Не работает InterVLAN routing c3750g?

Question

[antonzlk]

Всем хорошего настроения!
Да да кидайте с ходу в меня ссаные тряпки т.д ибо вопрос подымался уже не одну тысячу раз. Но увы в моей ситуации ничего не помогает.

Ситуация следующая, имеется сеть 300+ машин, 50+ сетевых принтеров, 100+ IP телефонов, +еще WiFi на 4 здания и т.д. Сеть работает через пень колоду, на синей изоленте и алюминиевой проволоке.

Предпринята попытка провести реконструкцию сети на имеющемся оборудовании.
За основу сети взят catalyst 3750g и пара десятков 2960 по немногу в разных зданиях.

3 недели планирования: порты, IP-план и т.д, неоднократные тестирования в PT. - работоспособность подтверждена, все пингуется куда надо, ходится (или не ходится) куда надо, в интернеты и вобще.

Настает день Х (хЭ), суббота точнее (в будни сеть ломать нельзя там люди работают, сожрут заживо), делаются бэкапы конфигов, вланов. с энтузиазмом настраивается ядро сети (3750), причем резво так настраивается, ведь у нас все расписано и спланировано заранее, нужно только внести конфиг.

И вот последняя строчка введена, для надежности делаем reload, и.... не работает.
Очень долго и муторно ищем косяки, перепроверяем конфиг, пробуем еще раз в PT - ошибок нет.

По итогу erase startup-config и пишем только самое примитивное и все равно не работает.

А теперь для тех кто осилил предысторию:
Есть конфиг (далее) всего 2 Vlan'a
101 - сервера
102 - пользователи

ip-адреса заданы, ip-routing включен, на int 101 и 102 прописан ip-helper + прописан маршрут в интернет

сеть 101: шлюз пингуется (1.1), dhcp пингуется(1.181), соседи внутри vlan пингуются, машины без статического IP получают его от 1.181 без проблем, интернет не пингуется (8.8.8.8), машины из 102 не пингуются.

сеть 102: шлюз пингуется (2.1), dhcp пингуется(1.181), соседи внутри vlan пингуются, машины без статического IP получают его от 1.181 без проблем, интернет не пингуется (8.8.8.8), машины из 101 (кроме 1.181) не пингуются.

с самой с3750 пингуется интернет (8.8.8.8) и 1.181, остальное не пингуется.

Все тоже самое но в PT работает нормально.
Даже тут тоже самое описано и все работать должно https://www.cisco.com/c/en/us/support/docs/switche...

Вопрос: толи лыжи не едут, толи я...?
p.s: VLAN'ы естественно созданы

По итогу 9 часов плясок вокруг трех строчек конфига с нулевым результатом, возврат настроек из бэкапа, запуск сети, все работает как и раньше но на изоленте. Я грусный еду домой, проработав свой выходной без какого либо профита.

!
version 12.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname Switch
!
boot-start-marker
boot-end-marker
!
!
!
!
no aaa new-model
switch 1 provision ws-c3750g-24ts-1u
system mtu routing 1500
ip routing
!
!
!
!
!
!
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
!
!
interface GigabitEthernet1/0/1
!
interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/0/3
!
interface GigabitEthernet1/0/4
!
interface GigabitEthernet1/0/5
!
interface GigabitEthernet1/0/6
!
interface GigabitEthernet1/0/7
!
interface GigabitEthernet1/0/8
!
interface GigabitEthernet1/0/9
!
interface GigabitEthernet1/0/10
!
interface GigabitEthernet1/0/11
!
interface GigabitEthernet1/0/12
 switchport access vlan 102
 switchport mode access
!
interface GigabitEthernet1/0/13
!
interface GigabitEthernet1/0/14
!
interface GigabitEthernet1/0/15
!
interface GigabitEthernet1/0/16
!
interface GigabitEthernet1/0/17
 switchport access vlan 101
 switchport mode access
!
interface GigabitEthernet1/0/18
 switchport access vlan 101
 switchport mode access
!
interface GigabitEthernet1/0/19
 switchport access vlan 101
 switchport mode access
!
interface GigabitEthernet1/0/20
 switchport access vlan 101
 switchport mode access
!
interface GigabitEthernet1/0/21
!
interface GigabitEthernet1/0/22
!
interface GigabitEthernet1/0/23
!
interface GigabitEthernet1/0/24
 no switchport
 ip address 172.16.0.2 255.255.255.252
!
interface GigabitEthernet1/0/25
!
interface GigabitEthernet1/0/26
!
interface GigabitEthernet1/0/27
!
interface GigabitEthernet1/0/28
!
interface Vlan1
 ip address dhcp
 shutdown
!
interface Vlan101
 ip address 192.168.1.1 255.255.255.0
 ip helper-address 192.168.1.181
!
interface Vlan102
 ip address 192.168.2.1 255.255.255.0
 ip helper-address 192.168.1.181
!
ip classless
ip route 0.0.0.0 0.0.0.0 172.16.0.1
ip http server
ip http secure-server
!
!
ip sla enable reaction-alerts
!
!
!
line con 0
line vty 5 15
!
end

Comments

[Komrus]

Что показывал
show ip route
На 3750 ?
И какая была в этот момент таблица маршрутизации на 172.16.0.1 ?

[antonzlk]

Komrus,
на с3750

Switch(config)#do sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
       i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
       * - candidate default, U - per-user static route, o - ODR
       P - periodic downloaded static route

Gateway of last resort is 172.16.0.1 to network 0.0.0.0

     172.16.0.0/30 is subnetted, 1 subnets
C       172.16.0.0 is directly connected, GigabitEthernet1/0/24
C    192.168.1.0/24 is directly connected, Vlan101
C    192.168.2.0/24 is directly connected, Vlan102
S*   0.0.0.0/0 [1/0] via 172.16.0.1

на роутере 2 маршрута
в интернет и обратно, точно не скажу не помню как они там выглядят. что то вроде 0.0.0.0/0 **.***.**.** и **.***.**.**/24 172.16.0.2
Если подключить в роутер вместо с3750 ноут с настройками
172.16.0.2
255.255.255.0
172.16.0.1

8.8.8.8
То интернет работает (на ноуте), да и собственно сама циска без проблем пингует гуглДНС, суть не в наличии отсутствии интернета, он есть 100%, суть в том что interVlan не работает хоть с роутером хоть без него, хотя повторюсь та же схема работает в PT и с роутером и без

[Strabbo]

сеть 102: шлюз пингуется (2.1), dhcp пингуется(1.181), соседи внутри vlan пингуются, машины без статического IP получают его от 1.181 без проблем

Ну раз из сети 102 пингуется 1.181 значит роутинг работает.
Может быть поможет вывод traceroute из хоста в 102 или 101 сети в сторону 8.8.8.8

на роутере 2 маршрута
в интернет и обратно, точно не скажу не помню как они там выглядят. что то вроде 0.0.0.0/0 **.***.**.** и **.***.**.**/24

Ну если тольео эти маршруты, то интернета у клиентов не будет, роутер должен значить марштруты 101 и 102, и натить их куда то дальше.

P.S. нсли это новые сабнеты, то надо смотреть еще маршрутизацию на ротуере + НАТ

[antonzlk]

Strabbo,

Ну раз из сети 102 пингуется 1.181 значит роутинг работает.

проблема в том что 1.181 пингуется а 1.2-1.180; 1.182-1.254 нет, хотя они подключены в соседний порт в том же 101 VLAN'е

задача то как раз в том чтобы работала маршрутизация на с3750 для всех сетей, а она не хочет, хотя если верить документации должна.

я вот думаю нет ли там какого нибудь прикола, например чтобы работал транк на реальной 3750 нужно обязательно включать инкапсуляцию на порту, в PT работает без этого.

роутер должен значить марштруты 101 и 102

"роутером" в данном случае и выступает 3750

[Komrus]

antonzlk,
А на всех этих 1.2 ... 1.180 в файрволе прописано ли разрешение отвечать на пинги из других подсетей?
Если современный Windows - то там по дефолту запрещено...

[antonzlk]

А на всех этих 1.2 ... 1.180 в файрволе прописано ли разрешение отвечать на пинги из других подсетей?
Если современный Windows - то там по дефолту запрещено...

А вот это хороший вопрос, но как бы и 1.181 тоже на современном windows, но тоже отвечает, хотя возможно потому что он dhcp.
Хотя в текущей конфигурации тоже несколько подсетей, и они пингуются друг другом
Так а с чего им не пинговаться у них шлюзы по умолчанию это и есть 3750?

на роутере 2 маршрута
в интернет и обратно, точно не скажу не помню как они там выглядят. что то вроде 0.0.0.0/0 **.***.**.** и **.***.**.**/24

Ну если тольео эти маршруты, то интернета у клиентов не будет, роутер должен значить марштруты 101 и 102, и натить их куда то дальше.

А нет, вот тут с лукавил, маршрут на 192.168.0.0 через 172.16.0.2 прописан тоже

[Komrus]

antonzlk, маршрут прописан, а правила для NAT'а 192.168.0.0 ?

[Valentin Barbolin]

Покажи вывод с одно из клиентов из 101 сети

netstat -nr

Еще неплохо бы выключать proxy arp

interface Vlan101
 ip address 192.168.1.1 255.255.255.0
 ip helper-address 192.168.1.181
no ip proxy-arp
!
interface Vlan102
 ip address 192.168.2.1 255.255.255.0
 ip helper-address 192.168.1.181
no ip proxy-arp
!

[Strabbo]

antonzlk,

я вот думаю нет ли там какого нибудь прикола, например чтобы работал транк на реальной 3750 нужно обязательно включать инкапсуляцию на порту, в PT работает без этого.

нет, вашего конфига достаточно.

роутер должен значить марштруты 101 и 102

"роутером" в данном случае и выступает 3750

Я имел ввиду роутер на котором прописан 172.16.0.1.

P.S. у вас хост с 101 сети пингует 192.168.2.1 ? если да, то это тоже означает что маршрутизация работает.

[antonzlk]

Правильно говорят "Утро вечера мудренее". Настолько уперся в "теорию" что не работает именно маршрутизация что больше ничего и не проверил.

