forum.opennet.ru - "2 isp на cisco 3845" (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"2 isp на cisco 3845"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"2 isp на cisco 3845"	+/–
Сообщение от Andrew (??) on 25-Июл-14, 20:35
Доброго времени суток, уважаемые знатоки! Прошу оказать содействие в настройке 2 каналов от разных uplink провайдеров. Исходные данные: cisco 3845, ios adventerprisek9-mz.124-25.bin, роутер осуществляет маршрутизацию vlan'ов; провайдер А : блок внешних адресов 91.х.х.0/24, шлюз со стороны провайдера: 92.x.x.45 провайдер Б : предоставляет блок внешних адресов 93.х.х.192/26 по trunk порту используя vlan 172, шлюз со стороны провайдера: 93.x.x.193 Конфигурация : interface GigabitEthernet0/0 description Switch link ip address 91.х.х.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp no ip route-cache cef duplex auto speed auto media-type rj45 fair-queue no cdp enable interface GigabitEthernet0/1 description providerB uplink no ip address no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto media-type rj45 fair-queue no cdp enable ! interface GigabitEthernet0/1.172 encapsulation dot1Q 172 ip address 93.x.x.194 255.255.255.192 no ip redirects no ip unreachables no ip proxy-arp ip policy route-map providerb_flow no cdp enable ! interface FastEthernet4/0 description providerA uplink ip address 92.x.x.46 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto fair-queue ip route 0.0.0.0 0.0.0.0 92.x.x.45 access-list 100 permit ip any any route-map providerb_flow permit 10 match ip address 100 set ip next-hop 93.x.x.193 При использовании сетевых настроек для подсети 93.x.x.192/26, скажем Ip 93.х.х.195, gate 93.х.х.194, mask 255.255.255.192 отсутствует возможность выхода в внешнюю сеть через провайдера Б. Ping же адреса 93.x.x.193 напрямую с роутера проходит, ping с любых адресов установленных на пк и указанных в vlan 172 отсутствует;также отсутствует ping ip интерфейса gi0/1.172 с пк vlan 172. Прошу оказать содействие в данной ситуации. С уважением,Андрей
Ответить \| Правка \| Cообщить модератору

Оглавление

2 isp на cisco 3845, elk_killa, 10:46 , 26-Июл-14, (1)

2 isp на cisco 3845, Andrew, 15:10 , 27-Июл-14, (2)

2 isp на cisco 3845, elk_killa, 20:13 , 27-Июл-14, (3)

2 isp на cisco 3845, Andrew, 18:30 , 29-Июл-14, (4)

2 isp на cisco 3845, elk_killa, 19:25 , 29-Июл-14, (5)

2 isp на cisco 3845, Andrew, 17:58 , 11-Авг-14, (6)

2 isp на cisco 3845, crash, 06:41 , 12-Авг-14, (7)

2 isp на cisco 3845, Andrew, 13:22 , 12-Авг-14, (9)

2 isp на cisco 3845, crash, 06:53 , 13-Авг-14, (12)

2 isp на cisco 3845, ShyLion, 12:38 , 12-Авг-14, (8)

2 isp на cisco 3845, Andrew, 13:27 , 12-Авг-14, (10)

2 isp на cisco 3845, ShyLion, 14:36 , 12-Авг-14, (11) +1

Сообщения по теме [Сортировка по времени | RSS]

1. "2 isp на cisco 3845" +/–

Сообщение от elk_killa (ok) on 26-Июл-14, 10:46

У вас gi0/1 напрямую в провБ вставлен или через свитч? Если первое, так как клиенты попадут во влан172? Если второе, тогда зачем им вообще ваша циска с роутмапом? Пусть укажут шлюзом *.193 и ходят напрямую. В общем дизайн на оба варианта хромает. Нарисуйте себе схему L2/L3 и увидите, почему не работает. Если обязательно нужно, чтоб клиенты проваБ ходили через 3845, посадите их в отдельную подсеть /26 и статик натом выпускайте в Gi0/1.172

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "2 isp на cisco 3845" +/–

Сообщение от Andrew (??) on 27-Июл-14, 15:10

> У вас gi0/1 напрямую в провБ вставлен или через свитч? Если первое,
> так как клиенты попадут во влан172? Если второе, тогда зачем им
> вообще ваша циска с роутмапом? Пусть укажут шлюзом *.193 и ходят
> напрямую. В общем дизайн на оба варианта хромает. Нарисуйте себе схему
> L2/L3 и увидите, почему не работает. Если обязательно нужно, чтоб клиенты
> проваБ ходили через 3845, посадите их в отдельную подсеть /26 и
> статик натом выпускайте в Gi0/1.172
Благодарю за ответ!
   В целом, с недостаточно проработанным дизайном согласен.Подключение производилось в сжатые сроки. Также дополнительно к потоку данных, провайдерБ еще пропускает bgp-трафик предприятия  в vlan 171, поэтому решение по пропуску трафика данных и bgp предложено провайдеромБ в виде trunk'а.
   Что касается подключения канала, то безусловно switch - простое решение. Но, при использовании switch, а имеется cisco 2960g (c2960-lanbase-mz.122-35.SE5) в качестве ядра, возникает ряд вопросов:
1.необходим биллинг трафика (команды ip flow ingress/egress на уровне интерфейсов отсутствуют, также отсутствуют команды:
ip flow-export source <interface_name>
ip flow-export version <version_number>
ip flow-export destination <ip> <port> )
2.блок адресов 93.х.х.192/26 является внешним, который хотелось бы сэкономить за счет nat..

Прошу указать решение с использованием роутера 3845 и nat , если возможно, подробней.
С уважением, Андрей

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "2 isp на cisco 3845" +/–

Сообщение от elk_killa (ok) on 27-Июл-14, 20:13

> Также дополнительно к потоку данных, провайдерБ еще пропускает bgp-трафик
> предприятия  в vlan 171, поэтому решение по пропуску трафика данных
> и bgp предложено провайдеромБ в виде trunk'а.
Это еще что за зверь? Что за bgp-траффик при PA-блоках адресов и статическом дефолте на А?
>    Что касается подключения канала, то безусловно switch - простое
> решение. Но, при использовании switch, а имеется cisco 2960g (c2960-lanbase-mz.122-35.SE5)
> в качестве ядра, возникает ряд вопросов:
Свитч (L3) в качестве ядра нужен для IVR, это не мешает его использовать для dot1q линков с провайдерами. Без схемы сети, откуда и куда что должно ходить, советовать нечего
> 2.блок адресов 93.х.х.192/26 является внешним, который хотелось бы сэкономить за счет nat..
Блок адресов можно использовать в nat pool
> Прошу указать решение с использованием роутера 3845 и nat , если возможно,
> подробней.
Пока неясно, что нужно решать-то

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "2 isp на cisco 3845" +/–

Сообщение от Andrew (??) on 29-Июл-14, 18:30

Добрый день! Благодарю за ваши ответы!
Вносим уточнения :
> Это еще что за зверь? Что за bgp-траффик при PA-блоках адресов и
> статическом дефолте на А?
bgp трафик идет для сети pi блока предприятия - 85.х.х.0/23;
фрагмент конфигурации bgp :
router bgp <as_number>
bgp log-neighbor-changes
neighbor <providerB_ip> remote-as <providerB_as_number>
neighbor <providerB_ip> description ### -eBGP to providerB
neighbor 92.x.x.45 remote-as <providerA_as_number>
neighbor 92.x.x.45 description ### -eBGP to providerA
!
address-family ipv4
  neighbor <providerB_ip> activate
  neighbor <providerB_ip> prefix-list default_only in
  neighbor <providerB_ip> prefix-list to_providers out
  neighbor <providerB_ip> route-map providerB in
  neighbor 92.x.x.45 activate
  neighbor 92.x.x.45 prefix-list default_only in
  neighbor 92.x.x.45 prefix-list to_providers out
  neighbor 92.x.x.45 route-map providerA in
  no auto-summary
  no synchronization
  network 85.x.x.0 mask 255.255.254.0
exit-address-family
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 92.x.x.45
ip route 85.x.x.0 255.255.254.0 Null0 250

ip prefix-list default_only seq 5 permit 0.0.0.0/0
!
ip prefix-list nnets description unroutable nets
ip prefix-list nnets seq 10 permit 127.0.0.0/8 le 32
ip prefix-list nnets seq 20 permit 172.16.0.0/12 le 32
ip prefix-list nnets seq 25 permit 192.168.0.0/16 le 32
ip prefix-list nnets seq 30 permit 169.254.0.0/16 le 32
ip prefix-list nnets seq 35 permit 224.0.0.0/4 le 32
ip prefix-list nnets seq 40 permit 240.0.0.0/4 le 32
!
ip prefix-list to_providers seq 5 permit 85.x.x.0/23
ip prefix-list to_providers seq 10 deny 0.0.0.0/0
route-map providerA deny 100
match ip address prefix-list nnets
!
route-map providerA permit 110
set local-preference 200

route-map providerB deny 100
match ip address prefix-list nnets
!
route-map providerB permit 110
set local-preference 250

