без ответов | Активные темы Текущее время: 22 май 2019, 07:45



Ответить на тему  [ Сообщений: 21 ] 
Cisco 2960 
Автор Сообщение

Зарегистрирован: 29 апр 2019, 17:21
Сообщения: 9
Помогите а то туплю
Провайдер выдал PE (10.207.220.9/29) и CE (10.207.220.10/29)
с ноутбука через простой коммутатор D-Link ставлю шлюзом СЕ и PE пингуется.
Ставлю патчкорд в cisco 2960 в 9 порт и с неё не могу пропинговать PE
interface GigabitEthernet1/0/9
description === VPN ===
switchport access vlan 201
switchport mode access


interface Vlan201
ip address 10.207.220.12 255.255.255.248

Что еще нужно чтоб пропинговать PE или CE прямо с коммутатора?


12 май 2019, 16:18
Профиль Отправить email

Зарегистрирован: 04 май 2019, 16:35
Сообщения: 2
Я, конечно, не специалист, но думаю что проблема в том, что на порте оборудования провайдера тоже стоит vlan и номер vlan не совпадает с вашим. Вам нужно узнать vlan провайдера и установить такой же.


12 май 2019, 18:19
Профиль Отправить email

Зарегистрирован: 26 сен 2013, 10:29
Сообщения: 366
switchport host в конфигурации порта


12 май 2019, 20:44
Профиль Отправить email

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 120
Откуда: Moscow
1. Провайдер выдал вам подсеть или "CE (10.207.220.10/29)" ?
Range: 10.207.220.9 - 10.207.220.14
Может у него ACL стоит только на 10.207.220.10, тогда ваш 10.207.220.12 не годится.

2. Cat 2960 вообще-то железка access уровня.
В ней routing может быть выключен по умолчанию.
Команда "ip routing" в конфиге доступна?
Если нет, то нужно поменять SDM template.

show sdm prefer
Before enabling routing, enter the sdm prefer lanbase-routing global configuration command and reload the switch.

https://community.cisco.com/t5/switchin ... -p/2177069

3. Если вы хотите в режиме хоста его оставить, то проверьте, в Up-е ли int Vlan201?
А то вроде была такая заморочка, что SVI интерфейс в дауне, пока в этом VLAN-е нет ни одного (живого) порта.
Проверьте с ноута, пингуется ли у вас SVI интерфейс.

4. GigabitEthernet1/0/9 в Up-е?
Ethernet патч-корд у вас crossover? А то циско не умеет в Auto MDI-X, не барское это дело. :-)

Вот еще почитайте:
https://community.cisco.com/t5/switchin ... -p/1642567

My management vlan that I wanted to always be up was vlan 2.
I do NOT have any ports in vlan 2 but I needed to be able to reach this SVI at all times.
I made sure my trunk port was set to allow vlan 2 as well as all the other vlans I needed.

Switch# Conf t
Switch(config)# int vlan 2
Switch(config-if)# ip add ###.###.###.### 255.255.255.0
Switch(config-if)# exit
Switch(config)# vlan 2
Switch(config-vlan)# state active
Switch(config-vlan)# end
Switch# wr mem

That set the VLAN to always be active and brought the SVI with the IP address I assigned to an up/up state.

_________________
Knowledge is Power


13 май 2019, 06:21
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 120
Откуда: Moscow
entertainm30 писал(а):
думаю что проблема в том, что на порте оборудования провайдера тоже стоит vlan и номер vlan не совпадает с вашим.
Вам нужно узнать vlan провайдера и установить такой же.

Нет, если порт в режиме access, то совершенно фиолетово в каком VLAN-е он на стороне провайдера.

_________________
Knowledge is Power


13 май 2019, 07:27
Профиль

Зарегистрирован: 29 апр 2019, 17:21
Сообщения: 9
Silent_D писал(а):
1. Провайдер выдал вам подсеть или "CE (10.207.220.10/29)" ?
Range: 10.207.220.9 - 10.207.220.14
Может у него ACL стоит только на 10.207.220.10, тогда ваш 10.207.220.12 не годится.

