прописываешь маршрут до 50 сетки и ставишь. Так как «физический» сегмент один - можно сказать чтоб 50ю сеть роутило в интерфейс.

ping 10.60.50.1 source 10.60.50.253 - ходит

ping 10.60.10.1 source 10.60.10.253 - ходит

ping 10.60.50.1 source 10.60.50.253 - не ходит

прописал:

ip route 10.60.50.0 255.255.255.0 Gi0/0.543

без изменений

ping 10.60.50.1 source 10.60.50.253 - ходит ping 10.60.10.1 source 10.60.10.253 - ходит ping 10.60.50.1 source 10.60.50.253 - не ходит

это как? сначала ходит, потом не ходит?

упс, в последнем случае должен быть

ping 10.60.50.1 source 10.60.10.253

а так?

ip route 10.60.0.0 255.255.0.0 Gi0/0.543

>ip route 10.60.0.0 255.255.0.0 Gi0/0.543

также, не пингуется

а что в логах?

циски? ничего

то есть циска не видит пинги?

в смысле? я пингую прямо с cisco-роутера

попробуй попинговать с компов и посмотреть логи на циске

нет возможности, доступ есть только к роутеру

Что показывает sh ip route 10.60.10.0 ?
20.0 и т.д.?
Вполне может быть, что прописать придется поштучно:
ip route 10.60.10.0 255.255.255.0 10.60.10.253 и так далее. И не факт, что поможет.

Вообще, конфигурация диковатая. Если уже есть vlan'ы, зачем в одном vlane делать много подсетей?

Начну с конца

Вообще, конфигурация диковатая. Если уже есть vlan'ы, зачем в одном vlane делать много подсетей?

У нас много коммутаторов с ограничением на кол-во vlan 255. Они у нас уже почти закончились. А кол-во подсетей 10.60.xx.0/24 будет около 20.

Что показывает sh ip route 10.60.10.0 ?

#sh ip route 10.60.10.0
Routing entry for 10.60.10.0/24
  Known via "connected", distance 0, metric 0 (connected, via interface)
  Routing Descriptor Blocks:
  * directly connected, via GigabitEthernet0/0.543
      Route metric is 0, traffic share count is 1

#sh ip route 10.60.50.0
Routing entry for 10.60.50.0/24
  Known via "connected", distance 0, metric 0 (connected, via interface)
  Routing Descriptor Blocks:
  * directly connected, via GigabitEthernet0/0.543
      Route metric is 0, traffic share count is 1

Вполне может быть, что прописать придется поштучно:
ip route 10.60.10.0 255.255.255.0 10.60.10.253

#ip route 10.60.50.0 255.255.255.0 10.60.10.253
%Invalid next hop address (it's this router)

>#ip route 10.60.50.0 255.255.255.0 10.60.10.253

%Invalid next hop address (it's this router)

За сим на роутере, похоже, все. В статических маршрутах он действительно ожидает или _свой_ интерфейс (имя), или _чужой_ ip (следующего хопа). Это я протупил. И route-map'ы тут не помогут по той же причине.

Ранее прописанный статический маршрут (ip route 10.60.0.0 255.255.0.0 Gi0/0.543) тоже можно удалять - маршрутизатор и так знает непосредственно подключенные сети.

Возможности проверить с клиентской стороны только сейчас нет - или и не предвидится? Воткнуть ноутбук в свитч, в порт с соответствующим vlan'ом, и попинговать интересующие адреса?

>Возможности проверить с клиентской стороны только сейчас нет - или и не предвидится? Воткнуть ноутбук в свитч, в порт с соответствующим vlan'ом, и попинговать интересующие адреса?

Сейчас проброшу vlan до себя и попробую.

Сделал сейчас так.
На роутере:
interface FastEthernet0/1
ip address 172.16.40.1 255.255.255.0 secondary
ip address 172.16.30.1 255.255.255.0 secondary
ip address 172.16.20.1 255.255.255.0
duplex auto
speed auto
end
На свиче:
!
interface FastEthernet0/1
switchport access vlan 666
switchport mode access
end

Fa0/23 - то же самое.

Роутер воткнул в Fa0/1 свича, второй интерфейс десктопа - в Fa0/23.

На десктопе адрес 172.16.20.2/24, маршруты до 172.16.30.0 и 40.0 через 172.16.20.1.

Пинги с десктопа на все адреса Fa0/1 роутера проходят.

и попинговать интересующие адреса?

итак, задал на ноуте адрес 10.60.10.88/24 и gw 10.60.10.253

есть ping до 10.60.10.1, 10.60.10.253 и даже до 10.60.50.253, а вот до 10.60.50.1 нет. куда смотреть?

Вариант: а на проксе много адресов одному интерфейсу назначить можно?

И вопрос (а вдруг) - а прокся сейчас вообще доступна (если из ее подсети или с роутера пингануть)?

>Вариант: а на проксе много адресов одному интерфейсу назначить можно?

не вариант, схема сети утверждена другими людьми, мы только организуем канал и маршрутизацию, доступа к серверу нет.

И вопрос (а вдруг) - а прокся сейчас вообще доступна (если из ее подсети или с роутера пингануть)?

с роутера пингуется

>с роутера пингуется

и с 50-ой сети тоже

Гм. Добавил в свою тестовую конфигурацию в тот же vlan машину с ip 172.16.40.2

172.16.40.2 и 172.16.20.2 пингуют друг друга без проблем (после правильной настройки шлюза для 172.16 на обеих).

Я думаю, проблема в твоем случае не в роутере, а в прокси. Попроси тех, кто ее настраивает, проверить маршруты на ней - чтоб для сетей диапазона 10.60.0.0 шлюзом был 10.60.50.253.

Скорее всего, сейчас прокся на пакеты, пришедшие из незнакомой подсети, пытается отвечать через свой дефолтный шлюз - какой он у нее?

Ну может просто на проксе маршруты до 10.60.1x.0/24 не прописаны. Или прописаны неправильно. ИМХО, тут проще всего дампить пакеты на проксе, но, наверное, можно и порт mirror использовать. Вам ведь нужно, просто, чтобы icmp пакеты уходил на проксю. А отвечает она на них или нет, уже другое дело.

Не в маршрутизации проблема.

На Вашем маршрутизаторе никаких маршрутов между сетями прописывать не надо - он находится во всех сетях, сети для него Connected. Соответственно, пакет, пришедший с 10.60.xx.2 в сторону 10.60.50.1 маршрутизатор отправит через свой интерфейс.

Проблема либо с acl на маршрутизаторе, либо на прокси-сервере.

Все, разобрались - проблема была действительно в неправильно прописаны шлюзах на серверах, а не на роутере.

Всем огромное спасибо.