forum.opennet.ru

Составление сообщения

Исходное сообщение

"Cisco 2921 <IPSec> DLink DSR-150"
Отправлено DKu, 22-Май-13 19:20

>[оверквотинг удален]
> Конфиг не сильно раздуется (у вас всего то /28 сеть), но зато
> будет прозрачнее работать.
> Записи тип ip route IP_NET MASK INT придумали когда то для PPP
> линков с /31 маской, и плохо работают в multipoint сетях.
> По сути вопроса 2:
> При вашем выборе оборудования разницы особой нет. DLink не умеет динамики, QoS
> и прочее, поэтому все преимущества VTI сходят на нет. Тут выбор
> стоит делать из личных предпочтений: насколько хорошо вам понятен принцип работы
> того или иного подхода, как хорошо вы сможете из траблшутить в
> случае чего.
Так "ip route 172.17.x.0 255.255.255.0 c.c.c.x" я написать не могу. Cisco ругается, что сделующий шаг этот же роутер. Но для каждого магазина могу написать "ip route 172.17.x.x 255.255.255.240 GigabitEthernet0/0.1" (Ну как не сильно раздуется? у меня около 200 розничных точек.)
На Catalist, естественно, я маршрут написал :)
Надобности в том, чтобы сети магазинов видели друг друга нет абсолютно никакой.
Вчера после поднятия туннеля я пинговал с машины за DLink 172.17.0.18 роутер Cisco 192.168.10.1 и в обратную сторону. Пингов нет. Мало того в таблице маршрутизации на DLink я не вижу маршрута в 192.168.10.0/24
Сейчас на Cisco написано так:
ip route 0.0.0.0 0.0.0.0 y.y.y.y
ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1
ip route 192.168.110.0 255.255.255.0 192.168.10.254
ip route 192.168.111.0 255.255.255.0 192.168.10.254
ip route 192.168.120.0 255.255.255.0 Tunnel0
ip route 192.168.121.0 255.255.255.0 Tunnel1
!
access list 100 permit ip 192.168.10.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 permit iсmp 192.168.10.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 permit ip 192.168.110.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 permit iсmp 192.168.110.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 permit ip 192.168.111.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 permit iсmp 192.168.111.0 0.0.0.255 172.17.0.0 0.0.255.255
access list 100 deny ip any any
access list 100 deny iсmp any any
Нужно чтобы пакеты из 172.17.0.16/28 ходили в 192.168.10.0/24 192.168.110.0/24 192.168.111.0/24 и обратно. На Catalist всё ровно. Трассировка 172.17.0.18 уходит на 192.168.10.1 и там затыкается. Сегодня попробую ещё раз вечером. Тестовый DLink дома и приходится, уходя, его заменять домашним роутером, чтобы Инет дома был, а то супруга и дети не поймут:)
И по поводу Crypto Map vs. VTI мне особо не совсем понятно. Разницу вижу только явную. Что первое вешается на интерфейс, а под второй создаётся отдельный интерфейс. Читал, что через VTI нельзя загнать не IP траффик, в этом его минус. Может не так чего понял, но это тема для отдельной беседы. Я только начинаю с Cisco знакомится. Динамическая маршрутизация и QoS для меня тёмный лес пока. У меня стоит задача и руководство поджимает, другие глобальные я делать из-за этого не могу. Денег на учёбу не выделили... ну как обычно.

Исходное сообщение
"Cisco 2921 <IPSec> DLink DSR-150" Отправлено DKu, 22-Май-13 19:20
>[оверквотинг удален] > Конфиг не сильно раздуется (у вас всего то /28 сеть), но зато > будет прозрачнее работать. > Записи тип ip route IP_NET MASK INT придумали когда то для PPP > линков с /31 маской, и плохо работают в multipoint сетях. > По сути вопроса 2: > При вашем выборе оборудования разницы особой нет. DLink не умеет динамики, QoS > и прочее, поэтому все преимущества VTI сходят на нет. Тут выбор > стоит делать из личных предпочтений: насколько хорошо вам понятен принцип работы > того или иного подхода, как хорошо вы сможете из траблшутить в > случае чего. Так "ip route 172.17.x.0 255.255.255.0 c.c.c.x" я написать не могу. Cisco ругается, что сделующий шаг этот же роутер. Но для каждого магазина могу написать "ip route 172.17.x.x 255.255.255.240 GigabitEthernet0/0.1" (Ну как не сильно раздуется? у меня около 200 розничных точек.) На Catalist, естественно, я маршрут написал :) Надобности в том, чтобы сети магазинов видели друг друга нет абсолютно никакой. Вчера после поднятия туннеля я пинговал с машины за DLink 172.17.0.18 роутер Cisco 192.168.10.1 и в обратную сторону. Пингов нет. Мало того в таблице маршрутизации на DLink я не вижу маршрута в 192.168.10.0/24 Сейчас на Cisco написано так: ip route 0.0.0.0 0.0.0.0 y.y.y.y ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1 ip route 192.168.110.0 255.255.255.0 192.168.10.254 ip route 192.168.111.0 255.255.255.0 192.168.10.254 ip route 192.168.120.0 255.255.255.0 Tunnel0 ip route 192.168.121.0 255.255.255.0 Tunnel1 ! access list 100 permit ip 192.168.10.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 permit iсmp 192.168.10.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 permit ip 192.168.110.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 permit iсmp 192.168.110.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 permit ip 192.168.111.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 permit iсmp 192.168.111.0 0.0.0.255 172.17.0.0 0.0.255.255 access list 100 deny ip any any access list 100 deny iсmp any any Нужно чтобы пакеты из 172.17.0.16/28 ходили в 192.168.10.0/24 192.168.110.0/24 192.168.111.0/24 и обратно. На Catalist всё ровно. Трассировка 172.17.0.18 уходит на 192.168.10.1 и там затыкается. Сегодня попробую ещё раз вечером. Тестовый DLink дома и приходится, уходя, его заменять домашним роутером, чтобы Инет дома был, а то супруга и дети не поймут:) И по поводу Crypto Map vs. VTI мне особо не совсем понятно. Разницу вижу только явную. Что первое вешается на интерфейс, а под второй создаётся отдельный интерфейс. Читал, что через VTI нельзя загнать не IP траффик, в этом его минус. Может не так чего понял, но это тема для отдельной беседы. Я только начинаю с Cisco знакомится. Динамическая маршрутизация и QoS для меня тёмный лес пока. У меня стоит задача и руководство поджимает, другие глобальные я делать из-за этого не могу. Денег на учёбу не выделили... ну как обычно.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>[оверквотинг удален] >> Конфиг не сильно раздуется (у вас всего то /28 сеть), но зато >> будет прозрачнее работать. >> Записи тип ip route IP_NET MASK INT придумали когда то для PPP >> линков с /31 маской, и плохо работают в multipoint сетях. >> По сути вопроса 2: >> При вашем выборе оборудования разницы особой нет. DLink не умеет динамики, QoS >> и прочее, поэтому все преимущества VTI сходят на нет. Тут выбор >> стоит делать из личных предпочтений: насколько хорошо вам понятен принцип работы >> того или иного подхода, как хорошо вы сможете из траблшутить в >> случае чего. > Так "ip route 172.17.x.0 255.255.255.0 c.c.c.x" я написать не могу. Cisco ругается, > что сделующий шаг этот же роутер. Но для каждого магазина могу > написать "ip route 172.17.x.x 255.255.255.240 GigabitEthernet0/0.1" (Ну как не сильно > раздуется? у меня около 200 розничных точек.) > На Catalist, естественно, я маршрут написал :) > Надобности в том, чтобы сети магазинов видели друг друга нет абсолютно никакой. > Вчера после поднятия туннеля я пинговал с машины за DLink 172.17.0.18 роутер > Cisco 192.168.10.1 и в обратную сторону. Пингов нет. Мало того в > таблице маршрутизации на DLink я не вижу маршрута в 192.168.10.0/24 > Сейчас на Cisco написано так: > ip route 0.0.0.0 0.0.0.0 y.y.y.y > ip route 172.17.0.0 255.255.0.0 GigabitEthernet0/0.1 > ip route 192.168.110.0 255.255.255.0 192.168.10.254 > ip route 192.168.111.0 255.255.255.0 192.168.10.254 > ip route 192.168.120.0 255.255.255.0 Tunnel0 > ip route 192.168.121.0 255.255.255.0 Tunnel1 > ! > access list 100 permit ip 192.168.10.0 0.0.0.255 172.17.0.0 0.0.255.255 > access list 100 permit iсmp 192.168.10.0 0.0.0.255 172.17.0.0 0.0.255.255 > access list 100 permit ip 192.168.110.0 0.0.0.255 172.17.0.0 0.0.255.255 > access list 100 permit iсmp 192.168.110.0 0.0.0.255 172.17.0.0 0.0.255.255 > access list 100 permit ip 192.168.111.0 0.0.0.255 172.17.0.0 0.0.255.255 > access list 100 permit iсmp 192.168.111.0 0.0.0.255 172.17.0.0 0.0.255.255 > access list 100 deny ip any any > access list 100 deny iсmp any any > Нужно чтобы пакеты из 172.17.0.16/28 ходили в 192.168.10.0/24 192.168.110.0/24 192.168.111.0/24 > и обратно. На Catalist всё ровно. Трассировка 172.17.0.18 уходит на 192.168.10.1 > и там затыкается. Сегодня попробую ещё раз вечером. Тестовый DLink дома > и приходится, уходя, его заменять домашним роутером, чтобы Инет дома был, > а то супруга и дети не поймут:) > И по поводу Crypto Map vs. VTI мне особо не совсем понятно. > Разницу вижу только явную. Что первое вешается на интерфейс, а под > второй создаётся отдельный интерфейс. Читал, что через VTI нельзя загнать не > IP траффик, в этом его минус. Может не так чего понял, > но это тема для отдельной беседы. Я только начинаю с Cisco > знакомится. Динамическая маршрутизация и QoS для меня тёмный лес пока. У > меня стоит задача и руководство поджимает, другие глобальные я делать из-за > этого не могу. Денег на учёбу не выделили... ну как обычно.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру