настройки двух портов:
interface FastEthernet0/17
description DMZ-to-PIX
switchport access vlan 172
!
interface FastEthernet0/19
description DMZ-to-relay
switchport access vlan 172
!
физика работает, вижу два МАСа на обеих сторонах
с-2900-XL#sh mac-add
Dynamic Address Count: 11
Secure Address Count: 0
Static Address (User-defined) Count: 0
System Self Address Count: 51
Total MAC addresses: 62
Maximum MAC addresses: 8192
Non-static Address Table:
Destination Address Address Type VLAN Destination Port
------------------- ------------ ---- --------------------
...
0002.b32c.91ca Dynamic 172 FastEthernet0/17
...
0011.43e5.e024 Dynamic 172 FastEthernet0/19на обоих ip-устройствах в строну друг друга ни пакета на ходит,
на сat2924 в sh int счетчики растут во всех направлениях, ошибок нет.
5 minute output rate 0 bits/sec, 0 packets/sec
2331 packets input, 153592 bytes
Received 33 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
0 watchdog, 0 multicast
0 input packets with dribble condition detected
80 packets output, 15600 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 babbles, 0 late collision, 0 deferred
0 lost carrier, 0 no carrier
0 output buffer failures, 0 output buffers swapped out
кстати, одно из ip-устройств pix515 172.1.1.1. соответсвенно на нем есть разрешения для определенных пакетов для адреса 172.1.1.2. втыкаю во влан 172.1.1.2 - глухо. втыкаю 172.1.1.3(на него разрешений нет) - глухо, при чем и deny в логе пикса тоже нет.
Благодарю за советы.
Вариант для распечатки
Маршрутизаторы CISCO и др. оборудование. (Public)
(ok) on 24-Фев-09, 13:09 
