Простейшая сеть из 2 подсетей - нет пинга

@trojan-tj · Регистрация: 21.02.2012

Author24 — интернет-сервис помощи студентам

2 недели назад начал самостоятельно изучать CISCO
на Packet Tracer е создал простенькую сеть из 2 подсетей, объединенных маршрутизатором
вроде все получается, но компьютеры из разных подсетей не пингуются
не пойму в чем проблема
вроде и статические маршруты прописал
прилагаю файл Packet Tracer а

Jabbson · 21.02.2012, 17:28

Роуты можете убрать. DHCP не раздает default-gateway.

Добавить:

ip dhcp pool 1
default-router 10.10.1.1
ip dhcp pool 2
default-router 10.10.2.1

@trojan-tj · 25.02.2012, 16:16 **[ТС]**

спасибо все получилось. если не трудно, могли бы вы мне еще помочь

Jabbson · 25.02.2012, 16:28

Сообщение от trojan-tj

спасибо все получилось. если не трудно, могли бы вы мне еще помочь

Не по теме:

почему бы и нет...

@trojan-tj · 25.02.2012, 16:28 **[ТС]**

вот схема. нужно создать VLAN2 и VLAN3, настроить связь между ними
настроить dhcp-сервер на маршрутизаторе, для выдачи айпи адресов в эти ВЛАНы, исключить адреса 10.10.2.1-10.10.2.3 и 10.10.3.1-10.10.3.3 из пулов DHCP
вроде все настроил
но адреса не раздаются
могли бы вы указать на мою ошибку?
файл packet tracerа и схему прилагаю

Jabbson · 25.02.2012, 16:45

Заведите на switch4 виланы 2 и 3 и сделайте fa0/24 (в сторону ROAStick) транком:

Switch#enable
Switch#conf term
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#vlan 2
%LINK-5-CHANGED: Interface Vlan2, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to up
Switch(config-vlan)#vlan 3
%LINK-5-CHANGED: Interface Vlan3, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to up
Switch(config-vlan)#int fa0/24
Switch(config-if)#sw mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up
Switch(config-if)#

и не забудьте включить DHCP на PC1,3,6,7,8.

@trojan-tj · 25.02.2012, 16:59 **[ТС]**

спасибо огромное!!!!
а то 2 дня вожусь не пойму в чем дело. теперь понял

теперь кажется очевидным все

буду дальше экспериментировать

Добавлено через 5 минут
айпи-адреса компьютеры получили. только вот почему то нет пинга между компьютерами разных подсетей
может на маршрутизаторе роуты надо прописать?

Jabbson · 25.02.2012, 17:05

уберите (замените) ip адреса с SVI на switch4 - у Вас же повторяющиеся адреса - на vlan интерфейсах на switch4 и на субинтерфейсах роутера - они даже до него не доходят.

Switch#enable
Switch#conf term
Switch(config)#int vlan 2
Switch(config-if)#no ip address
Switch(config-if)#int vlan 3
Switch(config-if)#no ip address
Switch(config-if)#

@trojan-tj · 25.02.2012, 17:33 **[ТС]**

убрал айпи адреса на switch4
но пинга по прежнему нет
попробовал заменить айпи адреса на 10.10.2.2 и 10.10.3.2 - все получилось. пинги пошли
получается нужно, чтобы айпи адрес vlan интерфейса свича был в одной подсети этой самой vlan и не совпадал с ай пи адресом подынтерфеса
я правильно все понимаю?

Jabbson · 25.02.2012, 17:43

убрал айпи адреса на switch4
но пинга по прежнему нет
попробовал заменить айпи адреса на 10.10.2.2 и 10.10.3.2 - все получилось. пинги пошли

Да не, уверяю Вас, без IP работало бы столь же хорошо (см. аттач).

получается нужно, чтобы айпи адрес vlan интерфейса свича был в одной подсети этой самой vlan и не совпадал с ай пи адресом подынтерфеса
я правильно все понимаю?

совпадать вообще ничего никогда не должно!

@trojan-tj · 26.02.2012, 16:49 **[ТС]**

продолжил эксперименты с сетью

нужно настроить telnet-доступ к маршрутизатору и коммутаторам с любого компьютера
нужно настроить интерфейсы для доступа
не пойму, как их настроить
в каком ВЛАНЕ должны быть эти интерфейсы и какие адреса им назначить

Jabbson · 26.02.2012, 17:33

Создаете отдельный вилан для менеджмента. Например, vlan 1 (плохая практика, никогда так не делайте, но для нашего случая - самое то, ибо просто). На роутере отдельный сабинтерфейс (напр. fa0/0.1), им и SVI'ям на свитчах даете ip адреса из одной подсети, на свитчах также указываете DG в сторону саба на роутере. Разрешаем телнет на свитчах. Вуаля.

r0>en
r0#conf t
r0(config-if)#int fa0/0.1
%LINK-5-CHANGED: Interface FastEthernet0/0.1, changed state to up
r0(config-subif)#encapsulation dot1Q 1
r0(config-subif)#ip add 192.168.1.1 255.255.255.248

sw1>en
sw1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
sw1(config)#int vlan 1
sw1(config-if)#ip add 192.168.1.2 255.255.255.248
sw1(config-if)#no sh
%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
sw1(config)#ip default-gateway 192.168.1.1
sw1(config)#line vty 0 15
sw1(config-line)#no login

sw0>en
sw0#conf t
Enter configuration commands, one per line. End with CNTL/Z.
sw0(config)#int vlan 1
sw0(config-if)#ip add 192.168.1.3 255.255.255.248
sw0(config-if)#no sh
%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
sw0(config)#ip default-gateway 192.168.1.1
sw0(config)#line vty 0 15
sw0(config-line)#no login

sw3>en
sw3#conf t
Enter configuration commands, one per line. End with CNTL/Z.
sw3(config)#int vlan 1
sw3(config-if)#ip add 192.168.1.4 255.255.255.248
sw3(config-if)#no sh
%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
sw3(config)#ip default-gateway 192.168.1.1
sw3(config)#line vty 0 15
sw3(config-line)#no login

sw2>en
sw2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
sw2(config)#int vlan 1
sw2(config-if)#ip add 192.168.1.5 255.255.255.248
sw2(config-if)#no sh
%LINK-5-CHANGED: Interface Vlan1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up
sw2(config)#ip default-gateway 192.168.1.1
sw2(config)#line vty 0 15
sw2(config-line)#no login

Пробуем?

@trojan-tj · 26.02.2012, 23:40 **[ТС]**

огромное вам спасибо за помощь!
ваш форум помогает мне гораздо больше, чем руководитель дипломного проекта !

Jabbson · 26.02.2012, 23:47

Не по теме:

Пожалуйста. Всегда рад помочь.

@trojan-tj · 29.02.2012, 19:28 **[ТС]**

появился новый вопрос. он касается настройки доступа access-list
что хотелось бы реализовать посредством этого списка -
VLAN 2 - из этой сети видны компьютеры сети VLAN 4
VLAN 3 - из этой сети видны компьютеры сетей VLAN 2 и VLAN 4
VLAN 4 - не видят компьютеры других подсетей
возможно ли это настроить ?

Jabbson · 29.02.2012, 20:10

Если под "видеть" имелась ввиду, к примеру, возможность пинга, то:

r0:

ip access-list extended ACL-VL2
permit icmp 10.10.2.0 0.0.0.255 10.10.4.0 0.0.0.255 echo
permit icmp 10.10.2.0 0.0.0.255 10.10.3.0 0.0.0.255 echo-reply
ip access-list extended ACL-VL3
permit icmp 10.10.3.0 0.0.0.255 10.10.2.0 0.0.0.255 echo
permit icmp 10.10.3.0 0.0.0.255 10.10.4.0 0.0.0.255 echo
ip access-list extended ACL-VL4
permit icmp 10.10.4.0 0.0.0.255 10.10.2.0 0.0.0.255 echo-reply
permit icmp 10.10.4.0 0.0.0.255 10.10.3.0 0.0.0.255 echo-reply

interface FastEthernet0/0.2
no ip access-group out 2
ip access-group ACL-VL2 in
interface FastEthernet0/0.3
no ip access-group out 3
ip access-group ACL-VL3 in
interface FastEthernet0/0.4
no ip access-group out 4
ip access-group ACL-VL4 in

но также, если под "VLAN 3 - из этой сети видны компьютеры сетей VLAN 2 и VLAN 4" подразумевается, что VLAN 3 НЕ должен видеть VLAN 3, то средствами CPT этого по-моему не сделать.

@trojan-tj · 29.02.2012, 21:18 **[ТС]**

все получилось.
все работает так, как я и хотел. спасибо
а могли бы вы подробнее объяснить некоторые моменты?

ip access-list extended ACL-VL2 - с этим понятно
permit icmp 10.10.2.0 0.0.0.255 10.10.4.0 0.0.0.255 echo - что значит слово icmp в данной команде? не означает ли она что будут ходить только icmp-пакеты? что значит echo ? а echo-reply ?

interface FastEthernet0/0.2
no ip access-group out 2 - только здесь у вас небольшая опечатка - наверно должно было быть :
no ip access-group 2 out - это как я понимаю вы отключаете созданный мною access-list 2

тогда получается что и следующие строки в конфиге роутера не нужны, так ведь ?
access-list 2 permit 10.10.4.0 0.0.0.255
access-list 2 deny any
access-list 3 permit 10.10.2.0 0.0.0.255
access-list 3 permit 10.10.4.0 0.0.0.255
access-list 3 deny any
access-list 4 deny any

и еще. "ip access-group ACL-VL2 in" - что означает in на конце. в каком случает пишется out ?

Jabbson · 29.02.2012, 21:29

Сообщение от trojan-tj

permit icmp 10.10.2.0 0.0.0.255 10.10.4.0 0.0.0.255 echo - что значит слово icmp в данной команде? не означает ли она что будут ходить только icmp-пакеты? что значит echo ? а echo-reply ?

да, речь идет о icmp пакетах и только они будут ходить, echo - это ping-запрос, echo-reply - это ping-ответ.

Сообщение от trojan-tj

no ip access-group 2 out - это как я понимаю вы отключаете созданный мною access-list 2

так и есть, и опечатка и понимаете тоже верно.

строки ваших acl - не актуальны, можно удалить.

Сообщение от trojan-tj

"ip access-group ACL-VL2 in" - что означает in на конце. в каком случает пишется out?

in - обработка входящего трафика, out - соответственно, исходящего.

@trojan-tj · 29.02.2012, 21:37 **[ТС]**

Сообщение от Jabbson

да, речь идет о icmp пакетах и только они будут ходить, echo - это ping-запрос, echo-reply - это ping-ответ.

извините, может это глупый вопрос. но не пойму. а что толку с того, что будут ходить только icmp-пакеты? как сделать так, чтобы сеть полноценно функционировала, чтобы не только пинги ходили, но и информацией можно было обмениваться между этими ВЛАНами

Jabbson · 29.02.2012, 22:18

Сообщение от trojan-tj

извините, может это глупый вопрос. но не пойму. а что толку с того, что будут ходить только icmp-пакеты? как сделать так, чтобы сеть полноценно функционировала, чтобы не только пинги ходили, но и информацией можно было обмениваться между этими ВЛАНами

это было сделано исключительно в целях примера.
Понимаете, CPT - программа для подготовки к CCNA, а как результат в ней можно попробовать очень (ОЧЕНЬ) ограниченное кол-во функций (в рамках курса).
В вашем случае можете задаться поиском и открыть для себя принципы работы флага established в ACL, назначение reflexive acl, и более глубокое инспектирование трафика с помощью ip inspection и CBAC, но если Вы начали самостоятельное изучение - советую изучать последовательно и руководствуясь некими гайдами.

@trojan-tj 0 / 0 / 0 Регистрация: 21.02.2012 Сообщений: 20
	26.02.2012, 23:40 [ТС]	13
	огромное вам спасибо за помощь! ваш форум помогает мне гораздо больше, чем руководитель дипломного проекта ! 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	21.02.2012, 17:28	2
	Роуты можете убрать. DHCP не раздает default-gateway. Добавить: ip dhcp pool 1 default-router 10.10.1.1 ip dhcp pool 2 default-router 10.10.2.1 2

@trojan-tj 0 / 0 / 0 Регистрация: 21.02.2012 Сообщений: 20
	25.02.2012, 16:16 [ТС]	3
	спасибо все получилось. если не трудно, могли бы вы мне еще помочь 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	25.02.2012, 16:28	4
	Сообщение от trojan-tj спасибо все получилось. если не трудно, могли бы вы мне еще помочь Не по теме: почему бы и нет... 1

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	25.02.2012, 16:45	6
	Сообщение было отмечено как решение Решение Заведите на switch4 виланы 2 и 3 и сделайте fa0/24 (в сторону ROAStick) транком: Switch#enable Switch#conf term Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#vlan 2 %LINK-5-CHANGED: Interface Vlan2, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan2, changed state to up Switch(config-vlan)#vlan 3 %LINK-5-CHANGED: Interface Vlan3, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan3, changed state to up Switch(config-vlan)#int fa0/24 Switch(config-if)#sw mode trunk %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/24, changed state to up Switch(config-if)# и не забудьте включить DHCP на PC1,3,6,7,8. 3

@trojan-tj 0 / 0 / 0 Регистрация: 21.02.2012 Сообщений: 20
	25.02.2012, 16:59 [ТС]	7
	спасибо огромное!!!! а то 2 дня вожусь не пойму в чем дело. теперь понял теперь кажется очевидным все буду дальше экспериментировать Добавлено через 5 минут айпи-адреса компьютеры получили. только вот почему то нет пинга между компьютерами разных подсетей может на маршрутизаторе роуты надо прописать? 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	25.02.2012, 17:05	8
	уберите (замените) ip адреса с SVI на switch4 - у Вас же повторяющиеся адреса - на vlan интерфейсах на switch4 и на субинтерфейсах роутера - они даже до него не доходят. Switch#enable Switch#conf term Switch(config)#int vlan 2 Switch(config-if)#no ip address Switch(config-if)#int vlan 3 Switch(config-if)#no ip address Switch(config-if)# 2

@trojan-tj 0 / 0 / 0 Регистрация: 21.02.2012 Сообщений: 20
	25.02.2012, 17:33 [ТС]	9
	убрал айпи адреса на switch4 но пинга по прежнему нет попробовал заменить айпи адреса на 10.10.2.2 и 10.10.3.2 - все получилось. пинги пошли получается нужно, чтобы айпи адрес vlan интерфейса свича был в одной подсети этой самой vlan и не совпадал с ай пи адресом подынтерфеса я правильно все понимаю? 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	25.02.2012, 17:43	10
	убрал айпи адреса на switch4 но пинга по прежнему нет попробовал заменить айпи адреса на 10.10.2.2 и 10.10.3.2 - все получилось. пинги пошли Да не, уверяю Вас, без IP работало бы столь же хорошо (см. аттач). получается нужно, чтобы айпи адрес vlan интерфейса свича был в одной подсети этой самой vlan и не совпадал с ай пи адресом подынтерфеса я правильно все понимаю? совпадать вообще ничего никогда не должно! Миниатюры 2

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	26.02.2012, 17:33	12
	Создаете отдельный вилан для менеджмента. Например, vlan 1 (плохая практика, никогда так не делайте, но для нашего случая - самое то, ибо просто). На роутере отдельный сабинтерфейс (напр. fa0/0.1), им и SVI'ям на свитчах даете ip адреса из одной подсети, на свитчах также указываете DG в сторону саба на роутере. Разрешаем телнет на свитчах. Вуаля. r0>en r0#conf t r0(config-if)#int fa0/0.1 %LINK-5-CHANGED: Interface FastEthernet0/0.1, changed state to up r0(config-subif)#encapsulation dot1Q 1 r0(config-subif)#ip add 192.168.1.1 255.255.255.248 sw1>en sw1#conf t Enter configuration commands, one per line. End with CNTL/Z. sw1(config)#int vlan 1 sw1(config-if)#ip add 192.168.1.2 255.255.255.248 sw1(config-if)#no sh %LINK-5-CHANGED: Interface Vlan1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up sw1(config)#ip default-gateway 192.168.1.1 sw1(config)#line vty 0 15 sw1(config-line)#no login sw0>en sw0#conf t Enter configuration commands, one per line. End with CNTL/Z. sw0(config)#int vlan 1 sw0(config-if)#ip add 192.168.1.3 255.255.255.248 sw0(config-if)#no sh %LINK-5-CHANGED: Interface Vlan1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up sw0(config)#ip default-gateway 192.168.1.1 sw0(config)#line vty 0 15 sw0(config-line)#no login sw3>en sw3#conf t Enter configuration commands, one per line. End with CNTL/Z. sw3(config)#int vlan 1 sw3(config-if)#ip add 192.168.1.4 255.255.255.248 sw3(config-if)#no sh %LINK-5-CHANGED: Interface Vlan1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up sw3(config)#ip default-gateway 192.168.1.1 sw3(config)#line vty 0 15 sw3(config-line)#no login sw2>en sw2#conf t Enter configuration commands, one per line. End with CNTL/Z. sw2(config)#int vlan 1 sw2(config-if)#ip add 192.168.1.5 255.255.255.248 sw2(config-if)#no sh %LINK-5-CHANGED: Interface Vlan1, changed state to up %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up sw2(config)#ip default-gateway 192.168.1.1 sw2(config)#line vty 0 15 sw2(config-line)#no login Пробуем? Миниатюры 1

Jabbson
	26.02.2012, 23:47 #14
	Не по теме: Пожалуйста. Всегда рад помочь. 0

	29.02.2012, 22:18

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	29.02.2012, 20:10	16
	Если под "видеть" имелась ввиду, к примеру, возможность пинга, то: r0: ip access-list extended ACL-VL2 permit icmp 10.10.2.0 0.0.0.255 10.10.4.0 0.0.0.255 echo permit icmp 10.10.2.0 0.0.0.255 10.10.3.0 0.0.0.255 echo-reply ip access-list extended ACL-VL3 permit icmp 10.10.3.0 0.0.0.255 10.10.2.0 0.0.0.255 echo permit icmp 10.10.3.0 0.0.0.255 10.10.4.0 0.0.0.255 echo ip access-list extended ACL-VL4 permit icmp 10.10.4.0 0.0.0.255 10.10.2.0 0.0.0.255 echo-reply permit icmp 10.10.4.0 0.0.0.255 10.10.3.0 0.0.0.255 echo-reply interface FastEthernet0/0.2 no ip access-group out 2 ip access-group ACL-VL2 in interface FastEthernet0/0.3 no ip access-group out 3 ip access-group ACL-VL3 in interface FastEthernet0/0.4 no ip access-group out 4 ip access-group ACL-VL4 in но также, если под "VLAN 3 - из этой сети видны компьютеры сетей VLAN 2 и VLAN 4" подразумевается, что VLAN 3 НЕ должен видеть VLAN 3, то средствами CPT этого по-моему не сделать. 1

@trojan-tj 0 / 0 / 0 Регистрация: 21.02.2012 Сообщений: 20
	29.02.2012, 21:18 [ТС]	17
	все получилось. все работает так, как я и хотел. спасибо а могли бы вы подробнее объяснить некоторые моменты? ip access-list extended ACL-VL2 - с этим понятно permit icmp 10.10.2.0 0.0.0.255 10.10.4.0 0.0.0.255 echo - что значит слово icmp в данной команде? не означает ли она что будут ходить только icmp-пакеты? что значит echo ? а echo-reply ? interface FastEthernet0/0.2 no ip access-group out 2 - только здесь у вас небольшая опечатка - наверно должно было быть : no ip access-group 2 out - это как я понимаю вы отключаете созданный мною access-list 2 тогда получается что и следующие строки в конфиге роутера не нужны, так ведь ? access-list 2 permit 10.10.4.0 0.0.0.255 access-list 2 deny any access-list 3 permit 10.10.2.0 0.0.0.255 access-list 3 permit 10.10.4.0 0.0.0.255 access-list 3 deny any access-list 4 deny any и еще. "ip access-group ACL-VL2 in" - что означает in на конце. в каком случает пишется out ? 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	29.02.2012, 21:29	18
	Сообщение от trojan-tj permit icmp 10.10.2.0 0.0.0.255 10.10.4.0 0.0.0.255 echo - что значит слово icmp в данной команде? не означает ли она что будут ходить только icmp-пакеты? что значит echo ? а echo-reply ? да, речь идет о icmp пакетах и только они будут ходить, echo - это ping-запрос, echo-reply - это ping-ответ. Сообщение от trojan-tj no ip access-group 2 out - это как я понимаю вы отключаете созданный мною access-list 2 так и есть, и опечатка и понимаете тоже верно. строки ваших acl - не актуальны, можно удалить. Сообщение от trojan-tj "ip access-group ACL-VL2 in" - что означает in на конце. в каком случает пишется out? in - обработка входящего трафика, out - соответственно, исходящего. 1

@trojan-tj 0 / 0 / 0 Регистрация: 21.02.2012 Сообщений: 20
	29.02.2012, 21:37 [ТС]	19
	Сообщение от Jabbson да, речь идет о icmp пакетах и только они будут ходить, echo - это ping-запрос, echo-reply - это ping-ответ. извините, может это глупый вопрос. но не пойму. а что толку с того, что будут ходить только icmp-пакеты? как сделать так, чтобы сеть полноценно функционировала, чтобы не только пинги ходили, но и информацией можно было обмениваться между этими ВЛАНами 0

Jabbson 5901 / 3358 / 1036 Регистрация: 03.11.2009 Сообщений: 10,009
	29.02.2012, 22:18	20
	Сообщение от trojan-tj извините, может это глупый вопрос. но не пойму. а что толку с того, что будут ходить только icmp-пакеты? как сделать так, чтобы сеть полноценно функционировала, чтобы не только пинги ходили, но и информацией можно было обмениваться между этими ВЛАНами это было сделано исключительно в целях примера. Понимаете, CPT - программа для подготовки к CCNA, а как результат в ней можно попробовать очень (ОЧЕНЬ) ограниченное кол-во функций (в рамках курса). В вашем случае можете задаться поиском и открыть для себя принципы работы флага established в ACL, назначение reflexive acl, и более глубокое инспектирование трафика с помощью ip inspection и CBAC, но если Вы начали самостоятельное изучение - советую изучать последовательно и руководствуясь некими гайдами. 0

Простейшая сеть из 2 подсетей - нет пинга

Решение