Z:\>arp -a 10.10.1.3
Не найдены записи в таблице ARP

Z:\>ping 10.10.1.3

Обмен пакетами с 10.10.1.3 по с 32 байт данных:

Ответ от 10.10.1.3: число байт=32 время=2мс TTL=255
Ответ от 10.10.1.3: число байт=32 время=1мс TTL=255
Ответ от 10.10.1.3: число байт=32 время=1мс TTL=255
Ответ от 10.10.1.3: число байт=32 время<1мс TTL=255

Статистика Ping для 10.10.1.3:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 2 мсек, Среднее = 1 мсек

результаты
tracert 172.10.1.1

приведите пожалуйста.

Z:\>tracert 172.10.1.1

Трассировка маршрута к 172.10.1.1 с максимальным числом прыжков 30

1 * Заданный узел недоступен.

Трассировка завершена.


произвёл перезд сети на 172.10.10 и 172.10.2.0
с 24 маской

Маршрут на ISA прописан.

Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
10.10.2.0 255.255.255.0 10.10.1.3 1
172.10.1.0 255.255.255.0 10.10.1.3 1

Z:\>ping 10.10.1.3
Обмен пакетами с 10.10.1.3 по с 32 байт данных:
Ответ от 10.10.1.3: число байт=32 время=2мс TTL=255
Ответ от 10.10.1.3: число байт=32 время=1мс TTL=255
Ответ от 10.10.1.3: число байт=32 время=1мс TTL=255
Ответ от 10.10.1.3: число байт=32 время<1мс TTL=255 »

Ближний интерфейс Cisco виден.

Почему не виден дальний?

====
Вы NAT на Cisco отключили?

sh run приведите

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname NSOFRT01
!
boot-start-marker
boot-end-marker
!
no logging buffered
enable secret 5 $1$5xxs$BZX2AvFosVzALBrWKh6F2.
!
no aaa new-model
!
resource policy
!
clock timezone Moscow 3
clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00
!
!
no ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 172.10.1.1 172.10.1.20
ip dhcp excluded-address 172.10.1.61 172.10.1.254
ip dhcp excluded-address 172.10.2.1 172.10.2.5
ip dhcp excluded-address 172.10.2.20 172.10.2.254
!
ip dhcp pool Vlan101
network 172.10.1.0 255.255.255.0
domain-name nanosystem.local
dns-server 172.10.1.4 172.10.1.5
default-router 172.10.1.3
lease 8
!
ip dhcp pool nsofap01
host 172.10.1.10 255.255.255.0
hardware-address 001e.5846.cb22
!
ip dhcp pool nsofpr01
host 172.10.1.15 255.255.255.0
hardware-address 0800.3746.96bd
!
ip dhcp pool nosfd01
host 172.10.1.21 255.255.255.0
client-identifier 0100.1d7d.43e7.00
!
ip dhcp pool nsofd08
host 172.10.1.22 255.255.255.0
client-identifier 0100.1bfc.760d.ae
!
ip dhcp pool nsofd09
host 172.10.1.23 255.255.255.0
client-identifier 0100.1d60.0da5.df
!
ip dhcp pool Vlan102
network 172.10.2.0 255.255.255.0
domain-name nanosystem.local
dns-server 172.10.1.4 172.10.1.5
default-router 172.10.2.3
lease 8
!
!
ip domain name nanosystem.local
ip name-server 172.10.1.4
ip name-server 172.10.1.5
!
!
crypto pki trustpoint tti
revocation-check crl
rsakeypair tti
!
crypto pki trustpoint TP-self-signed-791461412
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-791461412
revocation-check none
rsakeypair TP-self-signed-791461412
!
!
crypto pki certificate chain tti
crypto pki certificate chain TP-self-signed-791461412
certificate self-signed 01
3082024F 308201B8 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274
69666963 6174652D 37393134 36313431 32301E17 0D303830 39303431 32333031
335A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F
532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3739 31343631
34313230 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100
DB7B18BD CFB327D2 B3E80F25 1EBCA7E6 CC9318FD DCAEEC1D 07604C4A 712C3BCE
3E27519B 6C492605 354E4DDB 0E2584A5 7E7786B7 16069B2A BC1A7111 9F832DD9
D82EB7F6 E995718E ABF00231 28C6B1CF 722207DA B3B91201 5C4D025C 13C1C618
8D78265A 95E072BA F94E5FDE A34C9369 DAFFEC26 3366FE58 D4EEAAC4 AD9C1421
02030100 01A37930 77300F06 03551D13 0101FF04 05300301 01FF3024 0603551D
11041D30 1B82194E 534F4652 5430312E 6E616E6F 73797374 656D2E6C 6F63616C
301F0603 551D2304 18301680 1483C281 35B20711 AD9D8823 26DF413D 0386860B
DA301D06 03551D0E 04160414 83C28135 B20711AD 9D882326 DF413D03 86860BDA
300D0609 2A864886 F70D0101 04050003 81810007 3EFE79BF 4780F4E2 6F1A9C97
BA523D68 B8019227 6E7CD929 9504624C 0FF4D170 C2634010 9B9CFD00 B0BFCE71
30625ED8 8041B3BB F96CB147 09F47921 E2D403E3 E36D363F 07855A09 57CEB9C3
48F49BBA ED168604 4FA80D8F 4CA07EE5 84CD9556 96AE283E 108E4F47 4C9E3EBE
A467988D BA4B54F3 79628C03 DEAF8E27 1D2A4B
quit
username root privilege 15 secret 5 $1$Ne5X$6nh/tvIubPYow3uafSaPH1
!
!
!
!
!
!
interface FastEthernet0
ip address 172.10.254.2 255.255.255.0
no ip route-cache
duplex auto
speed auto
!
interface FastEthernet1
no ip address
no ip route-cache
shutdown
duplex auto
speed auto
!
interface FastEthernet2
switchport access vlan 101
!
interface FastEthernet3
switchport access vlan 101
!
interface FastEthernet4
switchport access vlan 101
!
interface FastEthernet5
switchport access vlan 101
!
interface FastEthernet6
switchport access vlan 101
!
interface FastEthernet7
switchport access vlan 101
!
interface FastEthernet8
switchport access vlan 101
!
interface FastEthernet9
switchport access vlan 102
!
interface Vlan1
no ip address
!
interface Vlan101
description NSOF-Vlan1
ip address 172.10.1.3 255.255.255.0
no ip route-cache
!
interface Vlan102
description NSOF-Vlan2
ip address 172.10.2.3 255.255.255.0
no ip route-cache
!
interface Async1
no ip address
encapsulation slip
no ip route-cache
shutdown
!
ip route 0.0.0.0 0.0.0.0 172.10.1.7
!
!
no ip http server
ip http secure-server
!
access-list 23 permit 172.10.0.0 0.0.255.255
access-list 23 deny any
dialer-list 1 protocol ip permit
!
!
!
!
!
!
control-plane
!
!
line con 0
line 1
modem InOut
stopbits 1
speed 115200
flowcontrol hardware
line aux 0
line vty 0 4
access-class 23 in
login local
transport input ssh
transport output none
!
!
webvpn context Default_context
ssl authenticate verify all
!
no inservice
!
end


Отключен.

aptv,
1) Так сеть поменяли.
Сформированы три интерфейса
172.10.1.3
172.10.2.3
172.10.254.2

2) NAT - отключен
3) Списки доступа дозволяют весь трафик из 172.10.0.0/16 сети
====
Итого: Cisco точно не виновата.

2) На ISA

ipconfig
route print

Прошу заметить что ISA подключена к Vlan 101, но не к FE0

Z:\>route print

IPv4 таблица маршрута
===========================================================================
Список интерфейсов
0x1 ........................... MS TCP Loopback interface
0x10003 ...00 30 48 63 cc 57 ...... Intel(R) PRO/1000 PL Network Connection
0x10004 ...00 30 48 63 cc 56 ...... Intel(R) PRO/1000 PM Network Connection
0x20005 ...00 1b 21 22 64 d4 ...... Intel(R) PRO/1000 PT Desktop Adapter
===========================================================================
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.10.10.1 10.10.10.4 20
10.10.10.0 255.255.255.0 10.10.10.4 10.10.10.4 20
10.10.10.4 255.255.255.255 127.0.0.1 127.0.0.1 20
10.10.99.0 255.255.255.0 10.10.99.1 10.10.99.1 20
10.10.99.1 255.255.255.255 127.0.0.1 127.0.0.1 20
10.255.255.255 255.255.255.255 10.10.10.4 10.10.10.4 20
10.255.255.255 255.255.255.255 10.10.99.1 10.10.99.1 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
172.10.1.0 255.255.255.0 172.10.1.7 172.10.1.7 1
172.10.1.7 255.255.255.255 127.0.0.1 127.0.0.1 1
172.10.2.0 255.255.255.0 172.10.1.3 172.10.1.7 1
172.10.255.255 255.255.255.255 172.10.1.7 172.10.1.7 1
224.0.0.0 240.0.0.0 10.10.10.4 10.10.10.4 20
224.0.0.0 240.0.0.0 10.10.99.1 10.10.99.1 20
224.0.0.0 240.0.0.0 172.10.1.7 172.10.1.7 1
255.255.255.255 255.255.255.255 10.10.10.4 10.10.10.4 1
255.255.255.255 255.255.255.255 10.10.99.1 10.10.99.1 1
255.255.255.255 255.255.255.255 172.10.1.7 172.10.1.7 1
Основной шлюз: 10.10.10.1
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
172.10.2.0 255.255.255.0 172.10.1.3 1

Z:\>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : nsofisa01
Основной DNS-суффикс . . . . . . : nanosystem.local
Тип узла. . . . . . . . . . . . . : неизвестный
IP-маршрутизация включена . . . . : да
WINS-прокси включен . . . . . . . : да
Порядок просмотра суффиксов DNS . : nanosystem.local

LAN - NSOF - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PL Network Connection
Физический адрес. . . . . . . . . : 00-30-48-63-CC-57
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.10.1.7
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 172.10.1.4
172.10.1.5

WAN - NT Group - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PM Network Connection
Физический адрес. . . . . . . . . : 00-30-48-63-CC-56
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.10.4
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 10.10.10.1
NetBIOS через TCP/IP. . . . . . . : отключен

LAN - MSOF - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Intel(R) PRO/1000 PT Desktop Adapter
Физический адрес. . . . . . . . . : 00-1B-21-22-64-D4
DHCP включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 10.10.99.1
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . :
DNS-серверы . . . . . . . . . . . : 10.10.1.4
10.10.1.5

Мда.
Рисуем

[ISA]172.10.1.7>----{172.10.1.0}----<VLAN101=172.10.1.3[Cisco]VLAN102=FE9=172.10.2.3>---{172.10.2.0}---


Поставим вопрос по другому.

Трассируются ли из сети 172.10.2.0
интерфейсы
172.10.1.3
172.10.254.2

Это настройки клиента откудова трассируем
Z:\>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : nsofd01
Основной DNS-суффикс . . . . . . : nanosystem.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : nanosystem.local

local - Ethernet адаптер:

DNS-суффикс этого подключения . . :
Описание . . . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit
Ethernet NIC
Физический адрес. . . . . . . . . : 00-1D-7D-43-E7-00
Dhcp включен. . . . . . . . . . . : нет
IP-адрес . . . . . . . . . . . . : 172.10.1.21
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 172.10.1.3
DNS-серверы . . . . . . . . . . . : 172.10.1.4
172.10.1.5


Сама трассировка.
Z:\>tracert 172.10.1.3

Трассировка маршрута к 172.10.1.3 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 172.10.1.3

Трассировка завершена.

FE0 находится в дауне.
а вообще трассировался.

Это с клиента подсети 172.10.2.0
Z:\>ipconfig /all

Настройка протокола IP для Windows

Имя компьютера . . . . . . . . . : nsofd01
Основной DNS-суффикс . . . . . . : nanosystem.local
Тип узла. . . . . . . . . . . . . : гибридный
IP-маршрутизация включена . . . . : нет
WINS-прокси включен . . . . . . . : нет
Порядок просмотра суффиксов DNS . : nanosystem.local
nanosystem.local

local - Ethernet адаптер:

DNS-суффикс этого подключения . . : nanosystem.local
Описание . . . . . . . . . . . . : Realtek RTL8169/8110 Family Gigabit
Ethernet NIC
Физический адрес. . . . . . . . . : 00-1D-7D-43-E7-00
Dhcp включен. . . . . . . . . . . : да
Автонастройка включена . . . . . : да
IP-адрес . . . . . . . . . . . . : 172.10.2.6
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз . . . . . . . . . . : 172.10.2.3
DHCP-сервер . . . . . . . . . . . : 172.10.2.3
DNS-серверы . . . . . . . . . . . : 172.10.1.4
172.10.1.5
Аренда получена . . . . . . . . . : 29 октября 2008 г. 13:41:37
Аренда истекает . . . . . . . . . : 6 ноября 2008 г. 13:41:37

Z:\>tracert 172.10.1.7

Трассировка маршрута к nsofisa01.nanosystem.local [172.10.1.7]
с максимальным числом прыжков 30:

1 <1 мс <1 мс <1 мс 172.10.2.3
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 ^C
Z:\>tracert 172.10.1.3

Трассировка маршрута к 172.10.1.3 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 172.10.1.3

Трассировка завершена.

Z:\>tracert 172.10.2.3

Трассировка маршрута к 172.10.2.3 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 172.10.2.3

Трассировка завершена.

Z:\>tracert 172.10.1.1

Трассировка маршрута к 172.10.1.1 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 172.10.2.3
2 * 3 ms 8 ms 172.10.1.1

Трассировка завершена.

1) Блин, ну работает маршрутизация на Cisco.

2)
Трассировка маршрута к nsofisa01.nanosystem.local [172.10.1.7]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 172.10.2.3
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 ^C »

интерфейс Cisco проходится, а вот ISA не отвечает

хотя маршрут есть
172.10.2.0 255.255.255.0 172.10.1.3 1

Давайте ковырять правила безопасности и NAT на ISA.
Явно проблемы в ней.
Должен также как на Cisco разрешен трафик из 172.10.0.0

http://s45.radikal.ru/i110/0810/1c/702bae3f60bf.jpg


вот скриншот с ИСА , кога компьютер находящийся в подсети 172.10.2.0 пытается достичь ISA или что-либо находягося за ней.

aptv,
Правильно, ISA отклоняет соединения.

Смотрите "Политика межсетевого экрана"

Отклоняет, НО не прменяя при этом НИ ОДНОГО ПРАВИЛА!!!

Отклоняет, НО не прменяя при этом НИ ОДНОГО ПРАВИЛА!!! »

Вы знаете, я в ISA не силен, и комментариев дать не могу.

Предлагаю дабы окончательно удостовериться "кто виноват", взять компьютер, присвоить ему IP ISA , воткунуть его за место ISA и проверить.
===
Кстати, у вас в приведенном экране есть строчка "Исходная сеть равно VLAN2" ?

1) У вас порты Cisco работают в AccessMode - пользовательском режиме.
Т. е. VLAN теги не пропускаются, а входящие кадры, маркируются.
Хотите что бы до ISA доходили VLAN теги - переведите порт Cisco в магистральный режим.

2) Опять же ISA сейчас должна принадлежать VLAN101

3) Но я бы програмному устройству разбор VLAN не доверил. Нагрузка большая будет

там просто в самой иса я дал исходную подсеть и там промаркировал её vlan 2

.
А как перевести в магистральный режим?+ что это даст?
в Вланах с транками я простоне очень силён..
Знаю что транковый канал может в себе нести несколько Вланов.


Да тут и так понятно что ISA....теперь уже....
толку ноль от таких перестановок....даже пробовать не стоит.
она же чётко даёт знать в скриншоте что блокирует.


Кстати, спасибо за подсказки в настройке циско.

А как перевести в магистральный режим?+ что это даст?
в Вланах с транками я простоне очень силён..
Знаю что транковый канал может в себе нести несколько Вланов. »

VLAN - это сегмент 2-го уровня ограничивающий широковещательный домен, проще воспринимать его как виртуальный свич.

Каналы в коммутаторе делятся на:
access mode - это к котрым подключаются конечные устройства.
Trunck Mode - к которому подключается другой коммутатор до которого нужно транспортировать VLAN-теги.
Просто объединение нескольких VLAN на одном AccessMode порту равносильно объединению двух независимых виртуальных свичей шнурком. Т. е. объединеные VLAN "вырождаются" в один общий.

Пример.
У вас есть 3COM.
Причем вы жаждете
Чтобы половина портов поддержала сеть 172.10.1.0
Другая половина 172.10.2.0

соответственно
1) Создаем на 3COM VLANs: 101, 102
2) Назначаем порты VLANs
3) Выбираем порты для связи двух устройств на Cisco и 3COM и переводим их в транковый режим.
4) Иногда приходится для транковых портов разрешать транспортировку только определенных VLANs
Хотя с другой стороны если VLAN явно не создан на коммутаторе, то он его "зарежет" на входе любого порта

Вот примеры
http://forum.oszone.net/thread-98595.html

там просто в самой иса я дал исходную подсеть и там промаркировал её vlan 2 »

Можно сеть не маркировать?

Просто если ISA может выполнять функции полноценного коммутатора, она должна зарезать любые фреймы
которые не тегированы 2м VLAN. А свои фреймы тегировать соответственно будет.

Соответственно ее фреймы тегированные 2м VLAN будет резать Cisco (хотя для Cisco не факт, ща перечитаю алгоритм работы порта в AccessMode)
Проверить можно подключив полноценный интерфейс 3-го уровня с присвоенным IP (FE0, 1) - им в таком режиме на фреймы Ethernet начихать.

нет....нельзя.....при чём я просто её обозвал....для понимая.....тоестьона теги не ставит...

Вообще было бы удобно сделать ....но как это делать на моём 3коме....))))пока не разобрался...
+ вопрос с ИСА более актуален.

Проблема с ИСА сервером что подтверждает данный скриншот.
http://s60.radikal.ru/i168/0810/d6/19a7acc2b28b.jpg

При отлючении службы всё ок.


Рулим темой на форуме майкрософт.


Уважаемый kim-aa, спасибо за помощь!