> Свитч (L3) в качестве ядра нужен для IVR, это не мешает его
> использовать для dot1q линков с провайдерами. Без схемы сети, откуда и
> куда что должно ходить, советовать нечего
К сожалению, на данный момент inter vlan-routing реализован именно на маршрутизаторе.
> Блок адресов можно использовать в nat pool
Можно более подробный пример
> Пока неясно, что нужно решать-то
Подключить канал от  провайдера Б, предоставленного в trunk порт в двух vlan : 171 (трафик для bgp) и vlan 172 (трафик сети передачи данных с выделенной подсетью 93.x.x.194 255.255.255.192). При этом необходим биллинг трафика сети 93.x.x.194/26 с использованием netflow. Если возможно реализовать с помощью nat, прошу указать детальный пример.
Заранее благодарен.
С уважением, Андрей

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "2 isp на cisco 3845" +/–

Сообщение от elk_killa (ok) on 29-Июл-14, 19:25

нуу в инете же полно примеров
ip nat pool ProvBdot172 93.x.x.195 93.x.x.254 netmask 255.255.255.192
interface GigabitEthernet0/1.172
ip nat outside
interface GigabitEthernetX3
ip nat inside
ip nat inside source list NatB pool ProvBdot172 [overload]
> Подключить канал от  провайдера Б, предоставленного в trunk порт в двух
> vlan : 171 (трафик для bgp) и vlan 172 (трафик сети
> передачи данных с выделенной подсетью 93.x.x.194 255.255.255.192). При этом необходим
> биллинг трафика сети 93.x.x.194/26 с использованием netflow. Если возможно реализовать
> с помощью nat, прошу указать детальный пример.
> Заранее благодарен.
> С уважением, Андрей

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "2 isp на cisco 3845" +/–

Сообщение от Andrew (??) on 11-Авг-14, 17:58

>[оверквотинг удален]
> ip nat pool ProvBdot172 93.x.x.195 93.x.x.254 netmask 255.255.255.192
> interface GigabitEthernet0/1.172
> ip nat outside
> interface GigabitEthernetX3
> ip nat inside
> ip nat inside source list NatB pool ProvBdot172 [overload]
>> Если возможно реализовать
>> с помощью nat, прошу указать детальный пример.
>> Заранее благодарен.
>> С уважением, Андрей
Добрый день! Повторно, благодарю за ваши ответы! Прошу прощения за небольшую задержку, в виду отсутствия времени для реализации рекомендаций.
С каналом разобрался: настроил совместно линковую сеть /30 с провайдером на интерфейсе GigabitEthernet0/1 и поток данных беспрепятственно достиг сети интернет :) Но с использованием nat имееются затруднения : для созданной немаршрутизируемой сети 10.110.71.0/24 не осуществляется трансляция nat overload.
Фрагмент конфигурации:
interface GigabitEthernet0/0
description Switch link
ip address 91.х.х.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip route-cache cef
duplex auto
speed auto
media-type rj45
fair-queue
no cdp enable
!
interface GigabitEthernet0/0.172
description ProviderB_dataflow
encapsulation dot1Q 172
ip address 93.x.x.194 255.255.255.192
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip policy route-map providerBflow
no cdp enable
!
interface GigabitEthernet0/0.173
description internal_net
encapsulation dot1Q 173
ip address 10.110.71.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/1
description ProviderB_uplink
ip address <linking_ip_ProviderB> 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
media-type rj45
fair-queue
no cdp enable
!
interface GigabitEthernet0/1.171
description bgp_providerB_flow
encapsulation dot1Q 171
ip address <linking_bgp_ip_ProviderB>/30
no ip redirects
no ip unreachables
no ip proxy-arp
no cdp enable
!
interface FastEthernet4/0
description providerA link
ip address 92.x.x.46 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
fair-queue
!
ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24
ip nat inside source list 99 pool natpoolproviderB overload
access-list 99 remark 10.110.71.nat natpoolproviderB
access-list 99 permit 10.110.71.0 0.0.0.255
route-map providerBflow permit 10
match ip address 100
set ip next-hop <linking_ip_ProviderB>
При использовании текущих настроек отсутствует возможность доступа в
сеть интернет из сети 10.110.71.0  с коммутатора  из vlan 173.
Прошу оказать содействие в данной ситуации.
С уважением, Андрей