2. Cat 2960 вообще-то железка access уровня.
В ней routing может быть выключен по умолчанию.
Команда "ip routing" в конфиге доступна?
Если нет, то нужно поменять SDM template.

show sdm prefer
Before enabling routing, enter the sdm prefer lanbase-routing global configuration command and reload the switch.

https://community.cisco.com/t5/switchin ... -p/2177069

3. Если вы хотите в режиме хоста его оставить, то проверьте, в Up-е ли int Vlan201?
А то вроде была такая заморочка, что SVI интерфейс в дауне, пока в этом VLAN-е нет ни одного (живого) порта.
Проверьте с ноута, пингуется ли у вас SVI интерфейс.

4. GigabitEthernet1/0/9 в Up-е?
Ethernet патч-корд у вас crossover? А то циско не умеет в Auto MDI-X, не барское это дело. :-)

Вот еще почитайте:
https://community.cisco.com/t5/switchin ... -p/1642567

My management vlan that I wanted to always be up was vlan 2.
I do NOT have any ports in vlan 2 but I needed to be able to reach this SVI at all times.
I made sure my trunk port was set to allow vlan 2 as well as all the other vlans I needed.

Switch# Conf t
Switch(config)# int vlan 2
Switch(config-if)# ip add ###.###.###.### 255.255.255.0
Switch(config-if)# exit
Switch(config)# vlan 2
Switch(config-vlan)# state active
Switch(config-vlan)# end
Switch# wr mem

That set the VLAN to always be active and brought the SVI with the IP address I assigned to an up/up state.


1. Раз маска 29, то я так понимаю что подсеть
причем с ноутбука ведь пингуется?
2. команда ip routing доступна, но получается тогда мне надо прописать (где именно?) чтоб все пакеты для Сетей VPN с порта cisco заворачивались на шлюз 10.207.220.10?
3. sh vlan
vlan 201 active
и sh interf
Vlan201 is up, line protocol is up
4. нет не crossover, но... в офисе где похоже (но не так) оборудование провайдера тоже соединено простым патч-кордом с 2960, но там пакетами управляет роутер у меня же есть только ASA 5506x, на ней я поднял
interface GigabitEthernet1/2.40
vlan 201
nameif VPN
security-level 50
ip address 10.207.220.11 255.255.255.248
|
|
route VPN 10.***.0.0 255.255.0.0 10.207.220.10 1
route VPN 10.**.0.0 255.255.0.0 10.207.220.10 1

кстати надо ли на ASA для этих пакетов (VPN) делать nat, так как nat поднимал только для пакетов идущих на outside.

С VPN через оборудование cisco просто первый раз сталкиваюсь, поэтому очень нужна Ваша помощь.


13 май 2019, 08:57
Профиль Отправить email

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 120
Откуда: Moscow
Андрей44 писал(а):
команда ip routing доступна, но получается тогда мне надо прописать

L2, L3, все смешалось в доме Обломских.
Господа офицеры, ни слова о ... модели OSI! :-)

Андрей44 писал(а):
у меня же есть только ASA 5506x

ASA - это отдельный секс, по ней лучше создать новую тему.
А вообще, если проблема побороть Cat 2960, то желательно
"обратиться к вашему системному администратору".
C ASA так точно.

_________________
Knowledge is Power


13 май 2019, 10:05
Профиль

Зарегистрирован: 29 апр 2019, 17:21
Сообщения: 9
Silent_D писал(а):
Андрей44 писал(а):
команда ip routing доступна, но получается тогда мне надо прописать

L2, L3, все смешалось в доме Обломских.
Господа офицеры, ни слова о ... модели OSI! :-)

Андрей44 писал(а):
у меня же есть только ASA 5506x

ASA - это отдельный секс, по ней лучше создать новую тему.
А вообще, если проблема побороть Cat 2960, то желательно
"обратиться к вашему системному администратору".
C ASA так точно.


Если бы он был "обратиться к вашему системному администратору", но потихоньку с помощью книг, интернета, вашей и божьей помощью разбираемся)))

придя в сетевую видим 2шт. коммутаторов 2960 работающих в стеке, ASA 5506x, и оборудование провайдера с выделенным ip адресом настроенное в режиме бридж. Почитав и осмыслив, зная что роутер не купят, принял решение что ASA ,будет выполнять и роль роутера.
Первый порт OUTSIDE, Второй с подинтерфейсами который рулит Vlan, соответственно все пользователи имеют выход в интернет.

Вот осталось разобраться как сделать VPN от провайдера.
Опять же почитав понял что лучше патч-корд в коммутатор в отдельный VLAN или сразу можно в ASу? на ней свободные порты есть. Но тогда это ещё один порт будет OUTSIDE? или в случае с VPN нет.

Мне бы нужное направление, а усидчивости хватит чтоб разобраться.


13 май 2019, 11:18
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2655
давайте схему что-ли.


13 май 2019, 11:55
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 120
Откуда: Moscow
Андрей44 писал(а):
Мне бы нужное направление, а усидчивости хватит чтоб разобраться.

Если действительно есть желание разобраться, то почитайте
книжки по курсу Cisco CCNA (ICND1 и ICND2).

_________________
Knowledge is Power


13 май 2019, 12:10
Профиль

Зарегистрирован: 29 апр 2019, 17:21
Сообщения: 9
crash писал(а):
давайте схему что-ли.


Я думал воткнуть VPN в коммутатор и создать VLAN


13 май 2019, 12:59
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2655
а зачем втыкать в коммутатор?


13 май 2019, 13:12
Профиль

Зарегистрирован: 29 апр 2019, 17:21
Сообщения: 9
Андрей44 писал(а):
crash писал(а):
давайте схему что-ли.


Я думал воткнуть VPN в коммутатор и создать VLAN


Вложения:
1-min.jpg
1-min.jpg [ 63.98 КБ | Просмотров: 234 ]
13 май 2019, 13:36
Профиль Отправить email

Зарегистрирован: 29 апр 2019, 17:21
Сообщения: 9
crash писал(а):
а зачем втыкать в коммутатор?

А если сразу в ASу, то это ещё один интерфейс outside cоздать нужно?
Туда завернуть нужные пакеты и тогда вообще дополнительный VLAN не нужно будет создавать, так что ли?

А в этом случае (VPN) пакеты тоже нужно nat-тить?


13 май 2019, 13:40
Профиль Отправить email

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 802
вы бы сказали, что это за впн такой.


13 май 2019, 14:03
Профиль

Зарегистрирован: 29 апр 2019, 17:21
Сообщения: 9
aliotru писал(а):
вы бы сказали, что это за впн такой.

Самый обычный который предоставляет провайдер.
tracert из удаленного офиса, где стоит простой модем до СЕ проходит (10.207.220.9) а вот как мне правильно с этой стороны настроить


13 май 2019, 14:10
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2655
то есть провайдер вам предоставляет L2VPN? То есть на оборудовании провайдера у вас два vlan: 1. интернет, 2. vpn?


13 май 2019, 17:36
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2655
И если запустить ping с коммутатора указав source интерфейс, что будет?


13 май 2019, 18:11
Профиль

Зарегистрирован: 29 апр 2019, 17:21
Сообщения: 9
crash писал(а):
то есть провайдер вам предоставляет L2VPN? То есть на оборудовании провайдера у вас два vlan: 1. интернет, 2. vpn?

совершенно верно


13 май 2019, 21:53
Профиль Отправить email

Зарегистрирован: 29 апр 2019, 17:21
Сообщения: 9
crash писал(а):
И если запустить ping с коммутатора указав source интерфейс, что будет?

вообще ничего, пошел через ASA, пинги пошли только до СЕ, так понимаю чтоб нормально VPN через ASA нужно как и в случае с интернетом натить трафик?


13 май 2019, 21:56
Профиль Отправить email

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2655
то есть ничего? Два ip из одной подсети у вас идут через ASA?
Андрей44 писал(а):
так понимаю чтоб нормально VPN через ASA нужно как и в случае с интернетом натить трафик?
либо натить, либо делать, типа nat0.


14 май 2019, 04:06
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 21 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB