мужики, совсем сума сошел.
поделитесь плиз конфигом циски для двух провайдеров и ната.
начитался кучи статей, в голове каша.
есть два провайдера, выдали мне по блоку С.
у меня клиенты и с реальниками и с серыми адресами.
часть клиентов с серыми адресами нужно натить через одного провайдера, часть через другого.
с реальниками все понятно.
заработало так:
клиенты с реальниками от одного прова и от другого - идут в нет нормально.
а вот серых клиентов получилось снатить только через одного прова.
а нухжно натить через обоих провайдеров.
офигел уже от конфигов.
прошу скинуть рабочий конфиг.
циска поддерживает у меня вланы.

• cisco 2 провайдера,fenix2, 20:31 , 21-Авг-07
  • cisco 2 провайдера,vinni_jopa, 23:47 , 29-Авг-07
    • cisco 2 провайдера,redmoon, 11:37 , 30-Авг-07
      • cisco 2 провайдера,BuxpbSN, 14:02 , 30-Авг-07
        • cisco 2 провайдера,dxer, 01:17 , 08-Сен-07
          • cisco 2 провайдера,vinni, 19:09 , 11-Сен-07
            • cisco 2 провайдера,dxer, 20:06 , 11-Сен-07
          • cisco 2 провайдера,Algorond, 00:10 , 18-Сен-07
            • cisco 2 провайдера,Andrew, 12:19 , 18-Сен-07
              • cisco 2 провайдера,Algorond, 12:33 , 18-Сен-07
                • cisco 2 провайдера,Andrew, 12:39 , 18-Сен-07
                • cisco 2 провайдера,Andrew, 12:51 , 18-Сен-07
                  • cisco 2 провайдера,Andrew, 12:56 , 18-Сен-07
                    • cisco 2 провайдера,Algorond, 13:30 , 18-Сен-07
                      • cisco 2 провайдера,dxer, 15:52 , 18-Сен-07
                        • cisco 2 провайдера,Andrew, 10:51 , 19-Сен-07
                          • cisco 2 провайдера,dxer, 12:38 , 19-Сен-07
                            • cisco 2 провайдера,dxer, 12:40 , 19-Сен-07
                              • cisco 2 провайдера,Andrew, 14:04 , 19-Сен-07
                                • cisco 2 провайдера,dxer, 14:07 , 19-Сен-07
                                  • cisco 2 провайдера,dxer, 14:32 , 19-Сен-07
          • cisco 2 провайдера,Dev, 14:38 , 08-Фев-08
            • cisco 2 провайдера,Б, 13:34 , 27-Май-11
              • cisco 2 провайдера,Dev, 13:52 , 27-Май-11

>[оверквотинг удален]
>другого.
>с реальниками все понятно.
>заработало так:
>клиенты с реальниками от одного прова и от другого - идут в
>нет нормально.
>а вот серых клиентов получилось снатить только через одного прова.
>а нухжно натить через обоих провайдеров.
>офигел уже от конфигов.
>прошу скинуть рабочий конфиг.
>циска поддерживает у меня вланы.

здаётся мне что небе нужен нат с route-map. В начале в интерфейс роутится, а потом натится.
если в конфиге 2 строчки
ip nat inside source list
то срабатывть будет всегда первая в независимости куда сроутился пакетик.
посему
динамические трансляции
ip nat inside source route-map intercom_nat interface GigabitEthernet0/1 overload
!
route-map intercom_nat permit 10
match ip address intercom_nat  ! это acl c хостами которых мы хотим натить в этого ISP1
match interface GigabitEthernet0/1
!
ip nat inside source route-map nat-datagroup interface GigabitEthernet0/2 overload
!
route-map nat-datagroup permit 10
match ip address nat-datagroup ! ! это acl c хостами которых мы хотим натить в этого ISP1
match interface GigabitEthernet0/2

внутренний хост может быть в обоих acl (nat-datagroup, intercom_nat). В какой интерфейс сроутится такой и нат сработает.

теперяче статические трансляции.
ip nat inside source static 192.168.3.2 82.91.141.73 route-map nat-datagroup-static extendable
ip nat inside source static 192.168.1.15 82.91.141.74 route-map nat-datagroup-static extendable
!
route-map intercom_nat_static permit 10
match interface GigabitEthernet0/2
!
ip nat inside source static 192.168.4.5 86.218.202.81 route-map intercom_nat_static extendable
ip nat inside source static 192.168.1.7 86.218.202.82 route-map intercom_nat_static extendable
route-map intercom_nat_static permit 10
match interface GigabitEthernet0/1

тут route-map нужен чтобы трансляция работала тока на нужном интерфейсе.
(а как мы знаем, када настроен статический нат, то маршрутизатор отвечает своим маком на арп запрс айпишника, что прописан в статической нат трансляции, а c route-map он отвечает тока с нужного интерфейса)

если нужен конфиг - напиши, сброшу (есть работающая схема)

>если нужен конфиг - напиши, сброшу (есть работающая схема)

майл ру говорит что такого ящика нет vinni_jopa@mail.ru

Попробовал данный способ следующим образом:

!--интерфейс сети доступа--
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 192.168.1.50 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow ingress
no cdp enable

!--провайдер 1--
interface FastEthernet0/0.66
description VPN_Saturn_GH88
encapsulation dot1Q 66
ip address 10.10.77.26 255.255.255.252
no ip redirects
no ip unreachables
ip nat outside
ip flow ingress
no cdp enable

!--провайдер 2--
interface FastEthernet0/0.80
encapsulation dot1Q 80
ip address 10.20.147.134 255.255.255.252
no ip redirects
no ip unreachables
ip nat outside
ip flow ingress
no cdp enable

!--провайдер 3--
interface FastEthernet0/0.100
encapsulation dot1Q 100
ip address 10.30.209.133 255.255.255.248
no ip redirects
no ip unreachables
ip nat outside
ip flow ingress
no cdp enable

route-map prov1 permit 10
match ip address 1
match interface FastEthernet0/0.80
!
route-map prov2 permit 10
match ip address 1
match interface FastEthernet0/0.66
!
route-map prov3 permit 10
match ip address 1
match interface FastEthernet0/0.100

ip nat inside source route-map osnovnoy interface FastEthernet0/0.100 overload
ip nat inside source route-map ppic interface FastEthernet0/0.80 overload
ip nat inside source route-map saturn interface FastEthernet0/0.66 overload

ip route 0.0.0.0 0.0.0.0 10.30.209.129
ip route 10.10.86.0 255.255.255.0 77.236.77.25
ip route 10.20.128.0 255.255.224.0 195.222.147.133

access-list 1 permit 192.168.1.0 0.0.0.255

и почему-то не рутятся пакеты на prov1:

7120#sh ip cache flow | inc 10.1.1.35
Fa0/0.1       192.168.1.35       Null          10.10.86.18    01 0000 0000    54
Fa0/0.1       192.168.1.35       Null          10.10.86.18    01 0000 0800     9
Fa0/0.1       192.168.1.35       Fa0/0.80      10.20.130.84   01 0000 0800     3
Fa0/0.1       192.168.1.35       Fa0/0.100     83.222.31.153  01 0000 0800    12
Fa0/0.80      10.20.130.84       Null          192.168.1.35   01 0000 0000     3
Fa0/0.100     83.222.31.153      Null          192.168.1.35   01 0000 0000    12

из листинга видно, что вместо fa0/0.66 пакеты отправлются в Null, хотя конфиг для всех провов на вид идентичен. Подскажите, в чём же затык?

Тут всё что тебе нужно :)

ip sla monitor 1
type echo protocol ipIcmpEcho 213.180.204.11 source-interface FastEthernet0/0
timeout 2000 пингуем яндекс
threshold 2
frequency 3
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 81.19.70.1 source-interface FastEthernet0/1
timeout 2000 пингуем рамблер
threshold 2
frequency 3
ip sla monitor schedule 2 life forever start-time now

track 123 rtr 1 reachability
!
track 124 rtr 2 reachability

ip route 0.0.0.0 0.0.0.0 194.84.хх.1 10 track 123 -- пров1
ip route 0.0.0.0 0.0.0.0 213.234.хх.161 20 track 124 --пров2
ip route 81.19.70.1 255.255.255.255 213.234.хх.161 -- это понимаете зачем :)
ip route 213.180.204.11 255.255.255.255 194.84.хх.1

ip nat inside source route-map ISP1NAT interface FastEthernet0/1 overload
ip nat inside source route-map ISP2NAT interface FastEthernet0/0 overload

access-list 110 permit ip 172.29.22.0 0.0.15.255 any

ну и это обязательно!

route-map tracking permit 10
set ip next-hop verify-availability 213.180.204.11 10 track 123
set ip next-hop 194.84.хх.1
!
route-map tracking permit 20
set ip next-hop verify-availability 81.19.70.1 20 track 124
set ip next-hop 213.234.хх.161
!
route-map ISP2NAT permit 10
match ip address 110
match interface FastEthernet0/1
!
route-map ISP1NAT permit 10
match ip address 110
match interface FastEthernet0/0

ВСЁ!

но в таком случае, при падении трассы на одного из провов нат трансляции, пойдут через уже установленные трансляции ..... - тоесть связи всеравно небудет, и только новые трансляции будут работать нормально

>но в таком случае, при падении трассы на одного из провов нат
>трансляции, пойдут через уже установленные трансляции ..... - тоесть связи всеравно
>небудет, и только новые трансляции будут работать нормально

Ну так создай ещё трансляции на другой внешний адрес и-фейса.

