- cisco 2 провайдера,
 fenix2, 20:31 , 21-Авг-07 (1)>[оверквотинг удален]
>другого.
>с реальниками все понятно.
>заработало так:
>клиенты с реальниками от одного прова и от другого - идут в
>нет нормально.
>а вот серых клиентов получилось снатить только через одного прова.
>а нухжно натить через обоих провайдеров.
>офигел уже от конфигов.
>прошу скинуть рабочий конфиг.
>циска поддерживает у меня вланы. здаётся мне что небе нужен нат с route-map. В начале в интерфейс роутится, а потом натится.
если в конфиге 2 строчки
ip nat inside source list
то срабатывть будет всегда первая в независимости куда сроутился пакетик.
посему
динамические трансляции
ip nat inside source route-map intercom_nat interface GigabitEthernet0/1 overload
!
route-map intercom_nat permit 10
match ip address intercom_nat ! это acl c хостами которых мы хотим натить в этого ISP1
match interface GigabitEthernet0/1
!
ip nat inside source route-map nat-datagroup interface GigabitEthernet0/2 overload
!
route-map nat-datagroup permit 10
match ip address nat-datagroup ! ! это acl c хостами которых мы хотим натить в этого ISP1
match interface GigabitEthernet0/2 внутренний хост может быть в обоих acl (nat-datagroup, intercom_nat). В какой интерфейс сроутится такой и нат сработает. теперяче статические трансляции.
ip nat inside source static 192.168.3.2 82.91.141.73 route-map nat-datagroup-static extendable
ip nat inside source static 192.168.1.15 82.91.141.74 route-map nat-datagroup-static extendable
!
route-map intercom_nat_static permit 10
match interface GigabitEthernet0/2
!
ip nat inside source static 192.168.4.5 86.218.202.81 route-map intercom_nat_static extendable
ip nat inside source static 192.168.1.7 86.218.202.82 route-map intercom_nat_static extendable
route-map intercom_nat_static permit 10
match interface GigabitEthernet0/1 тут route-map нужен чтобы трансляция работала тока на нужном интерфейсе.
(а как мы знаем, када настроен статический нат, то маршрутизатор отвечает своим маком на арп запрс айпишника, что прописан в статической нат трансляции, а c route-map он отвечает тока с нужного интерфейса)
- cisco 2 провайдера, vinni_jopa, 23:47 , 29-Авг-07 (2)
если нужен конфиг - напиши, сброшу (есть работающая схема)
- cisco 2 провайдера, redmoon, 11:37 , 30-Авг-07 (3)
>если нужен конфиг - напиши, сброшу (есть работающая схема) майл ру говорит что такого ящика нет vinni_jopa@mail.ru
- cisco 2 провайдера, BuxpbSN, 14:02 , 30-Авг-07 (4)
Попробовал данный способ следующим образом:!--интерфейс сети доступа--
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 192.168.1.50 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow ingress
no cdp enable !--провайдер 1--
interface FastEthernet0/0.66
description VPN_Saturn_GH88
encapsulation dot1Q 66
ip address 10.10.77.26 255.255.255.252
no ip redirects
no ip unreachables
ip nat outside
ip flow ingress
no cdp enable !--провайдер 2--
interface FastEthernet0/0.80
encapsulation dot1Q 80
ip address 10.20.147.134 255.255.255.252
no ip redirects
no ip unreachables
ip nat outside
ip flow ingress
no cdp enable !--провайдер 3--
interface FastEthernet0/0.100
encapsulation dot1Q 100
ip address 10.30.209.133 255.255.255.248
no ip redirects
no ip unreachables
ip nat outside
ip flow ingress
no cdp enable route-map prov1 permit 10
match ip address 1
match interface FastEthernet0/0.80
!
route-map prov2 permit 10
match ip address 1
match interface FastEthernet0/0.66
!
route-map prov3 permit 10
match ip address 1
match interface FastEthernet0/0.100
ip nat inside source route-map osnovnoy interface FastEthernet0/0.100 overload
ip nat inside source route-map ppic interface FastEthernet0/0.80 overload
ip nat inside source route-map saturn interface FastEthernet0/0.66 overload
ip route 0.0.0.0 0.0.0.0 10.30.209.129
ip route 10.10.86.0 255.255.255.0 77.236.77.25
ip route 10.20.128.0 255.255.224.0 195.222.147.133 access-list 1 permit 192.168.1.0 0.0.0.255
и почему-то не рутятся пакеты на prov1:
7120#sh ip cache flow | inc 10.1.1.35
Fa0/0.1 192.168.1.35 Null 10.10.86.18 01 0000 0000 54
Fa0/0.1 192.168.1.35 Null 10.10.86.18 01 0000 0800 9
Fa0/0.1 192.168.1.35 Fa0/0.80 10.20.130.84 01 0000 0800 3
Fa0/0.1 192.168.1.35 Fa0/0.100 83.222.31.153 01 0000 0800 12
Fa0/0.80 10.20.130.84 Null 192.168.1.35 01 0000 0000 3
Fa0/0.100 83.222.31.153 Null 192.168.1.35 01 0000 0000 12 из листинга видно, что вместо fa0/0.66 пакеты отправлются в Null, хотя конфиг для всех провов на вид идентичен. Подскажите, в чём же затык?
- cisco 2 провайдера, dxer, 01:17 , 08-Сен-07 (5)
Тут всё что тебе нужно :)ip sla monitor 1
type echo protocol ipIcmpEcho 213.180.204.11 source-interface FastEthernet0/0
timeout 2000 пингуем яндекс
threshold 2
frequency 3
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 81.19.70.1 source-interface FastEthernet0/1
timeout 2000 пингуем рамблер
threshold 2
frequency 3
ip sla monitor schedule 2 life forever start-time now track 123 rtr 1 reachability
!
track 124 rtr 2 reachability ip route 0.0.0.0 0.0.0.0 194.84.хх.1 10 track 123 -- пров1
ip route 0.0.0.0 0.0.0.0 213.234.хх.161 20 track 124 --пров2
ip route 81.19.70.1 255.255.255.255 213.234.хх.161 -- это понимаете зачем :)
ip route 213.180.204.11 255.255.255.255 194.84.хх.1 ip nat inside source route-map ISP1NAT interface FastEthernet0/1 overload
ip nat inside source route-map ISP2NAT interface FastEthernet0/0 overload
access-list 110 permit ip 172.29.22.0 0.0.15.255 any
ну и это обязательно! route-map tracking permit 10
set ip next-hop verify-availability 213.180.204.11 10 track 123
set ip next-hop 194.84.хх.1
!
route-map tracking permit 20
set ip next-hop verify-availability 81.19.70.1 20 track 124
set ip next-hop 213.234.хх.161
!
route-map ISP2NAT permit 10
match ip address 110
match interface FastEthernet0/1
!
route-map ISP1NAT permit 10
match ip address 110
match interface FastEthernet0/0
ВСЁ!
- cisco 2 провайдера, vinni, 19:09 , 11-Сен-07 (6)
но в таком случае, при падении трассы на одного из провов нат трансляции, пойдут через уже установленные трансляции ..... - тоесть связи всеравно небудет, и только новые трансляции будут работать нормально
- cisco 2 провайдера, dxer, 20:06 , 11-Сен-07 (7)
>но в таком случае, при падении трассы на одного из провов нат
>трансляции, пойдут через уже установленные трансляции ..... - тоесть связи всеравно
>небудет, и только новые трансляции будут работать нормально Ну так создай ещё трансляции на другой внешний адрес и-фейса.
- cisco 2 провайдера, Algorond, 00:10 , 18-Сен-07 (8)
>route-map ISP2NAT permit 10
> match ip address 110
> match interface FastEthernet0/1
>!
>route-map ISP1NAT permit 10
> match ip address 110
> match interface FastEthernet0/0
>ВСЁ! У меня еще вопрос. (с) :-) Как при такой конфигурации заставить пакеты приходящие на внешние статические адреса на второму каналу не уходить по дефолтному маршруту, а отправлятся обратно? В линуксе для этого вроде как есть source interface, а тут?
local pbr?
- cisco 2 провайдера, Andrew, 12:19 , 18-Сен-07 (9)
>[оверквотинг удален]
>> match interface FastEthernet0/0
>>ВСЁ!
>
>У меня еще вопрос. (с) :-)
>
>Как при такой конфигурации заставить пакеты приходящие на внешние статические адреса на
>второму каналу не уходить по дефолтному маршруту, а отправлятся обратно? В
>линуксе для этого вроде как есть source interface, а тут?
>local pbr?
>И еще вопрос. У меня cisco 2811 c IOS 12.4(15)T и там нет некоторых команд. Как реализовать на ней переход на резервный канал если падает основной. При этом и НАТ должен переопределяться.
Ткните плиз где рыться.
