Конференция CiscoLab: Помогите С Настройкой Маршрутизации - Конференция CiscoLab

Перейти к содержимому

Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

Помогите С Настройкой Маршрутизации

#1 Пользователь офлайн   AGromik Иконка

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 0
Обычный

Отправлено 16 Июль 2015 - 17:41

Добрый день!!!

Помогите разобраться с маршрутизацией.

Схема сети представлена в прикрепленном файле.

Суть следующая в сети 192.168.8.0/24 есть терминальный сервер 192.168.8.20 к нему подключаются пользователи из сети 192.168.0.0/21. Проблема состоит в следующем т.к пк не знают путь к подсети 192.168.8.0/24 то они отправляют пакеты на шлюз по умолчанию в роли которого выступает 192.168.0.1 на котором прописан статический маршрут "ip route 192.168.8.0 255.255.255.0 192.168.4.254", а обратно пакеты через шлюз 192.168.0.1 не идут, а с 192.168.4.254 сразу отправляются на пк пользователя.
В связи с этим возникают трудности с подключением к серверу терминалов. Пробывал прописывать статику на подсеть 192.168.0.0/21 не помогает это и понятно. Не подскажите как можно сделать чтоб пакеты обратно шли через 0.1.

Прикрепленные файлы

  • Прикрепленный файл  rout.jpg (33,42К)
    Количество загрузок:: 58

0

#2 Пользователь офлайн   Dima VLAN Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 2
Обычный

Отправлено 16 Июль 2015 - 18:47

Попробуй PBR настроить на 4.254
0

#3 Пользователь офлайн   AGromik Иконка

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 0
Обычный

Отправлено 17 Июль 2015 - 09:35

Пробовал таким способом, все равно не получается

ip access-list 101 permit ip 192.168.8.0 0.0.0.255 any


route-map rdp permit 5
match ip address 101
set ip next-hop 192.168.0.1
0

#4 Пользователь офлайн   Dima VLAN Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 2
Обычный

Отправлено 17 Июль 2015 - 10:02

route-map нужно еще присобачить к интерфейсу, на который приходит трафик от 192.168.8.0 0.0.0.255
если это сделано, то дебаж pbr.
0

#5 Пользователь офлайн   AGromik Иконка

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 0
Обычный

Отправлено 17 Июль 2015 - 10:26

К интерфейсу конечно подключал

int fa0/1
ip policy route-map rdp
0

#6 Пользователь офлайн   Dimka Иконка

  • Пользователь
  • PipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 3
Обычный

Отправлено 17 Июль 2015 - 20:05

А в чем собственно трудности с подключением к серверу терминалов? Все должно работать и так. В чем заключается необходимость получать пакеты через 192.168.0.1?
show ip route 192.168.0.0 на Router2 покажите.
Изображение Изображение ИзображениеИзображение ИзображениеИзображение
0

#7 Пользователь офлайн   AGromik Иконка

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 0
Обычный

Отправлено 19 Июль 2015 - 16:51

Трудности заключаются в том, что к серверу терминалов не всегда возможно подключиться, с пк раза с 5-го, 6-го только подключается, а если на пк прописать маршрут "route add 192.168.8.0 mask 255.255.255.0 192.168.2.254" то все нормально. show ip route 192.168.0.0 на Router2 пока не могу показать буду на работе выложу.

Забыл добавить, если на 4.254 прописать для пк 192.168.4.122 такой маршрут "ip route 192.168.4.122 255.255.255.255 192.168.0.1", то все нормально подключается.
Из этого я и сделал вывод, что tcp не нравиться что пакеты приходят с разных узлов. Буду на работе дамп WireShark выложу.
0

#8 Пользователь офлайн   Dimka Иконка

  • Пользователь
  • PipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 3
Обычный

Отправлено 19 Июль 2015 - 18:32

Просмотр сообщенияAGromik (19 Июль 2015 - 16:51) писал:

Трудности заключаются в том, что к серверу терминалов не всегда возможно подключиться, с пк раза с 5-го, 6-го только подключается, а если на пк прописать маршрут "route add 192.168.8.0 mask 255.255.255.0 192.168.2.254" то все нормально. show ip route 192.168.0.0 на Router2 пока не могу показать буду на работе выложу.

