---

※ 引述《in2 (晚安 地球人)》之銘言：
: ※ 引述《in2 (晚安 地球人)》之銘言：
: :     ISP <-> 3750G <-> 3750E +-> 2960S
: :                             +-> 2960S
: :                             +-> 2960S
話說我們家的 intranet 有些簡單的 static route 要做,
例如說, 我們主要的機房在台北,
不過有個遠端備份的機房在南部,
中間是走 internet , 兩端用 ASA 建 ipsec 打通內網,
一類一類一類的,
所以例如說台北是 10.0.0.0/16 ,
南部是 10.1.0.0/16,
台北這邊的 3750E 就會有 10.0.0.254 ,
看到是要往南部的 ip 就轉往 ASA 丟, 例如說是在 10.0.0.253,
然後就會很神奇的從南部的機房冒出來.

前一篇文章裡有說過,
第一次的設計並沒有 3750E 而是一台 2960S,
所以所有的 routing, 不管是外網還是內網, 都是放在 3750G 上.
然後又因為沒有 VRF, 決定要把 intranet 的 vlan 收回到內網的 3750E 做,
這樣子對外的 3750G 就完全不會經手內網的 traffic .

最近敝公司剛好跟之前所在的 isp 鬧翻(?),
於是換了個 idc,
反正都是要停機移機,
就打算順手來做這件事,
一次到位, 多好!

結果就出亂子了 -.-

講簡單一點來說就是內網不通,
第一個檢查的點自然是兩邊負責 ipsec 的 asa,
先檢查 ping 的到 default gw 嗎? 這個 ok,


一般來說如果通不了的話,
通常會直接說現在沒有任何一條連線,
 (這種情況就很多, acl 錯了, 端點 ip 錯了, crypto 沒有設在 outside 一類的)
又或是連線建立中, 又斷掉, 又建立中, 又斷掉
 (這種通常是 pre-shared-key 是錯的)
但是偏偏它是在 MM_ACTIVE 也就是 ipsec 建立好的情況 *囧*
這樣子就應該是通的啊 @_@

所以問題是在 3750E 上囉?
show run 看看... 有這麼一條
    ip route 10.0.0.0 255.0.0.0 10.0.0.253(asa 的 inside ip)
看起來非常的好,
那 3750E 能不能 ping 到 10.0.0.253 呢? 發現也可以!

這... 看起來就應該是通的啊.... Orz Orz Orz Orz Orz Orz Orz Orz Orz Orz Orz

--
        ▂ ▄▆▄▁          ▃▄      ▂  ▃      ▇▆▄▂  ▇▄▅ ▅▃▄

--
※ 發信站: 批踢踢兔(ptt2.cc)
◆ From: 112.121.80.252

--