ip leciti che terminano in .0 e .255 irraggiungibili

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
sysnaz
n00b
Messaggi: 11
Iscritto il: lun 03 apr , 2006 10:11 am

Contesto:

2 router cisco in hsrp, un 6807 e un 7604 ognuno dei due ha un link verso il provider, nomalmente il 6807 è in active e il 7604 in stand-by. Sia che sia attivo l'uno o l'altro, si presenta il seguente

Problema:
Dal lato lan non si raggiungono gli indirizzi ipv4 leciti (data la netmask) che terminano in .0 e .255. Esempio:

wngs02:~$ ping 91.80.156.0
PING 91.80.156.0 (91.80.156.0) 56(84) bytes of data.
From 192.168.101.5 icmp_seq=1 Packet filtered
From 192.168.101.5 icmp_seq=2 Packet filtered
From 192.168.101.5 icmp_seq=3 Packet filtered
From 192.168.101.5 icmp_seq=4 Packet filtered
^C
--- 91.80.156.0 ping statistics ---
4 packets transmitted, 0 received, +4 errors, 100% packet loss, time 2997ms

wngs02:~$ ping 91.80.156.1
PING 91.80.156.1 (91.80.156.1) 56(84) bytes of data.
64 bytes from 91.80.156.1: icmp_seq=1 ttl=50 time=66.5 ms
64 bytes from 91.80.156.1: icmp_seq=2 ttl=50 time=64.8 ms
64 bytes from 91.80.156.1: icmp_seq=3 ttl=50 time=64.9 ms
64 bytes from 91.80.156.1: icmp_seq=4 ttl=50 time=64.8 ms
64 bytes from 91.80.156.1: icmp_seq=5 ttl=50 time=65.9 ms
^C
--- 91.80.156.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4007ms
rtt min/avg/max/mdev = 64.839/65.434/66.584/0.733 ms

Il traceroute si ferma al livello dell'interfaccia LAN del router di frontiera:

wngs02:~$ traceroute -n 91.80.156.0
traceroute to 91.80.156.0 (91.80.156.0), 30 hops max, 60 byte packets
1 172.17.8.1 0.218 ms 0.448 ms 0.435 ms
2 172.17.1.3 0.909 ms 1.017 ms 1.182 ms
3 192.168.101.5 0.604 ms !X 0.641 ms !X 0.789 ms !X

Dunque, almeno fino a li' si arriva. Ne concludo che non è quello che c'è in mezzo a dare problemi.
Ma se mi collego sul router di frontiera:

6807#ping 91.80.156.0
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 91.80.156.0, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 396/555/620 ms
6807#ping 91.80.156.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 91.80.156.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 64/70/88 ms
6807_garr-gw-gs#

Quindi, dal punto di vista del router di frontiera l'indirizzo .0 è perfettamente raggiungibile.
Parrebbe che qualcosa "si perda" dentro il router tra l'interfaccia lato LAN ed il mondo esterno.

Se provoco una commutazione dell'hsrp cosicché passa in active il 7604 e tutto passa sull'altro link,
il comportamento è del tutto simile: da una macchina lato LAN l'indirizzo .0 è irraggiungibile, mentre il
7604 lo pinga correttamente.

Qualche idea da suggerire?
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Che subnet ha la rete 91.80.156.0?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
sysnaz
n00b
Messaggi: 11
Iscritto il: lun 03 apr , 2006 10:11 am

paolomat75 ha scritto:Ciao.
Che subnet ha la rete 91.80.156.0?

Paolo
Purtroppo, non ho la macchina davanti. Ti posso dire che si tratta di un router gsm con sim vodafone.
Posso anche dire che se l'ip non fosse lecito, mi aspetterei di avere lo stesso problema cercado di contattarlo provenendo da un'altra rete, ma non è così:

lxgw:~$ ping 91.80.156.0
PING 91.80.156.0 (91.80.156.0) 56(84) bytes of data.
64 bytes from 91.80.156.0: icmp_seq=1 ttl=33 time=1538 ms
64 bytes from 91.80.156.0: icmp_seq=2 ttl=33 time=598 ms
64 bytes from 91.80.156.0: icmp_seq=3 ttl=33 time=475 ms
64 bytes from 91.80.156.0: icmp_seq=4 ttl=33 time=481 ms
64 bytes from 91.80.156.0: icmp_seq=5 ttl=33 time=477 ms
64 bytes from 91.80.156.0: icmp_seq=6 ttl=33 time=477 ms
64 bytes from 91.80.156.0: icmp_seq=7 ttl=33 time=477 ms

lxgw:~$ traceroute -n 91.80.156.0
traceroute to 91.80.156.0 (91.80.156.0), 30 hops max, 40 byte packets
1 193.206.84.11 2.109 ms 2.813 ms 3.400 ms
2 193.205.228.117 0.134 ms 0.131 ms 0.134 ms
3 193.205.228.121 0.173 ms 0.161 ms 0.146 ms
4 193.206.136.61 0.362 ms 0.355 ms 0.315 ms
5 90.147.81.161 1.219 ms 1.193 ms 1.231 ms
6 90.147.80.17 11.661 ms 11.654 ms 11.638 ms
7 217.29.66.48 19.861 ms 21.760 ms 21.795 ms
8 85.205.14.102 12.779 ms 13.780 ms 13.770 ms
9 83.224.40.229 12.577 ms 12.517 ms 12.308 ms
10 83.224.40.218 17.978 ms 18.573 ms 18.375 ms
11 83.224.40.198 19.290 ms 19.589 ms 19.591 ms

12 91.80.156.0 1463.190 ms 1426.021 ms 1493.886 ms
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Può essere una ACL che lo blocca? Senza informazioni diventa difficile capire dove sta il problema.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
sysnaz
n00b
Messaggi: 11
Iscritto il: lun 03 apr , 2006 10:11 am

paolomat75 ha scritto:Può essere una ACL che lo blocca? Senza informazioni diventa difficile capire dove sta il problema.

Paolo
Posso escludere le ACL, almeno quelle sulle interfacce lato wan e lato lan, perché le ho disabilitate e non è cambiato niente.
La configurazione che ho è un po' complessa perché dal lato wan mi arrivano due reti distinte, una per il traffico generico e l'altra per un traffico di dati specifico.
L'interfaccia lato wan è una 10Gbit:

Codice: Seleziona tutto

!
interface TenGigabitEthernet2/1
 switchport
 switchport mode trunk
 switchport trunk allowed vlan 570,571
 mtu 9216
 flowcontrol receive off
!
Le ACL lato wan stanno qui:

Codice: Seleziona tutto

interface Vlan570
 mtu 9170
 ip address 193.204.219.102 255.255.255.252
 ip access-group 106 in
 ip access-group 107 out
 ip nat outside
 load-interval 30
!
interface Vlan571
 mtu 9170
 ip address 193.204.219.178 255.255.255.252
 ip access-group 106 in
 ip access-group 107 out
!
L'interfaccia lato lan è la TenGigabitEthernet2/9:

Codice: Seleziona tutto

interface TenGigabitEthernet2/9
 switchport
 switchport mode trunk
 switchport trunk allowed vlan 200,201
 mtu 9216
 flowcontrol receive off
!
di queste VLAN, solo la 200 è usata, la 201 pensavo di usarla per mandare parte del traffico sul link di backup che sta sull'altro router, ma la cosa è complicata e finora non ce ne è stato bisogno. Le ACL stanno quindi sull'interfaccia vlan200:
!

Codice: Seleziona tutto

interface Vlan200
 mtu 9170
 ip address 192.168.101.5 255.255.255.0
 ip access-group 101 in
 ip access-group 102 out
 no ip redirects
 ip nat inside
 standby delay minimum 30 reload 60
 standby 10 ip 192.168.101.10
 standby 10 priority 90
 standby 10 preempt
 standby 10 name HSRP10
 standby 10 track 20 decrement 30
 ip policy route-map GARR-ONLY-LHCONE-out
!
Cercando dentro le ACL non si trova da nessuna parte una entry con "91.80.156":
6807#show runn | inclu 91.80.156
6807#
niente. Non so più cosa pensare. Che possa dargli fastidio il fatto che si fa nat? o che ci sia qualcosa sulla configurazione del bgp, non lo so.
Temo che bisognerà fare un piccolo case con la TAC Cisco.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Domanda stupida, nella taballa di routing c'è quella rete?

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
sysnaz
n00b
Messaggi: 11
Iscritto il: lun 03 apr , 2006 10:11 am

paolomat75 ha scritto:Domanda stupida, nella taballa di routing c'è quella rete?

Paolo
6807#sho ip route | inclu 91.80.156
6807#

niente. comunque quell'indirizzo 91.80.156.0 non risponde più probabilmente perché alla macchina ne è stato assegnato un altro e quindi non posso fare altre prove.
Rispondi