The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 1711 два провайдера на одном WAN (осн + рез)"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Cisco 1711 два провайдера на одном WAN (осн + рез)"  +/
Сообщение от tis43 (ok) on 23-Июн-09, 19:39 
   Добрый день. Подскажите как завернуть 2 провайдера с Ethernet концами и разными сетями на один WAN порт. Один основной, второй резервный. При этом используется NAT с проброской портов, IpSec во внутреннюю сеть из вне.

   Сейчас настроено следующим образом (может и криво, но все работает):
Провайдер 1: Ethernet, выделана 4-х адресная белая сеть (к примеру 60.50.22.48 /30).
Провайдер 2: EVDO модем в режиме роутера с присвоенным адресом на Ehternet порту 60.50.22.52 и проброской всего входящего на 60.50.22.50. (На модеме на выходном порту за натом прописана сеть 60.50.22.48 /29).
Оба провайдера подключены на WAN порт кошки через обычный свич.
IOS: c1700-advsecurityk9-mz.124-19
Локалка – 192.168.0.х

Кусок конфига
ip sla monitor 1
type echo protocol ipIcmpEcho x.x.x.x (тест осн. прова, x.x.x.x – адрес за провом)
frequency 20
ip sla monitor schedule 1 life forever start-time now
!
track 1 rtr 1 reachability
!
interface FastEthernet0
ip address 60.50.22.50 255.255.255.248 (Прописана сетка /29, что включает оба прова)
ip access-group ACCESS-IN in
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
no cdp enable
crypto map clientmap
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
no cdp enable
!
interface FastEthernet3
no cdp enable
!
interface FastEthernet4
no cdp enable
!
interface Virtual-Template1 type tunnel
ip unnumbered Vlan1
no ip proxy-arp
ip nat inside
ip virtual-reassembly
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-profile-1
!
interface Vlan1
description $ETH-SW-LAUNCH$
ip address 192.168.0.1 255.255.255.0
ip access-group INET-ACCESS in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip tcp adjust-mss 1452
!
ip route 0.0.0.0 0.0.0.0 60.50.22.49 track 1  (все на осн.прова, если доступен)
ip route 0.0.0.0 0.0.0.0 60.50.22.52 253       (иначе на резерного)
ip route x.x.x.x 255.255.255.255 60.50.22.49 permanent (на «тестовый» адрес всегда через осн. прова)
!
ip nat inside source list NAT interface FastEthernet0 overload
ip nat inside source static tcp 192.168.0.5 25 interface FastEthernet0 25
!

Нужно заменить 2-го провайдера. Там тоже будет Ethernet хвост с белой /30 IP сеткой. Можно как-то реализовать не меняя железо? Где-то слышал что нужно разделить провайдеров с помощью VLAN’ов, но более подробно не нашел.

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 1711 два провайдера на одном WAN (осн + рез)"  +/
Сообщение от john_32 email(ok) on 24-Июн-09, 10:37 
>[оверквотинг удален]
>прова)
>!
>ip nat inside source list NAT interface FastEthernet0 overload
>ip nat inside source static tcp 192.168.0.5 25 interface FastEthernet0 25
>!
>
>Нужно заменить 2-го провайдера. Там тоже будет Ethernet хвост с белой /30
>IP сеткой. Можно как-то реализовать не меняя железо? Где-то слышал что
>нужно разделить провайдеров с помощью VLAN’ов, но более подробно не нашел.
>

В принципе не сложно, включаешь у тебя на этом же роутере есть порты fa1 и т.д.
в них и подключай,
допустим второго провайдера в fa1

interface FastEthernet1
swichport access vlan 2

interface vlan2
ip address  60.50.22.XXX 255.255.255.248 здесь адрес второго прова
ip nat outside
добавляешь еще НАТ
ip nat inside source list NAT interface vlan2 overload

а резервирование так же разруливаешь или SLA или PBR

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco 1711 два провайдера на одном WAN (осн + рез)"  +/
Сообщение от tis43 (ok) on 24-Июн-09, 11:49 
>[оверквотинг удален]
>interface FastEthernet1
>swichport access vlan 2
>
>interface vlan2
>ip address  60.50.22.XXX 255.255.255.248 здесь адрес второго прова
>ip nat outside
>добавляешь еще НАТ
>ip nat inside source list NAT interface vlan2 overload
>
>а резервирование так же разруливаешь или SLA или PBR

Я вот не совсем пойму эти fa1-4. Это по идее порты на свичевой карте. в fa1 - воткнута локалка, он связал с vlan1, но не пойму как. Нигде упоминаний не видно... Подозреваю что вообще нет особой разницы в какой порт её подключать fa1-fa4...
При попытке на fa4 сделать switchport access vlan 2 - "%Access VLAN 2 does not exist. Please add it to vlan database".

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco 1711 два провайдера на одном WAN (осн + рез)"  +/
Сообщение от john_32 email(ok) on 24-Июн-09, 11:59 
>[оверквотинг удален]
>>ip nat inside source list NAT interface vlan2 overload
>>
>>а резервирование так же разруливаешь или SLA или PBR
>
>Я вот не совсем пойму эти fa1-4. Это по идее порты на
>свичевой карте. в fa1 - воткнута локалка, он связал с vlan1,
>но не пойму как. Нигде упоминаний не видно... Подозреваю что вообще
>нет особой разницы в какой порт её подключать fa1-fa4...
>При попытке на fa4 сделать switchport access vlan 2 - "%Access VLAN
>2 does not exist. Please add it to vlan database".

а не дает добавить из-за того что прошивка старая, надо обновить иос, когда я так делал мне помогло!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco 1711 два провайдера на одном WAN (осн + рез)"  +/
Сообщение от uid0 on 24-Июн-09, 12:15 
>[оверквотинг удален]
>>
>>Я вот не совсем пойму эти fa1-4. Это по идее порты на
>>свичевой карте. в fa1 - воткнута локалка, он связал с vlan1,
>>но не пойму как. Нигде упоминаний не видно... Подозреваю что вообще
>>нет особой разницы в какой порт её подключать fa1-fa4...
>>При попытке на fa4 сделать switchport access vlan 2 - "╛cess VLAN
>>2 does not exist. Please add it to vlan database".
>
>а не дает добавить из-за того что прошивка старая, надо обновить иос,
>когда я так делал мне помогло!

vlan database
(vlan)#vlan 39
VLAN 39 added:
    Name: VLAN0039
(vlan)#apply
APPLY completed.
(vlan)#exit
после этого добавляем в свичпорт

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco 1711 два провайдера на одном WAN (осн + рез)"  +/
Сообщение от tis43 (ok) on 24-Июн-09, 13:23 
>добавляешь еще НАТ
>ip nat inside source list NAT interface vlan2 overload

Так не получаеться - он заменяет
"ip nat inside source list NAT interface FastEthernet0 overload "
Как что-бы NAT с двумя интерфейсами работал. И что делать с перенправлениями портов вида
"ip nat inside source static tcp 192.168.0.5 25 interface FastEthernet0 25"?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco 1711 два провайдера на одном WAN (осн + рез)"  +/
Сообщение от klin email(ok) on 24-Июн-09, 17:40 
>>добавляешь еще НАТ
>>ip nat inside source list NAT interface vlan2 overload
>
>Так не получаеться - он заменяет
>"ip nat inside source list NAT interface FastEthernet0 overload "
>Как что-бы NAT с двумя интерфейсами работал. И что делать с перенправлениями
>портов вида
>"ip nat inside source static tcp 192.168.0.5 25 interface FastEthernet0 25"?

NAT с помощю route-map нужно описывать что б два одновременно работали

типа такого

route-map isp 1
match ip address 1
match int fa0

route-map isp 2
match ip address 1
match int vl 2

ip nat inside source route-map isp 1 interface fa0 overload
ip nat inside source route-map isp 2 interface Vlan 2 overload

access-list 1 permit 192.168.0.x 0.0.0.255

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco 1711 два провайдера на одном WAN (осн + рез)"  +/
Сообщение от tis43 (ok) on 26-Июн-09, 09:40 
>NAT с помощю route-map нужно описывать что б два одновременно работали

Хотелось-бы поочереди...
NAT, PAT разрулил:
!
ip nat inside source route-map ISP1 interface FastEthernet0 overload
ip nat inside source route-map ISP2 interface Vlan2 overload
ip nat inside source static tcp 192.168.0.12 25 60.50.22.50 25 route-map ISP1 extendable no-alias
ip nat inside source static tcp 192.168.0.12 25 10.0.0.2 25 route-map ISP2 extendable no-alias
!
route-map ISP1 permit 10
match ip address NAT
match interface FastEthernet0
!
route-map ISP2 permit 10
match ip address NAT_BackUp
match interface Vlan2
!
Получилось что PAT работает не зависимо от того какой сейчас канал используеться. Т.е. из вне 25-тый порт доступен и на основном и всегда на резервном канале. Хотелось-бы что-бы вход по 25-тому порту был доступен только когда не работает основной канал, а не всегда. Иначе постоянно имеем лишний трафик (Спам к примеру) на дорогом канале с пометровой оплатой. Можно как-то реализовать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Cisco 1711 два провайдера на одном WAN (осн + рез)"  +/
Сообщение от tis43 (ok) on 01-Июл-09, 20:53 
>Получилось что PAT работает не зависимо от того какой сейчас канал используеться.
>Т.е. из вне 25-тый порт доступен и на основном и всегда
>на резервном канале. Хотелось-бы что-бы вход по 25-тому порту был доступен
>только когда не работает основной канал, а не всегда. Иначе постоянно
>имеем лишний трафик (Спам к примеру) на дорогом канале с пометровой
>оплатой. Можно как-то реализовать?

Есть какие идеи? Можно всетаки как-то закрыть трансляции на ВХОД для второго канала при активном первом? Как-то к трэку основного канала привязать, роут мап динамический, acl или еще что...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Cisco 1711 два провайдера на одном WAN (осн + рез)"  +/
Сообщение от j_vw on 01-Июл-09, 22:21 
>>Получилось что PAT работает не зависимо от того какой сейчас канал используеться.
>>Т.е. из вне 25-тый порт доступен и на основном и всегда
>>на резервном канале.

У тебя ip local policy настроено?
Т.е. чтоб пакет уходил с того интерфейса, на который пришел.
IMHO, идея в том, чтобы УБРАТЬ route-map(PBR). Тогда пакеты будут уходить ТОЛЬКО по default роуту (который контролируется SLA).
Правда, пр и этом теряется возможность мониторить(подключиться к рутеру) с резервного интерфейса...Ну, или, можно это как то ACL разрулить....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Еще вариант"  +/
Сообщение от j_vw on 01-Июл-09, 23:21 
"Выкушено" отсюда:
http://www.cisco.com/en/US/docs/routers/access/800/860-880-8...

interface Cellular0
ip nat outside
ip virtual-reassembly

interface Vlan1
ip address 10.4.0.254 255.255.0.0
ip nat inside
ip virtual-reassembly

interface Dialer2
ip address negotiated
ip nat outside
ip virtual-reassembly

ip local policy route-map track-primary-if
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer2 track 234
ip route 0.0.0.0 0.0.0.0 Cellular0 254

ip nat inside source route-map nat2cell interface Cellular0 overload
ip nat inside source route-map nat2dsl interface Dialer2 overload
!        
ip sla 1
icmp-echo 209.131.36.158 source-interface Dialer2
timeout 1000
frequency 2
ip sla schedule 1 life forever start-time now

access-list 101 permit ip 10.4.0.0 0.0.255.255 any
access-list 102 permit icmp any host 209.131.36.158
access-list 103 permit ip host 166.136.225.89 128.107.0.0 0.0.255.255
access-list 103 permit ip host 75.40.113.246 128.107.0.0 0.0.255.255

route-map track-primary-if permit 10
match ip address 102
set interface Dialer2
!
route-map nat2dsl permit 10
match ip address 101
match interface Dialer2
!
route-map nat2cell permit 10
match ip address 101
match interface Cellular0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру