URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1313
[ Назад ]

Исходное сообщение
"Доступ к Cisco через 2 ISP"
Отправлено ghool , 15-Апр-14 16:10

Ещё одна сторона старого вопроса.
Есть Cisco 1841 (iOS 15), к ней подключены два провайдера и локалка.
Если первый канал падает - переключаемся на второй. Оживает - вовращаемся.
А вот как сделать, что бы сама Cisco была доступна через оба канала постоянно?
FastEthernet 0/0 (1.2.3.4/30) - ISP1
FastEthernet 0/0.2 (10.0.0.10/24) - ISP2 (Yota даёт внешний айпи вот таким образом, но если она становится основным каналом - всё пашет, даже VPN-ы.
Снаружи USB-модем виден по йотовскому внешнему IP, а внутрь даёт 10.0.0.10 и шлюз 10.0.0.1)
FastEthernet 0/1 (192.168.25.1/24) - LAN
Пытался делать так:
Cisco(config)#ip access-list extended acl_from_Yota
Cisco(config-ext-nacl)#permit ip host 10.0.0.10 any
Cisco(config-ext-nacl)# route-map map_to_Yota permit 10
Cisco(config-route-map)#match ip address acl_from_Yota
Cisco(config-route-map)#set ip nex-hop 10.0.0.1
Cisco(config-route-map)#int fa 0/0.2
Cisco(config-if)#ip policy route-map map_to_Yota

Но
Cisco #ping 8.8.8.8 source fastEthernet 0/0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.10
.....
Success rate is 0 percent (0/5)

ЧЯДНТ?

Содержание

Доступ к Cisco через 2 ISP,Алексей, 18:27 , 15-Апр-14
- Доступ к Cisco через 2 ISP,ShyLion, 20:59 , 15-Апр-14
Доступ к Cisco через 2 ISP,ShyLion, 20:58 , 15-Апр-14
- Доступ к Cisco через 2 ISP,ghool, 23:38 , 15-Апр-14
  - Доступ к Cisco через 2 ISP,ShyLion, 06:54 , 16-Апр-14
    - Доступ к Cisco через 2 ISP,ghool, 16:56 , 16-Апр-14
      - Доступ к Cisco через 2 ISP,AlexDv, 02:01 , 17-Апр-14
      - Доступ к Cisco через 2 ISP,ShyLion, 08:55 , 17-Апр-14
        
        Доступ к Cisco через 2 ISP,ghool, 13:21 , 17-Апр-14
        
        Доступ к Cisco через 2 ISP,ShyLion, 13:59 , 17-Апр-14
Доступ к Cisco через 2 ISP,asx, 05:53 , 17-Апр-14

Сообщения в этом обсуждении

"Доступ к Cisco через 2 ISP"
Отправлено Алексей , 15-Апр-14 18:27

> Но
> Cisco #ping 8.8.8.8 source fastEthernet 0/0.2
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
> Packet sent with a source address of 10.0.0.10
> .....
> Success rate is 0 percent (0/5)
Железка SLA поддерживает?

"Доступ к Cisco через 2 ISP"
Отправлено ShyLion , 15-Апр-14 20:59

>> Но
>> Cisco #ping 8.8.8.8 source fastEthernet 0/0.2
>> Type escape sequence to abort.
>> Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
>> Packet sent with a source address of 10.0.0.10
>> .....
>> Success rate is 0 percent (0/5)
> Железка SLA поддерживает?
Это тут не при чем

"Доступ к Cisco через 2 ISP"
Отправлено ShyLion , 15-Апр-14 20:58

>[оверквотинг удален]
> Cisco(config-route-map)#set ip nex-hop 10.0.0.1
> Cisco(config-route-map)#int fa 0/0.2
> Cisco(config-if)#ip policy route-map map_to_Yota
> Но
> Cisco #ping 8.8.8.8 source fastEthernet 0/0.2
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
> Packet sent with a source address of 10.0.0.10
> .....
> Success rate is 0 percent (0/5)
Ip local policy ....
> ЧЯДНТ?
На интерфейсе полиси убрать

"Доступ к Cisco через 2 ISP"
Отправлено ghool , 15-Апр-14 23:38

> На интерфейсе полиси убрать
Не помогло
Причём:
Cisco (config)#ip route 8.8.4.4 255.255.255.255 10.0.0.1
Cisco #ping 8.8.4.4 source fastEthernet 0/0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.4.4, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.10
!!!!!
НО
Cisco #ping 8.8.8.8 source fastEthernet 0/0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.10
.....
Success rate is 0 percent (0/5)
Дело не в полиси на интерфейсе.
Или не только в этом...

"Доступ к Cisco через 2 ISP"
Отправлено ShyLion , 16-Апр-14 06:54

>> На интерфейсе полиси убрать
> Не помогло
Это было не основное.
Основное: ip local policy ...

"Доступ к Cisco через 2 ISP"
Отправлено ghool , 16-Апр-14 16:56

>>> На интерфейсе полиси убрать
>> Не помогло
> Это было не основное.
> Основное: ip local policy ...
Ага!
Спасибо, убрал Policy с интерфейса, добавил как local.
Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP не получается всё равно.
Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого интерфейса надо отправлять обратно через него же.
Я думал, что циска сама это поймёт - ведь пакеты приходят на 10.0.0.10, значит с него и обратно должны идти

"Доступ к Cisco через 2 ISP"
Отправлено AlexDv , 17-Апр-14 02:01

>>>> На интерфейсе полиси убрать
>>> Не помогло
>> Это было не основное.
>> Основное: ip local policy ...
> Ага!
> Спасибо, убрал Policy с интерфейса, добавил как local.
> Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP
> не получается всё равно.
> Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого
> интерфейса надо отправлять обратно через него же.
Это возможно при наличии full view с обоими провайдерами.
Все остальное - костыли.
> Я думал, что циска сама это поймёт - ведь пакеты приходят на
> 10.0.0.10, значит с него и обратно должны идти
Не должны. См. выше. В вашем случае, ответы на пакеты, пришедшие от резервного провайдера, уходят по дефолтному маршруту на основного. Основной провайдер имеет право не принимать такие пакеты. Тогда может помочь policy routing, но только для тех протколов, для которых он настоен.

"Доступ к Cisco через 2 ISP"
Отправлено ShyLion , 17-Апр-14 08:55

>[оверквотинг удален]
>> Это было не основное.
>> Основное: ip local policy ...
> Ага!
> Спасибо, убрал Policy с интерфейса, добавил как local.
> Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP
> не получается всё равно.
> Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого
> интерфейса надо отправлять обратно через него же.
> Я думал, что циска сама это поймёт - ведь пакеты приходят на
> 10.0.0.10, значит с него и обратно должны идти
Роутеру все равно откуда пришел пакет, обратный он шлет согласно таблицы маршрутизации.
В полиси матч соурс айпи роутера, и set ip default next-hop и set interface ..

"Доступ к Cisco через 2 ISP"
Отправлено ghool , 17-Апр-14 13:21

>>[оверквотинг удален]
> В полиси матч соурс айпи роутера, и set ip default next-hop и
> set interface ..
Вот, что у меня есть сейчас:
Cisco(config)#ip access-list extended acl_from_Yota
Cisco(config-ext-nacl)#permit ip host 10.0.0.10 any
Cisco(config-ext-nacl)# route-map map_to_Yota permit 10
Cisco(config-route-map)#match ip address acl_from_Yota
Cisco(config-route-map)#set ip next-hop 10.0.0.1
!Вот это добавил по вашей рекомендации
Cisco(config-route-map)#set default interface FastEthernet 0/0.2
Cisco(config-route-map)#exit
Cisco(config)#ip local policy route-map map_to_Yota

Я так понимаю, что
"В полиси матч соурс айпи роутера" - это первые 4 строки конфига, что я привёл
А
set ip default next-hop и set interface .. - следующие две
Или нужна ещё одна полиси?
Извините за тупняки

"Доступ к Cisco через 2 ISP"
Отправлено ShyLion , 17-Апр-14 13:59

ip local policy route-map RM_LOCAL
!
ip access-list extended RM_LOCAL
permit ip host 10.1.3.3 any
!
route-map RM_LOCAL permit 10
match ip address RM_LOCAL
set ip next-hop 10.1.3.1
!
Это все что нужно. Если где-то еще полиси-роутинг используется, возможно он мешает.
debug ip policy
debug ip policy dynamic

"Доступ к Cisco через 2 ISP"
Отправлено asx , 17-Апр-14 05:53

> А вот как сделать, что бы сама Cisco была доступна через оба
> канала постоянно?
Используйте vrf.