мужики, совсем сума сошел.
поделитесь плиз конфигом циски для двух провайдеров и ната.
начитался кучи статей, в голове каша.
есть два провайдера, выдали мне по блоку С.
у меня клиенты и с реальниками и с серыми адресами.
часть клиентов с серыми адресами нужно натить через одного провайдера, часть через другого.
с реальниками все понятно.
заработало так:
клиенты с реальниками от одного прова и от другого - идут в нет нормально.
а вот серых клиентов получилось снатить только через одного прова.
а нухжно натить через обоих провайдеров.
офигел уже от конфигов.
прошу скинуть рабочий конфиг.
циска поддерживает у меня вланы.
>[оверквотинг удален]
>другого.
>с реальниками все понятно.
>заработало так:
>клиенты с реальниками от одного прова и от другого - идут в
>нет нормально.
>а вот серых клиентов получилось снатить только через одного прова.
>а нухжно натить через обоих провайдеров.
>офигел уже от конфигов.
>прошу скинуть рабочий конфиг.
>циска поддерживает у меня вланы.здаётся мне что небе нужен нат с route-map. В начале в интерфейс роутится, а потом натится.
если в конфиге 2 строчки
ip nat inside source list
то срабатывть будет всегда первая в независимости куда сроутился пакетик.
посему
динамические трансляции
ip nat inside source route-map intercom_nat interface GigabitEthernet0/1 overload
!
route-map intercom_nat permit 10
match ip address intercom_nat ! это acl c хостами которых мы хотим натить в этого ISP1
match interface GigabitEthernet0/1
!
ip nat inside source route-map nat-datagroup interface GigabitEthernet0/2 overload
!
route-map nat-datagroup permit 10
match ip address nat-datagroup ! ! это acl c хостами которых мы хотим натить в этого ISP1
match interface GigabitEthernet0/2внутренний хост может быть в обоих acl (nat-datagroup, intercom_nat). В какой интерфейс сроутится такой и нат сработает.
теперяче статические трансляции.
ip nat inside source static 192.168.3.2 82.91.141.73 route-map nat-datagroup-static extendable
ip nat inside source static 192.168.1.15 82.91.141.74 route-map nat-datagroup-static extendable
!
route-map intercom_nat_static permit 10
match interface GigabitEthernet0/2
!
ip nat inside source static 192.168.4.5 86.218.202.81 route-map intercom_nat_static extendable
ip nat inside source static 192.168.1.7 86.218.202.82 route-map intercom_nat_static extendable
route-map intercom_nat_static permit 10
match interface GigabitEthernet0/1тут route-map нужен чтобы трансляция работала тока на нужном интерфейсе.
(а как мы знаем, када настроен статический нат, то маршрутизатор отвечает своим маком на арп запрс айпишника, что прописан в статической нат трансляции, а c route-map он отвечает тока с нужного интерфейса)
если нужен конфиг - напиши, сброшу (есть работающая схема)
>если нужен конфиг - напиши, сброшу (есть работающая схема)майл ру говорит что такого ящика нет vinni_jopa@mail.ru
Попробовал данный способ следующим образом:!--интерфейс сети доступа--
interface FastEthernet0/0.1
encapsulation dot1Q 1 native
ip address 192.168.1.50 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip flow ingress
no cdp enable!--провайдер 1--
interface FastEthernet0/0.66
description VPN_Saturn_GH88
encapsulation dot1Q 66
ip address 10.10.77.26 255.255.255.252
no ip redirects
no ip unreachables
ip nat outside
ip flow ingress
no cdp enable!--провайдер 2--
interface FastEthernet0/0.80
encapsulation dot1Q 80
ip address 10.20.147.134 255.255.255.252
no ip redirects
no ip unreachables
ip nat outside
ip flow ingress
no cdp enable!--провайдер 3--
interface FastEthernet0/0.100
encapsulation dot1Q 100
ip address 10.30.209.133 255.255.255.248
no ip redirects
no ip unreachables
ip nat outside
ip flow ingress
no cdp enableroute-map prov1 permit 10
match ip address 1
match interface FastEthernet0/0.80
!
route-map prov2 permit 10
match ip address 1
match interface FastEthernet0/0.66
!
route-map prov3 permit 10
match ip address 1
match interface FastEthernet0/0.100
ip nat inside source route-map osnovnoy interface FastEthernet0/0.100 overload
ip nat inside source route-map ppic interface FastEthernet0/0.80 overload
ip nat inside source route-map saturn interface FastEthernet0/0.66 overloadip route 0.0.0.0 0.0.0.0 10.30.209.129
ip route 10.10.86.0 255.255.255.0 77.236.77.25
ip route 10.20.128.0 255.255.224.0 195.222.147.133access-list 1 permit 192.168.1.0 0.0.0.255
и почему-то не рутятся пакеты на prov1:7120#sh ip cache flow | inc 10.1.1.35
Fa0/0.1 192.168.1.35 Null 10.10.86.18 01 0000 0000 54
Fa0/0.1 192.168.1.35 Null 10.10.86.18 01 0000 0800 9
Fa0/0.1 192.168.1.35 Fa0/0.80 10.20.130.84 01 0000 0800 3
Fa0/0.1 192.168.1.35 Fa0/0.100 83.222.31.153 01 0000 0800 12
Fa0/0.80 10.20.130.84 Null 192.168.1.35 01 0000 0000 3
Fa0/0.100 83.222.31.153 Null 192.168.1.35 01 0000 0000 12из листинга видно, что вместо fa0/0.66 пакеты отправлются в Null, хотя конфиг для всех провов на вид идентичен. Подскажите, в чём же затык?
Тут всё что тебе нужно :)ip sla monitor 1
type echo protocol ipIcmpEcho 213.180.204.11 source-interface FastEthernet0/0
timeout 2000 пингуем яндекс
threshold 2
frequency 3
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 81.19.70.1 source-interface FastEthernet0/1
timeout 2000 пингуем рамблер
threshold 2
frequency 3
ip sla monitor schedule 2 life forever start-time nowtrack 123 rtr 1 reachability
!
track 124 rtr 2 reachabilityip route 0.0.0.0 0.0.0.0 194.84.хх.1 10 track 123 -- пров1
ip route 0.0.0.0 0.0.0.0 213.234.хх.161 20 track 124 --пров2
ip route 81.19.70.1 255.255.255.255 213.234.хх.161 -- это понимаете зачем :)
ip route 213.180.204.11 255.255.255.255 194.84.хх.1ip nat inside source route-map ISP1NAT interface FastEthernet0/1 overload
ip nat inside source route-map ISP2NAT interface FastEthernet0/0 overload
access-list 110 permit ip 172.29.22.0 0.0.15.255 anyну и это обязательно!
route-map tracking permit 10
set ip next-hop verify-availability 213.180.204.11 10 track 123
set ip next-hop 194.84.хх.1
!
route-map tracking permit 20
set ip next-hop verify-availability 81.19.70.1 20 track 124
set ip next-hop 213.234.хх.161
!
route-map ISP2NAT permit 10
match ip address 110
match interface FastEthernet0/1
!
route-map ISP1NAT permit 10
match ip address 110
match interface FastEthernet0/0
ВСЁ!
но в таком случае, при падении трассы на одного из провов нат трансляции, пойдут через уже установленные трансляции ..... - тоесть связи всеравно небудет, и только новые трансляции будут работать нормально
>но в таком случае, при падении трассы на одного из провов нат
>трансляции, пойдут через уже установленные трансляции ..... - тоесть связи всеравно
>небудет, и только новые трансляции будут работать нормальноНу так создай ещё трансляции на другой внешний адрес и-фейса.
>route-map ISP2NAT permit 10
> match ip address 110
> match interface FastEthernet0/1
>!
>route-map ISP1NAT permit 10
> match ip address 110
> match interface FastEthernet0/0
>ВСЁ!У меня еще вопрос. (с) :-)
Как при такой конфигурации заставить пакеты приходящие на внешние статические адреса на второму каналу не уходить по дефолтному маршруту, а отправлятся обратно? В линуксе для этого вроде как есть source interface, а тут?
local pbr?
>[оверквотинг удален]
>> match interface FastEthernet0/0
>>ВСЁ!
>
>У меня еще вопрос. (с) :-)
>
>Как при такой конфигурации заставить пакеты приходящие на внешние статические адреса на
>второму каналу не уходить по дефолтному маршруту, а отправлятся обратно? В
>линуксе для этого вроде как есть source interface, а тут?
>local pbr?
>И еще вопрос. У меня cisco 2811 c IOS 12.4(15)T и там нет некоторых команд. Как реализовать на ней переход на резервный канал если падает основной. При этом и НАТ должен переопределяться.
Ткните плиз где рыться.
>И еще вопрос. У меня cisco 2811 c IOS 12.4(15)T и там
>нет некоторых команд. Как реализовать на ней переход на резервный канал
>если падает основной. При этом и НАТ должен переопределяться.Собственно dxer немного выше дал конфиг PBT с track. А именно вот эти строчки смотрят живой ли канал:
route-map tracking permit 10
set ip next-hop verify-availability 213.180.204.1 10 track 123
set ip next-hop xxx.xxx.xxx.xx
!
route-map tracking permit 20
set ip next-hop verify-availability 81.19.70.1 20 track 124
set ip next-hop yyy.yyy.yyy.yyyУ тебя можно в качестве источника внешних адресов NAT указать route-map?
Если да, то вроде как должно при падении одного из каналов перекинуть nat трансляции на другой pool.
>[оверквотинг удален]
> set ip next-hop verify-availability 213.180.204.1 10 track 123
> set ip next-hop xxx.xxx.xxx.xx
>!
>route-map tracking permit 20
> set ip next-hop verify-availability 81.19.70.1 20 track 124
> set ip next-hop yyy.yyy.yyy.yyy
>
>У тебя можно в качестве источника внешних адресов NAT указать route-map?
>Если да, то вроде как должно при падении одного из каналов перекинуть
>nat трансляции на другой pool.Хорошо. Отсюда следует два вопроса:
1. Что служит признаком падения канала? Если используется пинг маршрутизатора провайдера это понятно. Но здесь этого не указано.
2. Как будет происходить переключение на основной канал, после его восстановления?Эти вопросы связаны с тем что у меня нет такой команды ip sla monitor
Или я что-то не понимаю?
>У тебя можно в качестве источника внешних адресов NAT указать route-map?
>Если да, то вроде как должно при падении одного из каналов перекинуть
>nat трансляции на другой pool.да могу указать.
>
>>У тебя можно в качестве источника внешних адресов NAT указать route-map?
>>Если да, то вроде как должно при падении одного из каналов перекинуть
>>nat трансляции на другой pool.
>
>да могу указать.Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.
>
>Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.Да это камраду dxer спасибо.
У меня вот тот же песок :) Копаю уже день, не могу на подобном конфиге настроить чтобы ip адреса со статическим NAT со второго канала отвечали при работающем основном.
Пакеты уходят обратно по дефолтному (т.е. считай в никуда)
>>
>>Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.
>
>Да это камраду dxer спасибо.
>У меня вот тот же песок :) Копаю уже день, не могу
>на подобном конфиге настроить чтобы ip адреса со статическим NAT со
>второго канала отвечали при работающем основном.
>Пакеты уходят обратно по дефолтному (т.е. считай в никуда)Основной канал выбирается из метрики ip route lalalala 10 или 20 :) соотв. 10 есть основной, 20 резервный.
>[оверквотинг удален]
>>>Приношу извинения. Все заработало. Просто песок в глазах. Спасибо за конфиг.
>>
>>Да это камраду dxer спасибо.
>>У меня вот тот же песок :) Копаю уже день, не могу
>>на подобном конфиге настроить чтобы ip адреса со статическим NAT со
>>второго канала отвечали при работающем основном.
>>Пакеты уходят обратно по дефолтному (т.е. считай в никуда)
>
>Основной канал выбирается из метрики ip route lalalala 10 или 20 :)
>соотв. 10 есть основной, 20 резервный.Уважаемые!!!
Хелп!
У меня циска2811 с IOS12.4(15)T
Как ввести вот такую строчку из приведенного выше конфига?type echo protocol ipIcmpEcho 194.87.0.50 source-interface FastEthernet0/0
выдает ошибку.
> inet3(config)#ip sla monitor 1
> inet3(config-ip-sla-echo)#$94.87.0.50 source-interface FastEthernet0/0
> type echo protocol ipIcmpEcho 194.87.0.50 source-interface FastEthernet0/0
> ^
> % Invalid input detected at '^' marker.
>
> inet3(config-ip-sla-echo)#Что делать? Помогите, пожалуйста!
>[оверквотинг удален]
>
>> inet3(config)#ip sla monitor 1
>> inet3(config-ip-sla-echo)#$94.87.0.50 source-interface FastEthernet0/0
>> type echo protocol ipIcmpEcho 194.87.0.50 source-interface FastEthernet0/0
>> ^
>> % Invalid input detected at '^' marker.
>>
>> inet3(config-ip-sla-echo)#
>
>Что делать? Помогите, пожалуйста!gw(config)#ip sla mon 1
gw(config-rtr)#typ
gw(config-rtr)#typ?
и пустота :) действительно это так :)
на
Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)www.cisco.com/go/fn
посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе.
>[оверквотинг удален]
>
>gw(config)#ip sla mon 1
>gw(config-rtr)#typ
>gw(config-rtr)#typ?
>и пустота :) действительно это так :)
>на
>Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
>
>www.cisco.com/go/fn
>посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе.Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в ADVIPSERVICES ;)
>[оверквотинг удален]
>>и пустота :) действительно это так :)
>>на
>>Cisco IOS Software, 2800 Software (C2800NM-IPBASEK9-M), Version 12.4(15)T1, RELEASE SOFTWARE (fc2)
>>
>>www.cisco.com/go/fn
>>посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе.
>
>Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
>Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в
>ADVIPSERVICES ;)Всем спасибо. Разобрался. И все заработало. Кстати, при вводе команды ip sla mon 1
циска переходит то в режим config-rtr то в режим config-rtr-echo. И в других случаях тоже замечал. Прошивка кривая?
>[оверквотинг удален]
>>>посмотри в навигаторе, скорее всего нет реализации SLA в тетрейн релизе.
>>
>>Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
>>Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в
>>ADVIPSERVICES ;)
>
>Всем спасибо. Разобрался. И все заработало. Кстати, при вводе команды ip sla
>mon 1
>циска переходит то в режим config-rtr то в режим config-rtr-echo. И в
>других случаях тоже замечал. Прошивка кривая?И как на таком ИОСе сделать sla monitor?
>[оверквотинг удален]
>>>Посмотри здесь IOS http://rodniki.net.ru/tmp/cisco
>>>Там возьми что-нибудь отличное от IPBASE и поиграйся, должна быть функция в
>>>ADVIPSERVICES ;)
>>
>>Всем спасибо. Разобрался. И все заработало. Кстати, при вводе команды ip sla
>>mon 1
>>циска переходит то в режим config-rtr то в режим config-rtr-echo. И в
>>других случаях тоже замечал. Прошивка кривая?
>
>И как на таком ИОСе сделать sla monitor?Всё тоже самое :)
ip sla 1 [enter]
и пошло поехало :)
А где указявка ходить пакетам через роут-мап?
Как я понимаю нужно на интерфейсе, который смотрит в локалку прописать оба роут-мапа:ip policy route-map ISP1NAT
ip policy route-map ISP2NATА "route-map tracking permit 10" и "route-map tracking permit 20" где прописывать?
> А где указявка ходить пакетам через роут-мап?
> Как я понимаю нужно на интерфейсе, который смотрит в локалку прописать оба
> роут-мапа:
> ip policy route-map ISP1NAT
> ip policy route-map ISP2NAT
> А "route-map tracking permit 10" и "route-map tracking permit 20" где прописывать?На локальном интерфейсе походу
> На локальном интерфейсе походуinterface FastEthernet0/1
description LOCAL
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip policy route-map TEMPinterface Serial0/0
description PROV1
ip address 79.XXX.XXX.10 255.255.255.0
ip nat outsideinterface FastEthernet0/0
description PROV2
ip address 92.XXX.XXX.20 255.255.255.0
ip nat outsideaccess-list 1 permit 192.168.11.70
access-list 2 permit 192.168.11.88ip nat pool POOL1 79.XXX.XXX.10 79.XXX.XXX.10 netmask 255.255.255.0
ip nat pool POOL2 92.XXX.XXX.20 92.XXX.XXX.20 netmask 255.255.255.0ip nat inside source route-map MAP1 pool POOL1 overload
ip nat inside source route-map MAP2 pool POOL2 overloadroute-map MAP1 permit 10
match ip address 1
match interface Serial0/0
!
route-map MAP2 permit 10
match ip address 2
match interface FastEthernet0/0
!
route-map TEMP permit 10
match ip address 1
set ip next-hop 92.XXX.XXX.1
!
route-map TEMP permit 15
match ip address 2
set ip next-hop 79.XXX.XXX.1Ну у меня как-то так работает...