解決済み: ルーティングテーブルに表示されないのに接続可

ULT7737 · ‎2020-04-27

稚拙な質問で申し訳ありませんが、なぜ疎通ができているか教えていただきたいです。

構成→ファイル参照

<ルータ(DTRT-C841-01)のポート1>と<L2スイッチ(DTWAN-C2960)のポート7>を直接接続しています。

ルーティングテーブルにVLAN301が存在していないのですが、なぜ疎通が可能なのでしょうか？

<ルータ　ポート1>

interface GigabitEthernet0/1
description /*** to DTWAN-C2960_p7 ***/
switchport trunk allowed vlan 1,2,301,303,1002-1005
switchport mode trunk
no ip address

|

<L2スイッチポート7>

interface GigabitEthernet0/7
description /*** to DTRT-C841-01_LAN1 ***/
switchport trunk allowed vlan 301,303
switchport mode trunk

<L2スイッチのルーティング>

DTWAN-C2960-02>show ip route
Gateway of last resort is 172.16.2.254 to network 0.0.0.0

S* 0.0.0.0/0 [1/0] via 172.16.2.254
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.16.2.0/24 is directly connected, Vlan302
L 172.16.2.252/32 is directly connected, Vlan302
172.30.0.0/24 is subnetted, 1 subnets
S 172.30.1.0 [1/0] via 172.16.2.22
S 192.168.0.0/16 [1/0] via 172.16.2.22

大変お手数をおかけしますがお願いいたします。

Akira Muranaka · ‎2020-04-30

こんにちは！

頂いている構成情報だけだと、ちょっとどこが問題なのか分かりませんでした。(ごめんなさい。)

なお、Catalyst 2960はL2スイッチなので、同じセグメント内の通信ならスイッチングしてくれます。

L2スイッチングの話でない場合は、恐らくエンジニアの方が分析や答えるには以下情報が必要だと思います。
・どの機器の送信元Interfaceと送信元IPから、どの機器の宛先InterfaceとIPに通信ができるのか
・なぜ通信をしたくないのか (セキュリティ上の理由で止めたい？)
・ルータとL2スイッチのフル設定 (※サブインターフェイスの設定状況なども確認必要なので)

ただ、恐らく構成図を拝見する限りは本番環境のネットワーク構成で、IP情報などは機密情報扱いだと思うので、公開コミュニティで情報シェア・議論するよりかは、購入先のベンダーさんのテクニカルサポートに上記情報と構成図を連絡して頂いたうえで、聞いて頂いたほうがいいのかなぁと思いました。

元の投稿で解決策を見る

shimenoy · ‎2020-04-27

ULT7737 さん、こんにちは :)

L2スイッチのルーティングを見ると

> Gateway of last resort is 172.16.2.254 to network 0.0.0.0
>
> S* 0.0.0.0/0 [1/0] via 172.16.2.254

Gateway が 172.16.2.254 に向いているようですので、そちらのルーティングテーブルも確認されてみてはいかがでしょうか。
併せて、tracerouteも確認してみるとか！

参考になれば :)

ULT7737 · ‎2020-04-28

返信ありがとうございます。

>Gateway が 172.16.2.254

こちらのルーティングテーブルにも、VLAN301は存在しておりませんでした。

また、先ほどアドバイスをいただき気づいたのですが、ルータ(DTRT-C841-01)に下記のaccesslistがございました。

access-list 1 permit [VLAN301のアドレス] 0.0.0.7
access-list 100 deny ip any host [ルータ自身のアドレス]
access-list 100 permit ip any any

これだと、IPプロトコルが拒否されtracerouteもできないのかなと。

また、ルーティングテーブルに存在しない宛先でも疎通可能なのでしょうか？

お力を貸していただきたいです。

ULT7737 · ‎2020-04-28

返信ありがとうございます。

>Gateway が 172.16.2.254 に向いているようですので、そちらのルーティングテーブルも確認されてみてはいかがでしょうか。
>併せて、tracerouteも確認してみるとか！

[172.16.2.254]のルータにもVLAN301のルーティングは存在しませんでした。

また、アドバイスをいただき気が付いたのですが、[ルータ(DTRT-C841-01)]に対して、下記が設定されていました。

access-list 1 permit [VLAN301のIP] 0.0.0.7
access-list 100 deny ip any host [ルーターのIP]
access-list 100 permit ip any any

これだと、プロトコルIP、すべての送信元からルータIPに対して拒否をしているので、

ルーティングもpingも通らないのでしょうか。

また、ルーティングが存在せずとも、疎通は可能なものなのでしょうか？

お力を貸していただきたいです。

Akira Muranaka · ‎2020-04-30

こんにちは！

頂いている構成情報だけだと、ちょっとどこが問題なのか分かりませんでした。(ごめんなさい。)

なお、Catalyst 2960はL2スイッチなので、同じセグメント内の通信ならスイッチングしてくれます。

L2スイッチングの話でない場合は、恐らくエンジニアの方が分析や答えるには以下情報が必要だと思います。
・どの機器の送信元Interfaceと送信元IPから、どの機器の宛先InterfaceとIPに通信ができるのか
・なぜ通信をしたくないのか (セキュリティ上の理由で止めたい？)
・ルータとL2スイッチのフル設定 (※サブインターフェイスの設定状況なども確認必要なので)

ただ、恐らく構成図を拝見する限りは本番環境のネットワーク構成で、IP情報などは機密情報扱いだと思うので、公開コミュニティで情報シェア・議論するよりかは、購入先のベンダーさんのテクニカルサポートに上記情報と構成図を連絡して頂いたうえで、聞いて頂いたほうがいいのかなぁと思いました。

ULT7737 · ‎2020-05-01

回答ありがとうございます。

「同じセグメント内の通信ならスイッチングする」のアドバイスを元に

MACアドレステーブル等を調べたところ、隣接スイッチでルータに通信していることがわかりました。

本当にありがとうございます。

L2スイッチの本質を教えていただき、理解が進み、解決しました。

ありがとうございます。感謝の気持ちでいっぱいです。