Забыл добавить, если на 4.254 прописать для пк 192.168.4.122 такой маршрут "ip route 192.168.4.122 255.255.255.255 192.168.0.1", то все нормально подключается.
Из этого я и сделал вывод, что tcp не нравиться что пакеты приходят с разных узлов. Буду на работе дамп WireShark выложу.


А на 192.168.0.1 есть NAT?
Если все правильно настроено, то не важно через какой маршрутизатор возвращается пакет. Различие будет только на L2 уровне (MAC адреса будут разные), на работу TCP никак не влияет. А вот если есть NAT, тогда да, работать не будет.
Изображение Изображение ИзображениеИзображение ИзображениеИзображение
0

#9 Пользователь офлайн   00x2142 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 45
Очень хороший

Отправлено 20 Июль 2015 - 09:57

Цитата

важно через какой маршрутизатор возвращается пакет.

Для icmp не важно, для TCP важно. Хотя многое зависит от стека TCP. Винда где то 2000 версии такое хавала без проблем, с XP вроде уже нет. Также зависит от настроек файрвола (если есть) - каспер, к примеру, не пропускает такие пакеты.
CCNA/CCNP, CCDA/CCDP, CCNA Sec, CCNA Voice, 1/2 CCNP Sec.
0

#10 Пользователь офлайн   andrew_ Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 18
Хороший

Отправлено 20 Июль 2015 - 10:52

Просмотр сообщения00x2142 (20 Июль 2015 - 09:57) писал:

Для icmp не важно, для TCP важно. Хотя многое зависит от стека TCP. Винда где то 2000 версии такое хавала без проблем, с XP вроде уже нет. Также зависит от настроек файрвола (если есть) - каспер, к примеру, не пропускает такие пакеты.

вы не перепутали с интерфейсами? не помню в л3-4 места, где хранятся хопы, через которые прошел пакет

пс
а в исходном вопросе - 99.9% проблема в маршрутизации, и исходной инфы маловато для ответа
CCSI
0

#11 Пользователь офлайн   00x2142 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 45
Очень хороший

Отправлено 20 Июль 2015 - 11:52

andrew_
Если я все правильно понял, то имется вииду, что пакет приходит с другого маршрутизатора (может быть через тот же интерфейс), а значит мак адрес будет другой. Я говорю про последний хоп, что там было посередине не имеет значения. Файрвол, строя таблицу сеесий, запоминает через какой мак он отправил и если ему ответ на этот пакет приходит с другого мака, то этот пакет блочится.

Это легко протраблшутить в wireshark - если ответ приходит, а соединение не устанавливается, то значит отправитель заблокировал ответный пакет.
CCNA/CCNP, CCDA/CCDP, CCNA Sec, CCNA Voice, 1/2 CCNP Sec.
0

#12 Пользователь офлайн   andrew_ Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 18
Хороший

Отправлено 20 Июль 2015 - 12:45

ни разу не сталкивался с таким глюком. если не будем совсем лениво - то соберу сегодня стендик под вмваре, и проверю на голой вин7, только со встроенным фв
CCSI
0

#13 Пользователь офлайн   AGromik Иконка

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 0
Обычный

Отправлено 20 Июль 2015 - 15:46

Какая еще инфа нужна?

Просмотр сообщения00x2142 (20 Июль 2015 - 11:52) писал:

andrew_
Если я все правильно понял, то имется вииду, что пакет приходит с другого маршрутизатора (может быть через тот же интерфейс), а значит мак адрес будет другой. Я говорю про последний хоп, что там было посередине не имеет значения. Файрвол, строя таблицу сеесий, запоминает через какой мак он отправил и если ему ответ на этот пакет приходит с другого мака, то этот пакет блочится.

