Не пингуются компьютеры в разных подсетях cisco
У меня есть вопрос по поводу переключения. У меня есть два устройства, подключенные к коммутатору с IP-адресами 192.168.5.20 и 192.168.5.10. Оба устройства имеют одинаковый префикс / 24. Это означает, что они находятся в одной подсети.
Если я разделю эти устройства на разные VLAN (10 и 20) на коммутаторе, он не будет связываться, хотя они находятся в одной подсети. Почему это происходит?
Вам нужен маршрутизатор для маршрутизации между разными Vlans. Кроме того, при этом вы не можете иметь одну и ту же IP-подсеть в этих двух Vlan.
Привет Джим Пап и добро пожаловать . Как будто вы подключили два хоста к двум разным коммутаторам, один с надписью «LAN 10», а другой с надписью «LAN 20». Настройка VLAN на коммутаторе разделяет коммутатор на несколько виртуальных коммутаторов.
Этот вопрос является чем-то вроде тавтологии. Они не могут, потому что не могут, по замыслу. Создание отдельных VLAN логически сегментирует коммутируемую межсетевую сеть. Теперь вам нужно использовать некоторую форму маршрутизации между VLAN для взаимодействия этих устройств.
@ Известно, что на маршрутизаторе Cisco невозможно иметь адреса из одной подсети на разных интерфейсах, но это не имеет ничего общего с самой VLAN, которая не заботится о IP-адресах (и может использоваться, скажем, с IPX / SPX). И . Cisco по-прежнему важный игрок, но далеко не единственный.
@ Каким образом могут помочь разные VRF? Тогда они все равно не будут общаться, и, чтобы ответить на ваш вопрос, просто соедините vlans, так просто. Мосты были доступны в маршрутизаторах Cisco задолго до того, как я взял свой CCIE, и это было более 20 лет назад
Одна из вещей, которую делают VLAN, - это взять физический коммутатор и разбить его на несколько меньших «виртуальных» коммутаторов.
Значение этого физического описания одного коммутатора и двух VLAN:
Действует идентично этому логическому описанию той же топологии:
Даже если IP-адреса на втором изображении находились в одной подсети, вы заметите, что между двумя виртуальными коммутаторами (т. Е. Виртуальными локальными сетями) нет «связи», и, следовательно, никакой возможный способ связи хостов A / B с хостами C / D.
Чтобы хосты на втором изображении могли обмениваться данными друг с другом, вам понадобится какое-то устройство для облегчения связи от одного «коммутатора» к другому. Устройство, которое существует для этой цели, является Маршрутизатором - следовательно, Маршрутизатор требуется для трафика, чтобы пересечь границу VLAN:
И из-за того, как работает маршрутизатор, каждый интерфейс маршрутизатора должен иметь свою собственную уникальную IP-подсеть. Вот почему каждая VLAN традиционно требует своей собственной уникальной IP-подсети - потому что если между этими VLAN должна происходить какая-либо связь, потребуются уникальные подсети.
Изображения выше взяты из моего блога, вы можете прочитать больше о VLAN как концепции здесь и о маршрутизации между VLAN здесь .
Ловушка для неосторожных: не пытайтесь на самом деле разделить коммутатор таким образом, ТО подключите VLAN через немаркированные порты - если вы точно не знаете, как настроены реализации STP и CAM в этом коммутаторе.
@ rackandboneman Это хороший совет. Но, для ясности, изображения в моем посте представляют только один физический переключатель. «Образ двух коммутаторов» является логическим представлением одного физического коммутатора с двумя VLAN.
«каждый интерфейс маршрутизатора должен иметь свою собственную уникальную IP-подсеть». Это может быть верно для некоторых реализаций маршрутизатора, это не всегда так. По крайней мере, в Linux вы можете назначить одну и ту же подсеть нескольким интерфейсам, а затем использовать комбинацию маршрутов proxy arp и / 32 для создания трафика между ними.
@PeterGreen Исключения всегда существуют. То, что что-то может быть сделано, не означает, что это должно быть сделано, и не делает это актуальным для рассматриваемого вопроса.
Смысл виртуальной локальной сети состоит в том, чтобы создать отдельные локальные сети уровня 2 на одном физическом устройстве.
Это похоже на строительство бронированной и звуконепроницаемой стены в комнате, чтобы создать 2 комнаты. Люди в каждой половине комнаты больше не могут общаться с людьми в другой половине прежней комнаты.
Таким образом, у вас есть два хоста в двух разных сетях L2, и ничто не позволяет им общаться.
Обратите внимание, что в большинстве случаев нет смысла использовать одну и ту же подсеть в двух разных VLAN. Стандартный случай - связать IP-сеть с VLAN.
Мне трудно думать о любом случае, когда использование одной подсети в двух разных VLAN имеет смысл. Представьте, что вы маршрутизатор, и вы получите пакет, предназначенный для 192.168.5.15. Что это за VLAN?
@Deduplicator Я не уверен, почему так важно, какой IP-адрес пакета. Как узнать, что такое VLAN и IP, если вы используете один и тот же диапазон IP для двух или более VLAN? Это просто не имеет смысла.
@MontyHarder У меня действительно есть случай: у меня есть соединения с поставщиками, которые используют ту же самую адресацию, и те сделаны на тех же коммутаторах. Поскольку я общаюсь с обоими (через разные маршрутизаторы), а они не общаются друг с другом, это просто прекрасно.
@MontyHarder На самом деле, очень часто иметь одну и ту же подсеть во многих разных локальных сетях (и, следовательно, в VLAN). Частные адреса RFC1918 повторно используются в миллионах локальных сетей. Вы можете очень хорошо иметь несколько отдельных сетей NAT в одной VLAN. Это, вероятно, происходит до тошноты в условиях хостинга. Но эти сети действительно считаются полностью независимыми.
IP-подсети логически группируют хосты - хосты в одной подсети используют соединение уровня 2 для прямого общения друг с другом. Общение с хостами в другой подсети требует использования шлюза / маршрутизатора.
VLAN физически группируют хосты - хосты в одном VLAN / широковещательном домене / сегменте L2 могут напрямую общаться друг с другом. Хосты в разных VLAN не могут. (Не бейте меня - физически группа не совсем правильная, но это отмечает мою точку зрения.)
Таким образом, когда два хоста находятся в одной и той же IP-подсети, но в разных VLAN / широковещательных доменах / сетях L2, они не могут обмениваться данными: исходный хост предполагает назначение в пределах своей локальной сети L2 и, следовательно, пытается ARP адрес назначения (или ПНР разрешить для IPv6).
ARP работает, отправляя запрос в виде широковещания в локальную сеть L2, и хост с запрошенным IP-адресом отвечает своим MAC-адресом. Поскольку целевой хост находится за пределами локальной сети, он никогда не слышит ARP-запрос, и ARP дает сбой.
Даже если источник каким-то образом узнает MAC-адрес получателя и создаст кадр, адресованный этому MAC, он никогда не достигнет получателя, поскольку он все еще находится за пределами сети L2. MAC вне локальной сети L2 бессмысленны и бесполезны.
Дополняет существующие ответы, которые охватывают вопрос с точки зрения дизайна и теории .
Вместо того, чтобы спрашивать « почему они не общаются? », Давайте спросим « что происходит, когда они пытаются общаться?»
Во-первых, что значит настроить VLAN на коммутаторе? В нашем примере есть несколько сокетов, настроенных как VLAN 10, и некоторые настроенные VLAN 20. Определение VLAN состоит в том, что подключены только сокеты в одной VLAN. Это означает, что кадр, полученный на порт в данной VLAN, отправляется только на порты той же VLAN.
На этой схеме у нас шесть хостов, порты 1, 2, 5 находятся в VLAN 10, порты 3, 4, 6 находятся в VLAN 20.
Предположим, что хост A статически настроен как 192.168.5.10/24, а F статически настроен как 192.168.5.20/24, из вопроса. Предположим, что от B до E имеют другие статические адреса конфигурации (не имеет значения, какие они есть).
Если A пингует 192.168.5.20, он определяет, что он находится в том же / 24, поэтому первое, что происходит, - это запрос ARP: WHO HAS 192.168.5.20, отправленный как эфирное вещание.
Коммутатор получает широковещательную рассылку через порт 1. Это VLAN 10, поэтому он отправляет широковещательную рассылку через порты 2 и 5, остальные порты в VLAN 10. Хосты B и E получают запрос ARP и игнорируют его, поскольку это не их адрес.
Там не будет никакого ответа ARP; следующее, что произойдет, - это тайм-аут на А, за которым последуют повторные ARP-запросы, пока приложение не сдастся.
Хост, подключенный к чему-либо кроме порта VLAN 10, вообще ничего не увидит, независимо от его IP-адреса. Это, очевидно, включает в себя F, который является 192.168.5.20.
Я ожидаю, что у вас будет хорошее понимание маскировки подсети. Когда у вас есть отдельные VLAN, вы должны иметь уникальный диапазон IP-адресов с подсетями. Это не обязательно.
VLAN - это отдельная локальная сеть, но это виртуальная сеть. Кроме того, виртуальная локальная сеть для разделения сетей в одном коммутаторе. В вашем коммутаторе будет создан отдельный широковещательный домен. Но когда вы создаете виртуальные локальные сети с тем же ip, это бесполезно.
В дополнение к этому вам нужно настроить Intervlan Routing на вашем коммутаторе.
Нет, это не невозможно иметь несколько VLAN с одной подсетью. Это необычно и несколько обескуражено, но вполне возможно.
@JFL Правда, это возможно, используя либо VRF, либо какой-либо другой вид разделителя, но я еще не видел ни одного варианта использования для этого. Пожалуйста, просветите меня.
@JFL такая же проблема и для меня. Я только сейчас попробовал в трассировке пакетов cisco, с межлановой маршрутизацией. Я не знаю, есть ли проблема с трассировщиком пакетов Cisco. Это не работа. Я согласен с Cown. это возможно в VRF.
@ Cown Я не говорил, что это хорошая идея, и не было возможности заставить их общаться друг с другом (но все же это возможно с NAT). Но у меня есть несколько вариантов использования. Например, у меня есть соединение с провайдерами, которые проходят через некоторые перекрывающиеся сети RFC1918. Они подключены к одним и тем же коммутаторам в разных VLAN и не взаимодействуют друг с другом.
@JFL Извините, чувак, я просто не вижу, как это соотносится с первоначальным вопросом. Да, возможно использование перекрывающихся IP-адресов для взаимосвязей или NAT, но я просто не думаю, что это отражает реальный сценарий.
Подумайте, что происходит, когда у вас дома есть локальная сеть и компьютер с IP 192.168.2.1. У вашего друга в будущем также есть локальная сеть в его доме и компьютер с IP 192.168.2.2. Они находятся в одной подсети, так почему они не могут общаться друг с другом?
