2010-12-13 09:21 AM
シスコのプロフェッショナルと質疑応答ができる「エキスパートに質問」にようこそ!
ここでは、シスコのエキスパートから、専門的でかつ最新の情報が得られる貴重な機会となるでしょう。
テーマ:「LAN, スイッチング, ルーティングについて」
担当エキスパート:「鈴木 暢彦 (スズキ ノブヒコ)」
ディスカッション終了日:2010年12月26日
「鈴木 暢彦」は、Cisco Japan TACのカスタマーサポートエンジニアとして、入社以来一貫して
LAN Technologyに関するテクニカルサポートを行なっております。
現在は主にCatalyst 6K/4K/3K/2K のトラブルシューティングを担当しております。
担当エキスパートがすべての質問に返信できないかもしれませんが、返信が得られずに開催期間が終了して残ってしまった質問については、シスコのモデレータが他のディスカッション フォーラムへ再掲載し、有用な情報の展開へとつなげていきます。返信が得られた質問については、適切な情報が得られたかどうかがエキスパートに伝わるよう、評価機能もぜひ利用してください。
あなたからの質問だけでなく、他コミュニティのメンバーから寄せられた質問がどう発展したかをのぞきに、ぜひこのフォーラムへ再度訪問されることをお待ちしております!
2010-12-24 10:20 AM
現在、VLAN間接続を試みていますがうまくいきません。
物理構成とコンフィグの通り、シスコルータは、シスコスイッチ間の物理ポートをFE1で接続していますが、サブインターフェースはFastEthernet0.10・・・となっています。
これが原因と思いますが、問題は、下記エラーによりFE1にサブインタフェースを作成できません。
router(config)#interface fastEthernet 1.10
^
% Invalid input detected at '^' marker.
これは仕様でしょうか。他で確認したところ、FE0とFE1の接続を入替えて、FE0にサブインターフェースを作成すればよいのではとアドバイス頂きましたが、FE1のL2ポートにアドレスが付与できないため、ブローバンドルータと1712 Routerとの疎通ができないと思います。
対応方法をご教示願います。
【接続状況】
・シスコルータからサブインターフェースに疎通可能
・シスコルータから端末に疎通できない
・端末からサブインターフェースに疎通できない
■物理構成
ブロードバンドルータ
|
|
Cisco 1712 Router
|
|
Cisco 2950 Switch
■ルータのコンフィグ情報
Current configuration : 1496 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$QWi8$Vgti20cghr/6E3Aym008L.
!
no aaa new-model
ip cef
!
!
!
!
ip domain name test.com
ip name-server 192.168.1.1
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username sshuser password 7 140732181F137A3920
!
!
ip ssh version 2
!
!
!
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet0
ip address 192.168.1.2 255.255.255.224
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0.10
encapsulation dot1Q 10
ip address 192.168.1.62 255.255.255.224
!
interface FastEthernet0.20
encapsulation dot1Q 20
ip address 192.168.1.94 255.255.255.224
!
interface FastEthernet0.30
encapsulation dot1Q 30
ip address 192.168.1.126 255.255.255.224
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface Vlan1
no ip address
!
ip default-gateway 192.168.1.1
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login local
transport input telnet ssh
!
end
■ルータのルーティング情報
192.168.1.0/27 is subnetted, 4 subnets
C 192.168.1.96 is directly connected, FastEthernet0.30
C 192.168.1.64 is directly connected, FastEthernet0.20
C 192.168.1.32 is directly connected, FastEthernet0.10
C 192.168.1.0 is directly connected, FastEthernet0
■スイッチのコンフィグ情報
Switch#show startup-config
Using 1167 out of 32768 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
service password-encryption
!
hostname Switch
!
enable secret 5 $1$H..P$Ld5gWsF8DwFGQhYh8eDkL0
enable password 7 140D131A5D461D181C
!
ip subnet-zero
!
ip ssh time-out 120
ip ssh authentication-retries 3
!
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
!
!
!
!
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 20
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 30
switchport mode access
!
interface FastEthernet0/4
!
interface FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
switchport mode trunk
!
interface Vlan1
ip address 192.168.1.3 255.255.255.224
no ip route-cache
!
ip default-gateway 192.168.1.2
ip http server
!
line con 0
line vty 0 4
password 7 1119391604055B1E00
login
line vty 5 15
password 7 1119391604055B1E00
login
!
!
end
■スイッチのVLANメンバーシップ情報
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa0/4, Fa0/5, Fa0/6, Fa0/7, Fa0/8, Fa0/9
Fa0/10, Fa0/11
10 admin active Fa0/1
20 server active Fa0/2
30 user active Fa0/3
1002 fddi-default act/unsup
1003 token-ring-default act/unsup
1004 fddinet-default act/unsup
1005 trnet-default act/unsup
■スイッチのトランクポート情報
Switch#show interfaces fastEthernet 0/12 trunk
Port Mode Encapsulation Status Native vlan
Fa0/12 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa0/12 1-4094
Port Vlans allowed and active in management domain
Fa0/12 1,10,20,30
Port Vlans in spanning tree forwarding state and not pruned
Fa0/12 1,10,20,30
2010-12-24 05:18 PM
taikihashimoto 様
お問い合わせいただき、有難うございます。
C1721のF1-F4はスイッチポートとなり、サブインターフェースは
作成できません。ご指摘の構成の場合では、例として次のような
configではいかがでしょうか。
(C1721)
interface FastEthernet0
ip address 192.168.1.2 255.255.255.224
!
interface FastEthernet1
switchport mode trunk
!
interface Vlan10
ip address 192.168.1.62 255.255.255.224
!
interface Vlan20
ip address 192.168.1.94 255.255.255.224
!
interface Vlan30
ip address 192.168.1.126 255.255.255.224
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
(Cat2950)
interface FastEthernet0/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/2
switchport access vlan 20
switchport mode access
!
interface FastEthernet0/3
switchport access vlan 30
switchport mode access
!
interface FastEthernet0/12
switchport mode trunk
どうぞよろしくお願いいたします。2010-12-25 01:46 AM
ありがとうございます。
ご指摘頂いた内容で設定させて頂きましたが、同じ状態です。vlan間で疎通が取れません。
c1712はサブインターフェースを削除し、vlan10-30を作成しました。また、FE1をトランクポートに設定しました。
c2950は、ご指摘の内容に沿っていたので設定を変えていません。
物理もデータリンクも接続状態です。
(c1712のリンクアップ)
FastEthernet1 is up, line protocol is up
(c2950のリンクアップ)
FastEthernet0/1 is up, line protocol is up (connected)
FastEthernet0/2 is up, line protocol is up (connected)
FastEthernet0/3 is up, line protocol is up (connected)
FastEthernet0/12 is up, line protocol is up (connected)
(c1712のFE1トランク設定)
router#show interfaces fastEthernet 1 trunk
Port Mode Encapsulation Status Native vlan
Fa1 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa1 1-1005
Port Vlans allowed and active in management domain
Fa1 1
Port Vlans in spanning tree forwarding state and not pruned
Fa1 1
(c1712)
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname router
!
boot-start-marker
boot-end-marker
!
enable secret 5 $1$QWi8$Vgti20cghr/6E3Aym008L.
!
no aaa new-model
ip cef
!
!
!
!
ip domain name test.com
ip name-server 192.168.1.1
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username sshuser password 7 140732181F137A3920
!
!
ip ssh version 2
!
!
!
!
!
interface BRI0
no ip address
encapsulation hdlc
shutdown
!
interface FastEthernet0
ip address 192.168.1.2 255.255.255.224
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1
switchport mode trunk
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
!
interface Vlan1
no ip address
!
interface Vlan10
ip address 192.168.1.62 255.255.255.224
!
interface Vlan20
ip address 192.168.1.94 255.255.255.224
!
interface Vlan30
ip address 192.168.1.126 255.255.255.224
!
ip default-gateway 192.168.1.1
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
!
no ip http server
no ip http secure-server
!
access-list 100 permit ip 192.168.0.0 0.0.255.255 any
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
login local
transport input telnet ssh
!
end
(c2950)
2010-12-25 06:15 PM
taikihashimoto 様
お問い合わせいただき、有難うございます。
C1712では事前にvlan 10,20,30を作成いただいておりますでしょうか?
C1712#vlan database
C1712(vlan)#vlan 10
VLAN 10 modified:
C1712(vlan)#vlan 20
VLAN 20 modified:
C1712(vlan)#vlan 30
VLAN 30 modified:
C1712(vlan)#
C1712(vlan)#exit
APPLY completed.
Exiting....
C1712#
C1712#show interface fa1 trunk
Port Mode Encapsulation Status Native vlan
Fa1 on 802.1q trunking 1
Port Vlans allowed on trunk
Fa1 1-1005
Port Vlans allowed and active in management domain
Fa1 1,10,20,30
Port Vlans in spanning tree forwarding state and not pruned
Fa1 1,10,20,30
どうぞよろしくお願いいたします。
2010-12-25 08:44 PM
ご回答ありがとうございます。
ご指摘いただいた通りに設定し、vlan間通信ができることを確認しました。
新たな課題ですが、vlanに所属する端末からインターネットへの接続ができません。
各セグメントは、c1712にdirect connectedの状態ですので経路情報には問題ありません。
おそらくpatの設定かと考え、1712側で下記設定を試しましたが、効果がありません。
最後のip nat outsideを設定直後、sshの通信が途絶え、以後リモート接続が通らなくなります。
お手数ですが、原因と回避策をご教授お願いします。
(pat設定)
(config)# access-list 1 permit 192.168.1.0 0.0.0.255
(config)# ip nat inside source list 1 interface fastethernet 0 overload
(config)# interface fastethernet vlan10
(config-if)# ip nat inside
(config)# interface fastethernet vlan20
(config-if)# ip nat inside
(config)# interface fastethernet vlan30
(config-if)# ip nat inside
(config)# interface fastethernet 0
(config-if)# ip nat outside
(接続状況)
ブロードバンドルータとvlan10-30の間で疎通できない
ブロードバンドルータとc1712の間で疎通可能
c1712とvlan10-30の間で疎通可能
vlan10-30の間で疎通可能
(論理構成)
ブロードバンドルータ
.1
|
| 192.168.1.0/27
|
.2
Cisco 1712 Router
vlan10 vlan20 vlan30
.62 .94 .126
| | |
| 192.168.1.32/27 | 192.168.1.64/27 | 192.168.1.96/27
| | |
.33 .65 .97
端末1 端末2 端末3
■物理構成
ブロードバンドルータ
|
Cisco 1712 Router
|
Cisco 2950 Switch
| | |
端末1 端末2 端末3
2010-12-25 09:02 PM
taikihashimoto 様
お問い合わせいただき、有難うございます。
ブロードバンドルータから 192.168.1.32/27、192.168.1.64/27、192.168.1.96/27 の
各ネットワークへのルーティング情報は適切に設定いただいておりますでしょうか?
どうぞよろしくお願いいたします。
2010-12-25 10:17 PM
早速のご回答ありがとうございます。
使用しているブロードバンドルータは、PLANEX社のBRL-04CW-Uになります。
ルーティングルールリストがありますので下記を追加しました。
インタフェース 送信先 サブネットマスク ゲートウェイ
LAN 192.168.1.32 255.255.255.224 192.168.1.2
LAN 192.168.1.64 255.255.255.224 192.168.1.2
LAN 192.168.1.96 255.255.255.224 192.168.1.2
やはり、vlan間とブロードバンドルータ間の疎通はできません。
ブロードバンドルータのサブネットを変更し、192.168.1.1/24に変更すると疎通ができるようになります。
自身と同じセグメントに所属するアドレスのみインターネットに繋げる仕様のようです。
インターネットに出る場合、vlan10-20のセグメントからc1712のfe0に付与している192.168.1.2/27にアドレス変換できる設定があれば教えて頂けますでしょうか。
2010-12-26 12:44 AM
patの設定変更を行い、上記問題が解決しました。ありがとうございました。
2010-12-26 02:15 AM
ここで、sshコマンドの質問よろしいでしょうか。
cisco2950上のコンソール上で、sshコマンドを使用した際、下記エラーが発生しました。
sshクライアントが必要かと思いますが、設定方法をご教授頂けますでしょうか。
Switch#ssh 192.168.1.2
% No user specified nor available for SSH client
2010-12-26 03:38 AM
端末2からc2950へのtelnet接続拒否を目的とし、下記のACLを作成してvlan20に適用した結果、
c1712へのtelnet、sshの接続も通らなくなりました。その上、インターネットへの接続も失敗しました。
pingによる疎通は取れます。これはどういう事でしょうか。
(config)#access-list 102 deny tcp any 192.168.1.128 0.0.0.31 eq 23
(config)#interface vlan20
(config-if)#ip access-group 102 in
(論理構成)
ブロードバンドルータ
.1
|
| 192.168.1.0/27
|
.2
Cisco 1712 Router
vlan1 vlan10 vlan20 vlan30
.158 .62 .94 .126
| | | |
| 192.168.128/27 | 192.168.1.32/27 | 192.168.1.64/27 | 192.168.1.96/27
| | | |
.129 33 .65 .97
Cisco 2950 端末1 端末2 端末3
2010-12-26 02:26 PM
taikihashimoto 様
お問い合わせいただき、有難うございます。
暗黙のDenyを考慮して、例として次のような
configではいかがでしょうか。
(config)#access-list 102 deny tcp any 192.168.1.128 0.0.0.31 eq 23
(config)#access-list 102 permit ip any any
(config)#interface vlan20
(config-if)#ip access-group 102 in
どうぞよろしくお願いいたします。
2010-12-27 09:14 AM
taikihashimoto 様
エキスパートへ質問でのディスカッションをありがとうございます。
コミュニティ事務局でございます。
申し訳ございませんがこちらのカテゴリの
エキスパートに質問は昨日を以て終了となります。
まだ質疑の途中の状態で大変申し訳ございませんが、
通常のディスカッションスレッドにて、新規質問のご投稿を
いただけますよう、ご理解の程どうぞよろしくお願いいたします。
サポートコミュニティ事務局
エキスパートの回答、ステップバイステップガイド、最新のトピックなどお気に入りのアイデアを見つけたら、あとで参照できるように保存しましょう。
コミュニティは初めてですか?これらのヒントを活用してスタートしましょう。 コミュニティの活用方法 新メンバーガイド
下記より関連するコンテンツにアクセスできます