Q&A
どこからどこにpingしているんでしょうか?
###前提・実現したいこと
PCからl3/l2スイッチ経由して社内LANと通信を行いたい。
また、HSRPで冗長化する。
※既にacitive/stanbyになっていることは確認ができている。
また、l2swとl3sw間は正常に緑色のライトが点いている。
----------------------構成----------------------
------PC----
. |
L2sw------L2sw
. | |
L3sw-(HSRP)-L3sw
. |
社内LAN
【補足】
■l2sw(catalyst2960)
interface Port-channel1
description *** Channel Port ***
switchport trunk allowed vlan 1,100,200,900,1002-1005
switchport mode trunk
interface GigabitEthernet0/1
description *** system port ***
switchport access vlan 100
switchport mode access
no cdp enable
interface GigabitEthernet0/2
description *** system port ***
switchport access vlan 100
switchport mode access
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable
interface GigabitEthernet0/3
description *** system port ***
switchport access vlan 200
switchport mode access
no cdp enable
interface GigabitEthernet0/4
description *** system port ***
switchport access vlan 200
switchport mode access
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable
interface GigabitEthernet0/23
description *** Channel Port ***
switchport trunk allowed vlan 1,100,200,900,1002-1005
switchport mode trunk
logging event bundle-status
no cdp enable
channel-group 1 mode on
interface GigabitEthernet0/24
description *** Channel Port ***
switchport trunk allowed vlan 1,100,200,900,1002-1005
switchport mode trunk
logging event bundle-status
no cdp enable
channel-group 1 mode on
interface Vlan1
no ip address
no ip redirects
no ip proxy-arp
no ip route-cache
shutdown
interface Vlan100
no ip address
no ip redirects
no ip proxy-arp
no ip route-cache
interface Vlan133
ip address 192.113.179.114 255.255.255.0
no ip redirects
no ip proxy-arp
no ip route-cache
interface Vlan900
no ip address
no ip redirects
no ip proxy-arp
no ip route-cache
ip default-gateway 192.113.179.1
no ip http server
no ip http secure-server
logging esm config
logging facility local0
logging 192.113.133.22
logging 192.113.11.192
logging 192.113.133.29
access-list 1 permit any
ntp server 192.113.133.22
ntp server 192.113.11.192
■l3sw(catalyst3560)
track 1 interface GigabitEthernet0/1 line-protocol
track 2 interface GigabitEthernet0/2 line-protocol
interface GigabitEthernet0/1
description *** core port ***
switchport access vlan 1000
switchport mode access
speed 1000
duplex full
no cdp enable
spanning-tree bpdufilter enable
interface GigabitEthernet0/2
description *** system port ***
switchport access vlan 100
switchport mode access
no cdp enable
interface Vlan1
no ip address
no ip redirects
no ip proxy-arp
no ip mroute-cache
shutdown
interface Vlan100
ip address 203.112.245.18 255.255.255.248
no ip redirects
no ip proxy-arp
no ip mroute-cache
standby 1 ip 203.112.245.17
standby 1 priority 210
standby 1 track 1 decrement 20
interface Vlan1000
ip address 202.55.51.109 255.255.255.248
no ip redirects
no ip proxy-arp
no ip mroute-cache
standby 10 ip 202.55.51.108
standby 10 priority 210
standby 10 track 2 decrement 20
ip route 0.0.0.0 0.0.0.0 202.55.51.105
ip route 0.0.0.0 0.0.0.0 192.113.228.126
ip route 0.0.0.0 255.255.255.128 192.113.228.126
ip route 192.113.11.192 255.255.255.255 192.113.179.1
ip route 192.113.133.0 255.255.255.224 192.113.179.1
ip route 203.112.245.64 255.255.255.224 203.112.245.4
ip route 203.112.245.96 255.255.255.224 203.112.245.12
ip route 203.112.245.128 255.255.255.240 203.112.245.20
ip route 203.112.245.144 255.255.255.240 203.112.245.36
ip route 203.112.245.160 255.255.255.224 203.112.245.28
.-----------------------------------------------
###発生している問題・エラーメッセージ
スイッチを経由してpingを行っても、通信が失敗(タイムアウト)してしまう。
※PCから直接社内LANに接続した場合は問題なし。
→追記(同一のUTPで確認)
この場合、どのように対応(確認手順や設定等)を行えばよいのでしょうか?
よろしくおねがいいたします。
※足りないところがありましたら、随時補足させていただきます
PCから社内LANにpingしています
> PCから直接社内LANに接続した場合は問題なし。
とありますが、スイッチ接続する場合も同一のUTPを使用して確認されていますか?
そうでない場合、catalyst3560 上位のスイッチ設定(詳細には対抗ポートの設定)、また、catalyst3560 自体の設定、加えてcatalyst2960の設定を提示しないと回答は得られない気がしています。
すいません。書き方が悪かったですが、今回設定対象のスイッチ群のconfigは掲示する必要あると思います。
ご指摘ありがとうございます。
上記構成の場所にconfigを追記しました。
何度もすいません。IP情報等はセキュリティに関わるのでマスクするか例示のIPアドレスにした方が良いです。
※例示IPアドレスに変換の上、掲示して頂いているのであれば無視してください。
ご心配ありがとうございます。
IPは変更しているのですが、念のためIPを再変更しました
回答1件
0
ベストアンサー
まず、最低構成から確認しましょう。
本件でいうと、社内LAN UTP からL3スイッチ一台構成が最小になります。
それでL3スイッチの設定ですが、設定から推察すると以下で認識間違いないですか?
1ポート VLAN1000 社内LAN接続
2ポート VLAN100 catalyst2960へ
まずはL3スイッチ1台を社内LANに接続して、L3スイッチのコンソールから、ゲートウェイに対してpingを実行し、設定評価を行ってみては如何でしょうか。
設定をぱっと見、気になるところはL2間ではtagのやり取りをしているのに、上位にtagは渡されていないようです。
こちらは問題ないですか?
投稿2016/08/25 00:49
総合スコア4315
>L3スイッチ
>1ポート VLAN1000 社内LAN接続
>2ポート VLAN100 catalyst2960
間違いありません。
>まずはL3スイッチ1台を社内LANに接続して、L3スイッチのコンソールから、
>ゲートウェイに対してpingを実行し、設定評価を行ってみては如何でしょうか。
L3スイッチのコンソールから設定されているvirtulIPをたたくとpingが通ります。
社内LANのゲートウェイのIPをpingしても、通信はできないのですがこれは正常なのですか?
>設定をぱっと見、気になるところはL2間ではtagのやり取りをしているのに、
>上位にtagは渡されていないようです。
L2とPC間で通信を行う場合、必要でしょうか
> 社内LANのゲートウェイのIPをpingしても、通信はできないのですがこれは正常なのですか?
通常の運用で、クライアントPCからゲートウェイに対してpingを実行すると応答ありますか。あるのであれば、スイッチからpingを実行して応答がなければ異常です。
> L2とPC間で通信を行う場合、必要でしょうか
L2とPC間という表現は相応しくないような気がします。
L2を介したPC間の接続でしょうか?
各VLANのルーティングを期待されていなのであれば問題ないです。
あと、気になったのですが、社内LANに接続する上位スイッチはMACアドレス制限等のセキュリティ措置はしていないですよね?
>通常の運用で、クライアントPCからゲートウェイに対してpingを実行すると応答ありますか。
>あるのであれば、スイッチからpingを実行して応答がなければ異常です。
クライアントPCからゲートウェイに対してpingを実行すると、応答ありますので設定が必要ということですね。
>L2を介したPC間の接続でしょうか?
その通りです。
>社内LANに接続する上位スイッチはMACアドレス制限等のセキュリティ措置はしていないですよね?
今回は一時的な検証やテスト用機器の為、セキュリティ措置がしていないです。
> クライアントPCからゲートウェイに対してpingを実行すると、応答ありますので設定が必要ということですね。
上記から、スイッチコンソールであってもpingを実行して応答があるのが正常です。
まずはこれを実現することから始めましょう。
> 今回は一時的な検証やテスト用機器の為、セキュリティ措置がしていないです。
では、外部から持ってきたPCであっても社内LANに接続できる状態との認識で良いですね?
私であれば切り分けは以下で行います。
・HSRPに関わる設定を削除して、シンプル構成における疎通評価
これで疎通ができるのであれば、HSRPに関わる設定に問題があり、そうでなければ、上位スイッチの設定やセキュリティ措置を疑う必要があります。
あなたの回答
tips
プレビュー
