Доброго времени суток, уважаемые знатоки!

Прошу оказать содействие в настройке 2 каналов от разных uplink провайдеров.

Исходные данные: cisco 3845, ios adventerprisek9-mz.124-25.bin, роутер осуществляет маршрутизацию vlan'ов;

провайдер А : блок внешних адресов 91.х.х.0/24, шлюз со стороны провайдера: 92.x.x.45
провайдер Б : предоставляет блок внешних адресов 93.х.х.192/26 по trunk порту используя vlan 172, шлюз со стороны провайдера: 93.x.x.193

Конфигурация :

interface GigabitEthernet0/0
description Switch link
ip address 91.х.х.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache cef
duplex auto
speed auto
media-type rj45
fair-queue
no cdp enable

interface GigabitEthernet0/1
description providerB uplink
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
media-type rj45
fair-queue
no cdp enable
!
interface GigabitEthernet0/1.172
encapsulation dot1Q 172
ip address 93.x.x.194 255.255.255.192
no ip redirects
no ip unreachables
no ip proxy-arp
ip policy route-map providerb_flow
no cdp enable
!
interface FastEthernet4/0
description providerA uplink
ip address 92.x.x.46 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
fair-queue

ip route 0.0.0.0 0.0.0.0 92.x.x.45

access-list 100 permit ip any any

route-map providerb_flow permit 10
match ip address 100
set ip next-hop 93.x.x.193

При использовании сетевых настроек для подсети 93.x.x.192/26, скажем Ip 93.х.х.195, gate 93.х.х.194, mask 255.255.255.192 отсутствует возможность выхода в внешнюю сеть через провайдера Б.
Ping же адреса 93.x.x.193 напрямую с роутера проходит, ping с любых адресов установленных на пк и указанных в vlan 172 отсутствует;также отсутствует ping ip интерфейса gi0/1.172 с пк vlan 172.
Прошу оказать содействие в данной ситуации.

С уважением,Андрей

• 2 isp на cisco 3845,elk_killa, 10:46 , 26-Июл-14
  • 2 isp на cisco 3845,Andrew, 15:10 , 27-Июл-14
    • 2 isp на cisco 3845,elk_killa, 20:13 , 27-Июл-14
      • 2 isp на cisco 3845,Andrew, 18:30 , 29-Июл-14
        • 2 isp на cisco 3845,elk_killa, 19:25 , 29-Июл-14
          • 2 isp на cisco 3845,Andrew, 17:58 , 11-Авг-14
            • 2 isp на cisco 3845,crash, 06:41 , 12-Авг-14
              • 2 isp на cisco 3845,Andrew, 13:22 , 12-Авг-14
                • 2 isp на cisco 3845,crash, 06:53 , 13-Авг-14
            • 2 isp на cisco 3845,ShyLion, 12:38 , 12-Авг-14
              • 2 isp на cisco 3845,Andrew, 13:27 , 12-Авг-14
                • 2 isp на cisco 3845,ShyLion, 14:36 , 12-Авг-14

У вас gi0/1 напрямую в провБ вставлен или через свитч? Если первое, так как клиенты попадут во влан172? Если второе, тогда зачем им вообще ваша циска с роутмапом? Пусть укажут шлюзом *.193 и ходят напрямую. В общем дизайн на оба варианта хромает. Нарисуйте себе схему L2/L3 и увидите, почему не работает. Если обязательно нужно, чтоб клиенты проваБ ходили через 3845, посадите их в отдельную подсеть /26 и статик натом выпускайте в Gi0/1.172

> У вас gi0/1 напрямую в провБ вставлен или через свитч? Если первое,
> так как клиенты попадут во влан172? Если второе, тогда зачем им
> вообще ваша циска с роутмапом? Пусть укажут шлюзом *.193 и ходят
> напрямую. В общем дизайн на оба варианта хромает. Нарисуйте себе схему
> L2/L3 и увидите, почему не работает. Если обязательно нужно, чтоб клиенты
> проваБ ходили через 3845, посадите их в отдельную подсеть /26 и
> статик натом выпускайте в Gi0/1.172

Благодарю за ответ!
   В целом, с недостаточно проработанным дизайном согласен.Подключение производилось в сжатые сроки. Также дополнительно к потоку данных, провайдерБ еще пропускает bgp-трафик предприятия  в vlan 171, поэтому решение по пропуску трафика данных и bgp предложено провайдеромБ в виде trunk'а.
   Что касается подключения канала, то безусловно switch - простое решение. Но, при использовании switch, а имеется cisco 2960g (c2960-lanbase-mz.122-35.SE5) в качестве ядра, возникает ряд вопросов:
1.необходим биллинг трафика (команды ip flow ingress/egress на уровне интерфейсов отсутствуют, также отсутствуют команды:
ip flow-export source <interface_name>
ip flow-export version <version_number>
ip flow-export destination <ip> <port> )

2.блок адресов 93.х.х.192/26 является внешним, который хотелось бы сэкономить за счет nat..