- cisco 2 провайдера, Algorond, 12:33 , 18-Сен-07 (10)
>И еще вопрос. У меня cisco 2811 c IOS 12.4(15)T и там
>нет некоторых команд. Как реализовать на ней переход на резервный канал
>если падает основной. При этом и НАТ должен переопределяться. Собственно dxer немного выше дал конфиг PBT с track. А именно вот эти строчки смотрят живой ли канал: route-map tracking permit 10
set ip next-hop verify-availability 213.180.204.1 10 track 123
set ip next-hop xxx.xxx.xxx.xx
!
route-map tracking permit 20
set ip next-hop verify-availability 81.19.70.1 20 track 124
set ip next-hop yyy.yyy.yyy.yyy У тебя можно в качестве источника внешних адресов NAT указать route-map?
Если да, то вроде как должно при падении одного из каналов перекинуть nat трансляции на другой pool.
- cisco 2 провайдера, Andrew, 12:39 , 18-Сен-07 (11)
>[оверквотинг удален]
> set ip next-hop verify-availability 213.180.204.1 10 track 123
> set ip next-hop xxx.xxx.xxx.xx
>!
>route-map tracking permit 20
> set ip next-hop verify-availability 81.19.70.1 20 track 124
> set ip next-hop yyy.yyy.yyy.yyy
>
>У тебя можно в качестве источника внешних адресов NAT указать route-map?
>Если да, то вроде как должно при падении одного из каналов перекинуть
>nat трансляции на другой pool. Хорошо. Отсюда следует два вопроса:
1. Что служит признаком падения канала? Если используется пинг маршрутизатора провайдера это понятно. Но здесь этого не указано.
2. Как будет происходить переключение на основной канал, после его восстановления? Эти вопросы связаны с тем что у меня нет такой команды ip sla monitor
Или я что-то не понимаю?
- cisco 2 провайдера, Andrew, 12:51 , 18-Сен-07 (12)
>У тебя можно в качестве источника внешних адресов NAT указать route-map?
>Если да, то вроде как должно при падении одного из каналов перекинуть
>nat трансляции на другой pool. да могу указать.
- cisco 2 провайдера, Andrew, 12:56 , 18-Сен-07 (13)
>
>>У тебя можно в качестве источника внешних адресов NAT указать route-map?
>>Если да, то вроде как должно при падении одного из каналов перекинуть
>>nat трансляции на другой pool.
>
>да могу указать. Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.
- cisco 2 провайдера, Algorond, 13:30 , 18-Сен-07 (14)
>
>Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг. Да это камраду dxer спасибо.
У меня вот тот же песок :) Копаю уже день, не могу на подобном конфиге настроить чтобы ip адреса со статическим NAT со второго канала отвечали при работающем основном.
Пакеты уходят обратно по дефолтному (т.е. считай в никуда)
- cisco 2 провайдера, dxer, 15:52 , 18-Сен-07 (15)
>>
>>Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.
>
>Да это камраду dxer спасибо.
>У меня вот тот же песок :) Копаю уже день, не могу
>на подобном конфиге настроить чтобы ip адреса со статическим NAT со
>второго канала отвечали при работающем основном.
>Пакеты уходят обратно по дефолтному (т.е. считай в никуда) Основной канал выбирается из метрики ip route lalalala 10 или 20 :) соотв. 10 есть основной, 20 резервный.
- cisco 2 провайдера, Andrew, 10:51 , 19-Сен-07 (16)
>[оверквотинг удален]
>>>Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.
>>
>>Да это камраду dxer спасибо.
>>У меня вот тот же песок :) Копаю уже день, не могу
>>на подобном конфиге настроить чтобы ip адреса со статическим NAT со
>>второго канала отвечали при работающем основном.
>>Пакеты уходят обратно по дефолтному (т.е. считай в никуда)
>
>Основной канал выбирается из метрики ip route lalalala 10 или 20 :)
>соотв. 10 есть основной, 20 резервный. Уважаемые!!! Хелп! У меня циска2811 с IOS12.4(15)T
Как ввести вот такую строчку из приведенного выше конфига? type echo protocol ipIcmpEcho 194.87.0.50 source-interface FastEthernet0/0 выдает ошибку. > inet3(config)#ip sla monitor 1
> inet3(config-ip-sla-echo)#$94.87.0.50 source-interface FastEthernet0/0
> type echo protocol ipIcmpEcho 194.87.0.50 source-interface FastEthernet0/0
> ^
> % Invalid input detected at '^' marker.
>
> inet3(config-ip-sla-echo)# Что делать? Помогите, пожалуйста!
- cisco 2 провайдера, dxer, 12:38 , 19-Сен-07 (17)
>[оверквотинг удален]
>
>> inet3(config)#ip sla monitor 1
>> inet3(config-ip-sla-echo)#$94.87.0.50 source-interface FastEthernet0/0
>> type echo protocol ipIcmpEcho 194.87.0.50 source-interface FastEthernet0/0
>> ^
>> % Invalid input detected at '^' marker.
>>
>> inet3(config-ip-sla-echo)#
>
>Что делать? Помогите, пожалуйста! gw(config)#ip sla mon 1
gw(config-rtr)#typ
gw(config-rtr)#typ?
и пустота :) действительно это так :)
на
Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2) www.cisco.com/go/fn
посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе. - cisco 2 провайдера, dxer, 12:40 , 19-Сен-07 (18)
>[оверквотинг удален]
>
>gw(config)#ip sla mon 1
>gw(config-rtr)#typ
>gw(config-rtr)#typ?
>и пустота :) действительно это так :)
>на
>Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
>
>www.cisco.com/go/fn
>посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе. Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в ADVIPSERVICES ;)
- cisco 2 провайдера, Andrew, 14:04 , 19-Сен-07 (19)
>[оверквотинг удален]
>>и пустота :) действительно это так :)
>>на
>>Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
>>
>>www.cisco.com/go/fn
>>посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе.
>
>Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
>Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в
>ADVIPSERVICES ;) Всем спасибо. Разобрался. И все заработало. Кстати, при вводе команды ip sla mon 1
циска переходит то в режим config-rtr то в режим config-rtr-echo. И в других случаях тоже замечал. Прошивка кривая?
- cisco 2 провайдера, dxer, 14:07 , 19-Сен-07 (20)
>[оверквотинг удален]
>>>посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе.
>>
>>Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
>>Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в
>>ADVIPSERVICES ;)
>
>Всем спасибо. Разобрался. И все заработало. Кстати, при вводе команды ip sla
>mon 1
>циска переходит то в режим config-rtr то в режим config-rtr-echo. И в
>других случаях тоже замечал. Прошивка кривая? И как на таком ИОСе сделать sla monitor? - cisco 2 провайдера, dxer, 14:32 , 19-Сен-07 (21)
>[оверквотинг удален]
>>>Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
>>>Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в
>>>ADVIPSERVICES ;)
>>
>>Всем спасибо. Разобрался. И все заработало. Кстати, при вводе команды ip sla
>>mon 1
>>циска переходит то в режим config-rtr то в режим config-rtr-echo. И в
>>других случаях тоже замечал. Прошивка кривая?
>
>И как на таком ИОСе сделать sla monitor? Всё тоже самое :)
ip sla 1 [enter]
и пошло поехало :)
- cisco 2 провайдера, Dev, 14:38 , 08-Фев-08 (22)
А где указявка ходить пакетам через роут-мап?
Как я понимаю нужно на интерфейсе, который смотрит в локалку прописать оба роут-мапа: ip policy route-map ISP1NAT
ip policy route-map ISP2NAT А "route-map tracking permit 10" и "route-map tracking permit 20" где прописывать?
- cisco 2 провайдера, Б, 13:34 , 27-Май-11 (23)
> А где указявка ходить пакетам через роут-мап?
> Как я понимаю нужно на интерфейсе, который смотрит в локалку прописать оба
> роут-мапа:
> ip policy route-map ISP1NAT
> ip policy route-map ISP2NAT
> А "route-map tracking permit 10" и "route-map tracking permit 20" где прописывать? На локальном интерфейсе походу
- cisco 2 провайдера, Dev, 13:52 , 27-Май-11 (24)
> На локальном интерфейсе походу interface FastEthernet0/1
description LOCAL
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip policy route-map TEMP interface Serial0/0
description PROV1
ip address 79.XXX.XXX.10 255.255.255.0
ip nat outside interface FastEthernet0/0
description PROV2
ip address 92.XXX.XXX.20 255.255.255.0
ip nat outside access-list 1 permit 192.168.11.70
access-list 2 permit 192.168.11.88 ip nat pool POOL1 79.XXX.XXX.10 79.XXX.XXX.10 netmask 255.255.255.0
ip nat pool POOL2 92.XXX.XXX.20 92.XXX.XXX.20 netmask 255.255.255.0 ip nat inside source route-map MAP1 pool POOL1 overload
ip nat inside source route-map MAP2 pool POOL2 overload route-map MAP1 permit 10
match ip address 1
match interface Serial0/0
!
route-map MAP2 permit 10
match ip address 2
match interface FastEthernet0/0
!
route-map TEMP permit 10
match ip address 1
set ip next-hop 92.XXX.XXX.1
!
route-map TEMP permit 15
match ip address 2
set ip next-hop 79.XXX.XXX.1 Ну у меня как-то так работает...
|
Версия для распечатки
cisco 2 провайдера, 
