Уже долго пробую настроить, но не получается. Курю гугл....
Расскажите как это правильно делать?
Есть 3 провайдера, соответственно есть 3 субинтерфейса: gi0/0.40, gi0/0.55, gi0/0.77.
Сеть пользователей за субинтерфейсом gi0/1.1.
Надо сделать так, чтобы пакеты соответствующие acl40 шли через интерфейс gi0/0.40, соответствующие acl55 - шли на gi0/0.55, а всё остальное шло на gi0/0.77.
Да, всё при отправке должно НАТиться.Либо ткните носом туда, где это понятно расписано.
Заранее благодарен!)
> Да, всё при отправке должно НАТиться.
> Либо ткните носом туда, где это понятно расписано.
> Заранее благодарен!)Привет!
http://www.cisco.com/en/US/docs/ios/12_2/iproute/command/ref...Я так понимаю, что соответствующие acl уже созданы.
Кроме того у тебя также
int gi0/1.1
ip nat insideint gi 0/0.40
ip nat outsideint gi 0/0.55
ip nat outsideint gi 0/0.77
ip nat outsideДалее создаешь роут-мап. Это просто тн policy based routing.
Например тут http://blog.pluralsight.com/pbr-policy-based-routing
или тут http://www.cisco.com/en/US/docs/ios/12_2/qos/configuration/g...
или тут http://subnets.ru/blog/?p=479Что это значит - ты создаешь тн правила маршрутизаци (маршрутную карту), согласно которой будет осуществляться маршрутизация.
Попробуй например так:conf t
route-map DIFFERENT_ROUTE permit 10
match ip address acl acl40
set interface gi0/0.40route-map DIFFERENT_ROUTE permit 20
match ip address acl acl55
set interface gi0/0.55route-map DIFFERENT_ROUTE permit 30
match ip address acl acl77
set interface gi0/0.77route-map DIFFERENT_ROUTE permit 40
end
conf t
int gi0/1.1
ip policy route-map DIFFERENT_ROUTE
end
ЗЫ Я создал 40 правило так как вроде бы по умолчанию в route-map запрещено. Поэтому чтобы не резать остальной трафик, который не закрывается теми acl которые ты создал, создаем правило по умолчанию, которое ничего не делает с трафиком, а просто его разрешает.Вроде так. Не тестировал, возможны опечатки.
поправка
conf troute-map DIFFERENT_ROUTE permit 10
match ip address acl40
set interface gi0/0.40route-map DIFFERENT_ROUTE permit 20
match ip address acl55
set interface gi0/0.55route-map DIFFERENT_ROUTE permit 30
match ip address acl77
set interface gi0/0.77route-map DIFFERENT_ROUTE permit 40
>set interface - не есть хорошо, если это не dialer interfaceза подробностями почему - в гугл
здесь скорее всего провайдеры подключены по схеме IP Mask Gateway
set ip default next-hop надо использовать
и достаточно нужный трафик роут-мапом отправлять на двух провайдеров
а на Gateway третьего прописать маршрут по умолчаниюну и не забыть повесить роут-мап на gi0/1.1
>>set interface - не есть хорошо, если это не dialer interface
> за подробностями почему - в гугл
> здесь скорее всего провайдеры подключены по схеме IP Mask Gateway
> set ip default next-hop надо использовать
> и достаточно нужный трафик роут-мапом отправлять на двух провайдеров
> а на Gateway третьего прописать маршрут по умолчанию
> ну и не забыть повесить роут-мап на gi0/1.1Спасибо господа за ответы - буду пробовать.
Я делал так как у Нубби описано, за исключением последнего правила №40. А интерфейс прописывал как советует бен Бецалель - через set ip default next-hop.
Может дело в последнем правиле?Что получится - узнаем.
>[оверквотинг удален]
> end
> conf t
> int gi0/1.1
> ip policy route-map DIFFERENT_ROUTE
> end
> ЗЫ Я создал 40 правило так как вроде бы по
> умолчанию в route-map запрещено. Поэтому чтобы не резать остальной трафик, который
> не закрывается теми acl которые ты создал, создаем правило по умолчанию,
> которое ничего не делает с трафиком, а просто его разрешает.
> Вроде так. Не тестировал, возможны опечатки.Интересно на счет 40-го правила... Это реально работает или вы сами придумали? ))
Если оно просто разрешает, то куда трафик все-таки идет? По дефолтному маршруту или как?
Всё-таки не работает у меня route-map.Решил начать с нуля. Сбросил конфигурацию.
Создал субинтерфейсы к провайдерам: gi0/0.40, gi0/0.55, gi0/0.77 и gi0/1.1 в локалку.
Шлюзы провайдеров каждый в отдельности пингуется, если пропишу шлюз по умолчанию на любого из провайдеров - роутинг через него работает.
Но как только прописал route-map - не работает ничего!
Наверняка что-то неправильно делаю, знать бы что именно...
Вот конфиг:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname main-gw
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
clock timezone NOVST 7
!
dot11 syslog
ip source-route
ip cef
!
!
!
!
ip domain name xxxxxx.ru
ip name-server 8.8.8.8
ip name-server 8.8.4.4
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
voice-card 0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username xxx privilege 15 secret 5 ___________________________________
archive
log config
hidekeys
!
!
!
!
!
ip ssh version 2
!
!
!
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/0.40
description ISP40
encapsulation dot1Q 40
ip address 40.40.40.18 255.255.255.0
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/0.55
description ISP55
encapsulation dot1Q 55
ip address 55.55.55.190 255.255.255.252
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/0.77
description ISP77
encapsulation dot1Q 77
ip address 77.77.77.147 255.255.255.0
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.1
description LAN
encapsulation dot1Q 1 native
ip address 10.10.10.2 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map INET_OUT
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
!
ip access-list extended TO_ISP40
permit ip 10.10.10.0 0.0.0.255 40.40.40.0 0.0.3.255
ip access-list extended TO_ISP55
permit ip 10.10.10.0 0.0.0.255 55.55.55.0 0.0.0.255
!
!
!
!
!
route-map INET_OUT permit 10
match ip address TO_ISP40
set ip default next-hop 40.40.40.1
!
route-map INET_OUT permit 20
match ip address TO_ISP55
set ip default next-hop 55.55.55.189
!
route-map INET_OUT permit 30
set ip default next-hop 77.77.77.1
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input ssh
transport output telnet ssh
line vty 5 15
privilege level 15
transport input ssh
transport output telnet ssh
!
scheduler allocate 20000 1000
end
Сам нашёл ошибку :)
Забыл прописать:
ip nat inside source list LAN_INET_OUT interface gi0/0.77 overloadLAN_INET_OUT - acl для локальных адресов к любому хосту Инета.
И всё заработало!
Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или я создал себе какие-то проблемы в будущем?
> Сам нашёл ошибку :)
> Забыл прописать:
> ip nat inside source list LAN_INET_OUT interface gi0/0.77 overloadа где НАТ для остальных провайдеров?
и в этих НАТах нужно будет тоже роут-мап использовать> И всё заработало!
> Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или
> я создал себе какие-то проблемы в будущем?Зависит от толщины канала. У тебя process-switched это все будет, и при более-менее серьезной наргузке все умрет.
>> Сам нашёл ошибку :)
>> Забыл прописать:
>> ip nat inside source list LAN_INET_OUT interface gi0/0.77 overload
> а где НАТ для остальных провайдеров?
> и в этих НАТах нужно будет тоже роут-мап использовать
>> И всё заработало!
>> Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или
>> я создал себе какие-то проблемы в будущем?
> Зависит от толщины канала. У тебя process-switched это все будет, и при
> более-менее серьезной наргузке все умрет.А как лучше сделать, чтобы при серьёзной нагрузке всё оставалось живо?
>[оверквотинг удален]
>>> Забыл прописать:
>>> ip nat inside source list LAN_INET_OUT interface gi0/0.77 overload
>> а где НАТ для остальных провайдеров?
>> и в этих НАТах нужно будет тоже роут-мап использовать
>>> И всё заработало!
>>> Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или
>>> я создал себе какие-то проблемы в будущем?
>> Зависит от толщины канала. У тебя process-switched это все будет, и при
>> более-менее серьезной наргузке все умрет.
> А как лучше сделать, чтобы при серьёзной нагрузке всё оставалось живо?Это вечная проблема цисководов - одна локалка и куча интернетов. Проще всего решается Линуксом или Бсдёй.
Если хочется на циске, то придется перекроить сеть, чтобы разные группы пользователей были в разных сегментах (суть VLAN), и у этих сегментов были свои, отдельные шлюзы в интернет. Для этого нужен не один роутер, а несколько. Еще есть вариант попилить роутер на виртуальные с помощью VRF, если IOS поддерживает, но это тоже приключение не для начинающего.
Другие варианты связаны с пересмотром своих пожеланий:
- один канал основной, второй резервный, реализуется с помощью ip sla и track
- один канал основной, воторой для всяких туннелей (если есть такая необходимость вообще)
- один канал основной, второй для доступа к определенным северам, статическая маршрутизация
- несколько каналов равнозначны и наргузка делится поровну (с помощью CEF), ip sla и track используются для отсекания неработающих
- почти также как предыдущий вариант, только с использованием BGP. Для этого нужно содействие операторов как минимум. Ну и тоже не для начинающих.Вот ИМХО и все варианты.
[поскипано]
>[оверквотинг удален]
> - один канал основной, второй резервный, реализуется с помощью ip sla и
> track
> - один канал основной, воторой для всяких туннелей (если есть такая необходимость
> вообще)
> - один канал основной, второй для доступа к определенным северам, статическая маршрутизация
> - несколько каналов равнозначны и наргузка делится поровну (с помощью CEF), ip
> sla и track используются для отсекания неработающих
> - почти также как предыдущий вариант, только с использованием BGP. Для этого
> нужно содействие операторов как минимум. Ну и тоже не для начинающих.
> Вот ИМХО и все варианты.Спасибо!
Направления видны...
В итоге хочется использовать BGP, для надёжности. Реализовать в пределах циски, опять же для надёжности...
Буду копать дальше :)Господа, всем ответившим - спасибо и удачи.
ТС