Форум программистов, компьютерный форум, киберфорум
Наши страницы
Cisco
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.94/16: Рейтинг темы: голосов - 16, средняя оценка - 4.94
mikelin
0 / 0 / 0
Регистрация: 15.10.2013
Сообщений: 3
1

Не работает gre туннель из локальной сети на Cisco 2921/K9

15.10.2013, 13:13. Просмотров 3083. Ответов 5
Метки нет (Все метки)

Добрый день!

Есть маршрутизатор Cisco 2921/K9. На него заведено два провайдера, и есть две локальные сети.
Первый провайдер: interface GigabitEthernet0/2, 217.xxx.xxx.206
Второй провайдер: interface GigabitEthernet0/1, 11.xxx.xxx.11
Lan1: interface Vlan1, 192.168.xxx.0 255.255.255.0
Lan2: interface Vlan2, 10.0.xxx.0 255.255.248.0
Настроен gre туннель между данным маршрутизатором и Linux через первого провайдера.
interface Tunnel0
ip address 172.27.11.2 255.255.255.252
no ip redirects
ip mtu 1400
ip flow ingress
ip flow egress
ip tcp adjust-mss 1360
tunnel source 217.xxx.xxx.206
tunnel destination 89.xxx.xxx.79
IP адрес другого конца туннеля 172.27.11.1
Есть проблемы в работе туннеля, а именно из первой локальной сети не проходят пакеты на другой конец туннеля, а с другого конца туннеля пакеты доходят только до адреса интерфейса циски и дальше в локальную сеть ничего не уходит.

Подскажите, пожалуйста, в чем может быть проблема?

Конфигурация циски
Кликните здесь для просмотра всего текста

version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
service internal
!
hostname router-ssh
!
boot-start-marker
boot-end-marker
!
!
vrf definition NoDhcp
!
enable secret 5 $1$lClr$vejFzE4vXvl0PGVXchOi10
enable password 7 091F1A504E534640535951
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
!
clock timezone PCTime 6 0
!
no ipv6 cef
no ip source-route
ip cef
!
!
ip domain name office
ip name-server 192.168.xxx.1
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip inspect WAAS flush-timeout 10
!
multilink bundle-name authenticated
!
vpdn enable
!
!
crypto pki token default removal timeout 0
!
!
license udi pid CISCO2921/K9 sn FCZ165160WQ
license boot module c2900 technology-package securityk9
!
!
archive
log config
logging enable
hidekeys
username admin privilege 15 secret 4 5CTnNvMB.sK4Z1wWcNMRIpmfokl5ALdwls4.k3ZTjEo
!
redundancy
!
!
!
!
ip ssh version 1
!
track 10 ip sla 1 reachability
!
track 20 ip sla 2 reachability
!
!
!
!
!
!
!
interface Tunnel0
ip address 172.27.11.2 255.255.255.252
no ip redirects
ip mtu 1400
ip flow ingress
ip flow egress
ip tcp adjust-mss 1360
tunnel source 217.xxx.xxx.206
tunnel destination 89.xxx.xxx.79
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description $ETH-LAN$
ip address 10.255.255.1 255.255.255.0
duplex half
speed auto
!
interface GigabitEthernet0/1
description $TURA$
ip address 11.xxx.xxx.11 255.255.255.0
ip nat outside
ip nat enable
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
description $BEELINE$
mac-address 6470.xxxx.de51
ip address 217.xxx.xxx.206 255.255.255.252
no ip proxy-arp
ip nat outside
ip nat enable
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/0/0
no ip address
duplex half
!
interface GigabitEthernet0/0/1
switchport access vlan 2
no ip address
duplex half
!
interface GigabitEthernet0/0/2
switchport access vlan 3
no ip address
!
interface GigabitEthernet0/0/3
switchport access vlan 2
no ip address
!
interface Vlan1
description $LAN_OFFICE$
ip address 192.168.46.100 255.255.255.0
ip flow ingress
ip flow egress
ip nat inside
ip nat enable
ip virtual-reassembly in
ip policy route-map PBR_LAN1
!
interface Vlan2
description $wifi$
ip address 10.0.0.1 255.255.248.0
ip nat inside
ip nat enable
ip virtual-reassembly in
ip policy route-map PBR_LAN2
!
interface Vlan3
description $ETH-VIDEO$
ip address 172.16.0.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly in
!
ip forward-protocol nd
!
ip http server
no ip http secure-server
!
ip dns server
ip nat inside source static tcp 192.168.46.139 25 interface GigabitEthernet0/2 25
ip nat inside source route-map ISP1 interface GigabitEthernet0/2 overload
ip nat inside source route-map ISP2 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 217.xxx.xxx.205 track 10
ip route 0.0.0.0 0.0.0.0 11.xxx.xxx.1 track 20
ip route 192.168.1.0 255.255.255.0 172.27.11.1
!
ip access-list extended ACL_LAN1
deny ip 192.168.46.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 192.168.46.0 0.0.0.255 172.27.11.0 0.0.0.3
deny ip 192.168.46.0 0.0.0.255 172.16.0.0 0.0.255.255
deny ip 192.168.46.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 192.168.46.0 0.0.0.255 any
permit ip any 192.168.46.0 0.0.0.255
ip access-list extended ACL_LAN2
deny ip 10.0.0.0 0.0.7.255 10.0.0.0 0.0.7.255
deny ip 10.0.0.0 0.0.7.255 192.168.0.0 0.0.255.255
deny ip 10.0.0.0 0.0.7.255 172.16.0.0 0.0.255.255
permit ip 10.0.0.0 0.0.7.255 any
ip access-list extended ACL_NAT
deny ip 192.168.46.0 0.0.0.255 172.16.0.0 0.0.255.255
deny ip 10.0.0.0 0.0.7.255 10.0.0.0 0.255.255.255
deny ip 10.0.0.0 0.0.7.255 172.16.0.0 0.15.255.255
deny ip 10.0.0.0 0.0.7.255 192.168.0.0 0.0.255.255
deny ip 192.168.46.0 0.0.0.255 10.0.0.0 0.255.255.255
deny ip 192.168.46.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip any any
ip sla 1
icmp-echo 217.xxx.xxx.205 source-interface GigabitEthernet0/2
threshold 2
timeout 2000
frequency 3
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo 11.xxx.xxx.1 source-interface GigabitEthernet0/1
threshold 2
timeout 2000
frequency 3
ip sla schedule 2 life forever start-time now
logging trap debugging
logging 192.168.46.253
access-list 23 permit 10.0.0.0 0.0.0.255
access-list 23 permit 192.168.46.0 0.0.0.255
dialer-list 1 protocol ip permit
!
!
!
!
route-map PBR_LAN1 permit 10
match ip address ACL_LAN1
set ip next-hop verify-availability 217.xxx.xxx.205 1 track 10
set ip next-hop verify-availability 11.xxx.xxx.1 2 track 20
!
route-map PBR_LAN2 permit 10
match ip address ACL_LAN2
set ip next-hop verify-availability 11.xxx.xxx.1 1 track 20
!
route-map ISP2 permit 10
match ip address ACL_NAT
match interface GigabitEthernet0/1
!
route-map ISP1 permit 10
match ip address ACL_NAT
match interface GigabitEthernet0/2
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
access-class 23 in
exec-timeout 60 0
privilege level 15
password 7 115A4D5C40445A5E5C7F7E
logging synchronous
transport input all
!
scheduler allocate 20000 1000
ntp update-calendar
ntp server 192.168.46.1
end
0
QA
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
15.10.2013, 13:13
Ответы с готовыми решениями:

Не работает маршрутизация Cisco 2921
Кто с таким сталкивался? Ответьте, плиз! Делаю элементарную настройку интерфейсов, шлюз по...

cisco 2921 не работает проброс портов
Добрый день, конфиг относительно ната следующий interface GigabitEthernet0/0 ip address...

gre-туннель, маршрутизация
Здравствуйте. имеется удаленный офис в другом городе. Там установлен аппарат 3com MSR20-11. На нем...

Проброс VLAN через GRE туннель
как пробросить ВИЛАНЫ через GRE туннель просьба ответы писать подробнее))) заранее спасибо!!!...

Построить GRE туннель между роутерами
Попытался сделать но не работает( Прошу помочь

5
Jabbson
Эксперт по компьютерным сетям
3458 / 2501 / 780
Регистрация: 03.11.2009
Сообщений: 7,939
Записей в блоге: 3
15.10.2013, 14:53 2
Цитата Сообщение от mikelin Посмотреть сообщение
Есть проблемы в работе туннеля, а именно из первой локальной сети не проходят пакеты на другой конец туннеля
как проверяли? делали tcpdump на другой стороне?
на другой стороне есть маршрут в вашу сеть?
0
mikelin
0 / 0 / 0
Регистрация: 15.10.2013
Сообщений: 3
15.10.2013, 16:12  [ТС] 3
Вообщем за сервером Linux находится сеть 192.168.1.0/24, а за cisco'й сеть 192.168.46.0/24
Если пинговать сеть 192.168.1.0 или адрес туннеля со стороны linux (т.е. 172.27.11.1) то пакеты проходят только если запустить пинг с самой циски, с любого другого хоста пинги не проходят не на сеть 192.168.1.0 не на 172.27.11.1
На адрес туннеля со стороны циски (т.е. 172.27.11.2) с хостов локальной сети 192.168.46.0 пинги проходят
Если запустить пинг с любого хоста за linux то пинг доходит только до внутреннего адреса на VLAN1 циски (т.е. 192.168.46.100) или до 172.27.11.2, до других хостов пинг не доходит
Маршруты везде прописаны
tcpdump показывает что пакеты с хостов 192.168.46.0, кроме 192.168.46.100(адрес VLAN1 циски), не доходят
0
Jabbson
Эксперт по компьютерным сетям
3458 / 2501 / 780
Регистрация: 03.11.2009
Сообщений: 7,939
Записей в блоге: 3
15.10.2013, 17:14 4

Не по теме:

хммммммм


попробовал на коленке собрать "близко к тексту", все работает... ошенама странно

трейс с компов сетки 46 доходит до циски и обрывается?
счетчики route-map не увеличиваются?
debug ip packet det (+acl) что-нибудь объясняет?
у меня например:
Код
*Mar  1 01:05:37.819: IP: tableid=0, s=192.168.46.1 (FastEthernet0/0), d=192.168.1.10 (Tunnel0), routed via FIB
*Mar  1 01:05:37.819: IP: s=192.168.46.1 (FastEthernet0/0), d=192.168.1.10 (Tunnel0), g=172.27.11.1, len 100, forward
*Mar  1 01:05:37.823:     ICMP type=8, code=0
0
mikelin
0 / 0 / 0
Регистрация: 15.10.2013
Сообщений: 3
16.10.2013, 11:13  [ТС] 5
Проблема наверное в следующем:

На циске выполняем команду show cef int tunnel0
Ответ
Tunnel0 is up (if_number 13)
Corresponding hwidb fast_if_number 13
Corresponding hwidb firstsw->if_number 13
Internet address is 172.27.11.2/30
ICMP redirects are never sent
Per packet load-sharing is disabled
IP unicast RPF check is disabled
Input features: Ingress-NetFlow, TCP Adjust MSS
Output features: TCP Adjust MSS, Post-Ingress-NetFlow, Egress-Netflow
IP policy routing is disabled
BGP based policy accounting on input is disabled
BGP based policy accounting on output is disabled
Interface is marked as point to point interface
Interface is marked as tunnel interface
Hardware idb is Tunnel0
Fast switching type 14, interface type 0
IP CEF switching enabled
IP CEF switching turbo vector
IP Null turbo vector
IP prefix lookup IPv4 mtrie 8-8-8-8 optimized
Input fast flags 0x0, Output fast flags 0x0
ifindex 13(13)
Slot Slot unit -1 VC -1
IP MTU 1400
Real output interface is GigabitEthernet0/1 - почему-то интерфейс другого провайдера (а мне нужен GigabitEthernet0/2)


Выполняем команду sh ip cef exact-route 192.168.46.1 192.168.1.1
Ответ
192.168.46.1 -> 192.168.1.1 => IP adj out of GigabitEthernet0/1, addr 11.11.11.1
Хотя должен быть 217.xxx.xxx.206


Как заставить пакеты ходить через нужного провайдера (217.xxx.xxx.206), а не через 11.11.11.1?

Добавлено через 2 часа 5 минут
Сейчас настроил Distance metric в ip route и все заработало

Было
ip route 0.0.0.0 0.0.0.0 217.xxx.xxx.205 track 10
ip route 0.0.0.0 0.0.0.0 11.xxx.xxx.1 track 20


Стало
ip route 0.0.0.0 0.0.0.0 217.xxx.xxx.205 track 10
ip route 0.0.0.0 0.0.0.0 11.xxx.xxx.1 2 track 20

Сегодня еще протестируем, будет не будет отваливаться и наверное можно будет закрывать тему.

Спасибо за помощь!!!!
0
Jabbson
Эксперт по компьютерным сетям
3458 / 2501 / 780
Регистрация: 03.11.2009
Сообщений: 7,939
Записей в блоге: 3
16.10.2013, 16:22 6
Собственно говоря, логично.
gre пакеты уходят в разные аплинки из-за per-flow алгоритма у cef lb.

можно еще (если поддерживается версией ios) четко указать на tunnel интерфейсе "tunnel route-via"

так или иначе, рад, что проблема решена.
0
16.10.2013, 16:22
Answers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
16.10.2013, 16:22

GRE туннель между Juniper SRX210 и Cisco 3925
Помогите поднять GRE туннель между Juniper SRX210 и Cisco 3925, вроде всё прописал но туннель не...

Настройка локальной сети в CISCO 881K
Пытался настроить локальную сеть по оф.манам , по различным гайдам в гугле ... все равно dchp не...

Cisco 2921 vlan
Добрый день! Имеется cisco 2921 с одним hwic-2fe. Не могу создать vlan в режиме глобального...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
6
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2019, vBulletin Solutions, Inc.
Рейтинг@Mail.ru