В таком примере причина отличается от того, о чем вы спрашиваете.
Но VLAN достигает того же результата - она сегментирует сеть на втором уровне.
Я хочу сказать, что мы можем легко увидеть, что факт «IP-адреса находятся в одной подсети» недостаточен для определения того, могут ли пакеты маршрутизироваться между ними. Базовая топология также играет свою роль.
Принимая это до крайности, на самом нижнем уровне вам понадобится некоторый физический материал (ну, ладно, или воздух: D) для фактической транспортировки данных. Ваши компьютеры могут находиться в одном доме в одной подсети, но не иметь физического подключения (или иметь беспроводную связь), и тогда вы не ожидаете, что пакеты будут маршрутизироваться.
Смысл VLAN состоит в том, чтобы иметь сегментацию сети. Вы также можете достичь того же (некоторые предостережения), используя подсети. Так как ваша подсеть разделена на 2 разные VLAN, ваши устройства не могут общаться в сети L2. Вы можете настроить интерфейс IRB на коммутаторе, чтобы разрешить связь между VLAN. Кроме того, вы можете маршрутизировать трафик через межсетевой экран и разрешить выборочную связь между VLAN. В идеале, вы должны спроектировать свою сеть так, чтобы она имела разные подсети для каждой из VLAN, а затем межсетевой экран передавал трафик между VLAN. Надеюсь это поможет.
Nonononono не использует IRB в этой ситуации . проблема в том, что коммутатор никогда не должен был быть настроен с двумя виртуальными локальными сетями в одной подсети. Лучший ответ - все хосты в одной подсети в одном и том же vlan.
Когда соединение Ethernet переносит более одной VLAN, все, кроме одной VLAN, должны быть помечены . Тег VLAN, совместимый со стандартом IEEE 802.1Q, размещается в кадре Ethernet в том месте, где обычно находится EtherType кадра. Первая часть тега VLAN является идентификатором протокола тега , который является постоянным значением 0x8100. В результате, устройство, которое не знает о тегах IEEE 802.1Q или настроено так, чтобы не ожидать их, увидит помеченные кадры и подумает: «Это не IPv4, ARP или IPv6; это Ethertype 0x8100, который является чем-то совершенно другим, и я не Я не думаю, что понимаю это вообще. Лучше просто игнорировать это. "
Коммутатор, поддерживающий VLAN, может фильтровать пакеты, поступающие на каждый порт по их тегам VLAN, и может при желании удалить тег VLAN из одной выбранной VLAN в исходящем трафике с этого порта (и, наоборот, добавить тег VLAN к входящему трафику на этом порту), так что любой трафик выбранной VLAN отображается как обычный трафик Ethernet до 802.1Q для устройства, подключенного к этому конкретному порту. Такая выбранная VLAN известна как собственная VLAN для этого порта.
Стандарт 802.1Q позволяет порту Ethernet поддерживать единственную собственную VLAN и любое количество помеченных VLAN одновременно, но я понимаю, что порт пропускает как помеченные, так и непомеченные кадры Ethernet одновременно, это несколько неблагоприятная конфигурация: вы ' Нужно помнить, что одна из VLAN в порте / NIC отличается от всех других и должна быть настроена по-другому. Склонен к ошибкам.
В терминологии Cisco порт коммутатора может быть настроен либо как порт доступа, либо как транковый порт . Порт доступа будет обеспечивать доступ только к одной VLAN и автоматически удаляет теги VLAN из исходящего трафика и добавляется к входящему трафику для этого порта. Магистральный порт, с другой стороны, будет передавать трафик через настраиваемый набор VLAN, но весь трафик будет помечен VLAN.
Итак, в вашем случае два устройства в двух разных VLAN на одном коммутаторе, оба используют адреса в одной IP-подсети. Что произойдет, будет зависеть от того, как настроены порты коммутатора (и сетевые интерфейсы на устройствах) для VLAN.
1.) Переключите порты как порты доступа, устройства, не поддерживающие VLAN: порт коммутатора будет отфильтровывать трафик «противоположной» VLAN, и поэтому устройства никогда не будут видеть трафик друг друга. Возникает вопрос, имеет ли смысл думать о них как о «находящихся в одном сегменте сети» вообще.
2.) Переключите порты в качестве магистральных портов, настроенных для прохождения обеих VLAN, устройств, не поддерживающих VLAN: каждое устройство будет думать: «Почему это другое устройство продолжает посылать мне эти странные вещи Ethertype 0x8100? Я не говорю об этом».
5.) Переключите порты как магистральные порты, настроенные для прохождения обеих VLAN, устройство настроено с поддержкой VLAN, обе VLAN настроены в устройстве. Это сверх того, что вы просили. Теперь устройство будет эффективно присутствовать в обеих VLAN.
Поскольку обе VLAN претендуют на то, чтобы различаться на уровне Ethernet, но используют одну и ту же IP-подсеть, то, что произойдет, будет зависеть от того, как реализована IP-маршрутизация устройств. Главной важной деталью будет то, предназначен ли стек IP для использования модели сильного хоста или модели слабого хоста , и как именно концепция VLAN была интегрирована в систему.
