URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 12979
[ Назад ]

Исходное сообщение
"Два провайдера ня Cisco 7206 VXR + ДМЗ"

Отправлено lon , 05-Мрт-07 20:44 
Здрасте все!
Столкнулся со следующей ситуацией:
Имеем офис воткнутый в один Ethernet порт циски, ДМЗ в другой Ethernet порт.
И провайдер висящий на одном Serial порту.
Сейчас меняем провайдера и необходимо изменить конфигурацию циски + Весь ДМЗ перевести на новые IP.
Дабы сделать это постепенно, хочу сначала пустить локальных пользователей через нового провайдера, а ДМЗ оставить на старом (Дабы НС сервак пока не перенастраивать), а потом уже взяться и за IP-шники ДМЗ..
Перечитал кучу литературы, к примеру на этом сайте есть подобный пример http://web.opennet.ru/base/cisco/2isp_link.txt.html, но никак не пойму место:
ip route 0.0.0.0 0.0.0.0 192.168.0.5
ip route 0.0.0.0 0.0.0.0 192.168.0.9
Как циска понимает кого и куда отправлять, у меня при добавлении в этом месте второго провайдера все начинает идти через него и сразу возникают проблемы с ДНС.
Конфиг:
!
interface FastEthernet0/0
ip address 192.168.3.3 255.255.255.0 secondary
ip address 192.168.0.1 255.255.255.0
ip access-group 2 in
ip accounting output-packets
ip nat inside
exceed-action drop
no ip mroute-cache
duplex auto
speed 100
traffic-shape group 112 256000 8000 8000 1000
!
interface FastEthernet0/1
ip address 213.189.x.x 255.255.x.x
ip access-group 101 in
ip accounting output-packets
no ip mroute-cache
duplex auto
speed 100
!
interface Serial1/0:0
ip address 62.117.y.y 255.255.y.y
ip access-group 118 in
ip access-group 119 out
ip nat outside
!
interface Serial1/1:0
ip address 213.189.x1.x1 255.255.x1.x1
ip access-group 108 in
ip access-group 109 out
ip nat outside
crypto map clientmap
!

ip nat pool zenon-space 213.189.x1.x1 213.189.x1.x1 netmask 255.255.x1.x1
ip nat pool comcor-space 62.117.y.y 62.117.y.y netmask 255.255.y.y

ip nat inside source route-map comcor-map pool comcor-space overload
ip nat inside source route-map zenon-map pool zenon-space overload
ip classless
ip route 0.0.0.0 0.0.0.0 213.189.x3.x3
ip route 62.117.y.y 255.255.255.255 Serial1/0:0
ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0

access-list 1 permit 192.168.0.0 0.0.0.255
access-list 1 permit 213.189.x.x 0.0.x.x
access-list 1 deny   any log

access-list 3 permit 192.168.0.9
access-list 3 permit 192.168.0.11
access-list 3 permit 192.168.0.12
access-list 3 permit 192.168.0.5
access-list 3 permit 192.168.0.16
access-list 3 permit 192.168.0.214
access-list 3 deny   any log
!
route-map zenon-map permit 20
match ip address 1
match interface Serial1/1:0
set default interface Serial1/1:0
!
route-map comcor-map permit 20
match ip address 3
match interface Serial1/0:0
set default interface Serial1/0:0

Если добавляю ip route 0.0.0.0 0.0.0.0 62.117.y.y - все начинает идти через нового провайдера, и соответственно падает ДНС.
Господа профы, скажите плз. где затупил!!
Чувствую, что ответ где-то на поверхности, но не хватает теории элементарной!

PS: новый провайдер - comcor :)


Содержание

Сообщения в этом обсуждении
"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено Изгой , 06-Мрт-07 09:17 
>Здрасте все!
>Столкнулся со следующей ситуацией:
>Имеем офис воткнутый в один Ethernet порт циски, ДМЗ в другой Ethernet
>порт.
>И провайдер висящий на одном Serial порту.
>Сейчас меняем провайдера и необходимо изменить конфигурацию циски + Весь ДМЗ перевести
>на новые IP.
>Дабы сделать это постепенно, хочу сначала пустить локальных пользователей через нового провайдера,
>а ДМЗ оставить на старом (Дабы НС сервак пока не перенастраивать),
>а потом уже взяться и за IP-шники ДМЗ..
>Перечитал кучу литературы, к примеру на этом сайте есть подобный пример http://web.opennet.ru/base/cisco/2isp_link.txt.html,
>но никак не пойму место:
>ip route 0.0.0.0 0.0.0.0 192.168.0.5
>ip route 0.0.0.0 0.0.0.0 192.168.0.9
>Как циска понимает кого и куда отправлять, у меня при добавлении в
>этом месте второго провайдера все начинает идти через него и сразу
>возникают проблемы с ДНС.
>Конфиг:
>!
>interface FastEthernet0/0
> ip address 192.168.3.3 255.255.255.0 secondary
> ip address 192.168.0.1 255.255.255.0
> ip access-group 2 in
> ip accounting output-packets
> ip nat inside
> exceed-action drop
> no ip mroute-cache
> duplex auto
> speed 100
> traffic-shape group 112 256000 8000 8000 1000
>!
>interface FastEthernet0/1
> ip address 213.189.x.x 255.255.x.x
> ip access-group 101 in
> ip accounting output-packets
> no ip mroute-cache
> duplex auto
> speed 100
>!
>interface Serial1/0:0
> ip address 62.117.y.y 255.255.y.y
> ip access-group 118 in
> ip access-group 119 out
> ip nat outside
>!
>interface Serial1/1:0
> ip address 213.189.x1.x1 255.255.x1.x1
> ip access-group 108 in
> ip access-group 109 out
> ip nat outside
> crypto map clientmap
>!
>
>ip nat pool zenon-space 213.189.x1.x1 213.189.x1.x1 netmask 255.255.x1.x1
>ip nat pool comcor-space 62.117.y.y 62.117.y.y netmask 255.255.y.y
>
>ip nat inside source route-map comcor-map pool comcor-space overload
>ip nat inside source route-map zenon-map pool zenon-space overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 213.189.x3.x3
>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>
>access-list 1 permit 192.168.0.0 0.0.0.255
>access-list 1 permit 213.189.x.x 0.0.x.x
>access-list 1 deny   any log
>
>access-list 3 permit 192.168.0.9
>access-list 3 permit 192.168.0.11
>access-list 3 permit 192.168.0.12
>access-list 3 permit 192.168.0.5
>access-list 3 permit 192.168.0.16
>access-list 3 permit 192.168.0.214
>access-list 3 deny   any log
>!
>route-map zenon-map permit 20
> match ip address 1
> match interface Serial1/1:0
> set default interface Serial1/1:0
>!
>route-map comcor-map permit 20
> match ip address 3
> match interface Serial1/0:0
> set default interface Serial1/0:0
>
>Если добавляю ip route 0.0.0.0 0.0.0.0 62.117.y.y - все начинает идти через
>нового провайдера, и соответственно падает ДНС.
>Господа профы, скажите плз. где затупил!!
>Чувствую, что ответ где-то на поверхности, но не хватает теории элементарной!
>
>PS: новый провайдер - comcor :)

ip route 62.117.y.y 255.255.255.255 Serial1/0:0
ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
вот эти записи зачем ??  у вас что то не работает с 0.0.0.0.0  за хоп первый пров
0.0.0.0. за хоп 2 пров ?


"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено Изгой , 06-Мрт-07 11:29 
>>Здрасте все!
>>Столкнулся со следующей ситуацией:
>>Имеем офис воткнутый в один Ethernet порт циски, ДМЗ в другой Ethernet
>>порт.
>>И провайдер висящий на одном Serial порту.
>>Сейчас меняем провайдера и необходимо изменить конфигурацию циски + Весь ДМЗ перевести
>>на новые IP.
>>Дабы сделать это постепенно, хочу сначала пустить локальных пользователей через нового провайдера,
>>а ДМЗ оставить на старом (Дабы НС сервак пока не перенастраивать),
>>а потом уже взяться и за IP-шники ДМЗ..
>>Перечитал кучу литературы, к примеру на этом сайте есть подобный пример http://web.opennet.ru/base/cisco/2isp_link.txt.html,
>>но никак не пойму место:
>>ip route 0.0.0.0 0.0.0.0 192.168.0.5
>>ip route 0.0.0.0 0.0.0.0 192.168.0.9
>>Как циска понимает кого и куда отправлять, у меня при добавлении в
>>этом месте второго провайдера все начинает идти через него и сразу
>>возникают проблемы с ДНС.
>>Конфиг:
>>!
>>interface FastEthernet0/0
>> ip address 192.168.3.3 255.255.255.0 secondary
>> ip address 192.168.0.1 255.255.255.0
>> ip access-group 2 in
>> ip accounting output-packets
>> ip nat inside
>> exceed-action drop
>> no ip mroute-cache
>> duplex auto
>> speed 100
>> traffic-shape group 112 256000 8000 8000 1000
>>!
>>interface FastEthernet0/1
>> ip address 213.189.x.x 255.255.x.x
>> ip access-group 101 in
>> ip accounting output-packets
>> no ip mroute-cache
>> duplex auto
>> speed 100
>>!
>>interface Serial1/0:0
>> ip address 62.117.y.y 255.255.y.y
>> ip access-group 118 in
>> ip access-group 119 out
>> ip nat outside
>>!
>>interface Serial1/1:0
>> ip address 213.189.x1.x1 255.255.x1.x1
>> ip access-group 108 in
>> ip access-group 109 out
>> ip nat outside
>> crypto map clientmap
>>!
>>
>>ip nat pool zenon-space 213.189.x1.x1 213.189.x1.x1 netmask 255.255.x1.x1
>>ip nat pool comcor-space 62.117.y.y 62.117.y.y netmask 255.255.y.y
>>
>>ip nat inside source route-map comcor-map pool comcor-space overload
>>ip nat inside source route-map zenon-map pool zenon-space overload
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 213.189.x3.x3
>>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>>
>>access-list 1 permit 192.168.0.0 0.0.0.255
>>access-list 1 permit 213.189.x.x 0.0.x.x
>>access-list 1 deny   any log
>>
>>access-list 3 permit 192.168.0.9
>>access-list 3 permit 192.168.0.11
>>access-list 3 permit 192.168.0.12
>>access-list 3 permit 192.168.0.5
>>access-list 3 permit 192.168.0.16
>>access-list 3 permit 192.168.0.214
>>access-list 3 deny   any log
>>!
>>route-map zenon-map permit 20
>> match ip address 1
>> match interface Serial1/1:0
>> set default interface Serial1/1:0
>>!
>>route-map comcor-map permit 20
>> match ip address 3
>> match interface Serial1/0:0
>> set default interface Serial1/0:0
>>
>>Если добавляю ip route 0.0.0.0 0.0.0.0 62.117.y.y - все начинает идти через
>>нового провайдера, и соответственно падает ДНС.
>>Господа профы, скажите плз. где затупил!!
>>Чувствую, что ответ где-то на поверхности, но не хватает теории элементарной!
>>
>>PS: новый провайдер - comcor :)
>
>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>вот эти записи зачем ??  у вас что то не работает
>с 0.0.0.0.0  за хоп первый пров
>0.0.0.0. за хоп 2 пров ?

Да и обратите внимание на акцесс листы  для мапов , что то там не то ?? или так кажеться , то есть в первом мапе вы разрешаете ходить >>access-list 1 permit 192.168.0.0 0.0.0.255 куда входят access-list 3 permit 192.168.0.9
>>access-list 3 permit 192.168.0.11
>>access-list 3 permit 192.168.0.12
>>access-list 3 permit 192.168.0.5
>>access-list 3 permit 192.168.0.16
>>access-list 3 permit 192.168.0.214
Почему же этот мап не должен их заворачивать ?
то есть и тот мап и этот мап их заворачивает.? кто первей того и тапки ?


"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено lon , 06-Мрт-07 13:07 
>Да и обратите внимание на акцесс листы  для мапов , что то там не то ?? или так кажеться , то есть в первом мапе вы разрешаете ходить >>access-list 1 permit 192.168.0.0 0.0.0.255 куда входят access-list 3 permit 192.168.0.9
>>>access-list 3 permit 192.168.0.11
>>>access-list 3 permit 192.168.0.12
>>>access-list 3 permit 192.168.0.5
>>>access-list 3 permit 192.168.0.16
>>>access-list 3 permit 192.168.0.214
>Почему же этот мап не должен их заворачивать ?
>то есть и тот мап и этот мап их заворачивает.? кто первей
>того и тапки ?

Да... тут тема ясна, в результате хочу убрать access-list 1 permit 192.168.0.0 0.0.0.255. Хотя сегодня поэкспериментирую с этим. Вот тока проблема как раз не в локальной сети, а в ДМЗ, а она правильно прописана.



"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено lon , 06-Мрт-07 13:02 
>
>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>вот эти записи зачем ??  у вас что то не работает
>с 0.0.0.0.0  за хоп первый пров
>0.0.0.0. за хоп 2 пров ?

В данном месте происходит роутинг на маршрутизатор провайдера, находящийся за циской. Т.е. 213.189.x3.x3 - это как раз он. Т.е. все пакеты 0.0.0.0 0.0.0.0 я роучу на него, а потом указываю за каким портом он стоит. Это было изначально так. С новым провайдером делал все по аналогии, просто в конфиге пока не добавил строку с 0.0.0.0, т.к. все начинает работать сразу через новый маршрут.
Да... а можно по подробнее про хоп, так и не понял что это. Может по этому и не могу понять всю схему полностью?


"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено Изгой , 06-Мрт-07 14:15 
>>
>>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>>вот эти записи зачем ??  у вас что то не работает
>>с 0.0.0.0.0  за хоп первый пров
>>0.0.0.0. за хоп 2 пров ?
>
>В данном месте происходит роутинг на маршрутизатор провайдера, находящийся за циской. Т.е.
>213.189.x3.x3 - это как раз он. Т.е. все пакеты 0.0.0.0 0.0.0.0
>я роучу на него, а потом указываю за каким портом он
>стоит. Это было изначально так. С новым провайдером делал все по
>аналогии, просто в конфиге пока не добавил строку с 0.0.0.0, т.к.
>все начинает работать сразу через новый маршрут.
>Да... а можно по подробнее про хоп, так и не понял что
>это. Может по этому и не могу понять всю схему полностью?
>
ip route 62.117.y.y 255.255.255.255 Serial1/0:0
ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
Это адреса следующего хопа , т е адреса ваших провайдеров , так ??
у вас есть интерфейсы к примеру 1.2.3.4.5 и т.д  все подсети прописанные на данных интерфейсах считаються присоеденёнными и маршруты к ним прописывать ненадо ,  и если у вас тупиковый роутер то можно прописывать только ссылаясь на следующий хоп , что типа за таким интерфейсом находяться подсети такие то .ТО есть  0.0.0.0 0.0.0.0 хоп провайдера
означает что все неизвестные подсети находяться за интерфейсом провайдера - кроме присоедененных подсетей к вашему маршрутизатору , и их прописывать не надо.Ух трудно так , может сумбурно накатал , если же у вас внутри есть ещё подсети отличные от присоединнённых тогда их надо тоже прописать на маршрутизаторе.



"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено lon , 06-Мрт-07 16:23 
>>
>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>Это адреса следующего хопа , т е адреса ваших провайдеров , так
>??
> у вас есть интерфейсы к примеру 1.2.3.4.5 и т.д  все
>подсети прописанные на данных интерфейсах считаються присоеденёнными и маршруты к ним
>прописывать ненадо ,  и если у вас тупиковый роутер то
>можно прописывать только ссылаясь на следующий хоп , что типа за
>таким интерфейсом находяться подсети такие то .ТО есть  0.0.0.0 0.0.0.0
>хоп провайдера
>означает что все неизвестные подсети находяться за интерфейсом провайдера - кроме присоедененных
>подсетей к вашему маршрутизатору , и их прописывать не надо.Ух трудно
>так , может сумбурно накатал , если же у вас внутри
>есть ещё подсети отличные от присоединнённых тогда их надо тоже прописать
>на маршрутизаторе.

Вроде в общих частях разобрался, осталось видимо собрать все мысли воедино. К примеру я из локальной сети пингую внешний IP, как заработает логика циски?
первое что сработает это
route-map comcor-map permit 20
match ip address 3
match interface Serial1/0:0
т.к. пакет пришел, к примеру с 192.168.0.5 и дальше пакет уйдет на серийник?
Или все-таки в зависимости от точки назначения будут выбраны правила ip route и соответствующий путь... вот тут у меня самый большой затык!


"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено lon , 06-Мрт-07 19:39 
Или задам вопрос проще.. есть два маршрута
ip route 0.0.0.0 0.0.0.0 213.189.x.x
ip route 0.0.0.0 0.0.0.0 62.117.y.y
Т.е. адреса маршрутизаторов провайдера, в зависимости от чего будет применяться тот или иной путь?

"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено Изгой , 07-Мрт-07 08:42 
>Или задам вопрос проще.. есть два маршрута
>ip route 0.0.0.0 0.0.0.0 213.189.x.x
>ip route 0.0.0.0 0.0.0.0 62.117.y.y
>Т.е. адреса маршрутизаторов провайдера, в зависимости от чего будет применяться тот или
>иной путь?


В данном случае ( без нат ) если весь трафик проходит через процесс свичинг , пакеты будут распределяться равномерно , один туда другой сюда , ( по крайней мере так пишут в умных книжках). Так как оба маршрута имеют одинаковую стоимость . Но всё это происходит по другому когда применяеться фаст свичинг , и тем более когда работает PAT на два интерфейса. Без NAT и PAT при применение коммутации CEF возможно равномерное распределение трафика практически без потерь производительности для маршрутизатора , ну опять же идеального балансинга врят ли получиться .
У вас случай с PAT  тут будут приеняться политика примерно такая как при Фаст Свичнге , то есть пройдя первый раз через выходной интерфейс (пакет) кешируеться и весь поток идёт через данный интерфейс, поэтому применяються роут мапы на PAT (NAT), чтоб разделять по правилу какой трафик и на какой интерфейс нужно завернуть.


"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено lon , 13-Мрт-07 13:12 
Большое спасибо за развернутые ответы, но сколько не дергал конфиг однозначно все идет через новый маршрут, вне зависимости от роутмапов. Думаю, перегоню все на нового провайдера одним хлопом, но просто любопытно где же затык! Вот мои роутмапы текущие... вроде там все предельно просто:
!
route-map zenon-map permit 20
match ip address 1
match interface Serial1/1:0
set default interface Serial1/1:0
!
route-map comcor-map permit 20
match ip address 3
match interface Serial1/0:0
set default interface Serial1/0:0
!

ACL1 - для одной подсети, 3 - для другой соответственно..
Или RM-пы правильные?


"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено fantom , 13-Мрт-07 13:30 
>Большое спасибо за развернутые ответы, но сколько не дергал конфиг однозначно все
>идет через новый маршрут, вне зависимости от роутмапов. Думаю, перегоню все
>на нового провайдера одним хлопом, но просто любопытно где же затык!
>Вот мои роутмапы текущие... вроде там все предельно просто:
>!
>route-map zenon-map permit 20
> match ip address 1
> match interface Serial1/1:0
> set default interface Serial1/1:0
>!
>route-map comcor-map permit 20
> match ip address 3
> match interface Serial1/0:0
> set default interface Serial1/0:0
>!
>
>ACL1 - для одной подсети, 3 - для другой соответственно..
>Или RM-пы правильные?

А вы их на интерфейсы повесили?


"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено lon , 13-Мрт-07 16:54 
>
>А вы их на интерфейсы повесили?

ВОТ!!!
Точно, этого-то я и не знал! Спасибец, все заработало!!


"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Отправлено kravt , 15-Апр-07 12:21 
>>
>>А вы их на интерфейсы повесили?
>
>ВОТ!!!
>Точно, этого-то я и не знал! Спасибец, все заработало!!


А ip route 0.0.0.0 0.0.0.0 ...  ты убрал или оставил?