я про маршрут по умолчанию
Нет, это норм)
Eugene
D.O.S./S.O.D.
У DHCP клиентов vlan 1 какой шлюз прописывается?
влан 1
10,1,0,1 - шлюз
влан 616 вручных настройках выставил 10,1,0,1 (тк сеть всё равно видит и через юсг в мир хожу)
Федор
У вас максимально непонятно все обрисовано
Александр
влан 1
10,1,0,1 - шлюз
влан 616 вручных настройках выставил 10,1,0,1 (тк сеть всё равно видит и через юсг в мир хожу)
А поставьте клиенту влан1 шлюзом 10.1.2.0 , пинг пойдёт до хостов влана 616?
Федор
Какое устройство маршрутизирует трафик? Usg или l3?
Андрей🌐
влан 1
10,1,0,1 - шлюз
влан 616 вручных настройках выставил 10,1,0,1 (тк сеть всё равно видит и через юсг в мир хожу)
display current-configuration virtual-interface1
Федор
Если usg, то помимо маршрутов, ещё secure policy нужно настраивать
Федор
У вас и usg, и l3 должны быть в 1 влан
D.O.S./S.O.D.
Если usg, то помимо маршрутов, ещё secure policy нужно настраивать
политику глянуть надо
Федор
Usg тоже в 616?
D.O.S./S.O.D.
интерфейс юсг 10.1.0.1/20
интерфейс л3 10.1.2.0/20
всё внутри влан 1
Андрей🌐
Н3с
D.O.S./S.O.D.
дисплей комварный по идее
Андрей🌐
Н3с на комваре
D.O.S./S.O.D.
так я через 10.1.2.0 на морду и по ssh захожу
D.O.S./S.O.D.
h3c
Федор
Тогда шлюзом является именно l3, правильно?
Андрей🌐
Хп хуавей и х3ц
Федор
Значит политики
Федор
Если usg не знает 616 подсеть
Федор
Она не входит в зоны никакие
Федор
Если там все по умолчанию
D.O.S./S.O.D.
Тогда шлюзом является именно l3, правильно?
шлюз внутри влан 1 - юсг
шлюз внутри влан 616 - юсг(выставлен в настройках дхцп сервера в ручную, сервер поднят на л3)
юсг маршрут до сети 10.123.144.0 /22 next hop 10.1.2.0
л3 маршрут 0.0.0.0 0.0.0.0 10.1.0.1
D.O.S./S.O.D.
что именно?)
D.O.S./S.O.D.
616 видит 1
1 не видит 616
маршрут есть, надо трейсы глянуть и политику
Андрей🌐
А это чтото новое и не особо в проде?
Андрей🌐
Просто я бы разделили 10.1.0.0 на 30 подсеть
D.O.S./S.O.D.
я вообще сижу комварь читаю и плохо становится
мне цисколайк ближе
Федор
Да l3 должен быть ядром
D.O.S./S.O.D.
я сейчас всё переношу
D.O.S./S.O.D.
и столкнулся с данным приколом
Федор
С него 0.0.0.0 на usg, для интернета
Федор
А у вас один влан там маршрутизируется, другой там
Александр
616 видит 1
1 не видит 616
маршрут есть, надо трейсы глянуть и политику
поставьте клиенту влан1 шлюзом 10.1.2.0 , пинг пойдёт до хостов влана 616?
Скорее всего на USG отсутствует ВЛАН 616 и это всё портит.
D.O.S./S.O.D.
ситуация - поднял вланы, засунул один л2 коммутатор ради интереса
по итогу, пинг пропал, управление тоже, начал разбираться что и как, сунул ноут свой по кабелю, без указания в дхцп сервере 616 влана в качестве шлюза юсг не выходил в мир
D.O.S./S.O.D.
поставьте клиенту влан1 шлюзом 10.1.2.0 , пинг пойдёт до хостов влана 616?
Скорее всего на USG отсутствует ВЛАН 616 и это всё портит.
по идее, юсг вообще должно быть фиолетово до 616)
Андрей🌐
это и будет на 2 айпи адреса
Тогда юсг посадить на влан1 10.1.1.1/30, а х3ц на 10.1.1.2/30. Описать статикройтами на обеих железка маршруты в подсети за влан1
Андрей🌐
И никому не надо дхцп и гатвей
Андрей🌐
Только конечным устройствам
D.O.S./S.O.D.
Тогда юсг посадить на влан1 10.1.1.1/30, а х3ц на 10.1.1.2/30. Описать статикройтами на обеих железка маршруты в подсети за влан1
это сделается при условии - что у меня увидят сети и те и те устройства
D.O.S./S.O.D.
Только конечным устройствам
как раз хотел спросить "а как по сети гулять без шлюза"
Андрей🌐
Так они и увидят если так сделать
Андрей🌐
Статикроут
D.O.S./S.O.D.
Тогда юсг посадить на влан1 10.1.1.1/30, а х3ц на 10.1.1.2/30. Описать статикройтами на обеих железка маршруты в подсети за влан1
и если я засуну л3 в 1 влан, мне менеджмент интерфейс нельзя забыть перекинуть, иначе - арривидерчи
Андрей🌐
route-static в комваре
D.O.S./S.O.D.
окей, а откуда юзер без шлюза знает куда бежать?)
Андрей🌐
и если я засуну л3 в 1 влан, мне менеджмент интерфейс нельзя забыть перекинуть, иначе - арривидерчи
Менеджмент вообще сразу на другой влан надо
Андрей🌐
И порт резервный с этим влан оставить
D.O.S./S.O.D.
Менеджмент вообще сразу на другой влан надо
я так с л2 и сделал и сразу же потерял его в дебрях 616
Андрей🌐
окей, а откуда юзер без шлюза знает куда бежать?)
А им уже выдавать по дхцп ip влана 616 617 и тд
Андрей🌐
Надо ставить 1 порт с аксесс и пидом 616
Андрей🌐
Для «воткнуть ноут»
Александр
по идее, юсг вообще должно быть фиолетово до 616)
Ну клиенты влан 1 запросили ответ от хостов 10.123.144.х и запрашивают у УСГ 10.1.0.1 - ГДЕ 10.123.144.х? У УСГ такого влана с такой подсетью нет, значит УСГ будет запрашивать в своей таблице маршрутов, на каком порте находится подсеть 10.123.144.х.
Проверьте это командой show ip route в консоли USG.
Андрей🌐
Ну клиенты влан 1 запросили ответ от хостов 10.123.144.х и запрашивают у УСГ 10.1.0.1 - ГДЕ 10.123.144.х? У УСГ такого влана с такой подсетью нет, значит УСГ будет запрашивать в своей таблице маршрутов, на каком порте находится подсеть 10.123.144.х.
Проверьте это командой show ip route в консоли USG.
Это если юсг шлюзом в дхцп 616 влан
Андрей🌐
То да
Андрей🌐
Выстрел в ногу
Александр
Это если юсг шлюзом в дхцп 616 влан
А он и есть шлюз в сетевых настройках у клиентов влан 1.
Андрей🌐
Я так понял влан1 это типа коммутационный
Андрей🌐
Для связи железок
Андрей🌐
А клиенты это коммутаторы л2-3
Андрей🌐
Ну я бы на статику вешал
D.O.S./S.O.D.
у меня маршрут до сети /18
Андрей🌐
Но для юсг не важен влан за коммутаторами л3, т.к они умеют свой дхцп и если есть роут 0.0.0.0 в сторону юсг, а у юсг роуты в сторону подсетей л3, то проблем не будет
D.O.S./S.O.D.
и политика есть разрешающая
Александр
D.O.S./S.O.D.
нашёл пеку на работе включенную с энидеском