Например, Linux представит любые сконфигурированные тегированные VLAN в качестве дополнительных виртуальных сетевых адаптеров, которые отражают состояние канала базовой физической сетевой карты, но в остальном действуют как независимые, насколько это технически возможно. Таким образом, все будет так же, как если бы у вас было два сетевых адаптера, подключенных к двум отдельным сегментам физической сети со 100% перекрывающимися IP-подсетями: система могла бы получать входящий трафик очень хорошо, но будет предполагать, что любой сетевой адаптер, подключенный к целевой IP-подсети, подходит для общения с любой другой хост в этой IP-подсети и будет использовать какой-либо (виртуальный, специфичный для VLAN) сетевой адаптер, который будет первым в таблице маршрутизации . и поэтому конфигурация может работать или не работать в зависимости от порядка, в котором различные части Конфигурация NIC и VLAN была инициализирована. Вам нужно использовать Linux
Cisco SG300 в L3-режиме, подняты vlan'ы, ip назначены, стоит dhcp relay и поднят dhcp сервак под win2012 с несколькими пулами. DHCP не хочет выдавать айпишники ни в каком из vlan'ов, кроме своего собственного. Более того, он не пингует ни один vlan, кроме своего собственного, хотя сам (и вся его подсеть, отведенная под серверы) пингуется отовсюду. show ip route показывает все vlan'ы как direct connected.
P.S.: Когда назначал vlan'ам порты, выставлял их в access для соответствующих vlan'ов (vlan'ы начинаются сразу на SG300, дальше идут неуправляемые коммутаторы). Может, здесь кроются какие-то подводные камни?
- Вопрос задан более трёх лет назад
- 7581 просмотр
Оценить 3 комментария
Это пинги.
Еще одно замечание: отовсюду пингуется только сам сервак, указанный в ip dhcp relay address . Вся его сетка не пингуется.
Короче, рутер, не смотря на ip routing(enable) и set system mode router не хочет маршрутизировать трафик. Какие есть варианты?
В общем, проблема оказалась в комплексе причин:
1) Встроенный фаерволл (брандмауэр Windows) блокировал ICMP-запросы;
2) DHCP-relay на Small Business - Цисках должен быть включен не только глобально, но и для каждого vlan'а, похоже;
3) WDS по-умолчанию слушает DHCP-порты и отвечает на запросы своими данными. Отключение службы решило проблему (если что, в его настройках есть галочки "не слушать порты DHCP");
4) В настройках тестового клиента (ноут с 8.1, сетевой из которого тыкали в разные vlan'ы) был отключен SSDP.
Всем спасибо за предоставленные ответы. В следующий раз буду внимательнее просматривать конфиги только что установленной Windows.
Предлагаю с маршрутизатора запустить пинг до интересующего вас сервера. Затем посмотреть, формируются ли соответствующие записи в ARP- и MAC-таблицах. В случае с Cisco IOS CLI это можно сделать так
В вашем случае синтаксис может немного отличаться.
Я вообще полагаю, что из отсутствия ответа на ICMP Echo-request еще не обязательно следует неполадка в маршрутизации. Насколько мне известно, в некоторых случаях (ОС Windows) встроенный фаерволл (брандмауэр) запрещает входящие пинги.
Брандмауэр действительно запрещал входящие пинги -- после выключения пинг стал проходить.
Но DHCP все еще не раздает ip. dhcp relay на циске включен глобально. В каждом из вланов его все равно нужно включать?
Существует 1 подсеть 172.20.128.*
Существует 2 подсеть 172.20.136.*
В сети есть КД (2003) с ip: 172.20.128.2
на CISCO прописана маршрутизация 1-ой подсети с внешним миром :) (172.20.128.1)
из 2 подсети не пингуется 1 подсеть, КД, CISCO.
Как в CISCO прописать маршрутизацию между дввумя подсетями, чтоб я мог 2-ой подсетью зарегестрироваться на КД 172.20.128.2(т.е. 1 подсеть)?
Если можно поподробнее, с командами и авторизацией в CISCO.
Настраивал CISCO не я, и опыта с работой CISCO нету, времени читать мануалы на данный момент нету, очень маленькие сроки, я сам понимаю , что этот вопрос из легких.
к CISCO подключаюсь через "putty", а дальше не знаю что делать..
Заранее спасибо!!
С уважением, Т.А. Чернев
-
, shadow_alone, 01:27 , 15-Окт-10, ( 1 )
- Панель управления
- Брандмауэр Windows
- Дополнительные параметры (должно появиться окно "Брандмауэр Windows в режиме повышенное безопасности")
- Правило для входящих подключений
- Создать правило
- Выбираем "Настраиваемые"
- Выбираем "Все программы"
- Выбираем "Тип протокола" Любой
- В разделе добавления адресов "Любой IP"
- Отметьте пункт "Разрешить подключение"
- Выберите все типы профилей сетей "Разрешить"
- Придумайте Имя для правила.
- Правило для входящих подключений
- Общий доступ к файлам и принтерам (эхо-запрос - входящий трафик ICMPv4) - Разрешить
- Общий доступ к файлам и принтерам (входящий трафик SMB) - Разрешить
-
, deejayyug, 07:34 , 15-Окт-10, ( 2 )
-
, shadow_alone, 07:41 , 15-Окт-10, ( 3 )
-
, deejayyug, 08:40 , 15-Окт-10, ( 4 )
-
, deejayyug, 09:24 , 15-Окт-10, ( 5 ) +1
-
, Aleks305, 09:46 , 15-Окт-10, ( 7 )
-
, deejayyug, 09:49 , 15-Окт-10, ( 8 )
-
, Aleks305, 09:52 , 15-Окт-10, ( 10 )
-
, deejayyug, 09:56 , 15-Окт-10, ( 11 ) , deejayyug, 09:57 , 15-Окт-10, ( 12 )
-
, deejayyug, 10:05 , 15-Окт-10, ( 14 )
-
, deejayyug, 10:07 , 15-Окт-10, ( 15 )
-
, lumenous, 10:14 , 15-Окт-10, ( 16 )
-
, deejayyug, 10:19 , 15-Окт-10, ( 17 )
-
, lumenous, 10:25 , 15-Окт-10, ( 18 )
-
, deejayyug, 10:33 , 15-Окт-10, ( 19 ) , lumenous, 11:23 , 15-Окт-10, ( 20 ) , deejayyug, 11:54 , 15-Окт-10, ( 21 ) , lumenous, 12:04 , 15-Окт-10, ( 22 ) , deejayyug, 13:28 , 15-Окт-10, ( 23 ) , deejayyug, 17:43 , 15-Окт-10, ( 24 ) , lumenous, 18:05 , 15-Окт-10, ( 25 ) , deejayyug, 18:32 , 15-Окт-10, ( 26 ) , deejayyug, 11:24 , 16-Окт-10, ( 27 )
>[оверквотинг удален]
> из 2 подсети не пингуется 1 подсеть, КД, CISCO.
> Как в CISCO прописать маршрутизацию между дввумя подсетями, чтоб я мог 2-ой
> подсетью зарегестрироваться на КД 172.20.128.2(т.е. 1 подсеть)?
> Если можно поподробнее, с командами и авторизацией в CISCO.
> Настраивал CISCO не я, и опыта с работой CISCO нету, времени читать
> мануалы на данный момент нету, очень маленькие сроки, я сам понимаю
> , что этот вопрос из легких.
> к CISCO подключаюсь через "putty", а дальше не знаю что делать..
> Заранее спасибо!!
> С уважением, Т.А. ЧерневХотя б листинг конфига дали. Хотя с такими знаниями.
>[оверквотинг удален]
>> Как в CISCO прописать маршрутизацию между дввумя подсетями, чтоб я мог 2-ой
>> подсетью зарегестрироваться на КД 172.20.128.2(т.е. 1 подсеть)?
>> Если можно поподробнее, с командами и авторизацией в CISCO.
>> Настраивал CISCO не я, и опыта с работой CISCO нету, времени читать
>> мануалы на данный момент нету, очень маленькие сроки, я сам понимаю
>> , что этот вопрос из легких.
>> к CISCO подключаюсь через "putty", а дальше не знаю что делать..
>> Заранее спасибо!!
>> С уважением, Т.А. Чернев
> Хотя б листинг конфига дали. Хотя с такими знаниями.ну, скажите как? свой логин и пароль знаю! по пунктам распишите!
> ну, скажите как? свой логин и пароль знаю! по пунктам распишите!мля.
зайдите со свои логином и паролем, потом
en
введите пароль, потом
sh run
прокрутите до конца, скопируйте и вставьте сюдаЗа время прошедшее с первого вашего поста до второго, можно было уже давно кучу доков почитать.
попробуйте удалить network 172.20.0.0 при конфигурировании router rip и прописать каждую подсеть:
network 172.20.128.0
network 172.20.136.0
> попробуйте удалить network 172.20.0.0 при конфигурировании router rip и прописать каждую
> подсеть:
> network 172.20.128.0
> network 172.20.136.0ага, а команда удаления 172.20.0.0?
я делаю так
conf t
router rip
ver 2
network (в будущем 172.20.128.0)
network (в будущем 172.20.136.0)
exit
exitгде тут удалять network 172.20.0.0?
>[оверквотинг удален]
> ага, а команда удаления 172.20.0.0?
> я делаю так
> conf t
> router rip
> ver 2
> network (в будущем 172.20.128.0)
> network (в будущем 172.20.136.0)
> exit
> exit
> где тут удалять network 172.20.0.0?введите после router rip
no network 172.168.20.0
после как написали
> не увидел на интерфейсах ip, соответствующий сети 172.168.136.0.так я так понимаю надо добавить ip?
делается так?
conf t
ip add 172.20.136.1 255.255.252.0
exit
exit?
> не увидел на интерфейсах ip, соответствующий сети 172.168.136.0.не такой, 172.20.136.0. такой сети у нас вообще нету!
>[оверквотинг удален]
> exec-timeout 60 0
> password 7 0532120B1C58021D001C0403
> logging synchronous
> transport preferred none
> transport input telnet ssh
> transport output telnet ssh
> !
> scheduler allocate 20000 1000
> !
> endА где у вас терминируется сеть 136? в конфиге ее не вижу. Если не на циске, то на каком IP?
>[оверквотинг удален]
>> logging synchronous
>> transport preferred none
>> transport input telnet ssh
>> transport output telnet ssh
>> !
>> scheduler allocate 20000 1000
>> !
>> end
> А где у вас терминируется сеть 136? в конфиге ее не вижу.
> Если не на циске, то на каком IP?т.е. ?? дело в том , что CISCO не я настраивал, сейчас вводим новую сеть 172.20.136.*, надо чтоб она разговаривала с 172.20.128.* , и чтоб ее КД понимал и раздовал DHCP.
вот основная задача.
