форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Диагностика и решение проблем)
Изначальное сообщение		[ Отслеживать ]

"Cisco не работает с двумя внутренними  сетями"	+/–
Сообщение от gurlov (ok) on 24-Авг-14, 13:54
Здравствуйте! Прошу помощи в проблеме, которую не можем решить уже не один день. Есть две сети(сеть А и сеть В) со своими свичами, которые объединены в CISCO ASA Необходимо плавно перевести клиентов из IPадресов сети А в сеть В. Как только эти две сети соединяем физически на уровне свичей всё начинает плохо работать: - CISCO ASA попеременно обслуживает то одну сеть  то другую. (как только хост сети А перестаёт видеть CISCO ASA, его сразу начинает видеть хост сети В) - замечено, что, вроде как, эти перепады чаще когда много хостов в работе и реже когда компьютеры почти все выключены) - если для сети В шлюзом сделать другое устройство, но оставив CISCO ASA подключенной (заменив адрес). всё работает, по крайней мере без видимых проблем. Не знаю, важно ли это, но в сети А физически только один свич и компы, а в сети В три других свича, компы, тонкие клиенты, AD, DHCP, DNS, терминальная ферма.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Cisco не работает с двумя внутренними  сетями"	+/–
Сообщение от Andrey (??) on 25-Авг-14, 08:04
>[оверквотинг удален] > только хост сети А перестаёт видеть CISCO ASA, его сразу начинает > видеть хост сети В) > - замечено, что, вроде как, эти перепады чаще когда много хостов в > работе и реже когда компьютеры почти все выключены) > - если для сети В шлюзом сделать другое устройство, но оставив CISCO > ASA подключенной (заменив адрес). всё работает, по крайней мере без видимых > проблем. > Не знаю, важно ли это, но в сети А физически только один > свич и компы, а в сети В три других свича, компы, > тонкие клиенты, AD, DHCP, DNS, терминальная ферма. Вам нужно пригласить нормального специалиста.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco не работает с двумя внутренними  сетями"	+/–
Сообщение от ShyLion (ok) on 25-Авг-14, 08:17
> Здравствуйте! > Прошу помощи в проблеме, которую не можем решить уже не один день. КОНФИГ
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 25-Авг-14, 09:25
	> Вам нужно пригласить нормального специалиста. Согласен. Да вот только кто за такие деньги пойдёт?! Вы пойдёте? Вот и приходиться мне разбираться (( > Эмм.. порт в нужный влан, не? Свичи работают без VLAN (если вы про это) > КОНФИГ Cryptochecksum: 3023d875 35d02342 3df13958 c2cea288 : Saved : Written by admin at 09:20:11.409 UTC Fri Aug 22 2014 ! ASA Version 7.2(4) ! hostname ASA-105 domain-name default.domain.invalid enable password ******* encrypted passwd ******* encrypted names name 10.144.4.33 serv_mail_EMTS ! interface Vlan1 nameif inside security-level 100 ip address 192.168.105.1 255.255.255.0 ! interface Vlan2 nameif emts security-level 0 ip address 10.145.153.254 255.255.255.0 ! interface Vlan12 nameif inet security-level 0 ip address 95.167.186.54 255.255.255.252 ! interface Vlan22 nameif inside_new security-level 100 ip address 192.168.0.2 255.255.255.0 ! interface Ethernet0/0 switchport access vlan 2 ! interface Ethernet0/1 switchport access vlan 2 ! interface Ethernet0/2 switchport access vlan 22 ! interface Ethernet0/3 ! interface Ethernet0/4 ! interface Ethernet0/5 switchport access vlan 12 ! interface Ethernet0/6 ! interface Ethernet0/7 ! ftp mode passive dns server-group DefaultDNS domain-name default.domain.invalid same-security-traffic permit inter-interface same-security-traffic permit intra-interface object-group network DM_INLINE_NETWORK_1 network-object host 172.24.33.65 network-object host 172.24.61.65 object-group icmp-type DM_INLINE_ICMP_2 icmp-object echo-reply icmp-object source-quench icmp-object time-exceeded icmp-object unreachable object-group icmp-type DM_INLINE_ICMP_3 icmp-object echo-reply icmp-object source-quench icmp-object time-exceeded icmp-object unreachable access-list emts_1_cryptomap extended permit ip 192.168.105.0 255.255.255.0 192.168.0.