>route-map ISP2NAT permit 10
> match ip address 110
> match interface FastEthernet0/1
>!
>route-map ISP1NAT permit 10
> match ip address 110
> match interface FastEthernet0/0
>ВСЁ!

У меня еще вопрос. (с) :-)

Как при такой конфигурации заставить пакеты приходящие на внешние статические адреса на второму каналу не уходить по дефолтному маршруту, а отправлятся обратно? В линуксе для этого вроде как есть source interface, а тут?
local pbr?

>[оверквотинг удален]
>> match interface FastEthernet0/0
>>ВСЁ!
>
>У меня еще вопрос. (с) :-)
>
>Как при такой конфигурации заставить пакеты приходящие на внешние статические адреса на
>второму каналу не уходить по дефолтному маршруту, а отправлятся обратно? В
>линуксе для этого вроде как есть source interface, а тут?
>local pbr?
>

И еще вопрос. У меня cisco 2811 c IOS 12.4(15)T и там нет некоторых команд. Как реализовать на ней переход на резервный канал если падает основной. При этом и НАТ должен переопределяться.
Ткните плиз где рыться.

>И еще вопрос. У меня cisco 2811 c IOS 12.4(15)T и там
>нет некоторых команд. Как реализовать на ней переход на резервный канал
>если падает основной. При этом и НАТ должен переопределяться.

Собственно dxer немного выше дал конфиг PBT с track. А именно вот эти строчки смотрят живой ли канал:

route-map tracking permit 10
set ip next-hop verify-availability 213.180.204.1 10 track 123
set ip next-hop xxx.xxx.xxx.xx
!
route-map tracking permit 20
set ip next-hop verify-availability 81.19.70.1 20 track 124
set ip next-hop yyy.yyy.yyy.yyy

У тебя можно в качестве источника внешних адресов NAT указать route-map?
Если да, то вроде как должно при падении одного из каналов перекинуть nat трансляции на другой pool.

>[оверквотинг удален]
> set ip next-hop verify-availability 213.180.204.1 10 track 123
> set ip next-hop xxx.xxx.xxx.xx
>!
>route-map tracking permit 20
> set ip next-hop verify-availability 81.19.70.1 20 track 124
> set ip next-hop yyy.yyy.yyy.yyy
>
>У тебя можно в качестве источника внешних адресов NAT указать route-map?
>Если да, то вроде как должно при падении одного из каналов перекинуть
>nat трансляции на другой pool.

Хорошо. Отсюда следует два вопроса:
1. Что служит признаком падения канала? Если используется пинг маршрутизатора провайдера это понятно. Но здесь этого не указано.
2. Как будет происходить переключение на основной канал, после его восстановления?

Эти вопросы связаны с тем что у меня нет такой команды ip sla monitor
Или я что-то не понимаю?

>У тебя можно в качестве источника внешних адресов NAT указать route-map?
>Если да, то вроде как должно при падении одного из каналов перекинуть
>nat трансляции на другой pool.

да могу указать.

>
>>У тебя можно в качестве источника внешних адресов NAT указать route-map?
>>Если да, то вроде как должно при падении одного из каналов перекинуть
>>nat трансляции на другой pool.
>
>да могу указать.

Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.

>
>Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.

Да это камраду dxer спасибо.
У меня вот тот же песок :) Копаю уже день, не могу на подобном конфиге настроить чтобы ip адреса со статическим NAT со второго канала отвечали при работающем основном.
Пакеты уходят обратно по дефолтному (т.е. считай в никуда)

>>
>>Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.
>
>Да это камраду dxer спасибо.
>У меня вот тот же песок :) Копаю уже день, не могу
>на подобном конфиге настроить чтобы ip адреса со статическим NAT со
>второго канала отвечали при работающем основном.
>Пакеты уходят обратно по дефолтному (т.е. считай в никуда)

Основной канал выбирается из метрики ip route lalalala 10 или 20 :) соотв. 10 есть основной, 20 резервный.

>[оверквотинг удален]
>>>Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.
>>
>>Да это камраду dxer спасибо.
>>У меня вот тот же песок :) Копаю уже день, не могу
>>на подобном конфиге настроить чтобы ip адреса со статическим NAT со
>>второго канала отвечали при работающем основном.
>>Пакеты уходят обратно по дефолтному (т.е. считай в никуда)
>
>Основной канал выбирается из метрики ip route lalalala 10 или 20 :)
>соотв. 10 есть основной, 20 резервный.

Уважаемые!!!

Хелп!

У меня циска2811 с IOS12.4(15)T

Как ввести вот такую строчку из приведенного выше конфига?

type echo protocol ipIcmpEcho 194.87.0.50 source-interface FastEthernet0/0

выдает ошибку.

> inet3(config)#ip sla monitor 1
> inet3(config-ip-sla-echo)#$94.87.0.50 source-interface FastEthernet0/0
> type echo protocol ipIcmpEcho 194.87.0.50 source-interface FastEthernet0/0
>  ^
> % Invalid input detected at '^' marker.
>
> inet3(config-ip-sla-echo)#

Что делать? Помогите, пожалуйста!

>[оверквотинг удален]
>
>> inet3(config)#ip sla monitor 1
>> inet3(config-ip-sla-echo)#$94.87.0.50 source-interface FastEthernet0/0
>> type echo protocol ipIcmpEcho 194.87.0.50 source-interface FastEthernet0/0
>>  ^
>> % Invalid input detected at '^' marker.
>>
>> inet3(config-ip-sla-echo)#
>
>Что делать? Помогите, пожалуйста!

gw(config)#ip sla mon 1
gw(config-rtr)#typ
gw(config-rtr)#typ?
и пустота :) действительно это так :)
на
Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)

www.cisco.com/go/fn
посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе.

>[оверквотинг удален]
>
>gw(config)#ip sla mon 1
>gw(config-rtr)#typ
>gw(config-rtr)#typ?
>и пустота :) действительно это так :)
>на
>Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
>
>www.cisco.com/go/fn
>посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе.

Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в ADVIPSERVICES ;)

>[оверквотинг удален]
>>и пустота :) действительно это так :)
>>на
>>Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
>>
>>www.cisco.com/go/fn
>>посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе.
>
>Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
>Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в
>ADVIPSERVICES ;)

Всем спасибо. Разобрался. И все заработало. Кстати, при вводе команды ip sla mon 1
циска переходит то в режим config-rtr то в режим config-rtr-echo. И в других случаях тоже замечал. Прошивка кривая?

>[оверквотинг удален]
>>>посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе.
>>
>>Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
>>Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в
>>ADVIPSERVICES ;)
>
>Всем спасибо. Разобрался. И все заработало. Кстати, при вводе команды ip sla
>mon 1
>циска переходит то в режим config-rtr то в режим config-rtr-echo. И в
>других случаях тоже замечал. Прошивка кривая?

И как на таком ИОСе сделать sla monitor?

>[оверквотинг удален]
>>>Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
>>>Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в
>>>ADVIPSERVICES ;)
>>
>>Всем спасибо. Разобрался. И все заработало. Кстати, при вводе команды ip sla
>>mon 1
>>циска переходит то в режим config-rtr то в режим config-rtr-echo. И в
>>других случаях тоже замечал. Прошивка кривая?
>
>И как на таком ИОСе сделать sla monitor?

Всё тоже самое :)
ip sla 1 [enter]
и пошло поехало :)

А где указявка ходить пакетам через роут-мап?
Как я понимаю нужно на интерфейсе, который смотрит в локалку прописать оба роут-мапа:

ip policy route-map ISP1NAT
ip policy route-map ISP2NAT

А "route-map tracking permit 10" и "route-map tracking permit 20" где прописывать?

> А где указявка ходить пакетам через роут-мап?
> Как я понимаю нужно на интерфейсе, который смотрит в локалку прописать оба
> роут-мапа:
> ip policy route-map ISP1NAT
> ip policy route-map ISP2NAT
> А "route-map tracking permit 10" и "route-map tracking permit 20" где прописывать?

На локальном интерфейсе походу

> На локальном интерфейсе походу

interface FastEthernet0/1
description LOCAL
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip policy route-map TEMP

interface Serial0/0
description PROV1
ip address 79.XXX.XXX.10 255.255.255.0
ip nat outside

interface FastEthernet0/0
description PROV2
ip address 92.XXX.XXX.20 255.255.255.0
ip nat outside

access-list 1 permit 192.168.11.70
access-list 2 permit 192.168.11.88

ip nat pool POOL1 79.XXX.XXX.10 79.XXX.XXX.10 netmask 255.255.255.0
ip nat pool POOL2 92.XXX.XXX.20 92.XXX.XXX.20 netmask 255.255.255.0

ip nat inside source route-map MAP1 pool POOL1 overload
ip nat inside source route-map MAP2 pool POOL2 overload

route-map MAP1 permit 10
match ip address 1
match interface Serial0/0
!
route-map MAP2 permit 10
match ip address 2
match interface FastEthernet0/0
!
route-map TEMP permit 10
match ip address 1
set ip next-hop 92.XXX.XXX.1
!
route-map TEMP permit 15
match ip address 2
set ip next-hop 79.XXX.XXX.1

Ну у меня как-то так работает...