> объясните мне попорядку,что надо сделать, чтоб CISCO понимала сеть 136, и прописать
> маршрут.У вас кроме этого роутера есть коммутатор, куда включены клиенты?
коммутатор понимает вланы?
Если да, то заводите новый влан по аналогии с остальнымиinterface FastEthernet0/0.3
description -- LAN inet pool
encapsulation dot1Q 3
ip address 172.20.136.1 255.255.252.0
ip nat inside
ip virtual-reassembly
no ip route-cache
no snmp trap link-status
no cdp enableСобственно больше никаких манипуляций не требуется.
Если хотите более точный ответ - нарисуйте примерную схему вашей сети.
interface FastEthernet0/0.2
description Readers inet pool
encapsulation dot1Q 2
ip address 10.0.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no ip route-cache
no snmp trap link-status
traffic-shape rate 4096000 256000 256000 1024
no cdp enableэтот как влан изменить?? на 136 сеть? и если я изменю, это влан увидит 128 сеть?
в чем нарисовать в VISIO?
>[оверквотинг удален]
> ip address 10.0.0.1 255.255.255.0
> ip nat inside
> ip virtual-reassembly
> no ip route-cache
> no snmp trap link-status
> traffic-shape rate 4096000 256000 256000 1024
> no cdp enable
> этот как влан изменить?? на 136 сеть? и если я изменю, это
> влан увидит 128 сеть?
> в чем нарисовать в VISIO?Ох, без обид конечно, но вам надо почитать самые основы)) типа вланов, маршрутизации и прочего))
На роутере вы можете заводить сабинтерфейсы, приписывая каждому свой влан.
У вас должно быть:
один влан с сетью 128, второй влан с сетью 136.
На выходе с интерфейса fa0/0 вы получите в транке два своих влана.
Свое оборудование подключаете в тот или иной влан.
На оборудовании должны быть дефолтовый маршрут.
Все.
Никаких хитрых маршрутов и уж тем более динамических протоколов маршрутизации тут не надо.
> в чем нарисовать в VISIO?Немного не понял в чем вопрос =) нарисуйте хоть в паинте )
>[оверквотинг удален]
> У вас должно быть:
> один влан с сетью 128, второй влан с сетью 136.
> На выходе с интерфейса fa0/0 вы получите в транке два своих влана.
> Свое оборудование подключаете в тот или иной влан.
> На оборудовании должны быть дефолтовый маршрут.
> Все.
> Никаких хитрых маршрутов и уж тем более динамических протоколов маршрутизации тут
> не надо.
>> в чем нарисовать в VISIO?
> Немного не понял в чем вопрос =) нарисуйте хоть в паинте )Так, понял! да какие обиды.. век живи, век учись! на счет того, что вы сказали я уже понял! вопрос состоит в том,как это vlan изменить на существующий, или как этот удалить и добавить новыЙ!
Опыт работы с CISCO 5 часов ;) так что поймите меня! просто это VLAN с 10.0.0.0 был в планах, а теперь хочу с 172.20.136.0
>[оверквотинг удален]>[оверквотинг удален]
>> Никаких хитрых маршрутов и уж тем более динамических протоколов маршрутизации тут
>> не надо.
>>> в чем нарисовать в VISIO?
>> Немного не понял в чем вопрос =) нарисуйте хоть в паинте )
> Так, понял! да какие обиды.. век живи, век учись! на счет того,
> что вы сказали я уже понял! вопрос состоит в том,как это
> vlan изменить на существующий, или как этот удалить и добавить новыЙ!
> Опыт работы с CISCO 5 часов ;) так что поймите меня!
> просто это VLAN с 10.0.0.0 был в планах, а теперь хочу
> с 172.20.136.0Ну тогда измените настройки этого влана и все. Другую сеть пропишите
>>> не надо.
>>>> в чем нарисовать в VISIO?
>>> Немного не понял в чем вопрос =) нарисуйте хоть в паинте )
>> Так, понял! да какие обиды.. век живи, век учись! на счет того,
>> что вы сказали я уже понял! вопрос состоит в том,как это
>> vlan изменить на существующий, или как этот удалить и добавить новыЙ!
>> Опыт работы с CISCO 5 часов ;) так что поймите меня!
>> просто это VLAN с 10.0.0.0 был в планах, а теперь хочу
>> с 172.20.136.0
> Ну тогда измените настройки этого влана и все. Другую сеть пропишите
так сделал я так
2 влан изменил на подсеть 172.19.137.1 255.255.252.0
потом поднял рип в2 на КД
на Циско сделал рип между 172.20.0.0 и 172.19.0.0 пингуются ,что мне надо и могу из другого влана авторизироватся в КД на подсети 172.20
сделал я так
login
password
en
conf t
interface FastEthernet0/0.2
ip address 172.19.136.1 255.255.252.0
no shutdown
exit
router rip
ver 2
no network 172.20.0.0
no network 192.168.0.0
network 172.20.0.0
network 172.19.0.0
exit
exit
на клиенте пишу
ИП: 172.19.136.33
255.255.252.0
шлюз: 172.20.128.1
днс: 172.20.128.2
пинг поступает и на другйо влан. и могу зарегестрировать на КД
вопрос не криво настроено все. ;)
>[оверквотинг удален]
> 255.255.252.0
> шлюз: 172.20.128.1
> днс: 172.20.128.2
> пинг поступает и на другйо влан. и могу зарегестрировать на КД
> вопрос не криво настроено все. ;)
> на клиенте пишу
> ИП: 172.19.136.33
> 255.255.252.0
> шлюз: 172.20.128.1
> днс: 172.20.128.2Капец, неужто работает? клиент вам не сказал что вы пишете какую то хрень? )
у вас шлюз не в своей подсети находится.
>[оверквотинг удален]
>> пинг поступает и на другйо влан. и могу зарегестрировать на КД
>> вопрос не криво настроено все. ;)
>> на клиенте пишу
>> ИП: 172.19.136.33
>> 255.255.252.0
>> шлюз: 172.20.128.1
>> днс: 172.20.128.2
> Капец, неужто работает? клиент вам не сказал что вы пишете какую то
> хрень? )
> у вас шлюз не в своей подсети находится.работает, могу шлюз написать 172.19.136.1
т.е. в своей подсети, и все работает!
>[оверквотинг удален]
>>> на клиенте пишу
>>> ИП: 172.19.136.33
>>> 255.255.252.0
>>> шлюз: 172.20.128.1
>>> днс: 172.20.128.2
>> Капец, неужто работает? клиент вам не сказал что вы пишете какую то
>> хрень? )
>> у вас шлюз не в своей подсети находится.
> работает, могу шлюз написать 172.19.136.1
> т.е. в своей подсети, и все работает!Я понял, что глючно все настроено!
Что мы имеем на данный момент!.
interface FastEthernet0/0.1
description -- LAN inet pool
encapsulation dot1Q 1 native
ip address 172.20.128.1 255.255.252.0 secondary
ip address 192.168.0.1 255.255.254.0
ip nat inside
ip virtual-reassembly
no ip route-cache
no snmp trap link-status
traffic-shape rate 4096000 256000 256000 1024
no cdp enableinterface FastEthernet0/0.2
description Readers inet pool
encapsulation dot1Q 2
ip address 172.19.139.1 255.255.252.0
ip nat inside
ip virtual-reassembly
no ip route-cache
no snmp trap link-status
traffic-shape rate 4096000 256000 256000 1024
no cdp enableчерез ACL создал список доступа и поднял в NAT.
Теперь вопрос! как сделать , чтоб между этими интерфейсами бегал трафик?? чтоб из подсети 172.19.139.0 я мог зарегестрироватся в КД в подсети 172.20.128.0
>[оверквотинг удален]
> ip address 172.19.139.1 255.255.252.0
> ip nat inside
> ip virtual-reassembly
> no ip route-cache
> no snmp trap link-status
> traffic-shape rate 4096000 256000 256000 1024
> no cdp enable
> через ACL создал список доступа и поднял в NAT.
> Теперь вопрос! как сделать , чтоб между этими интерфейсами бегал трафик?? чтоб
> из подсети 172.19.139.0 я мог зарегестрироватся в КД в подсети 172.20.128.0Между ними и так будет бегать трафик. Собственно для этого маршрутизатор и нужен.
Все что надо - чтобы на конечных устройствах стоял свой шлюз.
>[оверквотинг удален]
>> no ip route-cache
>> no snmp trap link-status
>> traffic-shape rate 4096000 256000 256000 1024
>> no cdp enable
>> через ACL создал список доступа и поднял в NAT.
>> Теперь вопрос! как сделать , чтоб между этими интерфейсами бегал трафик?? чтоб
>> из подсети 172.19.139.0 я мог зарегестрироватся в КД в подсети 172.20.128.0
> Между ними и так будет бегать трафик. Собственно для этого маршрутизатор и
> нужен.
> Все что надо - чтобы на конечных устройствах стоял свой шлюз.т.е. например на КД пишем ИП 172,20,128,2 маска 255,255,252,0 и шлюз 172,20,128,1 на клиенте ИП 172,19,136,33 маска 255,255,252,0 и шлюз 172,19,136,1 и между клиентом и КД будет бегать трафик??
Короче я проделал вот это:*удалил маршрутизацию RIP v2 на CISCO и на win2003 server*
conf t
no router rip
*потом во 2 интерфейсе прописал 2 подсеть с нормальным IP *
conf t
interface FastEthernet0/0.1
ip address 172.20.136.1 255.255.252.0
no shutdown
*создал ACL на nat, для 2 интерфейса FastEthernet0/0.1, чтоб была связь с внешним миром.
conf t
ip access-list standard readers_inet_136
permit 172.20.136.0 0.0.3.225
*добавид ACL в nat*
conf t
ip nat inside source list readers_inet_136 pool inet_pool overload
*Включил маршрутизацию ( по умолчанию , она должна быть включена )*
conf t
ip routing
*сгенерировал default gateway*Теперь я думаю нету кривизны? и работает как положено ? правильная настрока? или как бы еще красивее сделать? ;)
надо было бы enter еще понажимать, пока конфиг не закончится)))
тяжело Вам придется.
а уже понажимали)))пока я писал
Имеется 2 циски 3560, соединенные между собой на 24-х портах, у обеих прописаны одинаковые vlan'ы:
vlan 10
name Data
vlan 20
name Management
---
и одинаковый транковый порт у обеих:
interface FastEthernet0/24
switchport trunk allowed vlan 10,20
switchport trunk encapsulation dot1q
switchport mode trunk
---
на первой:
interface Vlan20
ip address 192.168.100.1 255.255.255.0
no shutdown
---
на второй (с маршрутизацией):
ip routinginterface Vlan10
ip address 192.168.1.254 255.255.255.0interface Vlan20
ip address 192.168.100.2 255.255.255.0
no shutdown
---
Vlan20 подняты, сами себя они пингуют (на .100.1 и .100.2 соответственно), а друг друга не могут.
Они вообще должны друг друга пинговать или нет?
На обеих цисках - Vlan20 directly connected.
P.S. Все это пока делается на Packet Tracer 5.3.3 - может чего с программой?
>[оверквотинг удален]>> P.S. Все это пока делается на Packet Tracer 5.3.3 - может чего
> interface Vlan20
> ip address 192.168.100.2 255.255.255.0
> no shutdown
> ---
> Vlan20 подняты, сами себя они пингуют (на .100.1 и .100.2 соответственно), а
> друг друга не могут.
> Они вообще должны друг друга пинговать или нет?
> На обеих цисках - Vlan20 directly connected.
> P.S. Все это пока делается на Packet Tracer 5.3.3 - может чего
> с программой?Внутри Vlan'ов все должно пингововаться. Для пинга между Vlan'ами у вас должен быть маршрут.
Экспортни куда-нибудь топологию из PacketTracer, я тебе помогу.
>[оверквотинг удален]
>> no shutdown
>> ---
>> Vlan20 подняты, сами себя они пингуют (на .100.1 и .100.2 соответственно), а
>> друг друга не могут.
>> Они вообще должны друг друга пинговать или нет?
>> На обеих цисках - Vlan20 directly connected.
>> P.S. Все это пока делается на Packet Tracer 5.3.3 - может чего
>> с программой?
> Внутри Vlan'ов все должно пингововаться. Для пинга между Vlan'ами у вас должен
> быть маршрут.А маршрут то зачем?
> Они вообще должны друг друга пинговать или нет?
> На обеих цисках - Vlan20 directly connected.
> P.S. Все это пока делается на Packet Tracer 5.3.3 - может чего
> с программой?если не стоит задача настроить еще вчера, то наиболее приемлемым для вас вариантом будет сначала прочитать теорию и все станет намного легче
>> Они вообще должны друг друга пинговать или нет?
>> На обеих цисках - Vlan20 directly connected.
>> P.S. Все это пока делается на Packet Tracer 5.3.3 - может чего
>> с программой?
> если не стоит задача настроить еще вчера, то наиболее приемлемым для вас
> вариантом будет сначала прочитать теорию и все станет намного легчеесли кратко - vlan и ip это разные уровни модели OSI и в нормальном случае они и не должны при такой топологии узлы в разных логических сетях пинговаться не должны
>>> Они вообще должны друг друга пинговать или нет?
>>> На обеих цисках - Vlan20 directly connected.
>>> P.S. Все это пока делается на Packet Tracer 5.3.3 - может чего
>>> с программой?
>> если не стоит задача настроить еще вчера, то наиболее приемлемым для вас
>> вариантом будет сначала прочитать теорию и все станет намного легче
> если кратко - vlan и ip это разные уровни модели OSI и
> в нормальном случае они и не должны при такой топологии узлы
> в разных логических сетях пинговаться не должныОни в одной Vlan 20, которая проходит через транковый порт на обеих цисках.
Объясните, почему они не должны пинговать друг друга?
> На первой
> ip route 192.168.1.0 255.255.255.0 192.168.100.2Спасибо ответившим. Все работает. Глюк с программой.
Возникла проблема при создании под сетей в одно ранговой ЛВС без сервера, компьютер из одной сети 192.168.0.1 не видит машину из другой сети 192.168.1.1, то есть не пингуется.
Спрашивается почему создавалась новую под сеть, проще было бы добавить все ЭВМ в одну локалку 192.168.1.1 и было бы счастье, но ip жестко привязаны к программе все настроено ничего не хочется менять. И по этому возникла проблема получить доступ к компу из другой сети. Покопавшись по интернету, подслушал советы
1) Во первых проверить блокирующие правила в маршрутизаторе, раз у нас нет сервера может там что то блокируется.
Никаких блокирующих правил не было. PING с компа 192.168.1.2 шел до шлюза 192.168.0.1, и на оборот, с компа 192.168.0.2 пинговался шлюз 192.168.0.1
2) Отключить фаервол на обоих компах, по умолчанию если не установлены то работает встроенный брандмауэр Windows 7 в плоть до 10 версии он там есть.
О аллилуйя, пинг пошел, в обе стороны то есть получается пинг блокирует межсетевой экран.
Нашли загвоздку но что дальше не можем же мы отставить систему без защиты Брандмауэра, по этому включаем защиту и разбираемся в правилах, какое блокирует нам другую подсетью.
Итак разобравшись создаем новое правило в Брандмауэре Windows:
Если не помогло, то удалите правило и попробуйте подредактировать уже созданные правила:
Последнее правило разрешаем для того чтобы были доступны расширенные папки по сети.
Также необходимо еще дополнительно в правилах на вкладке "Область" установить значение "Любой IP-адрес".
P.S.: Видимости компьютера в разных LAN, то есть из разных подсетей в сетевом окружении, вы не добьетесь. Так уж устроена политика Windows 7 и выше, пока вы не создадите домашнюю группу и не добавите туда компьютер из другой сети. Или для этого нужно организовывать домен.
Поделись с друзьями:
Комментарии к записи Не пингуется компьютер из другой подсети, нет PING отключены
Нет комментариев для записи Не пингуется компьютер из другой подсети, нет PING
Читайте также: