» Настройка Cisco оборудования

может криво обьяснил. Вообщем так есть 3560 у нее 2 влана:
vlan 30 ip add 10.2.30.2 vlan 192 ip add 192.168.1.2
3560 после данніх манипуляций, начала видеть 2 ранг сети 192.168.1.х
тоже сделал на 2921 поднял влан прописал настройки что б ходил все и все забегало.
Но на 881 у меня почему то ip 192.168.1.2 Vlan 192 на 3560 пингуется а кроме єтого не чего больше...

Добавлено:
но за 10.2.30.х все норм там пинги ходитят в 2 направлениях и из сети 192.168.1.х
а вот пинг с компа сети 192.168.1.х доходит до конечного пользователя сети 10.2.30.х
а обратно к сети 192.168.1.х нет

cRYSMAS

Значит просто маршрутов на 881 не хватает, их надо просто добавить:
#conf t
...#ip route 10.2.1.0 255.255.255.0 192.168.1.2

Добавлено:
Ну и соответственно тем кто в сети 10.2.1.0 дефолтный маршрут сделать на 3560, т.е. на 10.2.30.2


Добавлено:
cRYSMAS
И Вы уже определитесь какие у вас там сети уже таки.
или 10.2.1.0 или 10.2.30.0


Добавлено:

Цитата:

есть 2 ранга сети 192.168.1.0/21 и 2 10,2,1,0/24  
Сеть 10,2,1,0/24 имеет несколько подсетей 10,2,1-10,2,110,0(но другие подсети покамись не используюуться)

Простите, но это бред, - 10.2.1.0/24 никак не может иметь подсеть 10.2.110.0


Добавлено:
Калькулятор Вам в помощь: http://lantricks.com/lancalculator/
PS Не мой !

сонф 881

[more]Building configuration...

Current configuration : 1969 bytes
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname Bobr881
!
boot-start-marker
boot-end-marker
!
!
enable secret 4 DUuPZ9l07KBpyCBUQuWMABEmsUsk.5/qnL0zQV3qoB.
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication enable default enable
!
!
!
!
!
aaa session-id common
memory-size iomem 10
!
!
!
!
!
!


!
ip dhcp excluded-address 10.2.30.1 10.2.30.10
!
ip dhcp pool New
network 10.2.30.0 255.255.255.0
dns-server 192.168.1.253
domain-name pypka.com
default-router 10.2.30.1
!
!
!
ip domain name pypka.com
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
license udi pid CISCO881-SEC-K9 ***********
!
!
username cRYSMAS password 7 *******************************
!
!
!
!
!
ip ssh time-out 60
ip ssh version 2
!
!
!
!
!
!
!
!
!
interface FastEthernet0
switchport access vlan 30
no ip address
!
interface FastEthernet1
switchport mode trunk
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
no ip address
!
interface FastEthernet4
no ip address
ip nat outside
ip virtual-reassembly in
no ip route-cache
duplex auto
speed auto
!
interface Vlan1
no ip address
!
interface Vlan30
description LAN
ip address 10.2.30.1 255.255.255.0
!
!
router eigrp 30
distribute-list 31 in
network 10.2.30.0 0.0.0.255
!
ip default-gateway 10.2.3.1
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip nat inside source list 30 interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 10.2.3.1
!
access-list 30 permit 10.2.30.0 0.0.0.255
access-list 31 deny 10.2.40.0 0.0.0.255
access-list 31 permit any
no cdp run
!
!
!
!
control-plane
!
!
!
line con 0
password 7 *******************************
no modem enable
line aux 0
line vty 0 4
transport input all
line vty 5 14
transport input all
line vty 15
password 7 *******************************
transport input all
!
!
end
[/more]

конф 2921
[more]
gw2921#sh run
Building configuration...

Current configuration : 2829 bytes
!
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname gw2921
!
boot-start-marker
boot-end-marker
!
!
enable secret 5 $1$OO4X$6RDFiMpKSfQt5TBi.5vT5.
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication enable default enable
!
!
!
!
!
aaa session-id common
!
!
!
!
!
!
!
ip domain name pypka.com
ip name-server 10.1.1.1
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
license udi pid CISCO2921/K9 sn ***********
!
!
username cRYSMAS password 7 *******************************
!
redundancy
!
!
!
!
!
ip ssh maxstartups 2
ip ssh version 2
!
!
!
!
!
!
!
!
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description gi 0/0
bandwidth 10000
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.30
encapsulation dot1Q 30
ip address 10.2.30.2 255.255.255.0
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/0.40
encapsulation dot1Q 40
ip address 10.2.40.2 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/0.60
encapsulation dot1Q 60
ip address 10.2.60.2 255.255.255.0
ip virtual-reassembly in
no cdp enable
!
interface GigabitEthernet0/0.70
encapsulation dot1Q 70
ip address 10.2.70.2 255.255.255.0
no cdp enable
!
interface GigabitEthernet0/1
description gi0/1
bandwidth 10000
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.30
encapsulation dot1Q 30
ip address 10.2.10.2 255.255.255.0
!
interface GigabitEthernet0/1.40
encapsulation dot1Q 40
!
interface GigabitEthernet0/1.60
encapsulation dot1Q 60
no cdp enable
!
interface GigabitEthernet0/1.192
encapsulation dot1Q 192
ip address 192.168.1.28 255.255.248.0
no cdp enable
!
interface GigabitEthernet0/2
no ip address
shutdown
duplex auto
speed auto
!
!
router eigrp 30
network 10.2.10.0 0.0.0.255
network 10.2.11.0 0.0.0.255
network 10.2.20.0 0.0.0.255
network 10.2.30.0 0.0.0.255
network 10.2.40.0 0.0.0.255
network 10.2.50.0 0.0.0.255
network 10.2.60.0 0.0.0.255
network 10.2.70.0 0.0.0.255
network 10.2.80.0 0.0.0.255
network 10.2.90.0 0.0.0.255
network 192.168.0.0 0.0.7.255
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip default-network 10.2.0.0
ip route 10.2.0.0 255.255.0.0 10.2.30.1
!
no cdp run
!
!
tftp-server flash:cpconfig-2921-04122014.cfg
!
!
!
control-plane
!
!
!
line con 0
password 7 *******************************
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
password 7 *******************************
transport input all
line vty 5 1114
password 7 *******************************
transport input all
!
scheduler allocate 20000 1000
!
end
[/more]

конф 3560
[more]com3560#sh run
Building configuration...

Current configuration : 5093 bytes
!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname com3560
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$TLW8$B4/qJ8yQhmOA0M8nIZXzX1
!
username cRYSMAS password 7 *******************************
!
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication enable default enable
!
!
!
aaa session-id common
system mtu routing 1500
ip routing
!
!
vtp domain Pypka.com
vtp mode transparent
!
!
crypto pki trustpoint TP-self-signed-2188878592
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2188878592
revocation-check none
rsakeypair TP-self-signed-2188878592
!
!
crypto pki certificate chain TP-self-signed-2188878592
certificate self-signed 01
30820240 308201A9 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 32313838 38373835 3932301E 170D3933 30333031 30303031
32395A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 31383838
37383539 3230819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
8100AEE8 10B9A4FA 238B147B E0B97A61 93ACF63E EEA1AB41 1C1F3B89 D0069636
BD2E4E4D B444F0BC 4FCE1AEF 4EBCAD16 1A8B654B 05F594E7 4B564F30 E524915D
FD57AA1F ECF1E8FB 63164D45 65ACFFD0 6A0BED39 DC0BB8FB 9C5F56A4 755091F0
EE91BEE3 0747B3E1 082B2F7D 04E833D2 DEBA862D 604BBCE4 8B6492D1 9A942F88
B6450203 010001A3 68306630 0F060355 1D130101 FF040530 030101FF 30130603
551D1104 0C300A82 08636F6D 33353630 2E301F06 03551D23 04183016 801411EC
C5FEFDFF 90D88F39 2F60F469 9630438F EBCD301D 0603551D 0E041604 1411ECC5
FEFDFF90 D88F392F 60F46996 30438FEB CD300D06 092A8648 86F70D01 01040500
03818100 A41A5EA2 8039416B F26F8F73 59CC8A4C D1C14084 9B630AF7 16881334
C9EB9225 FDE0C840 8EC3229F CB3908A1 185AAB7F 005E6D44 4FD43F98 82CF3705
075A2794 433809B2 AA8E928D AA161B83 88ABEBB9 1950A0A9 BF7F7272 AEE686C3
B7E896BA 0C6BE090 3580B7E2 53C47465 928A0661 BBD18310 D83AC793 651A9EE3 5CD4713E
quit
spanning-tree mode pvst
spanning-tree extend system-id
!
!
!
!
vlan internal allocation policy ascending
!
vlan 10
name Pypka
!
vlan 30
name New
!
vlan 192
name ST
!
!
!
interface FastEthernet0
no ip address
no ip route-cache cef
no ip route-cache
no ip mroute-cache
shutdown
!
interface GigabitEthernet0/1
shutdown
!
interface GigabitEthernet0/2
description trunk to gi0/2
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,30,40,192
switchport mode trunk
!
interface GigabitEthernet0/3
switchport access vlan 30
switchport mode access
!
interface GigabitEthernet0/4
!
interface GigabitEthernet0/5
!
interface GigabitEthernet0/6
!
interface GigabitEthernet0/7
!
interface GigabitEthernet0/8
!
interface GigabitEthernet0/9
!
interface GigabitEthernet0/10
!
interface GigabitEthernet0/11
!
interface GigabitEthernet0/12
!
interface GigabitEthernet0/13
!
interface GigabitEthernet0/14
!
interface GigabitEthernet0/15
!
interface GigabitEthernet0/16
!
interface GigabitEthernet0/17
!
interface GigabitEthernet0/18
!
interface GigabitEthernet0/19
!
interface GigabitEthernet0/20
!
interface GigabitEthernet0/21
!
interface GigabitEthernet0/22
!
interface GigabitEthernet0/23
!
interface GigabitEthernet0/24
!
interface GigabitEthernet0/25
!
interface GigabitEthernet0/26
!
interface GigabitEthernet0/27
!
interface GigabitEthernet0/28
!
interface GigabitEthernet0/29
!
interface GigabitEthernet0/30
!
interface GigabitEthernet0/31
!
interface GigabitEthernet0/32
!
interface GigabitEthernet0/33
!
interface GigabitEthernet0/34
!
interface GigabitEthernet0/35
!
interface GigabitEthernet0/36
!
interface GigabitEthernet0/37
!
interface GigabitEthernet0/38
!
interface GigabitEthernet0/39
!
interface GigabitEthernet0/40
!
interface GigabitEthernet0/41
!
interface GigabitEthernet0/42
!
interface GigabitEthernet0/43
!
interface GigabitEthernet0/44
!
interface GigabitEthernet0/45
!
interface GigabitEthernet0/46
!
interface GigabitEthernet0/47
switchport access vlan 192
switchport mode access
!
interface GigabitEthernet0/48
!
interface GigabitEthernet1/1
!
interface GigabitEthernet1/2
!
interface GigabitEthernet1/3
!
interface GigabitEthernet1/4
!
interface TenGigabitEthernet1/1
!
interface TenGigabitEthernet1/2
!
interface Vlan1
no ip address
shutdown
!
interface Vlan10
ip address 10.2.11.1 255.255.255.0
!
interface Vlan30
ip address 10.2.10.1 255.255.255.0
!
interface Vlan192
ip address 192.168.1.27 255.255.248.0
!
!
router eigrp 30
network 10.2.10.0 0.0.0.255
network 10.2.11.0 0.0.0.255
network 10.2.20.0 0.0.0.255
network 192.168.0.0 0.0.7.255
eigrp stub connected summary
!
ip default-gateway 192.168.1.27
ip classless
no ip http server
no ip http secure-server
!
no cdp run
!
!
line con 0
password 7 *******************************
login authentication cRYSMAS
line vty 0 4
password 7 *******************************
line vty 5 15
password 7 *******************************
!
end
[/more]
Итак 10.2.30.0 ходит в этой сети норм все пингуеться все туда сюда ходят. 192.168.1.27 айпи на 3560 влан 192 связан с сетью 192.168.1.х именно с 881 пинг ходит только на 192.168.1.27 (3560) 192.168.1.28(2921) на остальные айпи не ходит. Посмотрите может что то я пропустил
ЗЫ по поводу остальных ошибок в моей конфиге свисните но уже голова кругом =(

cRYSMAS
Вроде не первый год на форуме, - уберите плиз под тег [no][more][/more][/no] каждый из конфигов, как минимум.
Неприятно такие портянки смотреть...

Добавлено:
Ну и пароли нулями в конфигах забейте заодно ...

ну как то так=)

cRYSMAS
Навсидку:

Цитата:

Вообщем так есть 3560 у нее 2 влана: vlan 30 ip add 10.2.30.2

Из конфигов:
881 - vlan30 ip : 10.2.30.1/24
3560 - vlan30 ip: 10.2.10.1
Пишите одно, на деле совсем другое
Мой Вам совет, на бумажке нарисуйте три прямоугольника и спишите ир/сети и как соединены исходя из конфигов, а не по памяти. А-то я совсем запутался уже


Добавлено:
И уберите пока eigrp из конфигов, - излишни они тут пока.


Добавлено:
ну и как я и говорил уже маршрут-то на сеть, в 881-й, Вы так и не добавили:
881#ip route 192.168.0.0. 255.255.248.0 10.2.30.2

я заболел тяжко совсем...


Цитата:

Из конфигов:
881 - vlan30 ip : 10.2.30.1/24
3560 - vlan30 ip: 10.2.10.1

сорь..

нельзя пишет Inconsistent address and mask

Цитата:

881#ip route 192.168.0.0. 255.255.248.0 10.2.30.2

Добавлено:
айпи 192,168,1,х имеет маску 255,255,248,0 а айпи 10,2,х.х 255,255,255,0

Добавлено:
бьюсь головой об стенку почему не пускает, а когда на 881 создаю влан например vlan192 и присваиваю ему айпи то айпишник на 2921 192,168,1,28 не пингуется также и как на 3560 192,168,1,27

Похоже у Вас просто проблема с архитектурой.
Есть два пути:
1) (L2) Оставляем коммутатору его непосредственное назначение, а маршрутизацию будем выполнять _всю_ на 2921. Для этого 3560 и 2921 соединяем транком, и все IP-ники (которые и будут дефолтом для всех, в том vlan-е) прописываются на рутере (2921).
Дыбы понять что это смотрим первоисточник
Такой метод вполне годится когда нужно в наши все vlan-ы только интернет раздавать.
Но при высоко-нагруженных передачах между vlan-ами такой метод нам может и рутер завалить! (например когда сервера в одном vlan, юзеры в другом)

2) С появлением коммутаторов которые еще и могут на третьем уровне работать (L3), применяют "гибридный" так сказать метод маршрутизации. Т.е. маршрутизацию _только_ между VLAN-ми возлагают на коммутатор, а все остальное отправляем на рутер который для того и предназначен собственно.

У вас-же вообще непойми чего. Например зачем на 2921 VLAN 192 ? И зачем вообще на 881 его создавать ?
Как вообще все скоммутировано из-за этого тоже не совсем понятно никому.
К сожалению пока не будет ясной и четкой картины, вряд-ли кто-то возьмется вам помогать, - телепатов тут нема.
PS И пож. ставьте точки в IP-ках, если не трудно.
PSPS "В правильно заданном вопросе, содержится половина решения". (c) незнаючей.




Добавлено:
Надо хотя-бы типа такого:

Цитата:

У вас-же вообще непойми чего. Например зачем на 2921 VLAN 192 ? И зачем вообще на 881 его создавать ?
Как вообще все скоммутировано из-за этого тоже не совсем понятно никому.
К сожалению пока не будет ясной и четкой картины, вряд-ли кто-то возьмется вам помогать, - телепатов тут нема.
PS И пож. ставьте точки в IP-ках, если не трудно.
PSPS "В правильно заданном вопросе, содержится половина решения". (c) незнаючей.

начнем с того у меня 2 разные сети как мне обьяснить 3560 2921 или тому же 881 что есть еще на далеком фронте за 3560 сеть 192.168.1.х потому я и создал влан 192 на 3560 тогда у меня сеть начала пинговатся из сети 10.2. ...
а с 2921 нет и 881 тоже нет, потому там прописал... вот и покамись затык на 881
значит из всего исходящего я не втом направлении пошел. н осеть 10.2.х.х. работает там нареканий нет по настройке?

cRYSMAS
Ну вот на моей картинке, и допустим это я правильно нарисовал и так оно и есть, у нас соединены 2921 (vlan30) и 3560 (vlan30), и нам нужно 2921 рассказать что за 3560 есть еще некая сеть, допустим 192.168.1.0/24
Тогда на 2921 добавляем маршрут:
(config)#ip route 192.168.1.0 255.255.255.0 10.2.10.1
Это значит примерно так: пакеты с адресом назначения тупо отправить на 3560, а он там сам знает что с ними делать и куда дальше отправлять. Как туда отправить я и сам знаю так-как маршрут до 10.2.10.1 у меня есть в connected, поэтому я отправлю его в такой-то интерфейс.
Прим: эти маршруты смотрят так: #sh ip route connected

Соответственно, те которые находятся в сети 192.168.1.0/24 должны понимать куда им отправлять обратно пакеты, с адресом источника 10.2.10.2, которые к ним пришли с 3560.
Для этого у них есть три пути, в данной последовательности:
1) Смотрим таблицу маршрутизации нет-ли там "подсказки" про этот конкретный IP
2) Смотрим таблицу маршрутизации нет-ли там "подсказки" про это конкретную (10.2.10.0) сеть. (маску этот хост может и не знать!)
3) Ну и коли никаких подсказок нет, - шлем тупо по дефолтному маршрут, с надеждой что там сам разберется как доставить наш ответ на пинг к этому конкретному адресу (в данном случае к 10.2.10.2).

Соответственно, если тем кто в сети 192.168.1.0 находится имеют дефолт до 3560 то они ему и отправят, а вот он уже будет дальше сам решать что с ним делать дальше.
Далее, допустим пакет от хоста в сети 192.168.1.0/24, с адресом назначения 10.2.10.2, добрался таки до 3560, то теперь он первым делом смотрит а нет-ли подходящего для него маршрута, и перым делом проверяет т.н. подключенные сети (connected network) и он его, в нашем случае, естественно обнаружит на своем интерфейсе который и смотрит в сторону 2921. НО если-б он его не обнаружил то начнет искать далее, по подсказкам, в таблице маршрутизации, по аналогии, как было описано выше в случае хоста.

Надеюсь азы маршрутизации понятно объяснил.

PS Дабы гарантировать что адрес источника, на 2921, будет именно 10.2.10.2 его принудительно указываем:
Код: #ping 192.168.1.28 source 10.2.10.2

тобишь другими словами если у меня море эти сетей 10,2,30,х 10,2,40,х и т.д. то мне не нужно создавать кучу вланов просто указывать маршрут куда бежать и всЕ?
и еще допустим на каком то интерфейсе назховем его gi 0/5 привязали влан 30 - на каждый влан нужно указывать айпи адрес или нет?
и еще раз повторюсь когда я вбиваю маршрут 192,168,1,0 255,255,248,0 10,2,10,1 мне ругаеться циска на ошибку Inconsistent address and mask

ну как бы не подходит такой адрес под такую маску он об этом вам и пишет, если вам в 192.168.1.0 отправить надо то пишите маску 255.255.255.0
по поводу вланов на маршрутизаторе они создаются, только если сабинтерфейс используете, так что в вашем случае не надо вланов на марше

Цитата:

gi 0/5 привязали влан 30

Зависит от топологии сети, от того чего хотите добиться. Маски-же для того и указываем в маршрутах, - можете указать 255.255.0.0 и все IP/сети от 10.2.0.1 до 10.2.255.254 в нее попадут.
Правда слабо представляю такую необходимость, обычно достаточно 255.255.255.0 (/24) использовать в небольших организациях.

Цитата:

на каждый влан нужно указывать айпи адрес или нет?

Но обычно придерживаются правило - один VLAN - одна сеть со своей маской.
Ну через коммутатор может проходить и транзитом VLAN который мы не хотим маршрутизировать самостоятельно на коммутаторе.
Например провайдер интернета выдал нам некий IP с маской 255.255.255.252 то в такой сети может быть только два хоста, - тогда просто на одном этом порте делаем access, с выделанным для этого транзита VLAN-ом, и далее отправляем этот VLAN в рутер транком. В итоге эти пакеты будут обрабатываться на втором уровне только. А рутер 'распакует' транк и по интерфейсам раскидает как надо уже самостоятельно. Эт я к тому что имя 3-х провайдеров необязательно иметь 4 порта в рутере, достаточно в таком случае (если он танком подключен) и одного.

Цитата:

и еще раз повторюсь когда я вбиваю маршрут 192,168,1,0 255,255,248,0 10,2,10,1 мне ругаеться циска на ошибку Inconsistent address and mask

Упс, маска-то 'широкая' - 2046 хостов. Конечно так тогда:
ip route 192.168.0.0 255.255.248.0 10.2.10.1



Добавлено:
Некоторые умники просто умудряются в первый VLAN упаковать и интернет провайдера и локальную сеть Или в 3-й назначают где у них 1C базы ворочает
А потом другие это все расхлёбывают ...

Цитата:

Упс, маска-то 'широкая' - 2046 хостов. Конечно так тогда:
ip route 192.168.0.0 255.255.248.0 10.2.10.1

прописал, на 2921 не чо пинг не проходит, печалька тяжело с больной головой работать
вернемся к моим баранаам а как 3560 будет знать куда ей оптравлять или мне тоже маршрут прописывать 192.168.0.0 255,255,248,0 192,168,1,27
?

Добавлено:
мне на 3560 vlan 192 у которого айпи 192.168.1.27 сносить?

Добавлено:
убил влан 192 на 881 и 2921 прописал маршруты и там и там
ip route 192.168.0.0 255.255.248.0 10.2.10.1
пинг не ходит с 881 и с 2921
но пингуют 192.168.1.27 это влан 192 на 3560 для интр 0/47

cRYSMAS

Цитата:

вернемся к моим баранаам а как 3560 будет знать куда ей оптравлять

Напоминаю что если есть интерфейс, на любой из цисок, с прописанным IP/маской то она уже знает что там есть эта сеть и добавляет её в таблицу маршрутизации с типом 'connected'
Если-же к этому интерфейсу подключить ноут например то для него прописываем дефолтный IP который равен IP на cisco. Естественно у ноута маска должна совпадать.
Обычно для таких ноутов/пк на циске настраивают dhcp в котором и указывают этот самый дефолт и маску для этих клиентов.


Цитата:

мне на 3560 vlan 192 у которого айпи 192.168.1.27 сносить?

Я так понимаю что там у вас ПК будут. Так зачем тогда сносить ?
Как я уже и говорил, я не телепат, и для начала:
1) Если в планируемой сети не больше 253 ПК то смените маску(и) на 255.255.255.0
2) Нарисуйте картинку что и как подключено, закиньте на fastpic или еще куда, и сюда через тег img запостите.
4) В интерфейсах пропишите 'description' назначение.
3) Если есть время - поставьте эмулятор GNS3 - возможно будет проще азы понять.

Цитата:

убил влан 192 на 881 и 2921 прописал маршруты и там и там

Это думаю правильно , но они разве в обе к 3560 подключены?, - нужна картинка подключений!

PS Для GNS3 рекомендую для 7200 - c7200-adventerprisek9-mz.124-15.T9.bin найти и использовать.

Окинул я сейчас свежим/выспавшимся взглядом - у Вас на 2921 оба интерфейса в транке !
Если к Gi0/0 попытаетесь подключить 881 то конечно ничего работать не будет.
По хорошему надо Gi0/0 тоже к 3560 танком подключать со своим набором 'транзитных' VLAN-ов, с номерами отличных от тех что в Gi0/1 идут.
881-ю уже и подключить по access к 3560 а его и прокинуть на 2921 на нужный IP через Gi0/0
Будет по фэншую
Что-то типа этого должно получиться:

Имеется ip телефон CP-6921(прошивка SCCP 9.1.1.0) и c2901 (IOS c2900-universalk9-mz.SPA.151-4.M6)
Телефон ни в какую не хочет регистрироваться, в логах tftp постоянно крутиться:
Jan 30 13:31:32 MSK: TFTP: Looking for CTLSEP54781A6A504C.tlv
Jan 30 13:31:32 MSK: TFTP: Looking for SEP54781A6A504C.cnf.xml
Jan 30 13:31:32 MSK: TFTP: Opened flash:/its/vrf1/XMLDefault6921.cnf.xml, fd 2, size 1405 for process 272
Jan 30 13:31:32 MSK: TFTP: Finished flash:/its/vrf1/XMLDefault6921.cnf.xml, time 00:00:00 for process 272
Jan 30 13:31:37 MSK: TFTP: Looking for SCCP69xx.9-1-1-0.loads
Jan 30 13:31:37 MSK: TFTP: Opened flash0:SCCP69xx.9-1-1-0.loads, fd 2, size 481 for process 272
Jan 30 13:31:37 MSK: TFTP: Finished flash0:SCCP69xx.9-1-1-0.loads, time 00:00:00 for process 272

И так по кругу.
В консоли телефона крутиться следующее:
SSH: ssh_auth_useradd find ok (sshdActivate)
Authenticating SCCP69xx.9-1-1-0.loads file successfully.
0004429582 - Idle/Max KIPS: 0 / 160823 --- MIPs avail: 0.00 CPU Idle: 0.00
TID: 0x95b07d70 task name: PROVISION tag name: versionStamp value : {6921 Jan 30 2015 13:
9:11} is error format.

В чем может быть проблема?

всем доброго времени суток
напишу тут, мало ли кому поможет

предистория:
приобрел для подлючения рабочих мест SG200-50 50-Port
через некоторое время после подлючения рабочих мест через этот коммутатор заметил, что он ребутается, при этом перезапуски выполняются через одинаковые промежуки времени
стал курить логи, в логах нашел такую ошибку:
could not insert in cash ***** FATAL ERROR ***** Reporting Task: SNMP
далее в гулке нашел это (те же ошибки, сейчас лень воспроизводить):
https://supportforums.cisco.com/discussion/12100116/fatal-crash-every-24h-sg300

грустно и печально, договорился с начальством о покупке второй железки ...
каково же было мое удивление, когда вторая, новая циска так же стала ребутаться

стал смотреть более внимательно логи обоих железок, нашел ошибки уровня warning о загрузке образа с tftp сервера
да, у нас в сети есть tftp удаленного запуска

как только остановил tftp, перезапуски обоих коммутаторов ушли.

расскажите подробней пожалуйста что именно было на tftp настроено, железка такая есть, чтобы в будущем нестолкнуться

corlovito
есть старая-старая машинка с windows 2000 server
на ней когда-то хотели поднять ris (ПО для удаленной установки)
сервер удаленной установки так и не подняли, насколько я понял, т.к. RIS был проинсталлирован, но не настроен
RIS я деинсталлировал и все стало ОК

очень интересная ситуация
зачем циске было пытаться утягивать образ с tftp я вообще не понимаю.
после исправления ситуации аптайм коммутаторов уже более 3 суток.

Добавлено:
хмм, тут коллега подсказал, что один из протоколов, которые используется цисковским оборудованием для обновления, является tftp ... возможно с этим как-то связано то, что циска пыталась с RISa стянуть образ.
если что-то еще накопаю - отпишусь

Цитата:

Что-то типа этого должно получиться:

нет, совсем не так. Повторюсь
ПК 10.2.30.0/24 подключен к 881 на порт FA0 (порт access). 881 подключена к выделенному каналу пров. через порт fa1 (порт trunk ip add 10.2.30.1 VLAN30). Таких 881 - 7 штук и все они через выделенный канал провайдера подключены на циску 2921 порт физ.gi0/0 где в свою очередь создан саб интерфейс gi0/0.30 с айпи 10.2.30.2 с VLAN30.
инт. gi0/1 который подключен к 3560 на этом gi0/1 создан еще 1 саб инт. gi0/1.30 c айпи 10.2.10.2 и VLAN30 и с этого интерефейса идет на 3560 в порт gi0/2 здесь все доступные VLANы...
рисую картинку

ну художник с меня не какой =)
PS не кт оне в курсе как оптич. порт задействовать? тобишь сфп модуль втыкнул оптоволокно подключил но индикатор не горит. А нижняя инф. лейба грит что он относится к инт gi 0/1 но работает сейчас только разьем. Физически подключенный оптов. и витая пара

cRYSMAS
А, так провайдер свой VPN что-ли предоставляет ? И сам прозрачно транк прокидывает ?
Второе, - смените между 2921 и 3560 VLAN30 на VLAN10 например, дабы ни не пересекались с тем что к 881 идет.
Уберите eigrp c 2921 и 881, временно, и предоставьте выхлоп 'sh ip route' с них обоих.

Да пров. сам предоставляет ВПН и транк.
Вопрос если у меня Влан30 поднят на 881 то мне можно не создавать на 2921 и 3560 такой же влан 30 он будет понимать что его на 3560 можно ходить через 2921?
Я если чесно уже потерялся в чем суть вопроса, а... у меня не ходит пинг 192.168.1.х с 881 и компа конечного польз. через 2921 и 3560 =)выложу
881 sh ip route
[more]
881#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
+ - replicated route, % - next hop override

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
D 10.2.10.0/24 [90/28416] via 10.2.30.2, 01:59:17, Vlan30
C 10.2.30.0/24 is directly connected, Vlan30
L 10.2.30.1/32 is directly connected, Vlan30
D 10.2.60.0/24 [90/30720] via 10.2.30.2, 01:59:17, Vlan30
D 10.2.70.0/24 [90/30720] via 10.2.30.2, 01:59:17, Vlan30
D 192.168.0.0/21 [90/28416] via 10.2.30.2, 01:59:17, Vlan30

[/more]

2921 sh ip route
[more]gw2921#sh ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
a - application route
+ - replicated route, % - next hop override

Gateway of last resort is not set

10.0.0.0/8 is variably subnetted, 10 subnets, 2 masks
C 10.2.10.0/24 is directly connected, GigabitEthernet0/1.30
L 10.2.10.2/32 is directly connected, GigabitEthernet0/1.30
C 10.2.30.0/24 is directly connected, GigabitEthernet0/0.30
L 10.2.30.2/32 is directly connected, GigabitEthernet0/0.30
C 10.2.40.0/24 is directly connected, GigabitEthernet0/0.40
L 10.2.40.2/32 is directly connected, GigabitEthernet0/0.40
C 10.2.60.0/24 is directly connected, GigabitEthernet0/0.60
L 10.2.60.2/32 is directly connected, GigabitEthernet0/0.60
C 10.2.70.0/24 is directly connected, GigabitEthernet0/0.70[/more]

Стоит Cisco 2800 и периодически а вернее каждый день оно теряет соединение с удалённым vpn сервером, при подключении консольного кабеля я увидел что он вываливает вот такое сообщение:
%DSLSAR-1-DOWNGRADEDBW: PCR and SCR for VCD 1 (0/102) has been reduced to 406k 406k due to insufficient upstream bandwidth.

Подскажите от чего может отрубать соединение ?
И как проанализировать причину ?

cRYSMAS
Если он предоставляет сам, значит его менять уже нельзя без согласования с ним.
2921 в вашем случае будет заниматься чем ему и положено - маршрутизацией пакетов.
И да, нужно убрать/переименовать VLAN30 между 2921 и 3560.
Должно типа так быть:
PC --> 881 --> Транк VLAN30 -->2921(маршрутизация) --> транк VLAN10 -> 3560(маршрутизация между VLAN-ми) --> Access VLAN192 --> PC

Цитата:

Уберите eigrp c 881

Так писал-же я уже, и не в первый раз уже! Потом динамику будете настраивать, если пожелаете.
!Расскажем 881-й что у нас где-то есть сеть 192.168.0.0/21
881(config)#ip route 192.168.0.0 255.255.248.0 10.2.30.2
!Расскажем 2921-й что у нас где-то есть сеть 192.168.0.0/21 за 3560
2921(config)#ip route 192.168.0.0 255.255.248.0 10.2.10.1
!Расскажем 3560 что у нас где-то есть сеть 10.2.30.0/24 за 2921
3560(config)#ip route 10.2.30.0 255.255.255.0 10.2.10.2
Собственно все, все циски знают куда отправлять пакеты.
Если не работает - смотрим на разрешенное(ные) VLAN в танке:

Код:
interface GigabitEthernet0/2
switchport trunk allowed vlan 10

Цитата:

Если он предоставляет сам, значит его менять уже нельзя без согласования с ним.
2921 в вашем случае будет заниматься чем ему и положено - маршрутизацией пакетов.
И да, нужно убрать/переименовать VLAN30 между 2921 и 3560.
Должно типа так быть:
PC --> 881 --> Транк VLAN30 -->2921(маршрутизация) --> транк VLAN10 -> 3560(маршрутизация между VLAN-ми) --> Access VLAN192 --> PC

Цитата:
Уберите eigrp c 881

Так писал-же я уже, и не в первый раз уже! Потом динамику будете настраивать, если пожелаете.
!Расскажем 881-й что у нас где-то есть сеть 192.168.0.0/21
881(config)#ip route 192.168.0.0 255.255.248.0 10.2.30.2
!Расскажем 2921-й что у нас где-то есть сеть 192.168.0.0/21 за 3560
2921(config)#ip route 192.168.0.0 255.255.248.0 10.2.10.1
!Расскажем 3560 что у нас где-то есть сеть 10.2.30.0/24 за 2921
3560(config)#ip route 10.2.30.0 255.255.255.0 10.2.10.2
Собственно все, все циски знают куда отправлять пакеты.
Если не работает - смотрим на разрешенное(ные) VLAN в танке:

Код:

interface GigabitEthernet0/2
switchport trunk allowed vlan 10



А на 3560 Вам надо просто убрать 'левый' VLAN10, а 30-й переделать в 10-й:
3560(config)#no interface Vlan10
3560(config)#no interface Vlan30
3560(config)#no vlan30
3560(config)#interface Vlan10
3560(config-if)#ip 10.2.10.1 255.255.255.0
3560(config-if)#end

все также, пинг не ходит на 192. начнем с начала и понемногу=)

Имеем 3560 int gi 0/3 ip 10.2.10.1 Влан 10-> PC 10.2.10.10
3560 int gi 0/47 ip 192.168.1.27 Vlan 192 -> hub ->cisco sg200/50 ->server 192.168.1.3
с компа ping 10.2.10.10 на 192.168.1.3. не проходит.
когда с 3560 ping 192.168.1.3 source 192.168.1.27 god ping
пишу на 3560 ip route 192.168.0.0 255.255.248.0 192.168.1.27
invalid next hop
скорее всего как я понимаю он ищет айпи другого роутера.
А как мне сказать 3560 что если пинг с 10.2.10.10 (ПК за 3560) на айпи 192.168.1.х ходи через 192.168.1.27, 192.168.1.27 пингуется с 10.2.10.10 (ПК)

Добавлено:
ip route 192.168.0.0 255.255.248.0 192.168.1.27 ?

cRYSMAS
Вы вообще читали что овеквотили или нет ?
Ваша вся задача решается ТРЕМЯ строчками описанными выше !
Или это такой тонкий троллинг ?


Цитата:

Имеем 3560 int gi 0/3 ip 10.2.10.1 Влан 10-> PC 10.2.10.10

И с какого перепугу PC в VLAN10 затесался ? Все PC должны быть в 192 влане. Не морочте себе и другим голову.
Он для танкового соединения между 2921 и 3560 и все !

Цитата:

А как мне сказать 3560 что если пинг с 10.2.10.10 (ПК за 3560) на айпи 192.168.1.х ходи через 192.168.1.27

Как в PC так и в цисках есть понятие default routing (gateway), - это типа "если не знаешь куда отправлять и кому - отправляй на этот IP"
PC тут:

К маршрутизаторе описывается как:
(config)#ip route 0.0.0.0 0.0.0.0 1.2.3.4
В коммутаторах так может выглядеть:
(config)ip default-gateway 1.2.3.4


Цитата:

пишу на 3560 ip route 192.168.0.0 255.255.248.0 192.168.1.27  

И на кой это ? Он и так знает про эту сеть, да и еще на него-же самого себя пытаетесь указать. Конечно она против, зачем ей кольцо ?
Я разве где-то это советовал ? Я только это:

Цитата:

3560(config)#ip route 10.2.30.0 255.255.255.0 10.2.10.2

Помогите решить проблему.
Есть циска 1841
Локальная сеть 10.91.67.0
ВПН канал 10.91.4.0
И на вышестоящую организацию поднят тунель , в ней локалка 10.91.15.0
С ВПН в свою локалку захожу без проблем, а как перебросить ВПН в локальную сеть вышестоящей организации - 10.91.4.0->10.91.15.0
Спасибо

MagistrAnatol А что за тип VPN у тебя? EasyVPN? WebVPN? L2TP/IPSec?

vlary

Цитата:

L2TP/IPSec

Код: interface Virtual-Template1
ip unnumbered FastEthernet0/0
ip virtual-reassembly
ip tcp adjust-mss 1400
autodetect encapsulation ppp
peer default ip address pool vpn_pool
no keepalive
ppp encrypt mppe 128 required
ppp authentication ms-chap ms-chap-v2