L2.L3スイッチを経由してのpingがうまくいきません。

###前提・実現したいこと
PCからl3/l2スイッチ経由して社内LANと通信を行いたい。
また、HSRPで冗長化する。
※既にacitive/stanbyになっていることは確認ができている。
また、l2swとl3sw間は正常に緑色のライトが点いている。

----------------------構成----------------------
------PC----
. |
L2sw------L2sw
. | |
L3sw-(HSRP)-L3sw
. |
社内LAN

【補足】
■l2sw(catalyst2960)
interface Port-channel1
description *** Channel Port ***
switchport trunk allowed vlan 1,100,200,900,1002-1005
switchport mode trunk

interface GigabitEthernet0/1
description *** system port ***
switchport access vlan 100
switchport mode access
no cdp enable

interface GigabitEthernet0/2
description *** system port ***
switchport access vlan 100
switchport mode access
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable

interface GigabitEthernet0/3
description *** system port ***
switchport access vlan 200
switchport mode access
no cdp enable

interface GigabitEthernet0/4
description *** system port ***
switchport access vlan 200
switchport mode access
no cdp enable
spanning-tree portfast
spanning-tree bpdufilter enable

interface GigabitEthernet0/23
description *** Channel Port ***
switchport trunk allowed vlan 1,100,200,900,1002-1005
switchport mode trunk
logging event bundle-status
no cdp enable
channel-group 1 mode on

interface GigabitEthernet0/24
description *** Channel Port ***
switchport trunk allowed vlan 1,100,200,900,1002-1005
switchport mode trunk
logging event bundle-status
no cdp enable
channel-group 1 mode on

interface Vlan1
no ip address
no ip redirects
no ip proxy-arp
no ip route-cache
shutdown

interface Vlan100
no ip address
no ip redirects
no ip proxy-arp
no ip route-cache

interface Vlan133
ip address 192.113.179.114 255.255.255.0
no ip redirects
no ip proxy-arp
no ip route-cache

interface Vlan900
no ip address
no ip redirects
no ip proxy-arp
no ip route-cache

ip default-gateway 192.113.179.1
no ip http server
no ip http secure-server
logging esm config
logging facility local0
logging 192.113.133.22
logging 192.113.11.192
logging 192.113.133.29
access-list 1 permit any

ntp server 192.113.133.22
ntp server 192.113.11.192

■l3sw(catalyst3560)
track 1 interface GigabitEthernet0/1 line-protocol
track 2 interface GigabitEthernet0/2 line-protocol

interface GigabitEthernet0/1
description *** core port ***
switchport access vlan 1000
switchport mode access
speed 1000
duplex full
no cdp enable
spanning-tree bpdufilter enable

interface GigabitEthernet0/2
description *** system port ***
switchport access vlan 100
switchport mode access
no cdp enable

interface Vlan1
no ip address
no ip redirects
no ip proxy-arp
no ip mroute-cache
shutdown

interface Vlan100
ip address 203.112.245.18 255.255.255.248
no ip redirects
no ip proxy-arp
no ip mroute-cache
standby 1 ip 203.112.245.17
standby 1 priority 210
standby 1 track 1 decrement 20

interface Vlan1000
ip address 202.55.51.109 255.255.255.248
no ip redirects
no ip proxy-arp
no ip mroute-cache
standby 10 ip 202.55.51.108
standby 10 priority 210
standby 10 track 2 decrement 20

ip route 0.0.0.0 0.0.0.0 202.55.51.105
ip route 0.0.0.0 0.0.0.0 192.113.228.126
ip route 0.0.0.0 255.255.255.128 192.113.228.126
ip route 192.113.11.192 255.255.255.255 192.113.179.1
ip route 192.113.133.0 255.255.255.224 192.113.179.1
ip route 203.112.245.64 255.255.255.224 203.112.245.4
ip route 203.112.245.96 255.255.255.224 203.112.245.12
ip route 203.112.245.128 255.255.255.240 203.112.245.20
ip route 203.112.245.144 255.255.255.240 203.112.245.36
ip route 203.112.245.160 255.255.255.224 203.112.245.28
.-----------------------------------------------
###発生している問題・エラーメッセージ
スイッチを経由してpingを行っても、通信が失敗（タイムアウト）してしまう。
※PCから直接社内LANに接続した場合は問題なし。
→追記（同一のUTPで確認）

この場合、どのように対応（確認手順や設定等）を行えばよいのでしょうか？

よろしくおねがいいたします。

※足りないところがありましたら、随時補足させていただきます

moonphase

2016/08/24 06:53

どこからどこにpingしているんでしょうか？

rui1220

2016/08/24 07:12

PCから社内LANにpingしています

over

2016/08/24 09:42

> PCから直接社内LANに接続した場合は問題なし。とありますが、スイッチ接続する場合も同一のUTPを使用して確認されていますか? そうでない場合、catalyst3560 上位のスイッチ設定(詳細には対抗ポートの設定)、また、catalyst3560 自体の設定、加えてcatalyst2960の設定を提示しないと回答は得られない気がしています。

over

2016/08/25 00:00

すいません。書き方が悪かったですが、今回設定対象のスイッチ群のconfigは掲示する必要あると思います。

rui1220

2016/08/25 00:13

ご指摘ありがとうございます。上記構成の場所にconfigを追記しました。

over

2016/08/25 00:22

何度もすいません。IP情報等はセキュリティに関わるのでマスクするか例示のIPアドレスにした方が良いです。 ※例示IPアドレスに変換の上、掲示して頂いているのであれば無視してください。

rui1220

2016/08/25 00:35

ご心配ありがとうございます。 IPは変更しているのですが、念のためIPを再変更しました

行動規範の内容に同意します

回答1件

ベストアンサー

まず、最低構成から確認しましょう。
本件でいうと、社内LAN UTP からL3スイッチ一台構成が最小になります。

それでL3スイッチの設定ですが、設定から推察すると以下で認識間違いないですか?
1ポート VLAN1000 社内LAN接続
2ポート VLAN100 catalyst2960へ

まずはL3スイッチ1台を社内LANに接続して、L3スイッチのコンソールから、ゲートウェイに対してpingを実行し、設定評価を行ってみては如何でしょうか。

設定をぱっと見、気になるところはL2間ではtagのやり取りをしているのに、上位にtagは渡されていないようです。
こちらは問題ないですか?

投稿2016/08/25 00:49

over

総合スコア4309

rui1220

2016/08/25 01:04

>L3スイッチ >1ポート VLAN1000 社内LAN接続 >2ポート VLAN100 catalyst2960 間違いありません。 >まずはL3スイッチ1台を社内LANに接続して、L3スイッチのコンソールから、 >ゲートウェイに対してpingを実行し、設定評価を行ってみては如何でしょうか。 L3スイッチのコンソールから設定されているvirtulIPをたたくとpingが通ります。社内LANのゲートウェイのIPをpingしても、通信はできないのですがこれは正常なのですか？ >設定をぱっと見、気になるところはL2間ではtagのやり取りをしているのに、 >上位にtagは渡されていないようです。 L2とPC間で通信を行う場合、必要でしょうか

over

2016/08/25 01:08

> 社内LANのゲートウェイのIPをpingしても、通信はできないのですがこれは正常なのですか？通常の運用で、クライアントPCからゲートウェイに対してpingを実行すると応答ありますか。あるのであれば、スイッチからpingを実行して応答がなければ異常です。 > L2とPC間で通信を行う場合、必要でしょうか L2とPC間という表現は相応しくないような気がします。 L2を介したPC間の接続でしょうか? 各VLANのルーティングを期待されていなのであれば問題ないです。

over

2016/08/25 01:09

あと、気になったのですが、社内LANに接続する上位スイッチはMACアドレス制限等のセキュリティ措置はしていないですよね?

rui1220

2016/08/25 01:23

>通常の運用で、クライアントPCからゲートウェイに対してpingを実行すると応答ありますか。 >あるのであれば、スイッチからpingを実行して応答がなければ異常です。クライアントPCからゲートウェイに対してpingを実行すると、応答ありますので設定が必要ということですね。 >L2を介したPC間の接続でしょうか? その通りです。 >社内LANに接続する上位スイッチはMACアドレス制限等のセキュリティ措置はしていないですよね? 今回は一時的な検証やテスト用機器の為、セキュリティ措置がしていないです。

over

2016/08/25 01:40

> クライアントPCからゲートウェイに対してpingを実行すると、応答ありますので設定が必要ということですね。上記から、スイッチコンソールであってもpingを実行して応答があるのが正常です。まずはこれを実現することから始めましょう。 > 今回は一時的な検証やテスト用機器の為、セキュリティ措置がしていないです。では、外部から持ってきたPCであっても社内LANに接続できる状態との認識で良いですね? 私であれば切り分けは以下で行います。・HSRPに関わる設定を削除して、シンプル構成における疎通評価これで疎通ができるのであれば、HSRPに関わる設定に問題があり、そうでなければ、上位スイッチの設定やセキュリティ措置を疑う必要があります。

行動規範の内容に同意します