Это легко протраблшутить в wireshark - если ответ приходит, а соединение не устанавливается, то значит отправитель заблокировал ответный пакет.



Да все правильно, когда клиент подключается пакет идет "192.168.4.122->192.168.0.1->192.168.4.254->192.168.77.1->192.168.77.2->192.168.8.1->192.168.8.20", а обратно идет "192.168.20->192.168.8.1->192.168.77.1->192.168.4.254->192.168.4.122"
т.е после 192.168.4.254 идет не на 0.1, а сразу на 4.122.

Файерволы везде отключены.


Вот, что говорит WiresharkПрикрепленный файл  rdp.jpg (178,97К)
Количество загрузок:: 14
0

#14 Пользователь офлайн   00x2142 Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 45
Очень хороший

Отправлено 20 Июль 2015 - 16:15

Из этого дампа ничего не видно, надо мак адреса смотреть, но я думаю там все будет как я и сказал.
решений тут несколько я вижу, но самый приемлемый по моему это изменить логическую схему - на 0,1 сделать транка до свича и поднять подинтерфейс с другой сетью. Адресацию на 4,254 поменять на эту новую сеть и на 0,1 прописать новый роутинг. Тогда ответные пакеты будут всегда проходить через верхний 1841,а не идти сразу через свич на компы пользователей.
CCNA/CCNP, CCDA/CCDP, CCNA Sec, CCNA Voice, 1/2 CCNP Sec.
0

Эти 1 пользователя(ей) сказали cпасибо за это полезное сообщение:

#15 Пользователь офлайн   AGromik Иконка

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 0
Обычный

Отправлено 20 Июль 2015 - 16:39

С помощью PBR у меня не получилось сделать так, чтобы ходили обратные пакеты через 0.1, придеться наверно делать как 00х2142 посоветовал.
0

#16 Пользователь офлайн   andrew_ Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 18
Хороший

Отправлено 20 Июль 2015 - 18:38

Просмотр сообщенияAGromik (20 Июль 2015 - 16:39) писал:

С помощью PBR у меня не получилось сделать так, чтобы ходили обратные пакеты через 0.1, придеться наверно делать как 00х2142 посоветовал.


попробуйте на интерфейсе 4.254 и 0.1 no ip redirects

пс
основа проблемы - кривоватый дизайн. давайте создадим себе сложности, а потом их успешно преодолеем
CCSI
0

#17 Пользователь офлайн   stinger Иконка

  • Продвинутый пользователь
  • PipPipPip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 4
Обычный

Отправлено 03 Август 2015 - 17:21

у тебя 0.1,4.1 и 4.122 в одном l2 домене, обратно пакет уходит как и должен.
При такой схеме что нарисована, не нужен маршрутизатор 0.1

Что мешвает сразу прописать на компах маршрут на 192.168.8.0 через 4.1?

либо сменить адресацию на более вменяемую и нарезать vlan один для пользоватлей. другой для соединения рутеров?
CCNP,CCNA Security,CXXF,MCITP
0

#18 Пользователь офлайн   AGromik Иконка

  • Новичок
  • Pip
  • Вставить ник
  • Цитировать
  • Раскрыть информацию
Репутация: 0
Обычный

Отправлено 06 Август 2015 - 13:31

То, что 0.1, 4.254 и 4.122 в одном L2 домене это мне понятно. Просто смутило то, что иногда подключение проходит раза с 5-го 6-го.
Схему я не полностью нарисовал в 0.1 приходит L2 VPN провайдерский идет связь с другими филиалами, так что он нужен.
Прописывать на пк маршруты я считаю не правильно.
Счас полностью переделываю адресацию с отдельным Vlan для пользователей и отдельным Vlan для 4.254.
0

Поделиться темой:


Страница 1 из 1
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей