отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .

ASR 1001

Решили использовать данное оборудование граничным маршрутизатором в офисе, У нас есть основной офис и четыре небольших подразделения , все они используют свои белые адреса для выхода во внешнию сеть. Соответственно на ASR, было сделанно пять соединений с провайдерами. В результате выяснилось, что три подразделения имеют выход и интернет, а два не выходят. Настройки везде одинаковые.

Далее для всех поздразделения выяснилась, что ни кто из пользователей не может подключиться к внешним пользователям по  VPN-подключению.

Не могли бы Вы подсказать, где копать) Если нужна дополнительная информация я её предоставлю.

  • Маршрутизация и коммутация (Routing and Switching)
2 УТВЕРЖДЕН. РЕШЕН.

Утвержденные решения

ASR 1001

5 соединений это  в один провайдер или  5 разных провайдеров?

Как вы направили траффик для каждого из провайдеров? Разделяли VRF-ами или посредством PBR для каждого подразделения? Или просто 5  маршрутов  до провайдеров? Дмитрий прав, информации очень мало для того, чтобы делать какие-либо выводы.

----------------------------------------------------------- Прошу вас оценивать и отмечать полезные для вас сообщения. Please rate helpful answers.
New Member

Re: ASR 1001

На ASR1000 небыло NAT ALG для PPTP до версии IOS XE 3.9.0.

У вас же версия 3.7.4.

Поэтому либо обновитесь до 3.9.0, либо не используйте overload NAT там где ходит PPTP.

25 ОТВЕТ.

ASR 1001

Так как способов решения описанной задачи великое множество - для начала нужно нормальное описание топологии (честно говоря, я мало что понял). "Четыре небольших подразделения" находятся в основном офисе, или вне его? Если вне, то они выходят в интернет локально, или через центральный офис? Какое там стоит оборудование? Каким способом организована их связь с ЦО? Что за внешние пользователи, и кто не может к ним подключиться?

Ну и заодно нужна конфигурация ASR. Возможно, потребуется конфигурация удаленных железок.

ASR 1001

Все находятся внутри. Топология стандартная к ядру подключены пользователи, далее идет на ASA, а с нее на ASR, на нем работает NAT,  один провайдер подключен на прямую к ASR на интерфейс   GigabitEthernet0/0/1, а четыре других через транк на интерфейсе  GigabitEthernet0/0/2 к  коммутатору, на котором четыре виртуальных сети к которым подключено оборудование провайдера,

Данный интерфейс смотрит в сторону ASA

interface GigabitEthernet0/0/0
description Inside
ip nat inside
ip policy route-map NET

На нем работает карта маршрутизации показаная ниже:

route-map NET permit 10
match ip address OFFICE2
set ip next-hop A.B.C.2

route-map NET permit 20
match ip address OFFICE3
set ip next-hop A.B.C.3

route-map NET permit 30
match ip address OFFICE4
set ip next-hop A.B.C.4

route-map NET permit 40
match ip address OFFICE5
set ip next-hop A.B.C.5

Прописан NAT для подсетей

ip nat inside source list OFFICE1 interface GigabitEthernet0/0/1 overload
ip nat inside source list OFFICE2 interface Vlan2 overload
ip nat inside source list OFFICE3 interface Vlan3 overload
ip nat inside source list OFFICE4 interface Vlan4 overload
ip nat inside source list OFFICE5 interface Vlan5 overload

И четыре офиса прописаны на под интерфейсах и подключены к коммутатору


interface GigabitEthernet0/0/2.2
description OFFICE2
encapsulation dot1Q 200
ip address 195.X.X.X 255.255.255.252
ip access-group OUTSIDE in
no ip redirects
no ip unreachables
ip nat outside
!
interface GigabitEthernet0/0/2.3
description OFFICE3
encapsulation dot1Q 201
ip address 195.X.X.X 255.255.255.252
ip access-group OUTSIDE in
no ip redirects
no ip unreachables
ip nat outside
!
interface GigabitEthernet0/0/2.4
description OFFICE4
encapsulation dot1Q 202
ip address 195.X.X.X 255.255.255.252
ip access-group OUTSIDE in
no ip redirects
no ip unreachables
ip nat outside
!
interface GigabitEthernet0/0/2.5
description OFFICE5
encapsulation dot1Q 203
ip address 195.X.X.X 255.255.255.252
ip access-group OUTSIDE in

Доступ во внешнию сеть имеют все кроме пользователей  OFFICE2,  OFFICE3

ip nat inside source list OFFICE2 interface Vlan2 overload
ip nat inside source list OFFICE3 interface Vlan3 overload

Физику сразу проверил все нормально.

Второй вопрос ни кто не может подключиться используя VPN к внешним серверам, то есть я работаю с другой организацией у меня есть VPN подключение к ним, как только был поставлен ASR одключение пропало, вернул на место старый маршрутизатор все за работало.

sh ver
Cisco IOS Software, IOS-XE Software (X86_64_LINUX_IOSD-UNIVERSALK9_NPE-M), Version 15.2(4)S4, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2013 by Cisco Systems, Inc.
Compiled Sun 01-Sep-13 11:03 by mcpre

IOS XE Version: 03.07.04.S

Cisco IOS-XE software, Copyright (c) 2005-2013 by cisco Systems, Inc.
All rights reserved.  Certain components of Cisco IOS-XE software are
licensed under the GNU General Public License ("GPL") Version 2.0.  The
software code licensed under GPL Version 2.0 is free software that comes
with ABSOLUTELY NO WARRANTY.  You can redistribute and/or modify such
GPL code under the terms of GPL Version 2.0.  For more details, see the
documentation or "License Notice" file accompanying the IOS-XE software,
or the applicable URL provided on the flyer accompanying the IOS-XE
software.


ROM: IOS-XE ROMMON

ri uptime is 2 minutes
Uptime for this control processor is 3 minutes
System returned to ROM by reload at 05:58:15 MSK Sat Nov 16 2013
System image file is "bootflash:asr1001-universalk9_npe.03.07.04.S.152-4.S4.bin"
Last reload reason: PowerOn

.

License Level: ipbase
License Type: Permanent
Next reload license Level: ipbase

cisco ASR1001 (1RU) processor with 1164344K/6147K bytes of memory.
Processor board ID SSI170602VB
4 Gigabit Ethernet interfaces
32768K bytes of non-volatile configuration memory.
4194304K bytes of physical memory.
7741439K bytes of eUSB flash at bootflash:.

Configuration register is 0x2102

ASR 1001

Почему в конфигурации NAT стоят VLANы, когда на самом деле интерфейсы - сабы? Это огрехи редактирования конфига, или на самом деле так настроено?

"Физику сразу проверил все нормально." - каким образом? Вы проверяли пингами с самого роутера? Соединения отбиваются по таймауту, или по RST?

"ни кто не может подключиться используя VPN к внешним серверам"

Снова совсем никакой информации.

ASR 1001

Описался, там сабы стоят. На простом маршрутизаторе были  виланы.

ip nat inside source list OFFICE4 interface GigabitEthernet0/0/2.4 overload
ip nat inside source list OFFICE5 interface GigabitEthernet0/0/2.5 overload
ip nat inside source list OFFICE1 interface GigabitEthernet0/0/1 overload
ip nat inside source list OFFICE2 interface GigabitEthernet0/0/2.2 overload
ip nat inside source list OFFICE3 interface GigabitEthernet0/0/2.3 overload

Так кажется с натом понятно, по очереди отрабатывает по этому два последних не срабатывают, так может быть.

Физику проверял так, подключался к соответсвующим портам коммутатора и пинговал адреса на сабах. Пинг до них проходит на всех . И я писал на двух все работает отлично, на двух других полная тишина

по VPN, а что тут можно добавитьчерез ASA он проходит, а вот через ASR нет, как только поставил старый маршрутизатор все за работало, по этому и вопрос где копать, чем он может блокировать трафик

ASR 1001

Покажите ACL OFFICE1-5 и скажите, с какого адреса (нужен пример) нет связи наружу.

"подключался к соответсвующим портам коммутатора и пинговал адреса на сабах"

То есть вы не проверяли доступность провайдера. Покажите хотя бы show arp для интерфейсов. Можно с роутера пропинговать провайдерский адрес.

Создайте ACL с одним проблемным адресом, сделайте debug ip nat [название ACL].

"что тут можно добавитьчерез ASA он проходит, а вот через ASR нет"

Снова: проблема может быть в чем угодно, и нужна конфигурация вместе с описанием топологии.

Если боитесь публиковать конфиги, то при наличии контракта лучше завести кейс.

ASR 1001

С NAT  я разобрался в чем проблема, там все нормально.

Топология  ACCESS->CORE->ASA->ASR->INTERNET обычная

Вопрос: Сотрудники имеют доступ к внешнему серверу по VPN-подключению Windows, когда вместо маршрутизатора 3911 был установлен ASR, конфигурация показана ниже, VPN подключение стало выдавать ошибку 619, как только был установлен на место старый маршрутизатор, все заработало штатно.

Что на ASR может блокировать VPN и как это проверить.

!
version 15.2
service timestamps debug datetime msec localtime show-timezone year
service timestamps log datetime msec localtime show-timezone year
service password-encryption
no platform punt-keepalive disable-kernel-core
!
hostname xx01
!
boot-start-marker
boot system flash bootflash:asr1001-universalk9_npe.03.07.04.S.152-4.S4.bin
boot-end-marker
!
!
vrf definition Mgmt-intf
!
address-family ipv4
exit-address-family
!
address-family ipv6
exit-address-family
!        
logging buffered 16384 informational
!
aaa new-model
aaa local authentication attempts max-fail 5
!
!
aaa authentication login default group tacacs+ local
aaa authorization exec default group tacacs+ local
aaa authorization commands 15 default group tacacs+ none
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
!
!
!
!
!
aaa session-id common
clock timezone MSK 4 0
no ip source-route
ip arp proxy disable
no ip gratuitous-arps
ip icmp rate-limit unreachable 10
!        
!
!
no ip domain lookup
ip domain name ccc.cc
!
!
!
ipv6 multicast rpf use-bgp
!
!
multilink bundle-name authenticated
!
!
license boot level ipbase
!
!
!
username xxxxxx privilege 15 secret 4 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
!
redundancy
mode none
!        
!
!
ip tcp synwait-time 20
ip tcp path-mtu-discovery age-timer 10
ip telnet source-interface Loopback0
ip tftp source-interface Loopback0
ip ssh time-out 60
ip ssh source-interface Loopback0
ip ssh logging events
ip ssh version 2
!
!
!
!
interface Loopback0
ip address 10.1.x.5 255.255.255.255
ip nat inside
!
!
interface GigabitEthernet0/0/0
description **** INSIDE HQ ****
ip address 10.1.x.1 255.255.255.0
ip nat inside
ip policy route-map NET
negotiation auto
!
interface GigabitEthernet0/0/1
description **** OUTSIDE HQ ****
ip address 212.x.x.114 255.255.255.240
ip access-group OUTSIDE in
no ip redirects
no ip unreachables
ip nat outside
negotiation auto
!
interface GigabitEthernet0/0/2
no ip address
negotiation auto
!
interface GigabitEthernet0/0/2.2
description ***OFFICE2***
encapsulation dot1Q 2
ip address 195.x.x.50 255.255.255.252
ip access-group OUTSIDE in
no ip redirects
no ip unreachables
ip nat outside
!
interface GigabitEthernet0/0/2.3
description ***OFFICE3***
encapsulation dot1Q 3
ip address 195.x.x.46 255.255.255.252
ip access-group OUTSIDE in
no ip redirects
no ip unreachables
ip nat outside
!
interface GigabitEthernet0/0/2.4
description ***OFFICE4***
encapsulation dot1Q 4
ip address 195.x.x.206 255.255.255.252
ip access-group OUTSIDE in
no ip redirects
no ip unreachables
ip nat outside
!
interface GigabitEthernet0/0/2.5
description ***OFFICE5***
encapsulation dot1Q 5
ip address 195.x.x.34 255.255.255.252
ip access-group OUTSIDE in
no ip redirects
no ip unreachables
ip nat outside
!
interface GigabitEthernet0/0/3
no ip address
shutdown
negotiation auto
!
interface GigabitEthernet0
vrf forwarding Mgmt-intf
no ip address
shutdown
negotiation auto
!
ip nat inside source list OFFICE4 interface GigabitEthernet0/0/2.4 overload
ip nat inside source list OFFICE5 interface GigabitEthernet0/0/2.5 overload
ip nat inside source list OFFICE1 interface GigabitEthernet0/0/1 overload
ip nat inside source list OFFICE2 interface GigabitEthernet0/0/2.2 overload
ip nat inside source list OFFICE3 interface GigabitEthernet0/0/2.3 overload
ip forward-protocol nd
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 212.x.x.214
ip route 0.0.0.0 0.0.0.0 195.x.x.50 10
ip route 0.0.0.0 0.0.0.0 195.x.x.46 11
ip route 0.0.0.0 0.0.0.0 195.x.x.206 12
ip route 0.0.0.0 0.0.0.0 195.x.x.34 13
ip route 10.0.0.0 255.0.0.0 Null0
ip route 10.1.x.x 255.255.0.0 10.1.x.2
ip route 172.16.0.0 255.240.0.0 Null0
ip route 192.168.0.0 255.255.0.0 Null0
ip tacacs source-interface Loopback0
!
ip access-list standard MNG
permit 10.1.x.x 0.0.0.255
deny   any log
!
ip access-list extended OFFICE4
permit ip 10.1.20.0 0.0.0.255 any
ip access-list extended OFFICE5
permit ip 10.1.29.0 0.0.0.255 any
ip access-list extended OFFICE1
permit ip 10.1.0.0 0.0.255.255 any
ip access-list extended OFFICE2
permit ip 10.1.26.0 0.0.0.255 any
ip access-list extended OFFICE3
permit ip 10.1.27.0 0.0.0.255 any
ip access-list extended OUTSIDE
deny   ip 10.0.0.0 0.255.255.255 any
deny   ip 172.16.0.0 0.15.255.255 any
deny   ip 192.168.0.0 0.0.255.255 any
deny   ip 224.0.0.0 15.255.255.255 any
deny   ip 240.0.0.0 15.255.255.255 any
deny   ip 0.0.0.0 0.255.255.255 any
deny   ip 169.254.0.0 0.0.255.255 any
deny   ip 127.0.0.0 0.255.255.255 any
permit ip any any
!
logging source-interface Loopback0
logging host 10.1.x.x
!
route-map NET permit 10
match ip address OFFICE5
set ip next-hop 195.x.x.33
!
route-map NET permit 20
match ip address OFFICE4
set ip next-hop 195.x.x.205
!
route-map NET permit 30
match ip address OFFICE3
set ip next-hop 195.x.x.45
!
route-map NET permit 40
match ip address OFFICE2
set ip next-hop 195.x.x.49
!
snmp-server community xxxxxx RO MNG
snmp-server community public RO
!
tacacs-server host 10.1.x.x key 7 xxxxxxxxxxxxxxx
tacacs-server directed-request
!
!
control-plane
!        
!
line con 0
exec-timeout 0 0
logging synchronous
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class MNG in
exec-timeout 60 0
logging synchronous
transport input ssh
transport output all
line vty 5 15
access-class MNG in
exec-timeout 60 0
logging synchronous
transport input ssh
transport output all
!
ntp source Loopback0
ntp server 10.1.x.x
ntp server 10.1.x.x prefer
!
end

ASR 1001

Какой адрес у VPN сервера? Каким образом осуществляется маршрутизация трафика до него? Я ни одного статика не вижу. На старом роутере они небось были?

Re: ASR 1001

Все нормально и все маршруты есть смотрите внимательно, вопрос специально повторяю.

Вопрос: Сотрудники имеют доступ к внешнему серверу по VPN-подключению Windows, когда вместо маршрутизатора 3911 был установлен ASR, конфигурация показана ниже, VPN подключение стало выдавать ошибку 619, как только был установлен на место старый маршрутизатор, все заработало штатно.

Что на ASR может блокировать VPN и как это проверить.

И ещё добавлю, настройки 3911 и ASR, практический одинаковые, то есть во обоих вариантах сотрудники имеют доступ в интернет. Я знаю , что ASR глубоко работает с трафиком, что следует настроить, чтобы выяснить, что блокирует данный трафик и как найти данный баг.

Re: ASR 1001

Маршрута у вас нет. 10.1.0.0/16 не считается - пакет на такой адрес не может прийти из интернета. Статика, который мог бы изменить адрес получателя пакета, тоже нет.

Боюсь, утверждение "на старом роутере всё работает" не содержит в себе ни малейшей информации. ASR работает с трафиком не более глубоко, чем софтовые железки.

Предлагаю запустить старый роутер и снять с него "show run | sec interface|ip route|nat".

И все-таки в следующий раз постарайтесь вести себя спокойнее и отвечать на вопросы, если хотите, чтобы проблема была решена. Вы ведете себя так, будто все обязаны знать архитектуру вашей сети.

1011
Просмотры
45
Полезный материал
25
Ответы
Не удалось отобразить этот виджет.