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "2 isp на cisco 3845" +/–

Сообщение от crash (ok) on 12-Авг-14, 06:41

> ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24
> ip nat inside source list 99 pool natpoolproviderB overload
> access-list 99 remark 10.110.71.nat natpoolproviderB
> access-list 99 permit 10.110.71.0 0.0.0.255
то есть шлюз по-умолчанию у вас для данной сети является провейдер В?
> route-map providerBflow permit 10
>  match ip address 100
>  set ip next-hop <linking_ip_ProviderB>
> При использовании текущих настроек отсутствует возможность доступа в
> сеть интернет из сети 10.110.71.0  с коммутатора  из vlan 173.
а что у вас должно попадать в match ip address 100?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "2 isp на cisco 3845" +/–

Сообщение от Andrew (??) on 12-Авг-14, 13:22

Добрый день!
>> ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24
>> ip nat inside source list 99 pool natpoolproviderB overload
>> access-list 99 remark 10.110.71.nat natpoolproviderB
>> access-list 99 permit 10.110.71.0 0.0.0.255
> то есть шлюз по-умолчанию у вас для данной сети является провейдер В?
Опишу полную картину :
а.Шлюз по умолчанию для сети  10.110.71.0/24 находящейся в vlan 173 - 10.110.71.1;
б.Шлюз по умолачанию на роутере - ip route 0.0.0.0 92.x.x.46 (провайдер А);
в.Для блока адресов 93.x.x.192 255.255.255.192 (сеть провайдера B  из vlan 172) есть route-map, который в качестве next-hop устанавливает link-ip со стороны провайдера B (ответный ip установлен на роутере на интерфейсе GigabitEthernet0/1); в качестве nat используется 2 свободный ip из блока  93.x.x.192/26 - 93.x.x.194 в режиме overload;
93.x.x.193 - шлюз для сети 93.x.x.192/26 в vlan 172.

С использованием nat для сети 10.110.71.0/24 доступ в сеть интернет отсутствует.
>> route-map providerBflow permit 10
>>  match ip address 100
>>  set ip next-hop <linking_ip_ProviderB>
>> При использовании текущих настроек отсутствует возможность доступа в
>> сеть интернет из сети 10.110.71.0  с коммутатора  из vlan 173.
> а что у вас должно попадать в match ip address 100?
   сейчас установлена следующая инструкция :
access-list 100 permit any any
   хотя фактически должна быть сеть 93.x.x.194 255.255.255.192 (сеть провайдера B  из vlan 172) и инструкция, таким образом, должна быть :
access-list 100 permit 93.x.x.194 0.0.0.64 any
С уважением, Андрей

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "2 isp на cisco 3845" +/–

Сообщение от crash (ok) on 13-Авг-14, 06:53

>    сейчас установлена следующая инструкция :
> access-list 100 permit any any
>    хотя фактически должна быть сеть 93.x.x.194 255.255.255.192 (сеть провайдера
> B  из vlan 172) и инструкция, таким образом, должна быть
> :
> access-list 100 permit 93.x.x.194 0.0.0.64 any
с чего вы решили, что должно быть access-list 100 permit 93.x.x.194 0.0.0.64 any? Я например считаю, что должно быть access-list 100 permit 10.110.71.0 0.0.0.255 any, ведь вы для нее меняете маршрут

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

8. "2 isp на cisco 3845" +/–

Сообщение от ShyLion (ok) on 12-Авг-14, 12:38

>[оверквотинг удален]
> !
> interface GigabitEthernet0/1.171
> description bgp_providerB_flow
>  encapsulation dot1Q 171
>  ip address <linking_bgp_ip_ProviderB>/30
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  no cdp enable
> !
Где ip nat outside и какой из этих линков таки в инет смотрит?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "2 isp на cisco 3845" +/–

Сообщение от Andrew (??) on 12-Авг-14, 13:27

>[оверквотинг удален]
>> description bgp_providerB_flow
>>  encapsulation dot1Q 171
>>  ip address <linking_bgp_ip_ProviderB>/30
>>  no ip redirects
>>  no ip unreachables
>>  no ip proxy-arp
>>  no cdp enable
>> !
> Где ip nat outside и какой из этих линков таки в инет
> смотрит?
Канал провайдера B термирован на interface GigabitEthernet0/1;
GigabitEthernet0/0 - линк маршрутизатора и коммутатора 2960g;
В рамках GigabitEthernet0/0 созданы subinterfaces с указанием nat inside/outside:
interface GigabitEthernet0/0.172
description ProviderB_dataflow
encapsulation dot1Q 172
ip address 93.x.x.194 255.255.255.192
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip policy route-map providerBflow
no cdp enable
!
interface GigabitEthernet0/0.173
description internal_net
encapsulation dot1Q 173
ip address 10.110.71.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
Следующий интерфейс используется для bgp-трафика от того же провайдера B
interface GigabitEthernet0/1.171
description bgp_providerB_flow
  encapsulation dot1Q 171
  ip address <linking_bgp_ip_ProviderB>/30
  no ip redirects
  no ip unreachables
  no ip proxy-arp
  no cdp enable
С уважением, Андрей

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "2 isp на cisco 3845" +1 +/–

Сообщение от ShyLion (ok) on 12-Авг-14, 14:36

>>[оверквотинг удален]
Что у тебя в 172 вилане?
Если 10.110.71.0/24 должна ходить в инет через провайдера B, то на ее интерфейсе должен полиси-роутинг с next-hop в сторону аплинка провайдера. а на самом аплинке должен быть ip nat outside, которого нет.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "2 isp на cisco 3845"	+/–
Сообщение от elk_killa (ok) on 26-Июл-14, 10:46
У вас gi0/1 напрямую в провБ вставлен или через свитч? Если первое, так как клиенты попадут во влан172? Если второе, тогда зачем им вообще ваша циска с роутмапом? Пусть укажут шлюзом *.193 и ходят напрямую. В общем дизайн на оба варианта хромает. Нарисуйте себе схему L2/L3 и увидите, почему не работает. Если обязательно нужно, чтоб клиенты проваБ ходили через 3845, посадите их в отдельную подсеть /26 и статик натом выпускайте в Gi0/1.172
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "2 isp на cisco 3845"	+/–
	Сообщение от Andrew (??) on 27-Июл-14, 15:10
	> У вас gi0/1 напрямую в провБ вставлен или через свитч? Если первое, > так как клиенты попадут во влан172? Если второе, тогда зачем им > вообще ваша циска с роутмапом? Пусть укажут шлюзом *.193 и ходят > напрямую. В общем дизайн на оба варианта хромает. Нарисуйте себе схему > L2/L3 и увидите, почему не работает. Если обязательно нужно, чтоб клиенты > проваБ ходили через 3845, посадите их в отдельную подсеть /26 и > статик натом выпускайте в Gi0/1.172 Благодарю за ответ! В целом, с недостаточно проработанным дизайном согласен.Подключение производилось в сжатые сроки. Также дополнительно к потоку данных, провайдерБ еще пропускает bgp-трафик предприятия в vlan 171, поэтому решение по пропуску трафика данных и bgp предложено провайдеромБ в виде trunk'а. Что касается подключения канала, то безусловно switch - простое решение. Но, при использовании switch, а имеется cisco 2960g (c2960-lanbase-mz.122-35.SE5) в качестве ядра, возникает ряд вопросов: 1.необходим биллинг трафика (команды ip flow ingress/egress на уровне интерфейсов отсутствуют, также отсутствуют команды: ip flow-export source <interface_name> ip flow-export version <version_number> ip flow-export destination <ip> <port> ) 2.блок адресов 93.х.х.192/26 является внешним, который хотелось бы сэкономить за счет nat.. Прошу указать решение с использованием роутера 3845 и nat , если возможно, подробней. С уважением, Андрей
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "2 isp на cisco 3845"	+/–
	Сообщение от elk_killa (ok) on 27-Июл-14, 20:13
	> Также дополнительно к потоку данных, провайдерБ еще пропускает bgp-трафик > предприятия в vlan 171, поэтому решение по пропуску трафика данных > и bgp предложено провайдеромБ в виде trunk'а. Это еще что за зверь? Что за bgp-траффик при PA-блоках адресов и статическом дефолте на А? > Что касается подключения канала, то безусловно switch - простое > решение. Но, при использовании switch, а имеется cisco 2960g (c2960-lanbase-mz.122-35.SE5) > в качестве ядра, возникает ряд вопросов: Свитч (L3) в качестве ядра нужен для IVR, это не мешает его использовать для dot1q линков с провайдерами. Без схемы сети, откуда и куда что должно ходить, советовать нечего > 2.блок адресов 93.х.х.192/26 является внешним, который хотелось бы сэкономить за счет nat.. Блок адресов можно использовать в nat pool > Прошу указать решение с использованием роутера 3845 и nat , если возможно, > подробней. Пока неясно, что нужно решать-то
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "2 isp на cisco 3845"	+/–
	Сообщение от Andrew (??) on 29-Июл-14, 18:30
	Добрый день! Благодарю за ваши ответы! Вносим уточнения : > Это еще что за зверь? Что за bgp-траффик при PA-блоках адресов и > статическом дефолте на А? bgp трафик идет для сети pi блока предприятия - 85.х.х.0/23; фрагмент конфигурации bgp : router bgp <as_number> bgp log-neighbor-changes neighbor <providerB_ip> remote-as <providerB_as_number> neighbor <providerB_ip> description ### -eBGP to providerB neighbor 92.x.x.45 remote-as <providerA_as_number> neighbor 92.x.x.45 description ### -eBGP to providerA ! address-family ipv4 neighbor <providerB_ip> activate neighbor <providerB_ip> prefix-list default_only in neighbor <providerB_ip> prefix-list to_providers out neighbor <providerB_ip> route-map providerB in neighbor 92.x.x.45 activate neighbor 92.x.x.45 prefix-list default_only in neighbor 92.x.x.45 prefix-list to_providers out neighbor 92.x.x.45 route-map providerA in no auto-summary no synchronization network 85.x.x.0 mask 255.255.254.0 exit-address-family ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 92.x.x.45 ip route 85.x.x.0 255.255.254.0 Null0 250 ip prefix-list default_only seq 5 permit 0.0.0.0/0 ! ip prefix-list nnets description unroutable nets ip prefix-list nnets seq 10 permit 127.0.0.0/8 le 32 ip prefix-list nnets seq 20 permit 172.16.0.0/12 le 32 ip prefix-list nnets seq 25 permit 192.168.0.0/16 le 32 ip prefix-list nnets seq 30 permit 169.254.0.0/16 le 32 ip prefix-list nnets seq 35 permit 224.0.0.0/4 le 32 ip prefix-list nnets seq 40 permit 240.0.0.0/4 le 32 ! ip prefix-list to_providers seq 5 permit 85.x.x.0/23 ip prefix-list to_providers seq 10 deny 0.0.0.0/0 route-map providerA deny 100 match ip address prefix-list nnets ! route-map providerA permit 110 set local-preference 200 route-map providerB deny 100 match ip address prefix-list nnets ! route-map providerB permit 110 set local-preference 250 > Свитч (L3) в качестве ядра нужен для IVR, это не мешает его > использовать для dot1q линков с провайдерами. Без схемы сети, откуда и > куда что должно ходить, советовать нечего К сожалению, на данный момент inter vlan-routing реализован именно на маршрутизаторе. > Блок адресов можно использовать в nat pool Можно более подробный пример > Пока неясно, что нужно решать-то Подключить канал от провайдера Б, предоставленного в trunk порт в двух vlan : 171 (трафик для bgp) и vlan 172 (трафик сети передачи данных с выделенной подсетью 93.x.x.194 255.255.255.192). При этом необходим биллинг трафика сети 93.x.x.194/26 с использованием netflow. Если возможно реализовать с помощью nat, прошу указать детальный пример. Заранее благодарен. С уважением, Андрей
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "2 isp на cisco 3845"	+/–
	Сообщение от elk_killa (ok) on 29-Июл-14, 19:25
	нуу в инете же полно примеров ip nat pool ProvBdot172 93.x.x.195 93.x.x.254 netmask 255.255.255.192 interface GigabitEthernet0/1.172 ip nat outside interface GigabitEthernetX3 ip nat inside ip nat inside source list NatB pool ProvBdot172 [overload] > Подключить канал от провайдера Б, предоставленного в trunk порт в двух > vlan : 171 (трафик для bgp) и vlan 172 (трафик сети > передачи данных с выделенной подсетью 93.x.x.194 255.255.255.192). При этом необходим > биллинг трафика сети 93.x.x.194/26 с использованием netflow. Если возможно реализовать > с помощью nat, прошу указать детальный пример. > Заранее благодарен. > С уважением, Андрей
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "2 isp на cisco 3845"	+/–
	Сообщение от Andrew (??) on 11-Авг-14, 17:58
	>[оверквотинг удален] > ip nat pool ProvBdot172 93.x.x.195 93.x.x.254 netmask 255.255.255.192 > interface GigabitEthernet0/1.172 > ip nat outside > interface GigabitEthernetX3 > ip nat inside > ip nat inside source list NatB pool ProvBdot172 [overload] >> Если возможно реализовать >> с помощью nat, прошу указать детальный пример. >> Заранее благодарен. >> С уважением, Андрей Добрый день! Повторно, благодарю за ваши ответы! Прошу прощения за небольшую задержку, в виду отсутствия времени для реализации рекомендаций. С каналом разобрался: настроил совместно линковую сеть /30 с провайдером на интерфейсе GigabitEthernet0/1 и поток данных беспрепятственно достиг сети интернет :) Но с использованием nat имееются затруднения : для созданной немаршрутизируемой сети 10.110.71.0/24 не осуществляется трансляция nat overload. Фрагмент конфигурации: interface GigabitEthernet0/0 description Switch link ip address 91.х.х.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly no ip route-cache cef duplex auto speed auto media-type rj45 fair-queue no cdp enable ! interface GigabitEthernet0/0.172 description ProviderB_dataflow encapsulation dot1Q 172 ip address 93.x.x.194 255.255.255.192 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip flow egress ip nat outside ip virtual-reassembly ip policy route-map providerBflow no cdp enable ! interface GigabitEthernet0/0.173 description internal_net encapsulation dot1Q 173 ip address 10.110.71.1 255.255.255.0 ip nat inside ip virtual-reassembly no cdp enable ! interface GigabitEthernet0/1 description ProviderB_uplink ip address <linking_ip_ProviderB> 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto media-type rj45 fair-queue no cdp enable ! interface GigabitEthernet0/1.171 description bgp_providerB_flow encapsulation dot1Q 171 ip address <linking_bgp_ip_ProviderB>/30 no ip redirects no ip unreachables no ip proxy-arp no cdp enable ! interface FastEthernet4/0 description providerA link ip address 92.x.x.46 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside no ip virtual-reassembly duplex auto speed auto fair-queue ! ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24 ip nat inside source list 99 pool natpoolproviderB overload access-list 99 remark 10.110.71.nat natpoolproviderB access-list 99 permit 10.110.71.0 0.0.0.255 route-map providerBflow permit 10 match ip address 100 set ip next-hop <linking_ip_ProviderB> При использовании текущих настроек отсутствует возможность доступа в сеть интернет из сети 10.110.71.0 с коммутатора из vlan 173. Прошу оказать содействие в данной ситуации. С уважением, Андрей
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "2 isp на cisco 3845"	+/–
	Сообщение от crash (ok) on 12-Авг-14, 06:41
	> ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24 > ip nat inside source list 99 pool natpoolproviderB overload > access-list 99 remark 10.110.71.nat natpoolproviderB > access-list 99 permit 10.110.71.0 0.0.0.255 то есть шлюз по-умолчанию у вас для данной сети является провейдер В? > route-map providerBflow permit 10 > match ip address 100 > set ip next-hop <linking_ip_ProviderB> > При использовании текущих настроек отсутствует возможность доступа в > сеть интернет из сети 10.110.71.0 с коммутатора из vlan 173. а что у вас должно попадать в match ip address 100?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "2 isp на cisco 3845"	+/–
	Сообщение от Andrew (??) on 12-Авг-14, 13:22
	Добрый день! >> ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24 >> ip nat inside source list 99 pool natpoolproviderB overload >> access-list 99 remark 10.110.71.nat natpoolproviderB >> access-list 99 permit 10.110.71.0 0.0.0.255 > то есть шлюз по-умолчанию у вас для данной сети является провейдер В? Опишу полную картину : а.Шлюз по умолчанию для сети 10.110.71.0/24 находящейся в vlan 173 - 10.110.71.1; б.Шлюз по умолачанию на роутере - ip route 0.0.0.0 92.x.x.46 (провайдер А); в.Для блока адресов 93.x.x.192 255.255.255.192 (сеть провайдера B из vlan 172) есть route-map, который в качестве next-hop устанавливает link-ip со стороны провайдера B (ответный ip установлен на роутере на интерфейсе GigabitEthernet0/1); в качестве nat используется 2 свободный ip из блока 93.x.x.192/26 - 93.x.x.194 в режиме overload; 93.x.x.193 - шлюз для сети 93.x.x.192/26 в vlan 172. С использованием nat для сети 10.110.71.0/24 доступ в сеть интернет отсутствует. >> route-map providerBflow permit 10 >> match ip address 100 >> set ip next-hop <linking_ip_ProviderB> >> При использовании текущих настроек отсутствует возможность доступа в >> сеть интернет из сети 10.110.71.0 с коммутатора из vlan 173. > а что у вас должно попадать в match ip address 100? сейчас установлена следующая инструкция : access-list 100 permit any any хотя фактически должна быть сеть 93.x.x.194 255.255.255.192 (сеть провайдера B из vlan 172) и инструкция, таким образом, должна быть : access-list 100 permit 93.x.x.194 0.0.0.64 any С уважением, Андрей
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	12. "2 isp на cisco 3845"	+/–
	Сообщение от crash (ok) on 13-Авг-14, 06:53
	> сейчас установлена следующая инструкция : > access-list 100 permit any any > хотя фактически должна быть сеть 93.x.x.194 255.255.255.192 (сеть провайдера > B из vlan 172) и инструкция, таким образом, должна быть > : > access-list 100 permit 93.x.x.194 0.0.0.64 any с чего вы решили, что должно быть access-list 100 permit 93.x.x.194 0.0.0.64 any? Я например считаю, что должно быть access-list 100 permit 10.110.71.0 0.0.0.255 any, ведь вы для нее меняете маршрут
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	8. "2 isp на cisco 3845"	+/–
	Сообщение от ShyLion (ok) on 12-Авг-14, 12:38
	>[оверквотинг удален] > ! > interface GigabitEthernet0/1.171 > description bgp_providerB_flow > encapsulation dot1Q 171 > ip address <linking_bgp_ip_ProviderB>/30 > no ip redirects > no ip unreachables > no ip proxy-arp > no cdp enable > ! Где ip nat outside и какой из этих линков таки в инет смотрит?
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	10. "2 isp на cisco 3845"	+/–
	Сообщение от Andrew (??) on 12-Авг-14, 13:27
	>[оверквотинг удален] >> description bgp_providerB_flow >> encapsulation dot1Q 171 >> ip address <linking_bgp_ip_ProviderB>/30 >> no ip redirects >> no ip unreachables >> no ip proxy-arp >> no cdp enable >> ! > Где ip nat outside и какой из этих линков таки в инет > смотрит? Канал провайдера B термирован на interface GigabitEthernet0/1; GigabitEthernet0/0 - линк маршрутизатора и коммутатора 2960g; В рамках GigabitEthernet0/0 созданы subinterfaces с указанием nat inside/outside: interface GigabitEthernet0/0.172 description ProviderB_dataflow encapsulation dot1Q 172 ip address 93.x.x.194 255.255.255.192 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip flow egress ip nat outside ip virtual-reassembly ip policy route-map providerBflow no cdp enable ! interface GigabitEthernet0/0.173 description internal_net encapsulation dot1Q 173 ip address 10.110.71.1 255.255.255.0 ip nat inside ip virtual-reassembly no cdp enable Следующий интерфейс используется для bgp-трафика от того же провайдера B interface GigabitEthernet0/1.171 description bgp_providerB_flow encapsulation dot1Q 171 ip address <linking_bgp_ip_ProviderB>/30 no ip redirects no ip unreachables no ip proxy-arp no cdp enable С уважением, Андрей
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	11. "2 isp на cisco 3845"	+1 +/–
	Сообщение от ShyLion (ok) on 12-Авг-14, 14:36
	>>[оверквотинг удален] Что у тебя в 172 вилане? Если 10.110.71.0/24 должна ходить в инет через провайдера B, то на ее интерфейсе должен полиси-роутинг с next-hop в сторону аплинка провайдера. а на самом аплинке должен быть ip nat outside, которого нет.
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору