|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Andrew Anikin 2:5020/400 21 Mar 2003 19:41:27
To : All
Subject : Проблемы с 3640
--------------------------------------------------------------------------------
Приветствую всех!
Такого я ещё не видел.
Есть 3640, IOS 12.2(11)T6
Сконфигурён классический policy routing:
=============================================
interface FastEthernet0/0
no ip address
ip route-cache policy
speed 100
full-duplex
no cdp enable
!
interface FastEthernet0/0.1
description Wireless network
encapsulation dot1Q 1 native
ip address 62.117.83.217 255.255.255.248 secondary
ip address 172.16.251.4 255.255.0.0
no ip proxy-arp
ip policy route-map Wireless
no cdp enable
!
interface FastEthernet0/0.5
description Star Telecom
encapsulation dot1Q 5
ip address 62.117.83.206 255.255.255.252
no ip proxy-arp
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 172.16.255.254
!
ip access-list standard StarTelecom
permit 62.117.83.216 0.0.0.7
!
route-map Wireless permit 10
match ip address StarTelecom
set ip next-hop 62.117.83.205
==============================================
Клиент сидит на адресе 62.117.83.220. Делает traceroute и видит, что путь
пролегает через 172.16.255.254. А это фаирвол, который все эти пакеты
прибивает.
Я делаю debug ip policy и вижу, что в debug ничего не попадает. То есть
пакетов нету вообще.
Я от такого дела офигеваю и решаю проверить, а действительно ли от клиента
приходят пакеты с source 62.117.83.220. Делаю следующую конфигурацию.
==============================================
interface FastEthernet0/0
no ip address
ip route-cache policy
speed 100
full-duplex
no cdp enable
!
interface FastEthernet0/0.1
description Wireless network
encapsulation dot1Q 1 native
ip address 62.117.83.217 255.255.255.248 secondary
ip address 172.16.251.4 255.255.0.0
ip access-group Test in
no ip proxy-arp
ip policy route-map Wireless
no cdp enable
!
interface FastEthernet0/0.5
description Star Telecom
encapsulation dot1Q 5
ip address 62.117.83.206 255.255.255.252
no ip proxy-arp
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 172.16.255.254
!
ip access-list standard StarTelecom
permit 62.117.83.216 0.0.0.7
!
ip access-list extended Test
permit ip 62.117.83.216 0.0.0.7 any log
permit ip any any
!
route-map Wireless permit 10
match ip address StarTelecom
set ip next-hop 62.117.83.205
!
==============================================
И тут клиент говорит, что у него всё заработало. Я действительно вижу, что
заработал policy routing!!! В debug повалились записи. Попросил его сделать
traceroute. Пакеты пришли с 62.117.83.220 и ушли на 62.117.83.205.
Я решил, что клиент сам дурак и что-то сначала не так настроил, а теперь
исправил, и всё заработало. Убираю с интерфейса ip access-group, и тут вдруг
клиент говорит, что у него ничего не работает. Я возвращаю на
FastEthernet0/0.1 ip access-group, и у клиента всё начинает работать. Меня
время поджимало. Я подумал, что ладно, потом разберусь. Hо надо хотя бы лог
вырубить. Убрал из аксесс-листа permit ip 62.117.83.216 0.0.0.7 any log . И
тут клиент говорит, что у него ничего не работает. Ж:-[ ]
Говорю
no ip access-list extended Test
ip access-list extended Test
permit ip 62.117.83.216 0.0.0.7 any log
permit ip any any
Клиент говорит, что у него всё заработало.
Вобщем пришлось всё так и оставить. Hо может кто подскажет, что это такое. А
то я так и не понял, то ли лыжи не едут, то ли я ...
--
С уважением, Андрей Аникин.
--- ifmail v.2.15dev5
* Origin: "MTU-Intel ISP" (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Проблемы с 3640 |
Andrew Anikin |
21 Mar 2003 19:41:27 |
|
|
