URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12229
[ Назад ]
Исходное сообщение
"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Антон , 12-Дек-06 21:13 
Здравствуйте,

у Cisco 1811 есть два WAN интерфейса. К fe0, соответственно, подключен канал от одного провайдера со статическим ip-адресом, к fe1 - другой со статическим IP. Хотелось-бы настроить конфигурацию таким образом, чтобы fe0 рассматривался как "основной", а fe1 - как "дополнительный", и трафик через него шел только при отказе fe0.

Отказ fe0, конечно, нужно "мониторить" не через физическое отключение интерфейсного кабеля (line protocol down), а, например, нужно отслеживать "доступность" некоего хоста в Интернет именно через fe0.

Соотвественно, NAT должен работать таким же образом: в случае "отказа" fe0 чтобы трафик NAT-ился через другой.

Пожалуйста, помогите с конфигурацией.

Заранее признателен,
Антон

Содержание
Сообщения в этом обсуждении
"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Vlad , 13-Дек-06 07:45 
PBR
"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Антон , 13-Дек-06 09:24 
>PBR


А в PBR можно отслеживать доступность хоста именно через определенный интерфейс?

"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено gj , 15-Дек-06 20:19 
>>PBR
>
>
>А в PBR можно отслеживать доступность хоста именно через определенный интерфейс?

tracking

"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено EtherDen , 17-Дек-06 00:06 
Лично у меня так и не получилось, настроить 1811 на полный автоном... сделал так:

!
ip cef
!
ip sla 1
icmp-echo х.х.х.209 (шлюз провайдера 1)
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo у.у.у.193 (шлюз провайдера 2)
ip sla schedule 2 life forever start-time now
!
!
track 123 rtr 1 reachability
!
track 124 rtr 2 reachability
!
interface FastEthernet0
ip address х.х.х.211 255.255.255.х
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet1
ip address у.у.у.196 255.255.255.у
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.0.z 255.255.255.0
ip nat inside
ip virtual-reassembly
!
ip classless
ip route 0.0.0.0 0.0.0.0 х.х.х.209 10 track 123
ip route 0.0.0.0 0.0.0.0 у.у.у.193 20 track 124
!
ip nat inside source route-map ISP1-NAT interface FastEthernet0 overload
ip nat inside source route-map ISP2-NAT interface FastEthernet1 overload
!
ip access-list standard locallan
permit 192.168.0.0 0.0.0.255
!
!
route-map ISP1-NAT permit 10
match ip address locallan
match interface FastEthernet0
!
route-map ISP2-NAT permit 10
match ip address locallan
match interface FastEthernet1
!
end

Вобщем для полного счастья надо PI сетку, и нумер AS, а это стоит денех...вот...

"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Shod , 18-Дек-06 07:45 
http://www.cisco.com/en/US/products/ps6350/products_configur...
"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Антон , 18-Дек-06 12:29 
А так NAT fail-over работать отказывается. Один route-map назначает next-hop

set ip next-hop verify-availability 10.1.1.1 10 track 123


А второй должен его проверять, чтобы NAT-илось через правильный интерфейс

route-map NAT_ISP1

"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Антон , 18-Дек-06 12:34 
Не окончил сообщение..

Так вот:

А так NAT fail-over работать отказывается. Например, пишем route-map, который назначает next-hop-ы

route-map alpha

set ip next-hop verify-availability 10.1.1.1 10 track 123
set ip next-hop verify-availability 10.2.2.2 20 track 124


А "вторые" route-map-ы должны его проверять, чтобы NAT-илось через правильный интерфейс

ip nat inside source route-map ISP1-NAT interface FastEthernet0 overload
ip nat inside source route-map ISP2-NAT interface FastEthernet1 overload
!
ip access-list standard locallan
permit 192.168.0.0 0.0.0.255
!
!
route-map ISP1-NAT permit 10
match ip address locallan
match interface FastEthernet0
!
route-map ISP2-NAT permit 10
match ip address locallan
match interface FastEthernet1

Так вот у меня так не получилось. Видимо, дело в порядке обработки этих карт. Карты NAT-а отрабатывют, когда еще карта alpha не назначила next-hop

У меня получилось только как у товарища в предыдущем посте
ip route 0.0.0.0 0.0.0.0 х.х.х.209 10 track 123
ip route 0.0.0.0 0.0.0.0 у.у.у.193 20 track 124


Спасибо,
Антон

"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Антон , 18-Дек-06 12:26 
ОК,

а тогда что значит "настроить 1811 на полный автоном"? По твоему конфигу роутер будет отслеживать доступность шлюзов-по-умолчанию от двух провайдеров, соответственно, в случае "поломки" "основного" будет задействован "резервный" канал, NAT также будет работать через "основного" или через "резервного". Т.е. думаю, что вполне можно говорить именно о "полном автономе".

Спасибо,
Антон

"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено EtherDen , 19-Дек-06 00:12 
Для меня "полный автоном" - когда я сплю ночью, и на работе :), а в данном случае у меня зачастую бывает так, что оба шлюза провайдера доступны, а инета нет! ибо обрыв где-то через два хопа после шлюза прова...

"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Антон , 19-Дек-06 01:57 
Так а собственно... что мешает контролировать доступность именно "нужного" хоста через определенный интерфейс, подключенный через определенного провайдера? А если оба провайдера одновременно отказывают в доступе к определенному "нужному" хосту, то одно из двух: а) проблема у "нужного" хоста б) провайдеры зависят друг от друга


"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Shod , 19-Дек-06 09:54 
>Для меня "полный автоном" - когда я сплю ночью, и на работе
>:), а в данном случае у меня зачастую бывает так, что
>оба шлюза провайдера доступны, а инета нет! ибо обрыв где-то через
>два хопа после шлюза прова...

ну пропиши 2 статика для двух удаленных хостов, один через 1ый интерфейс, другой соответственно ...

"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Антон , 19-Дек-06 12:10 
>ну пропиши 2 статика для двух удаленных хостов, один через 1ый интерфейс,
>другой соответственно ...


Боюсь, что я не понял мысль. Статический маршрут - он на то и статический... И даже в случае отказа канала одного из провайдеров пакеты будут туда ломиться по статическому маршруту...

"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено Shod , 19-Дек-06 12:19 
>>ну пропиши 2 статика для двух удаленных хостов, один через 1ый интерфейс,
>>другой соответственно ...
>
>Боюсь, что я не понял мысль. Статический маршрут - он на то
>и статический... И даже в случае отказа канала одного из провайдеров
>пакеты будут туда ломиться по статическому маршруту...

вопервых статика работать будет только для самого роутера
поскольку весь рабочий траффик у вас идет по роут-мапу, статик там не сработает
а так пропишите статический маршрут 1го только хоста, по маске 255.255.255.255
к примеру какогонибудь роутера дальше по маршруту
никто кроме вашего трекинга туда ломится не будет никогда

"Cisco 1811 NAT failover при помощи двух WAN интерфейсов"
Отправлено fantomaty123 , 31-Авг-10 13:18 
Продажа различного оборудования фирмы Cisco, подробнее можно узнать:
ICQ: 598294638; 567623046; 563397602;
тел.: (812) 325-92-30
http://it-1.ru