Strabbo,

у вас хост с 101 сети пингует 192.168.2.1 ? если да, то это тоже означает что маршрутизация работает.

По моему пингует, не припомню теперь.

Valentin Barbolin,

Покажи вывод с одно из клиентов из 101 сети

netstat -nr

Пока к сожалению не получится, сеть в исходном состоянии

Еще неплохо бы выключать proxy arp

Спасибо за совет

Komrus,

маршрут прописан, а правила для NAT'а 192.168.0.0 ?

по моему только для веб-сервера и почты

Все таки видимо нужно копать в сторону брандмауэра Windows, будем разбираться

[antonzlk]

Komrus,

маршрут прописан, а правила для NAT'а 192.168.0.0 ?

Приходит понимание что все таки неправильно у меня настроен роутер который смотрит в интернет.
Может есть какие то статьи чтоб разобраться в вопросе?

Роутер микротик (не кидать тряпки ссаные, знаю что куча статей)

Сейчас весь локальный трафик идет через него, собственно все маршруты и шлюзы по умолчанию прописаны в нем.
Именно такие статьи собственно о настройке мне и попадаются.

Мне же нужно уйти от этого, для чего собственно и была предпринята попытка поднять маршрутизацию на 3750, а микрот оставить только как шлюз в интернет, но я так понимаю что недостаточно просто прописать маршрут для 172.16.0.0 в интернет и обратно? Нужно и подсети которые не будут напрямую заходить в микрот прописывать?

Вобще вывод локального трафика с микрота жизненно необходим, так как только один бэкап сервер способен загрузить его порт по самое нехочу, да бэкапы делаются ночью, но не всегда успевает закончить к началу рабочего дня, плюс обновления и прочий трафик (да WSUS еще не поднят в сети, стоит следующим на очереди) к тому же нужно поднять WDS, разворачивать два десятка образов через один порт микрота то еще удовольствие.

[Komrus]

antonzlk,
А есть ли какая-то особая необходимость использовать внутри И сети 172.16, И сети 192.168 ?
Нельзя ли все VLAN'ы нарезать внутри одной общей подсети? (И Микротик проще будет настраивать и идеологически красивше будет...

[antonzlk]

Komrus, Ну вобще идея была именно отделить сеть от микротика, в принципе ничего не мешает использовать 192.168
Vlan'ы и так все в сети 192.168.1.1, 2.1, 3.1 и далее
в 172.16 всего два адреса 172.16.0.1 - микрот, 172.16.0.2 - 3750 с 30 маской

[Valentin Barbolin]

antonzlk, Почему мне интересно посмотреть netstat -nr. Кажется мне, что конфигурацию DHCP ты не менял, и клиенты по прежнему пытаются получить в качестве GW адрес микротика, а должны получать адрес Cisco. Как минимум внутри cisco 101 и 102 должны друг друга пингать.

[antonzlk]

Valentin Barbolin,

что конфигурацию DHCP ты не менял

Я скажу больше, я его сам лично поднимал. Сейчас сеть работает вообще без DHCP в 2024г.

Answer 1

[MVV]

Как тут уже говорили в комментариях предполагаемая причина проблемы - настройки брандмауэра Windows по умолчанию: доступ по многим протоколам правила по умолчанию в брандмауэре разрешают только из локальной подсети.

Для диагностики - добавьте какой-нибудь ПК в VLAN 102 и попробуйте сначала пропинговать 192.168.101.181 с него, а потом, наоборот - этот ПК со 192.168.101.181. Если ping идет только в одну сторону, то дело 100% в брандмауэре. Если дело в бранмауэре, то надо поменять правила. Если есть домен, это легко и просто: добавляете правило в политику для ПК. Если домена нет - придется побегать и поперенастраивать на каждом вручную (можно, вообще-то под это дело скрипт написать и куда-нибудь на файл-сервер выложить).

Comments

[antonzlk]

VLAN 102 и попробуйте сначала пропинговать 192.168.101.181 с него, а потом, наоборот - этот ПК со 192.168.101.181.

ПК из 102 пингует 1.181, обратно к сожалению не проверил.

Спасибо, буду ковырять в сторону брандмауэра

[antonzlk]

Я правильно понимаю что создаются правила вх/исх в которых все порты и протоколы (или только необходимые) разрешены для всех заданных подсетей (имеются в виду подсети предприятия) и этого будет достаточно?
Понятно что нужна более тонкая настройка, что то запретить и т.п но в целом должно сработать?

[antonzlk]

Итак спустя несколько месяцев (таки выбили бюджет на частичную замену на новое оборудование, аукционы сроки поставки и т.д и т.п) Установлено новое оборудование, собрана конфигурация, оно по прежнему не работало, но правило на входящие подключения решило все проблемы! С интернетом там косяк был в одном из маршрутов, но не суть. Предполагалось что Брандмауэр Windows мешать не должен, он вобще по идее отключен так как его функции выполняет решение от Касперского в котором собственно было указано правило на допуск из подсетей, видимо это работает как то иначе и без правила на "отключенном" встроенном брандмауэре оно не работало. В любом случае спасибо за совет.