- PR -

HSRPの疎通確認

1|2 次のページへ»
投稿者投稿内容
ひろ
会議室デビュー日: 2007/03/10
投稿数: 6
投稿日時: 2007-04-13 22:20
CISCO1812J2台とL2HUB間でHSRPを設定しています。L2HUBにPCをつないでHSRPのVIPにPingを打つとTimeoutします。
1812Jの物理インターフェースに対しては疎通がとれます。
そして1812JからPCに対しては疎通がとれます。
設定としては

interface fa0
standby 1 ip xxx.xxx.xxx.xxx
standby 1 preempt
standby 1 priority xxx

が両1812Jに設定してあります。
VRRPでも試しましたが結果は変わりませんでした。

PCのプロンプトでnetstat -rを見ても対象セグメントのルーティングテーブルは
載っているし、arp -aを見てもVIPに紐付けられているMACアドレスはバーチャルMAC
でした。いったいなぜPCからの通信だけtimeoutするのでしょうか?
もちろんPCのウィルスバスター等は切ってあります。
KYO
ベテラン
会議室デビュー日: 2005/09/08
投稿数: 52
投稿日時: 2007-04-13 22:52
こんばんわ。

HSRPはちゃんと張れてますか?
show standby (brief)とかの結果はいかがでしょう。
両ルータともにActive/Activeとかになってたりしないですか。

ひろ
会議室デビュー日: 2007/03/10
投稿数: 6
投稿日時: 2007-04-13 22:54
show standby briefではactive,standbyの選出は正常になっていました。
KYO
ベテラン
会議室デビュー日: 2005/09/08
投稿数: 52
投稿日時: 2007-04-13 23:10
ルータからVIPに対して疎通は取れますか?
PCのデフォルトゲートウェイの設定はいかがでしょう。
ひろ
会議室デビュー日: 2007/03/10
投稿数: 6
投稿日時: 2007-04-13 23:16
ルータからVIPへは試してません。
PCのデフォゲはVIPになっています。
追加情報ですがL2HUBでキャプチャしたらicmpリクエストがVIP宛に、
リプライがPC宛に飛んでるんですよね・・・
なのになぜって感じです。
ちなみにルータからVIPにPingが飛ばない場合はどのような原因が考え
られるのですか?
KYO
ベテラン
会議室デビュー日: 2005/09/08
投稿数: 52
投稿日時: 2007-04-14 00:13
PC宛にICMP ReplyがHSRP仮想MACから帰ってきてるのなら、
HSRPは張れてると思います。
show standbyでピアが見えてて、VIPは見えてるんですよね。
ルータからVIPへPingが通らないのなら、HSRPの問題かとも
思ったのですが。。

ちなみにクライアントOSは何でしょう。
ひろ
会議室デビュー日: 2007/03/10
投稿数: 6
投稿日時: 2007-04-14 13:35
自分的にもshow standbyの結果からHSRPに問題があるようには考えずらいかなと
思っています。
一番はルータからPCへは疎通がとれるのにPCからはとれないという・・・
クライアントのOSはWin XPです。
たらお
大ベテラン
会議室デビュー日: 2006/12/25
投稿数: 206
お住まい・勤務地: 東京・永代通り
投稿日時: 2007-04-14 20:32
負荷等の問題がなければ、Debugをしてみて下さい。
絶好のDebugネタですね。何が起きているのかを見てみましょう。
show process cpu history で負荷の履歴が見れます。

デバッグは、telnet接続なら以下のとおりです。

1.terminal monitor
2.debug icmp packet
3.show process cpu で負荷確認→負荷が問題なら6.へ
4.PCからpingの実施
5.画面出力でのデバッグ状態の確認
6.undebug all
7.terminal default monitor

または、アクセスリストを作って、

# configure terminal
(config)# access-list 100 permit icmp any any log
(config)# end

1.terminal minitor
2.debug ip packet 100 detail
3.pingの実施
4.画面出力でのicmpデバッグ状態の確認
5.undebug all
6.terminal default monitor

configにlogging buffered が入っていれば、
結果はログに残っているので、show logでも確認できます。

明示的にicmpを制御していないなら、IOSのVersionオチのような気がしますけど。
GWのIPが安易にICMP Echo Replyを返さないほうが、
セキュリティ的には正解の方向になって来ていると思います。

_________________
_福田太郎_
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)