Ciscoのスレッド 0/11 [無断転載禁止]©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
乙です
前スレの>>999さんありがとうございます。
サイトの方を見てみたのですが、恐らくこの方法だと拠点ルーターはVLANに所属出来ないのでは無いでしょうか? 前スレの997です。連投失礼します。 ※>>6は投稿ミスです
進展(後退?)があったので質問内容を改めます。
891FJを2台使ってxconnectを使ったブリッジ接続を試みています。
各ルーターのGE8同士を接続し、R1のVLAN1とR2のVLAN1をブリッジしています。
xconnectを設定したVLANインターフェイスはIPアドレスが持てない為、R1とR2ががVLAN1に非参加の状態になっています。
IRBを織り交ぜて設定する事でBVIにてVLAN1に参加させる方法を考えましたが、xconnectを設定しているインターフェイスではIRBが動作しないらしくBVIが利用できませんでした。
R1とR2をVLAN1に参加させる方法をご享受下さい。
よろしくお願いします。 凄い適当なこと言います。
VLAN 2どうしでブリッジ接続し、GE0 を VLAN2、GE1 を VLAN1 に割り当てて
GE0 と GE1 を短い線でループさせるとか?
昔 2811 に HWIC-4ESW 2枚挿す時に、両カード間を物理的に繋ぐ必要があったことを思い出しまして。 2960L って CPU が PowerPC じゃないんだね。
いつから ARM になったんだろ? 安価で性能高いし新しい。Linuxをプラットホームに作りなおした頃からじゃないかな。
なお、3650内部トレースが有効になっているみたいで、ログにワーニング吐きまくるバグに当たった…。
アライドもxシリーズはLinuxなんだよな。 JuniperだけFreeBSDで独自路線だな
PaloとかもLinuxだし telnetの脆弱性騒いでる?
うちの現場は調査したけど、幸いインターネットに晒しているL2なくて良かったわ >>17
んーありがと。ウチもヤバいとこだった。
週末に再起動します。 +------------------サーバA(192.168.10.10)
|
[ ASA ](inside:192.168.10.1/24)
|
(VPN) ※ 192.168.10.1と192.168.1.1でVPN
|
[ RTX(1) ]
| | | |(LAN1:192.168.1.1/24)
| | | +--------------------パソコンA(192.168.1.10)
| | |
| | |(LAN2:192.168.2.1/24)
| | +------------------------パソコンB(192.168.2.10)
| |
|(VPN)
| |
|[ RTX(2) ]
| |(LAN:192.168.5.1/24)
| |
| +------------------パソコンC(192.168.5.10)
(VPN)
|
[ RTX(3) ]
|(LAN:192.168.6.1/24)
|
+------------------パソコンD(192.168.6.10) すみません、いきなりミス投稿してしまいました。
初Cisco(ASA)でヤマハとの違いに戸惑っています。
ヤマハでいう
ip route 192.168.1.0/24 gateway tunnel 1
に該当するコマンドって何でしょうか?
上記 >19 のような構成で各ネットワークは相互に通信できるようにしたいのです。
現状は
・通信可能
RTX(1)←→RTX(2) LAN1とLAN2両方
RTX(1)←→RTX(3) LAN1とLAN2両方
RTX(2)←→RTX(3)
RTX(1)←→ASA LAN1
・通信不可
RTX(1)←→ASA LAN2
RTX(2)←→ASA
RTX(3)←→ASA
ASAからRTX(1)LAN1に対してはVPNトンネルを張っているためか通信できます。
ASAでRTX(1)LAN2に対しては通信できず、TraceRouteを打つとインターネット側へ出て行ってしまうので
ASAのStaticRouteに192.168.2.0/24等へはVPNトンネルを使用するよう書けば良いのではと推測しているのですが・・・
根本的に間違っていたらすみません。 >>20
必要なのはルーティングじゃなくて
crypt map map-name match address access-listコマンドと
access-listじゃない? 検証環境のACLとNAT設定で汚ねえASAを見ると鳥羽ものだな >>21
ありがとうございます。crypto mapの方でしたか。
まだよくわかっていませんが調べて試してみます。
ありがとうございました。 >>24
ipsecのみを使ったvpnの場合ならcrypt mapが原因の可能性もあるけど、ipsec over greなどでは関係ないだろうね。
vpnの方式も書いておいたほうが良かったね 追加で質問です。
object-group network [DM_INLINE_NETWORK]
network-object object 192.168.1.0/24
network-object object 192.168.2.0/24
access-list [outside_cryptomap] extended permit ip 192.168.1.0 255.255.255.0 object-group [DM_INLINE_NETWORK]
crypto map [outside_map 1] match address [outside_cryptomap]
上記のように設定したところ、192.168.1.0/24と192.168.2.0/24のどちらか一方のみに繋がる状態となりました。
この「どちらか」に切り替わるタイミングが微妙で、VPNを切断した際など再接続時や、再接続でない時にも替わる場合があります。
同時に繋がる事はありません。
ただ、結局AccessList関連の記述がわからなかったためGUIを使用して設定したので不要な設定が入っている恐れはあります。
VPNはIPsecのみです。 >>27
グループ不可ってことは1本ずつVPNを張るとかってことですかね?
しかしながらVPN先のネットワークに更に別セグメントがある場合とか考えると何かしらルーティングする手段があると思ってしまうのですけど。
例えば下記機能で実現できるでしょうか?
トンネリングされたデフォルト ゲートウェイを使用した SSL VPN トラフィック ルーティングの設定例
http://www.cisco.com/cisco/web/support/JP/110/1108/1108681_ssl-tdg-config-example-00-j.html
route inside 0.0.0.0 0.0.0.0 192.168.1.1 tunneled
試しにコレを打ってみたいけど通信できなくなりそうで怖い。 >>28
IPsecトンネルでIKEが何をやり取りしているかを考えれば
ルーティングで解決できる問題じゃないことがわかると思う ■ このスレッドは過去ログ倉庫に格納されています