Прошу указать решение с использованием роутера 3845 и nat , если возможно, подробней.

С уважением, Андрей

> Также дополнительно к потоку данных, провайдерБ еще пропускает bgp-трафик
> предприятия  в vlan 171, поэтому решение по пропуску трафика данных
> и bgp предложено провайдеромБ в виде trunk'а.

Это еще что за зверь? Что за bgp-траффик при PA-блоках адресов и статическом дефолте на А?

>    Что касается подключения канала, то безусловно switch - простое
> решение. Но, при использовании switch, а имеется cisco 2960g (c2960-lanbase-mz.122-35.SE5)
> в качестве ядра, возникает ряд вопросов:

Свитч (L3) в качестве ядра нужен для IVR, это не мешает его использовать для dot1q линков с провайдерами. Без схемы сети, откуда и куда что должно ходить, советовать нечего

> 2.блок адресов 93.х.х.192/26 является внешним, который хотелось бы сэкономить за счет nat..

Блок адресов можно использовать в nat pool

> Прошу указать решение с использованием роутера 3845 и nat , если возможно,
> подробней.

Пока неясно, что нужно решать-то

Добрый день! Благодарю за ваши ответы!
Вносим уточнения :
> Это еще что за зверь? Что за bgp-траффик при PA-блоках адресов и
> статическом дефолте на А?

bgp трафик идет для сети pi блока предприятия - 85.х.х.0/23;
фрагмент конфигурации bgp :

router bgp <as_number>
bgp log-neighbor-changes
neighbor <providerB_ip> remote-as <providerB_as_number>
neighbor <providerB_ip> description ### -eBGP to providerB
neighbor 92.x.x.45 remote-as <providerA_as_number>
neighbor 92.x.x.45 description ### -eBGP to providerA
!
address-family ipv4
  neighbor <providerB_ip> activate
  neighbor <providerB_ip> prefix-list default_only in
  neighbor <providerB_ip> prefix-list to_providers out
  neighbor <providerB_ip> route-map providerB in
  neighbor 92.x.x.45 activate
  neighbor 92.x.x.45 prefix-list default_only in
  neighbor 92.x.x.45 prefix-list to_providers out
  neighbor 92.x.x.45 route-map providerA in

  no auto-summary
  no synchronization
  network 85.x.x.0 mask 255.255.254.0
exit-address-family
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 92.x.x.45
ip route 85.x.x.0 255.255.254.0 Null0 250

ip prefix-list default_only seq 5 permit 0.0.0.0/0
!
ip prefix-list nnets description unroutable nets
ip prefix-list nnets seq 10 permit 127.0.0.0/8 le 32
ip prefix-list nnets seq 20 permit 172.16.0.0/12 le 32
ip prefix-list nnets seq 25 permit 192.168.0.0/16 le 32
ip prefix-list nnets seq 30 permit 169.254.0.0/16 le 32
ip prefix-list nnets seq 35 permit 224.0.0.0/4 le 32
ip prefix-list nnets seq 40 permit 240.0.0.0/4 le 32
!
ip prefix-list to_providers seq 5 permit 85.x.x.0/23
ip prefix-list to_providers seq 10 deny 0.0.0.0/0

route-map providerA deny 100
match ip address prefix-list nnets
!
route-map providerA permit 110
set local-preference 200

route-map providerB deny 100
match ip address prefix-list nnets
!
route-map providerB permit 110
set local-preference 250

> Свитч (L3) в качестве ядра нужен для IVR, это не мешает его
> использовать для dot1q линков с провайдерами. Без схемы сети, откуда и
> куда что должно ходить, советовать нечего

К сожалению, на данный момент inter vlan-routing реализован именно на маршрутизаторе.

> Блок адресов можно использовать в nat pool

Можно более подробный пример

> Пока неясно, что нужно решать-то

Подключить канал от  провайдера Б, предоставленного в trunk порт в двух vlan : 171 (трафик для bgp) и vlan 172 (трафик сети передачи данных с выделенной подсетью 93.x.x.194 255.255.255.192). При этом необходим биллинг трафика сети 93.x.x.194/26 с использованием netflow. Если возможно реализовать с помощью nat, прошу указать детальный пример.
Заранее благодарен.

С уважением, Андрей

нуу в инете же полно примеров

ip nat pool ProvBdot172 93.x.x.195 93.x.x.254 netmask 255.255.255.192

interface GigabitEthernet0/1.172
ip nat outside
interface GigabitEthernetX3
ip nat inside

ip nat inside source list NatB pool ProvBdot172 [overload]

> Подключить канал от  провайдера Б, предоставленного в trunk порт в двух
> vlan : 171 (трафик для bgp) и vlan 172 (трафик сети
> передачи данных с выделенной подсетью 93.x.x.194 255.255.255.192). При этом необходим
> биллинг трафика сети 93.x.x.194/26 с использованием netflow. Если возможно реализовать
> с помощью nat, прошу указать детальный пример.
> Заранее благодарен.
> С уважением, Андрей

>[оверквотинг удален]
> ip nat pool ProvBdot172 93.x.x.195 93.x.x.254 netmask 255.255.255.192
> interface GigabitEthernet0/1.172
> ip nat outside
> interface GigabitEthernetX3
> ip nat inside
> ip nat inside source list NatB pool ProvBdot172 [overload]
>> Если возможно реализовать
>> с помощью nat, прошу указать детальный пример.
>> Заранее благодарен.
>> С уважением, Андрей

Добрый день! Повторно, благодарю за ваши ответы! Прошу прощения за небольшую задержку, в виду отсутствия времени для реализации рекомендаций.
С каналом разобрался: настроил совместно линковую сеть /30 с провайдером на интерфейсе GigabitEthernet0/1 и поток данных беспрепятственно достиг сети интернет :) Но с использованием nat имееются затруднения : для созданной немаршрутизируемой сети 10.110.71.0/24 не осуществляется трансляция nat overload.

Фрагмент конфигурации:

interface GigabitEthernet0/0
description Switch link
ip address 91.х.х.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip route-cache cef
duplex auto
speed auto
media-type rj45
fair-queue
no cdp enable
!
interface GigabitEthernet0/0.172
description ProviderB_dataflow
encapsulation dot1Q 172
ip address 93.x.x.194 255.255.255.192
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip policy route-map providerBflow
no cdp enable
!
interface GigabitEthernet0/0.173
description internal_net
encapsulation dot1Q 173
ip address 10.110.71.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/1
description ProviderB_uplink
ip address <linking_ip_ProviderB> 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
media-type rj45
fair-queue
no cdp enable
!
interface GigabitEthernet0/1.171
description bgp_providerB_flow
encapsulation dot1Q 171
ip address <linking_bgp_ip_ProviderB>/30
no ip redirects
no ip unreachables
no ip proxy-arp
no cdp enable
!
interface FastEthernet4/0
description providerA link
ip address 92.x.x.46 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
fair-queue
!

ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24
ip nat inside source list 99 pool natpoolproviderB overload

access-list 99 remark 10.110.71.nat natpoolproviderB
access-list 99 permit 10.110.71.0 0.0.0.255

route-map providerBflow permit 10
match ip address 100
set ip next-hop <linking_ip_ProviderB>

При использовании текущих настроек отсутствует возможность доступа в
сеть интернет из сети 10.110.71.0  с коммутатора  из vlan 173.
Прошу оказать содействие в данной ситуации.
С уважением, Андрей

> ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24
> ip nat inside source list 99 pool natpoolproviderB overload
> access-list 99 remark 10.110.71.nat natpoolproviderB
> access-list 99 permit 10.110.71.0 0.0.0.255

то есть шлюз по-умолчанию у вас для данной сети является провейдер В?

> route-map providerBflow permit 10
>  match ip address 100
>  set ip next-hop <linking_ip_ProviderB>
> При использовании текущих настроек отсутствует возможность доступа в
> сеть интернет из сети 10.110.71.0  с коммутатора  из vlan 173.

а что у вас должно попадать в match ip address 100?

Добрый день!

>> ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24
>> ip nat inside source list 99 pool natpoolproviderB overload
>> access-list 99 remark 10.110.71.nat natpoolproviderB
>> access-list 99 permit 10.110.71.0 0.0.0.255
> то есть шлюз по-умолчанию у вас для данной сети является провейдер В?

Опишу полную картину :
а.Шлюз по умолчанию для сети  10.110.71.0/24 находящейся в vlan 173 - 10.110.71.1;
б.Шлюз по умолачанию на роутере - ip route 0.0.0.0 92.x.x.46 (провайдер А);
в.Для блока адресов 93.x.x.192 255.255.255.192 (сеть провайдера B  из vlan 172) есть route-map, который в качестве next-hop устанавливает link-ip со стороны провайдера B (ответный ip установлен на роутере на интерфейсе GigabitEthernet0/1); в качестве nat используется 2 свободный ip из блока  93.x.x.192/26 - 93.x.x.194 в режиме overload;
93.x.x.193 - шлюз для сети 93.x.x.192/26 в vlan 172.

С использованием nat для сети 10.110.71.0/24 доступ в сеть интернет отсутствует.

>> route-map providerBflow permit 10
>>  match ip address 100
>>  set ip next-hop <linking_ip_ProviderB>
>> При использовании текущих настроек отсутствует возможность доступа в
>> сеть интернет из сети 10.110.71.0  с коммутатора  из vlan 173.
> а что у вас должно попадать в match ip address 100?

   сейчас установлена следующая инструкция :
access-list 100 permit any any

   хотя фактически должна быть сеть 93.x.x.194 255.255.255.192 (сеть провайдера B  из vlan 172) и инструкция, таким образом, должна быть :

access-list 100 permit 93.x.x.194 0.0.0.64 any

С уважением, Андрей

>    сейчас установлена следующая инструкция :
> access-list 100 permit any any
>    хотя фактически должна быть сеть 93.x.x.194 255.255.255.192 (сеть провайдера
> B  из vlan 172) и инструкция, таким образом, должна быть
> :
> access-list 100 permit 93.x.x.194 0.0.0.64 any

с чего вы решили, что должно быть access-list 100 permit 93.x.x.194 0.0.0.64 any? Я например считаю, что должно быть access-list 100 permit 10.110.71.0 0.0.0.255 any, ведь вы для нее меняете маршрут

>[оверквотинг удален]
> !
> interface GigabitEthernet0/1.171
> description bgp_providerB_flow
>  encapsulation dot1Q 171
>  ip address <linking_bgp_ip_ProviderB>/30
>  no ip redirects
>  no ip unreachables
>  no ip proxy-arp
>  no cdp enable
> !

Где ip nat outside и какой из этих линков таки в инет смотрит?

>[оверквотинг удален]
>> description bgp_providerB_flow
>>  encapsulation dot1Q 171
>>  ip address <linking_bgp_ip_ProviderB>/30
>>  no ip redirects
>>  no ip unreachables
>>  no ip proxy-arp
>>  no cdp enable
>> !
> Где ip nat outside и какой из этих линков таки в инет
> смотрит?

Канал провайдера B термирован на interface GigabitEthernet0/1;
GigabitEthernet0/0 - линк маршрутизатора и коммутатора 2960g;

В рамках GigabitEthernet0/0 созданы subinterfaces с указанием nat inside/outside:

interface GigabitEthernet0/0.172
description ProviderB_dataflow
encapsulation dot1Q 172
ip address 93.x.x.194 255.255.255.192
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip policy route-map providerBflow
no cdp enable
!
interface GigabitEthernet0/0.173
description internal_net
encapsulation dot1Q 173
ip address 10.110.71.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable

Следующий интерфейс используется для bgp-трафика от того же провайдера B
interface GigabitEthernet0/1.171
description bgp_providerB_flow
  encapsulation dot1Q 171
  ip address <linking_bgp_ip_ProviderB>/30
  no ip redirects
  no ip unreachables
  no ip proxy-arp
  no cdp enable

С уважением, Андрей

>>[оверквотинг удален]

Что у тебя в 172 вилане?

Если 10.110.71.0/24 должна ходить в инет через провайдера B, то на ее интерфейсе должен полиси-роутинг с next-hop в сторону аплинка провайдера. а на самом аплинке должен быть ip nat outside, которого нет.