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 192.168.105.0 255.255.255.0 172.24.0.0 255.255.0.0 access-list inside_nat0_outbound extended permit ip 192.168.105.0 255.255.255.0 host 192.168.106.2 access-list emts_access_in extended permit icmp object-group DM_INLINE_NETWORK_1 any time-exceeded inactive access-list emts_access_in extended permit icmp any host 172.24.33.125 inactive access-list emts_access_in remark allow the passage of the ping responses access-list emts_access_in extended permit icmp any any object-group DM_INLINE_ICMP_3 access-list emts_access_in remark from RDP access-list emts_access_in extended permit tcp host 10.145.150.200 host 10.145.153.254 eq 3389 access-list emts_2_cryptomap extended permit ip 192.168.105.0 255.255.255.0 172.24.0.0 255.255.0.0 access-list emts_3_cryptomap extended permit ip 192.168.105.0 255.255.255.0 host 192.168.106.2 access-list test_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 172.24.0.0 255.255.0.0 access-list test_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 host 192.168.106.2 access-list test_access_in extended permit ip any any access-list inet_access_in remark allow the passage of the ping responses access-list inet_access_in extended permit icmp any any object-group DM_INLINE_ICMP_2 pager lines 24 logging enable logging asdm informational mtu inside 1500 mtu emts 1300 mtu inet 1500 mtu inside_new 1500 no failover monitor-interface inside monitor-interface emts monitor-interface inet monitor-interface inside_new icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-524.bin asdm location 192.168.0.3 255.255.255.255 inside asdm location 10.145.150.200 255.255.255.255 inside asdm location 10.145.153.254 255.255.255.255 inside no asdm history enable arp timeout 14400 global (emts) 1 interface global (inet) 1 interface nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 0.0.0.0 0.0.0.0 nat (inside_new) 0 access-list test_nat0_outbound nat (inside_new) 1 0.0.0.0 0.0.0.0 static (inside_new,emts) tcp interface 3389 192.168.0.11 3389 netmask 255.255.255.255 access-group emts_access_in in interface emts access-group inet_access_in in interface inet access-group test_access_in in interface inside_new route emts 10.0.0.0 255.0.0.0 10.145.153.1 1 route emts 192.168.106.0 255.255.255.0 10.145.155.254 1 route inet 0.0.0.0 0.0.0.0 95.167.186.53 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute http server enable http 192.168.105.0 255.255.255.0 inside http 192.168.1.0 255.255.255.0 inside http 10.145.150.0 255.255.255.0 emts http 192.168.0.0 255.255.255.0 inside_new no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart crypto ipsec transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac crypto map emts_map 1 match address emts_1_cryptomap crypto map emts_map 1 set pfs group5 crypto map emts_map 1 set peer 10.145.150.254 crypto map emts_map 1 set transform-set ESP-AES-128-SHA crypto map emts_map 2 match address emts_2_cryptomap crypto map emts_map 2 set pfs group5 crypto map emts_map 2 set peer 10.144.206.254 crypto map emts_map 2 set transform-set ESP-AES-128-SHA crypto map emts_map 3 match address emts_3_cryptomap crypto map emts_map 3 set pfs crypto map emts_map 3 set peer 10.145.155.254 crypto map emts_map 3 set transform-set ESP-AES-128-SHA crypto map emts_map 3 set trustpoint GP106 chain crypto map emts_map interface emts crypto ca trustpoint GP106 enrollment terminal crl configure crypto ca certificate chain GP106 certificate 0080a2d13912e6ca69     30820483 3082036b a0030201 02020900 80a2d139 12e6ca69 300d0609 2a864886     *****     1c68f7d9 b14101   quit certificate ca 01     3082058f 30820477 a0030201 02020101 300d0609 2a864886 f70d0101 05050030     *****     f8ed9c27 bec6e9b1 a934ed92 d719a064 b6a62d   quit crypto isakmp enable inside crypto isakmp enable emts crypto isakmp policy 10 authentication pre-share encryption aes-256 hash sha group 2 lifetime 86400 crypto isakmp policy 30 authentication pre-share encryption aes hash sha group 5 lifetime 86400 crypto isakmp policy 50 authentication rsa-sig encryption aes hash sha group 2 lifetime 86400 telnet timeout 5 ssh timeout 5 console timeout 0 dhcpd auto_config emts ! username admin password ****** encrypted privilege 15 tunnel-group 172.24.33.125 type ipsec-l2l tunnel-group 172.24.33.125 ipsec-attributes pre-shared-key 9165105605027 tunnel-group 172.24.35.41 type ipsec-l2l tunnel-group 172.24.35.41 ipsec-attributes pre-shared-key 9165105605027 tunnel-group 10.144.206.254 type ipsec-l2l tunnel-group 10.144.206.254 ipsec-attributes pre-shared-key 916510560 tunnel-group 10.145.155.254 type ipsec-l2l tunnel-group 10.145.155.254 ipsec-attributes peer-id-validate cert chain trust-point GP106 tunnel-group 10.145.150.254 type ipsec-l2l tunnel-group 10.145.150.254 ipsec-attributes pre-shared-key 916510560 tunnel-group-map enable rules ! ! prompt hostname context Cryptochecksum:******* : end
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от Andrey (??) on 25-Авг-14, 11:54
	>> Вам нужно пригласить нормального специалиста. > Согласен. Да вот только кто за такие деньги пойдёт?! Вы пойдёте? Вот > и приходиться мне разбираться (( А какие? Озвучте. Разовая работа - почему бы не поработать. Можно даже рассмотреть вопрос разовой или постоянной удаленки, если такой вариант возможен с вашей стороны. >[оверквотинг удален] > Свичи работают без VLAN (если вы про это) >> КОНФИГ > interface Vlan1 >  nameif inside >  security-level 100 >  ip address 192.168.105.1 255.255.255.0 > interface Vlan22 >  nameif inside_new >  security-level 100 >  ip address 192.168.0.2 255.255.255.0 Естественно что все будет работать через... На свитчах есть возможность прописать VLAN? Модели свитчей? Клиенты все по DHCP или статические? Сменить пул DHCP есть возможность? Если клиенты статические - поднять нужный пул адресов, прописать в резервацию всех критически важных клиентов, так-же прописать их в новый пул. После этого просто переткнуть свитч с клиентами из ASA в другой свитч в нужный VLAN.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 25-Авг-14, 13:12
	> А какие? Озвучте. > Разовая работа - почему бы не поработать. Можно даже рассмотреть вопрос разовой > или постоянной удаленки, если такой вариант возможен с вашей стороны. Бюджетная организация (поликлиника), платят чуть меньше 20тки. Про удалёнку здесь и слушать не будут. Если получиться поднабраться опыта - сам свалю от сюда > Естественно что все будет работать через... > На свитчах есть возможность прописать VLAN? Модели свитчей? Можно прописать, но зачем, сеть то всё равно в итоге одна должна быть. Три Huawei и один D-Link, модели точно сейчас не скажу (в другом здании), но VLAN все поддерживают. А почему два VLAN на CISCO (и два кабеля, без транков) должно мешать работе  "неоVLANеным" ситчам? > Клиенты все по DHCP или статические? Сменить пул DHCP есть возможность? > Если клиенты статические - поднять нужный пул адресов, прописать в резервацию всех > критически важных клиентов, так-же прописать их в новый пул. После этого > просто переткнуть свитч с клиентами из ASA в другой свитч в > нужный VLAN. По факту на всех свитчах уже клиенты обоих сетей и всё работает, при условии, что для каждой сети отдельное устройство-шлюз: Сеть 192.198.105.0/24 - только статика. шлюз ASA Сеть 192.198.0.1/24 - динамика (компы и тонкие клиенты), статика (сервера AD,DHCP,DNS, терминальная ферма). шлюз - другое, неподконтрольное нам устройство И как только я отключаю кабель от "ненашего" шлюза и включаю в соответствующий порт в ASA - симптомы, описанные выше.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	10. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от ShyLion (ok) on 25-Авг-14, 13:35
	> И как только я отключаю кабель от "ненашего" шлюза и включаю в > соответствующий порт в ASA - симптомы, описанные выше. Какого м...ь еще "невашего" шлюза? Можешь дать ВСЮ информацию сразу?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	13. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 25-Авг-14, 17:32
	> Какого м...ь еще "невашего" шлюза? Можешь дать ВСЮ информацию сразу? Не стал описывать то, что вроде не относиться к моей проблеме. "ненаш" шлюз в данной ситуации роли не играет (т.к. он отключен от сети), но его корректная работа была приведена как ещё один дополнительный симптом, призванный ускорить постановку диагноза. Вот на сколько подробно надо описывать положение вещей? Есть ещё пара сетей и несколько серверов в этом здании которые практически не касаются рассматриваемой, всё это взаимодействует ещё с несколькими такими же отдельными подразделениями.
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	11. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от Andrey (??) on 25-Авг-14, 14:19
	> Бюджетная организация (поликлиника), платят чуть меньше 20тки. Про удалёнку здесь и слушать > не будут. Если получиться поднабраться опыта - сам свалю от сюда Вам нужно решить проблему. Поиск специалиста или самостоятельное обучение - побочный вопрос в рамках решения проблемы. С мед.учреждениями по удаленке нельзя, согласен. Можно попасть под ФЗ-152 и сопутствующие ему. Будет больше геммороя, чем пользы. Прописывате на свитчах, на обоих площадках, оба необходимых VLAN (inside и inside_new). Порты, на которых сидят все сетевые устройства, переносите в соответствующие VLAN на обоих площадках. Порты с серверами, клиентами, прочими устройствами работают в режим access. Порты, которыми вы планируете соеденять свитчи, переводите в режим trunk и прописываете на них оба VLAN. После этого соединяете свитчи друг с другом. После того, как соедените свитчи, сможете плавно переносить клиентов в новый VLAN.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	6. "Cisco не работает с двумя внутренними  сетями"	+1 +/–
	Сообщение от ShyLion (ok) on 25-Авг-14, 12:37
	> Cryptochecksum: 3023d875 35d02342 3df13958 c2cea288 > : Saved > : Written by admin at 09:20:11.409 UTC Fri Aug 22 2014 > ! > ASA Version 7.2(4) С DHCP какая ситуация? если он один или вообще нет, тогда один внутренний интерфейс убираете, а его IP вешаете как secondary на втором. Локалки соединяете и асю ОДНИМ интерфейсом в локалку.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	8. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 25-Авг-14, 13:24
	> С DHCP какая ситуация? DHCP раздаётся сервером (192.168.0.0/24) > если он один или вообще нет, тогда один внутренний интерфейс убираете, а > его IP вешаете как secondary на втором. Локалки соединяете и асю > ОДНИМ интерфейсом в локалку. Т.е. сделать Транк на ASA и на свитче? Вариант с двумя внутренними интерфейсами ни как не сработает?
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	9. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от ShyLion (ok) on 25-Авг-14, 13:33
	>> С DHCP какая ситуация? > DHCP раздаётся сервером (192.168.0.0/24) >> если он один или вообще нет, тогда один внутренний интерфейс убираете, а >> его IP вешаете как secondary на втором. Локалки соединяете и асю >> ОДНИМ интерфейсом в локалку. > Т.е. сделать Транк на ASA и на свитче? никаких транков, у вас же тупо свичи без виланов. или я что-то не так понял? > Вариант с двумя внутренними интерфейсами ни как не сработает? Зачем?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	12. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 25-Авг-14, 17:20
	> никаких транков, у вас же тупо свичи без виланов. > или я что-то не так понял? Думал, что если с одной стороны кабеля порт свитча без транка, а с другой стороны один порт ASA с двумя разными IP, то это не будет работать. Хотя, пока писал это, стал, видимо, сам понимать как это работает. Видать, мои базовые знания в сетях ну уж очень базовые ))
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

3. "Cisco не работает с двумя внутренними  сетями"	+/–
Сообщение от VolanD (ok) on 25-Авг-14, 08:20
> Здравствуйте! > Прошу помощи в проблеме, которую не можем решить уже не один день. > Есть две сети(сеть А и сеть В) со своими свичами, которые объединены > в CISCO ASA > Необходимо плавно перевести клиентов из IPадресов сети А в сеть В. Эмм.. порт в нужный влан, не?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Cisco не работает с двумя внутренними  сетями"	+/–
Сообщение от Maxim (??) on 25-Авг-14, 18:20
Нет ли у вас еще одного соединения между сетью А и В? Возможно когда Вы включаете две сети в Cisco ASA создаете кольцо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 25-Авг-14, 18:32
	> Нет ли у вас еще одного соединения между сетью А и В? > Возможно когда Вы включаете две сети в Cisco ASA создаете кольцо. Смотрели внимательно, кольца не нашли. Да и потом, оно же нормально работает когда CISCO видит одну сеть. А когда два включенно? - на CISCO разные Vlan-ы, разные физические интерфейсы, разные MAC-адреса - не должно быть кольца (или я не прав?)
	Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

	16. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от Andrey (??) on 25-Авг-14, 20:04
	> на CISCO разные Vlan-ы, разные физические интерфейсы, разные MAC-адреса Почитайте что такое CAM таблица и чем она отличается от ARP таблицы. При включении 2-х разных SVI интерфейсов в единый сегмент сети вы получите MAC-flooding созданный собственными руками. Именно поэтому вы и получаете коллапс в своей сети.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	17. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 25-Авг-14, 22:22
	> Почитайте что такое CAM таблица и чем она отличается от ARP таблицы. > При включении 2-х разных SVI интерфейсов в единый сегмент сети вы получите > MAC-flooding созданный собственными руками. Именно поэтому вы и получаете коллапс в > своей сети. Постойте, я был уверен, что два физических интерфейса CISCO ASA имеют разные и не изменяемые постоянно MAC-адреса. Это не так? Если я прав, откуда же тогда берётся огромное количество записей в CAM-таблице, откуда взяться такому количеству mac-адресов? Объясните, пожалуйста, ну очень хочу понять что происходит у меня )))
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	18. "Cisco не работает с двумя внутренними  сетями"	+1 +/–
	Сообщение от ShyLion (ok) on 26-Авг-14, 07:39
	>> Почитайте что такое CAM таблица и чем она отличается от ARP таблицы. >> При включении 2-х разных SVI интерфейсов в единый сегмент сети вы получите >> MAC-flooding созданный собственными руками. Именно поэтому вы и получаете коллапс в >> своей сети. > Постойте, я был уверен, что два физических интерфейса CISCO ASA имеют разные > и не изменяемые постоянно MAC-адреса. Это не так? > Если я прав, откуда же тогда берётся огромное количество записей в CAM-таблице, > откуда взяться такому количеству mac-адресов? > Объясните, пожалуйста, ну очень хочу понять что происходит у меня ))) На самом деле MACи SVI интерфейсов могут быть разными или одинаковыми в зависимости от платформы. На относительно старых платформах были одинаковые, на современных разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно либо виланы на свичах делать, либо secondary адрес прописывать, в любом случае в локалку один интерфейс физически должен быть.
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	19. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 26-Авг-14, 09:55
	> На самом деле MACи SVI интерфейсов могут быть разными или одинаковыми в > зависимости от платформы. На относительно старых платформах были одинаковые, на современных > разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно > либо виланы на свичах делать, либо secondary адрес прописывать, в любом > случае в локалку один интерфейс физически должен быть. Действительно MAC-адреса VLAN-ов одинаковые. (у Ethernet-ов разные) Получается, свитч передаёт кадр на MAC-адрес VLAN-а минуя MAC-адрес Ethernet порта, к которому подключён кабель и прикреплён VLAN? Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме inside/outside VLAN-ы?
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	21. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от ShyLion (ok) on 26-Авг-14, 12:12
	>> На самом деле MACи SVI интерфейсов могут быть разными или одинаковыми в >> зависимости от платформы. На относительно старых платформах были одинаковые, на современных >> разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно >> либо виланы на свичах делать, либо secondary адрес прописывать, в любом >> случае в локалку один интерфейс физически должен быть. > Действительно MAC-адреса VLAN-ов одинаковые. (у Ethernet-ов разные) > Получается, свитч передаёт кадр на MAC-адрес VLAN-а минуя MAC-адрес Ethernet порта, к > которому подключён кабель и прикреплён VLAN? > Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме > inside/outside VLAN-ы? Очень сложно в стране с телепатами. Ктож его знает что и как там понавоткнуто у вас.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	22. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 26-Авг-14, 12:27
	>[оверквотинг удален] >>> разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно >>> либо виланы на свичах делать, либо secondary адрес прописывать, в любом >>> случае в локалку один интерфейс физически должен быть. >> Действительно MAC-адреса VLAN-ов одинаковые. (у Ethernet-ов разные) >> Получается, свитч передаёт кадр на MAC-адрес VLAN-а минуя MAC-адрес Ethernet порта, к >> которому подключён кабель и прикреплён VLAN? >> Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме >> inside/outside VLAN-ы? > Очень сложно в стране с телепатами. Ктож его знает что и как > там понавоткнуто у вас. "Есть две сети(сеть А и сеть В) со своими свитчами, которые объединены в CISCO ASA" - в эту фразу я и вкладывал смысл того, что от каждой сети идёт по одному кабелю к ASA. Но теперь понимаю, что не очень однозначная фраза получилась. Приношу свои извинения. В следующий раз постараюсь писать без надежды на телепатические способности форумчан )))
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	23. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от ShyLion (ok) on 26-Авг-14, 13:13
	>>[оверквотинг удален] >>>> разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно >>>> либо виланы на свичах делать, либо secondary адрес прописывать, в любом >>>> случае в локалку один интерфейс физически должен быть. >>> Действительно MAC-адреса VLAN-ов одинаковые. (у Ethernet-ов разные) >>> Получается, свитч передаёт кадр на MAC-адрес VLAN-а минуя MAC-адрес Ethernet порта, к >>> которому подключён кабель и прикреплён VLAN? >>> Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме >>> inside/outside VLAN-ы? Интернет что, тоже в этот-же свитч воткнут?? или всетаки в асю напрямую?
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	24. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 26-Авг-14, 13:42
	>>>[оверквотинг удален] >>>>> разные. Посмотри show interface VlanX. Если MACи одинаковые - тогда нужно >>>>> либо виланы на свичах делать, либо secondary адрес прописывать, в любом >>>>> случае в локалку один интерфейс физически должен быть. >>>> Действительно MAC-адреса VLAN-ов одинаковые. (у Ethernet-ов разные) >>>> Получается, свитч передаёт кадр на MAC-адрес VLAN-а минуя MAC-адрес Ethernet порта, к >>>> которому подключён кабель и прикреплён VLAN? >>>> Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме >>>> inside/outside VLAN-ы? > Интернет что, тоже в этот-же свитч воткнут?? или всетаки в асю напрямую? в фразе   >>Почему тогда одинаковость MAC-ов у VLAN-интерфейсов не мешает нормальной работе при схеме >> inside/outside VLAN-ы? я имел ввиду ASA а не свитч. Допустим в ASA: VLAN 1, outside, eth 0/1 VLAN 2, inside_old, eth 0/2 VLAN 3, inside_new, eth 0/3 из eth 0/2 и eth 0/3 по одному кабелю идёт в один свитч (не настроенный на VLAN, заводские настройки) Так как MACадреса VLAN-ов одинаковые, то в двух inside сетях будет коллизия. Почему по этой же причине нет коллизии при обмене кадрами с outside сетью?
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	25. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от Andrey (??) on 26-Авг-14, 17:15
	>[оверквотинг удален] > я имел ввиду ASA а не свитч. > Допустим в ASA: > VLAN 1, outside, eth 0/1 > VLAN 2, inside_old, eth 0/2 > VLAN 3, inside_new, eth 0/3 > из eth 0/2 и eth 0/3 по одному кабелю идёт в один > свитч (не настроенный на VLAN, заводские настройки) > Так как MACадреса VLAN-ов одинаковые, то в двух inside сетях будет коллизия. > Почему по этой же причине нет коллизии при обмене кадрами с outside > сетью? Потому, что есть уровень IP, а есть уровень ethernet. Допустим у вас ASA eth0/2 включен в свитч в порт 1, а eth0/3 в порт 2. В случае, когда хост хочет передать пакет на IP в другом сегменте, он посылает Ethernet фрейм в котором стоит src-mac и dst-mac. При этом в качестве dst-mac указывается MAC адрес шлюза. Свитч видит, что этот MAC в данный конкретный момент принадлежит порту 1 и перенаправит этот ethernet фрейм в сторону порта eth0/2 на ASA. ASA видит, что на уровне L2 Ethernet фрейм пришел нормальный и передает обработку на уровень L3. И тут возникает проблема - оказывается что src-IP не принадлежит той-же подсети, через интерфейс которого этот пакет пришел. Пакет дропается. Outside, из ваших описаний, не подключен к пользовательским коммутаторам, в результате подобные коллизии у него исключены.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	26. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 26-Авг-14, 18:31
	>[оверквотинг удален] > на IP в другом сегменте, он посылает Ethernet фрейм в котором > стоит src-mac и dst-mac. При этом в качестве dst-mac указывается MAC > адрес шлюза. Свитч видит, что этот MAC в данный конкретный момент > принадлежит порту 1 и перенаправит этот ethernet фрейм в сторону порта > eth0/2 на ASA. ASA видит, что на уровне L2 Ethernet фрейм > пришел нормальный и передает обработку на уровень L3. И тут возникает > проблема - оказывается что src-IP не принадлежит той-же подсети, через интерфейс > которого этот пакет пришел. Пакет дропается. > Outside, из ваших описаний, не подключен к пользовательским коммутаторам, в результате > подобные коллизии у него исключены. Здесь согласен. С insid интерфейсами у меня, как раз, вопрос не возникал. Как происходит передача пакета внутри ASA на L2 уровне из outside в inside и обратно? MAC-и то одинаковые.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	27. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от Andrey (??) on 26-Авг-14, 19:20
	>[оверквотинг удален] > Здесь согласен. С insid интерфейсами у меня, как раз, вопрос не возникал. > Как происходит передача пакета внутри ASA на L2 уровне из outside в > inside и обратно? MAC-и то одинаковые. Между inside и outside даже не L3 работает. Причем тут передача пакетов на уровне L2?
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

	28. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от gurlov (ok) on 26-Авг-14, 19:42
	> Между inside и outside даже не L3 работает. Причем тут передача пакетов > на уровне L2? Какжись доходит до меня... (я то даже начинающим в вопросах CISCO назваться не могу) Внутреннее взаимодействие между интерфейсами внутри ASA происходит на более высоком уровне (нежели L2 и L3) Спасибо ))))
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	29. "Cisco не работает с двумя внутренними  сетями"	+/–
	Сообщение от ShyLion (ok) on 27-Авг-14, 07:27
	>> Между inside и outside даже не L3 работает. Причем тут передача пакетов >> на уровне L2? > Какжись доходит до меня... (я то даже начинающим в вопросах CISCO назваться > не могу) Ради справедливости - Cisco тут не причем. Это азы IP, лучше почитай буквари на эту тему.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

20. "Cisco не работает с двумя внутренними  сетями"	+/–
Сообщение от gurlov (ok) on 26-Авг-14, 12:08
>[оверквотинг удален] > только хост сети А перестаёт видеть CISCO ASA, его сразу начинает > видеть хост сети В) > - замечено, что, вроде как, эти перепады чаще когда много хостов в > работе и реже когда компьютеры почти все выключены) > - если для сети В шлюзом сделать другое устройство, но оставив CISCO > ASA подключенной (заменив адрес). всё работает, по крайней мере без видимых > проблем. > Не знаю, важно ли это, но в сети А физически только один > свич и компы, а в сети В три других свича, компы, > тонкие клиенты, AD, DHCP, DNS, терминальная ферма. В CISCO ASA задал разные MAC адреса для двух задействованнык VLAN (по умолчанию они были одинаковыми !!!) после чего всё заработало. Настраивать VLAN на комутаторах не понадобилось. Всем большое спасибо ))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема