Debian не видит cisco 800

Что показывает route -n ?

[code=bash]cat /etc/resolv.conf [code] [code=bash]ip route [code] ?!

береш в руки tcpdump и смотриш на линуксе - как отправляются пакеты и как возвращаются (если возвращаются)

Имеется: 50 компьютеров под Windows, роутер Cisco 871...

Вчера появился 51-ый ПК под Debian - всю сеть видит, а циску не хочет.

Напомнило вот этот Cisco ASA 5505 50-user bundle, в котором

Includes 50-user license, 8-port Fast Ethernet switch, stateful firewall, 10 IPsec VPN peers, 2 SSL VPN peers, 3DES/AES license, and 1 expansion slot

Кстати, ASA с такой лицензией действительно тупо не видит/не видится 51м клиентом :) Но то ASA, а у тебя обычный маршрутизатор.

к тому же

При загрузке винды (2 ОС) интернет появляется.

BTW, дай хоть какие-нибудь дополнительные данные, конфиги интерфейса на дебиане, или кошки.

А циска из под других 50-ти машин пингуется? Может стоит блокировка ICMP на роутере.

Что показывает route -n ?

Linux:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.0.1     0.0.0.0         UG    0      0        0 eth0

Windows:

>route print
===========================================================================
Список интерфейсов
 10...00 26 2d 81 4c 17 ......Broadcom NetLink (TM) Gigabit Ethernet
  1...........................Software Loopback Interface 1
 18...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4
 17...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #3
 15...00 00 00 00 00 00 00 e0 Teredo Tunneling Pseudo-Interface
 19...00 00 00 00 00 00 00 e0 Адаптер Microsoft ISATAP #2
 20...00 00 00 00 00 00 00 e0 Адаптер Microsoft 6to4 #3
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1      192.168.0.3    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link       192.168.0.3    276
      192.168.0.3  255.255.255.255         On-link       192.168.0.3    276
    192.168.0.255  255.255.255.255         On-link       192.168.0.3    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link       192.168.0.3    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link       192.168.0.3    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0          5.0.0.1  По умолчанию
          0.0.0.0          0.0.0.0      192.168.0.1  По умолчанию
===========================================================================

cat /etc/network/interfaces cat /etc/resolv.conf ip route

interfaces:

auto lo
iface lo inet loopback

allow-hotplug eth0
iface eth0 inet static
	address 192.168.0.2
	netmask 255.255.255.0
	gateway 192.168.0.1

resolv.conf:

domain we.ru
search we.ru
nameserver 192.168.0.205
nameserver 192.168.0.248

ip route:

192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.2 
default via 192.168.0.1 dev eth0 

Кошатина пингуется отовсюду, конфиг могу скинуть только завтра.

Где-то на форуме, встречал описание подобной проблемы. Кончилось все примерно такой фразой - «Админы поправили что-то в коммутаторе, сеть заработала.»

еще надо вывод следующих команд:

# ifconfig eth0
# ping -c3 192.168.0.1
# arp -n    (это сразу после пинга)
# iptables -nv -L

DHCP

как так получилось, что в сети 50 ПК, а новому компу выдался адрес 192.168.0.2 (причем под виндой выдали другой адрес, насколько я понял - 192.168.0.3)? проверь возможную коллизию ip-адресов (один адрес на двух устройствах); какие адреса у других компов?

50 ПК видит, а циску нет

пардон, не понял, новый комп с линуксом видит (пинг?) соседние компы, но не шлюз? пингануть новый комп с циски; смотреть arp-таблицу на кошке сразу после пинга; проверять правильность MAC-адресов

как так получилось, что в сети 50 ПК, а новому компу выдался адрес 192.168.0.2

interfaces как бы намекает:

iface eth0 inet static

interfaces как бы намекает:

я это видел, но подозрения в коллизии это не отменяет; на каком основании статически присвоен именно этот адрес? потому что он перед этим выдался по DHCP? или потому что он не входит в диапазон адресов для выдачи DHCP-сервером? кто гарантирует, что этот адрес не был так же руками прописан на каком-то другом компе?

или потому что он не входит в диапазон адресов для выдачи DHCP-сервером? кто гарантирует, что этот адрес не был так же руками прописан на каком-то другом компе?

Я гарантирую. Во-первых, DHCP выдает IP с 20 по 150, с 1 по 20 специальный резерв под активное сетевое оборудование. Во-вторых, этот же ПК с этими же настройками, но уже под виндой преспокойно ходит в итернет.

Ну, тогда дай нас вывод команд анонимуса:

# ifconfig eth0
# ping -c3 192.168.0.1
# arp -n    (это сразу после пинга)
# iptables -nv -L

Плюс смотри tcpdump или запусти wireshark.

Я гарантирую. Во-первых, DHCP выдает IP с 20 по 150, с 1 по 20 специальный резерв под активное сетевое оборудование. Во-вторых, этот же ПК с этими же настройками, но уже под виндой преспокойно ходит в итернет.

под виндой был адрес .3, под линуксом .2
например, .2 уже был кем-то занят, а .3 - свободен, вот и работает под виндой, а под линуксом не работает

ну и да, где выхлоп запрошенных команд?

поддерживаю anonymous (22.03.2012 11:57:52)

и да, вот это настораживает:

Адрес шлюза ... 5.0.0.1

wtf??

Адрес шлюза ... 5.0.0.1

wtf??

ну, об этом пусть у вендоадминов голова болит :)

Адрес шлюза ... 5.0.0.1

wtf??

Это hamach

ну и да, где выхлоп запрошенных команд?

Рабочий день, пользователь работает на машине =). Поставил Linux на virtual box, дабы эксперементировать и никому не мешать. Эффекты, к слову те же. Итак: ifconfig eth0:

eth0      Link encap:Ethernet  HWaddr 08:00:27:ef:db:20  
          inet addr:192.168.0.4  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::a00:27ff:feef:db20/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4237 errors:0 dropped:0 overruns:0 frame:0
          TX packets:38 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:326317 (318.6 KiB)  TX bytes:2720 (2.6 KiB)

ping -c3 192.168.0.1:

PING 192.168.0.1 (192.168.0.1) 56(84) bytes of data.

--- 192.168.0.1 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 1999ms

arp -n :

Address                  HWtype  HWaddress           Flags Mask            Iface
192.168.0.1              ether   14:d6:4d:85:86:1b   C                     eth0

iptables -nv -L:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination         

В глаза бросается MAC-адрес 0.1: 14:d6:4d:85:86:1b - Linux 00-18-b9-aa-5e-fc - Windows

Cisco (show interfaces):

 ... FastEthernet0 is up, line protocol is up 
  Hardware is Fast Ethernet, address is 0018.b9aa.5efc (bia 0018.b9aa.5efc) ... 

В глаза бросается MAC-адрес 0.1: 14:d6:4d:85:86:1b - Linux 00-18-b9-aa-5e-fc - Windows

гы-гы, это какой-то D-Link девайс мешается, а 192.168.0.1 - адрес почти всех таких устройств по умолчанию - может поможет в поиске;
лучше использовать какие-то менее тривиальные адреса в сети;

ну и напиши, чем дело кончилось

я к тому что это просто так не появляется, и в списке оно стоит раньше - может только поэтому и работает на венде.;-)

может только поэтому и работает на венде.;-)

ааа, ну не знаю, может и поэтому (хотя шлюзом к некоторой сети может являться только адрес, находящийся в подсети одного из сетевых интерфейсов исходного узла), а скорее потому что в винде дохера всяких сраных протоколов/сервисов, работающих на бродкастах...

не, я к тому, что ты зря dhcp для лиункса не попробуешь, может открыться много нового.:-)

...ненужного говна :)

ну и напиши, чем дело кончилось

Дело кончится в пн. когда привезут новый «центральный» свич (старый умер месяц назад). А так же привязкой «порт-мак» и белыми списками на серверах\шлюзах. Собсно, Linux в нашей Windows сети и задумывается, как шлюз к основному провайдеру + zabbix.

Пока проблема устраняется методом:

arp -d 192.168.0.1
arp -s 192.168.0.1 00:18:b9:aa:5e:fc

В любом случае, спасибо всем откликнувшимся

Дело кончится в пн. когда привезут новый «центральный» свич (старый умер месяц назад).

а сейчас сеть на чем живет?

А так же привязкой «порт-мак» и белыми списками на серверах\шлюзах.

ужас какой! :)

Пока проблема устраняется методом:

man 5 ethers

наверняка какой-нибудь умник без спроса включил в сеть D-Link WiFi точку доступа чтобы с ноутбука/еблопада работать :)

а сейчас сеть на чем живет?

Краткое описание топологии:2 свича AT-FS750. Первый - бухгалтерия, второй - отдел проектирования и конструирования. Оба свича втыкались в AT-FS950 (именно он и почтил нас смертью храбрых). Так же в 950 подключались 3 сервера, cisco, производство, отдел химиков. В отделе последних творится полный хаос с оборудованием (они типа в своем соку варятся). На производстве тоже бардак, ибо постоянно что-то собирается, настраивается и отгружается (в основном оборудование типа Siemens, Moxa и прочие прелести для АСУ ТП) - программистам выдана подсеть для экпериментов, но связь с отделом проектирования все равно есть.

Итак, вместо 950 вставлен FS708 (неуправляемый 8 портовый свич) ибо сеть нужна, а ничего другого нет.

Сейчас обе 750ки показывают «14:d6:4d:85:86:1b» приходит от 708, т.е. варианта 2 или производство, или химики. Зашел в оба отдела, естественно, никто ничего не подключал. Можно было бы выдернуть провода отдельных отделов и посмотреть что и как, но люди работают - отключать сеть, не айс.

Краткое описание топологии

т.е. все юзерские компы (всех отделов), сервера и циска живут в одном домене коллизий? это же ужас!

Сеть надо строить на роутерах, а не свитчах. Свитч - это лишь устройство объединения хостов в один сегмент сети.

- сервера унести в DMZ (отдельная подсеть) - FastEthernet0/0;
- отделы изолировать в VLAN'ы (отдельная подсеть для каждого отдела) - FastEthernet0/1 (802.1q);
- интернет - FastEthernet0/2;
- FastEthernet0/3 про запас;

домене коллизий?

Сеть на концентраторах? НЕТ ПУТИ!!!11

это же ужас!

Внатуре ужас!11

Рим не сразу строился. Компания собственно тоже, когда-то был один отдел и 1,5 бухгалтера. Одноранговая сеть - самое оно. Врмена идут, появился домен. Вот скажем так, настало время очердного «апгрейда».

На счет DMZ - пока что лишнее. На серверах лежит 4 обязанности: 1С, почта, домен(DNS, DHCP, туда же), фало-хранилище. Сейчас появится еще одно - рутить траффик к основному провайдеру. Cisco - останется, как резерв для бухгалтерии.

VLAN'ы это да, склоняюсь к этому варианту, но пока что нет понимания, где проводить границы сетей. Отдел проектирования должен общаться с производством, бухгалтерия с проектированием. В общем, тут моих знаний недостаточно, и нет понимания полного профита от разделения на VLAN. Вернее, планируется отдел экономистов. Им акромя интернета и 1Сного сервера вообще ничего не надо. Вот их - да, изолировать в VLAN и все.

Сеть надо строить на роутерах, а не свитчах. Свитч - это лишь устройство объединения хостов в один сегмент сети.

Сеть должны строить системные адсминистраторы, а не самоучки типа меня, на которых свалили обязанности. Но начальство это не понимает. Интернет есть? Почта работает? Бухгалтерия с 1С работает? Значит все нормально.

И кстати, да. У вас в сети одни роутеры стоят? Прям каждый хост напрямую подключен?

Зашел в оба отдела, естественно, никто ничего не подключал.

Если коммутатор управляемый, поищи мак адрес в коммутационной таблице. Найди с какого порта светится, временно потуши порт/повесь acl/что-нибудь еще. И проверь еще раз. Вообще найдя порт, проблем найти чей это мак и откуда он быть не должно.

Сеть надо строить на роутерах, а не свитчах.

Комментарии по этому бреду будут? Ну там более развернутый ответ?

домене коллизий?

пардон, перепутал с бродкаст доменом

И кстати, да. У вас в сети одни роутеры стоят? Прям каждый хост напрямую подключен?

не надо понимать буквально;
роутеры позволяют разбить общую большую сеть на логические сегменты; коммутаторы лишь объединяют конечные устройства в единый сегмент;

а у тебя все узлы (и рабочие места и сервера и даже циска) в едином сегменте - одна большая жопа! :)

Комментарии по этому бреду будут? Ну там более развернутый ответ?

кое что написал ТС'у выше, посмотри...
хотя, если ты считаешь, что сеть - это кабели UTP-5 и свитчи, то желаю удачи в администрировании своего холокоста :)

или ты думаешь, что интернет тоже на свитчах построен? а зачем там тогда роутеры нужны?

коммутаторы лишь объединяют конечные устройства в единый сегмент;

Умные коммутаторы позволяют разбить физическую сеть на броадкаст домены с помощью вланов, а если коммутатор с ф-иями l3 - то и поднять SVI на нем, или перенести это на роутер. Никакие роутеры, во множественном числе не нужны.

а у тебя все узлы (и рабочие места и сервера и даже циска) в едином сегменте - одна большая жопа! :)

Да, потому, что программисты хотят, сидя в своем отделе, программировать контроллерны находящиеся на производстве. Бухгалтерия перекидывает договора менеджменту и управленцам, те в свою очередь ТЗ проектировщикам. Добавим броуновское движение по отделам с ноутбуками. Повторюсь, на данный момент, со 100% уверенностью, только один отдел могу выделить в отдельную подсеть, зная что последствия будут минимальны =)

Да и жопы та как таковой нет =) Никто, повторюсь, НИКТО из пользоавтелей не заметил железку или сбоя в сети.

хотя, если ты считаешь, что сеть - это кабели UTP-5 и свитчи, то желаю удачи в администрировании своего холокоста :)

serious network engineer в треде, ок

или ты думаешь, что интернет тоже на свитчах построен? а зачем там тогда роутеры нужны?

Давай bro, расскажи мне как работает интернет.

Никакие роутеры, во множественном числе не нужны.

о роутерах во множественном числе я говорил лишь в общем контексте; в случае ТС'а, разумеется хватит той одной дохленькой циски, что у него уже есть, но он не использует ее как роутер для организации внутренней сети (только для выхода наружу - насколько я понял, через нее инет раздается)

я не говорил, что надо в каждый отдел по циске поставить :)

Да, потому, что программисты хотят, сидя в своем отделе, программировать контроллерны находящиеся на производстве. Бухгалтерия перекидывает договора менеджменту и управленцам, те в свою очередь ТЗ проектировщикам. Добавим броуновское движение по отделам с ноутбуками.

...и по-твоему этого можно достичь только свалив все хосты в одну подсеть?
все вышеперечисленное будет работать и при разбиении на подсети! (ваш КО)

Да и жопы та как таковой нет =) Никто, повторюсь, НИКТО из пользоавтелей не заметил железку или сбоя в сети.

не делай мне смешно!
в сеть воткнули хост с ip-адресом, что и у шлюза по умолчанию; и если тебе о реальных проблемах неизвестно, то это лишь вопрос времени, потому что:
- пользователи, возможно, просто не придали этому значения (одиночный глюк) или не юзали GW (не ходили в инет, а работали внутри сети);
- дело случая, что на виндовых клиентах быстрее подхватывается правильный MAC-адрес шлюза; фаза луны изменится и резко все встанет колом;

короче, пока все хорошо не потому что сеть правильно организована, а просто везет вам до поры до времени

...и по-твоему этого можно достичь только свалив все хосты в одну подсеть? все вышеперечисленное будет работать и при разбиении на подсети! (ваш КО)

Я по-моему писал выше, знаний в этом вопросе мне не хватает. Раз КО говрит что будет работать и пользователи не заметят изменений, значит будет.

короче, пока все хорошо не потому что сеть правильно организована, а просто везет вам до поры до времени

Все хорошо, потому что на 0.1 висит резервный провайдер, который ломились бухи во времена оные, когда основной пров работал криво и скорость падала до 5кб\с.

Согласен, сеть надо приводить к нормальному виду, но только тогда и там, где финансово-трудовые затраты оправданы.

чойто? VLANы прекрасно разрулят положение. тем более 750 есть.

и для это йсети достаточно 1 рутера.

интернет работает вот так: жмёшь значочоек с надписью Е -и оно работает.^_^

обычная сеть, VLANы , ну же.

ну, где история успеха? нашел шпионский D-Link? :)

Сегодня привезли AT-GS950. Флудерастая железка со стороны производства. Дальше больше. Оказывается, между «нами» и «производством» есть чья-то сеть, канал которой (привет VLAN) мы арендуем. В общем пока курю мануал, как drop'ать пакеты ненавистного D-Link'а на свиче (или циске). Более конкретно разбираться пока нет времени (яж не админ, я проектировщик и сейчас сдача проекта).