URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 16286
[ Назад ]

Исходное сообщение
"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 16-Май-08 14:56

Есть CISCO 2811, пара свичей с поддержкой тегируемых виланов и два провайдера. Внешний интерфейс на циске только один, на который хотелось бы подключить обоих провайдеров. В дальнейшем планируется использовать одного инет-канал как резервный. Как можно реализовать подобную систему?

Содержание

Один внешний интерфейс и два провайдера,Scrappy, 15:21 , 16-Май-08
- Один внешний интерфейс и два провайдера,CrAzOiD, 16:05 , 16-Май-08
- Один внешний интерфейс и два провайдера,Technocrat, 18:45 , 16-Май-08
  - Один внешний интерфейс и два провайдера,CrAzOiD, 18:57 , 16-Май-08
- Один внешний интерфейс и два провайдера,Technocrat, 21:58 , 16-Май-08
  - Один внешний интерфейс и два провайдера,CrAzOiD, 22:44 , 16-Май-08
    - Один внешний интерфейс и два провайдера,Technocrat, 11:08 , 17-Май-08
      - Один внешний интерфейс и два провайдера,CrAzOiD, 12:04 , 17-Май-08
        
        Один внешний интерфейс и два провайдера,Technocrat, 13:42 , 17-Май-08
        
        Один внешний интерфейс и два провайдера,A Clockwork Orange, 14:00 , 17-Май-08
        Один внешний интерфейс и два провайдера,CrAzOiD, 14:47 , 17-Май-08
        
        Один внешний интерфейс и два провайдера,Technocrat, 19:57 , 17-Май-08
        
        Один внешний интерфейс и два провайдера,CrAzOiD, 21:26 , 17-Май-08
        
        Один внешний интерфейс и два провайдера,Андрей, 02:53 , 20-Май-08
        
        Один внешний интерфейс и два провайдера,CrAzOiD, 10:35 , 20-Май-08
        
        Один внешний интерфейс и два провайдера,Technocrat, 21:38 , 20-Май-08
        
        Один внешний интерфейс и два провайдера,Technocrat, 11:44 , 23-Май-08
        
        Один внешний интерфейс и два провайдера,GolDi, 13:15 , 23-Май-08
        Один внешний интерфейс и два провайдера,CrAzOiD, 13:21 , 23-Май-08
        Один внешний интерфейс и два провайдера,alchie, 14:01 , 23-Май-08
        
        Один внешний интерфейс и два провайдера,Technocrat, 18:26 , 23-Май-08
        
        Один внешний интерфейс и два провайдера,Изгой, 08:46 , 26-Май-08
        
        Один внешний интерфейс и два провайдера,Technocrat, 09:55 , 26-Май-08
Один внешний интерфейс и два провайдера,Technocrat, 18:17 , 26-Май-08

Сообщения в этом обсуждении

"Один внешний интерфейс и два провайдера"
Отправлено Scrappy , 16-Май-08 15:21

>Есть CISCO 2811, пара свичей с поддержкой тегируемых виланов и два провайдера.
>Внешний интерфейс на циске только один, на который хотелось бы подключить
>обоих провайдеров. В дальнейшем планируется использовать одного инет-канал как резервный. Как
>можно реализовать подобную систему?
Провайдеров в свич (на каждого провайдера свой Vlan)
свич в 2811 транковым портом, на 2811 поднимаете сабинтерфейсы на каждого из провайдеров, а далее рулите политиками маршрутизации куда трафик пойдёт...

"Один внешний интерфейс и два провайдера"
Отправлено CrAzOiD , 16-Май-08 16:05

>>Есть CISCO 2811, пара свичей с поддержкой тегируемых виланов и два провайдера.
>>Внешний интерфейс на циске только один, на который хотелось бы подключить
>>обоих провайдеров. В дальнейшем планируется использовать одного инет-канал как резервный. Как
>>можно реализовать подобную систему?
>
>Провайдеров в свич (на каждого провайдера свой Vlan)
>свич в 2811 транковым портом, на 2811 поднимаете сабинтерфейсы на каждого из
>провайдеров, а далее рулите политиками маршрутизации куда трафик пойдёт...
угу... router-on-stick называет это циска

"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 16-Май-08 18:45

>Провайдеров в свич (на каждого провайдера свой Vlan)
>свич в 2811 транковым портом, на 2811 поднимаете сабинтерфейсы на каждого из
>провайдеров, а далее рулите политиками маршрутизации куда трафик пойдёт...
А NAT в этом случае будет работать?

"Один внешний интерфейс и два провайдера"
Отправлено CrAzOiD , 16-Май-08 18:57

>>Провайдеров в свич (на каждого провайдера свой Vlan)
>>свич в 2811 транковым портом, на 2811 поднимаете сабинтерфейсы на каждого из
>>провайдеров, а далее рулите политиками маршрутизации куда трафик пойдёт...
>
>А NAT в этом случае будет работать?
если найдете очень древний IOS под свою железку, то не будет :)
все хорошо работает

"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 16-Май-08 21:58

Сделал на циске два сабинтерфейса: Fastethernet 0/1.2 (vlan 2) и Fastethernet 0/1.3 (vlan 3).
Первому прописал ip от одного провайдера, другому - от второго.
На роутере создал vlan 2 и vlan 3. Также сделал один tagged порт, который вписал и в vlan 2 и в vlan 3. Прописал ему vlan-trunk и воткнул в него внешний интерфейс циски.
ip route пока указывает на первого провайдера. Но шлюз этого прова не пингуется. Куда копать дальше?

"Один внешний интерфейс и два провайдера"
Отправлено CrAzOiD , 16-Май-08 22:44

>Сделал на циске два сабинтерфейса: Fastethernet 0/1.2 (vlan 2) и Fastethernet 0/1.3
>(vlan 3).
>Первому прописал ip от одного провайдера, другому - от второго.
>На роутере создал vlan 2 и vlan 3. Также сделал один tagged
>порт, который вписал и в vlan 2 и в vlan 3.
>Прописал ему vlan-trunk и воткнул в него внешний интерфейс циски.
>ip route пока указывает на первого провайдера. Но шлюз этого прова не
>пингуется. Куда копать дальше?
показывайте что наконфигурили на свиче и на маршрутизаторе

"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 17-Май-08 11:08

На свиче:
  Current configuration:
vlan 1
  name 1
  normal 21-
  fixed 1-20,25-26
  forbidden ""
  untagged 1-26
  ip address default-management 192.168.1.1 255.255.255.0
exit
vlan 2
  name Test
  normal 1-20,23-26
  fixed 21-22
  forbidden ""
  untagged 22-24
exit
vlan 3
  normal 1-20,22,25-26
  fixed 21,23-24
  forbidden ""
  untagged 23-24
exit
interface port-channel 21
  vlan-trunking
exit
interface port-channel 22
  pvid 2
exit
interface port-channel 23
  pvid 3
exit
interface port-channel 24
  pvid 3
exit
bandwidth-control

На циске:
!
interface Loopback0
description $FW_INSIDE$
ip address 192.0.0.1 255.255.255.255
zone-member security in-zone
!
interface FastEthernet0/0
description $FW_INSIDE$$ETH-LAN$
ip address 192.168.0.1 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly
zone-member security in-zone
duplex auto
speed auto
vlan-id dot1q 2
  exit-vlan-config
!
priority-group 1
!
interface FastEthernet0/1
description $ETH-WAN$$FW_OUTSIDE$
bandwidth 256
no ip address
ip nat outside
ip virtual-reassembly
zone-member security out-zone
ip route-cache flow
duplex auto
speed auto
priority-group 1
!
interface FastEthernet0/1.2
description $ETH-LAN$
encapsulation dot1Q 2
ip address xxx.xxx.xxx.xxx 255.255.255.252
ip nat outside
ip virtual-reassembly
zone-member security out-zone
!
interface FastEthernet0/1.3
encapsulation dot1Q 3
ip address yyy.yyy.yyy.yyy 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.1
!
ip http server
ip http authentication local
ip http secure-server
ip dns server
ip dns spoofing
ip nat pool yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy netmask 255.255.255.0
ip nat inside source list 1 interface FastEthernet0/1 overload

"Один внешний интерфейс и два провайдера"
Отправлено CrAzOiD , 17-Май-08 12:04

>[оверквотинг удален]
>!
>ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.1
>!
>ip http server
>ip http authentication local
>ip http secure-server
>ip dns server
>ip dns spoofing
>ip nat pool yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy netmask 255.255.255.0
>ip nat inside source list 1 interface FastEthernet0/1 overload
Вроде все верно, правда с настройками свича я не уверен, с такими не работал
посмотри вот:
http://www.cisco.com/en/US/tech/tk389/tk815/technologies_con...
и попробуй настроить вариант "802.1Q Configuration on the Router for Cisco IOS Versions Earlier than 12.1(3)T"
бывает заморочка с непониманием native vlan между железками

"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 17-Май-08 13:42

А NAT у меня правильно прописан? То есть там FastEthernet0/1 должен быть, или надо указывать один из его сабинтерфейсов?
ip nat pool yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy netmask 255.255.255.0
ip nat inside source list 1 interface FastEthernet0/1 overload

"Один внешний интерфейс и два провайдера"
Отправлено A Clockwork Orange , 17-Май-08 14:00

>А NAT у меня правильно прописан? То есть там FastEthernet0/1 должен быть,
>или надо указывать один из его сабинтерфейсов?
>
>ip nat pool yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy netmask 255.255.255.0
>ip nat inside source list 1 interface FastEthernet0/1 overload
субинтерфейс или адрес

"Один внешний интерфейс и два провайдера"
Отправлено CrAzOiD , 17-Май-08 14:47

>А NAT у меня правильно прописан? То есть там FastEthernet0/1 должен быть,
>или надо указывать один из его сабинтерфейсов?
>
>ip nat pool yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy netmask 255.255.255.0
>ip nat inside source list 1 interface FastEthernet0/1 overload
на Fa0/1 у вас IP протокол вообще не поднят
ессно, как вам сказали, указываете нужный внешний интерфейс (будь то сабинтерфейс) или IP адрес на который хотите NATить
кроме этого не понятно зачем вам пул? вы его не используете

"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 17-Май-08 19:57

>кроме этого не понятно зачем вам пул? вы его не используете
Тянется с древних времен. Убрал.
Сделал так:
!
interface FastEthernet0/1.2
description $ETH-LAN$
encapsulation dot1Q 2
ip address 87.117.170.210 255.255.255.252
ip nat outside
ip virtual-reassembly
zone-member security out-zone
!
interface FastEthernet0/1.3
encapsulation dot1Q 3
ip address 217.30.241.76 255.255.255.0
ip nat outside
ip virtual-reassembly
zone-member security out-zone
!
ip route 0.0.0.0 0.0.0.0 217.30.241.1
ip route 0.0.0.0 0.0.0.0 87.117.170.209 250
!
ip nat inside source list 1 interface FastEthernet0/1.3 overload
ip nat inside source list 2 interface FastEthernet0/1.2 overload
То есть если первый пров отвалился, пускаем всех через второго.
Через первого провайдера работает, но как только ради эксперимента меняю метрику первого маршрута на, скажем, 251 - инет отваливается. То есть по второму маршруту ничего не идет, хотя шлюз второго прова с этого интерфейса (1.2) пингуется.

"Один внешний интерфейс и два провайдера"
Отправлено CrAzOiD , 17-Май-08 21:26

>[оверквотинг удален]
>ip route 0.0.0.0 0.0.0.0 87.117.170.209 250
>!
>ip nat inside source list 1 interface FastEthernet0/1.3 overload
>ip nat inside source list 2 interface FastEthernet0/1.2 overload
>
>То есть если первый пров отвалился, пускаем всех через второго.
>Через первого провайдера работает, но как только ради эксперимента меняю метрику первого
>маршрута на, скажем, 251 - инет отваливается. То есть по второму
>маршруту ничего не идет, хотя шлюз второго прова с этого интерфейса
>(1.2) пингуется.
Cisco#cle ip nat t *
сделай, у тебя висят активные трансляции

"Один внешний интерфейс и два провайдера"
Отправлено Андрей , 20-Май-08 02:53

Извините за небольшой оффтоп, но есть похожая схема:
cisco 2621MX, eth0 соединен с неуправляемым switch, к которому подходят 2 провайдера.
На eth0 адрес одного из провайдеров прописан, как secondary.
Никаких vlan и субинтерфейсов не поднято. Чем может грозить такая схема подключения?
Я не гуру и настраивал это не я, но вот очень сильно меня терзают мысли что данная схема неправильная и в связи с этим могут случиться нехорошие вещи.
Особенно настораживает обычный switch.
И еще уточнение. Поднят EIGRP в случае если один канал отваливается, трафик направляется через другого провайдера.

"Один внешний интерфейс и два провайдера"
Отправлено CrAzOiD , 20-Май-08 10:35

>[оверквотинг удален]
>Никаких vlan и субинтерфейсов не поднято. Чем может грозить такая схема подключения?
>
>
>Я не гуру и настраивал это не я, но вот очень сильно
>меня терзают мысли что данная схема неправильная и в связи с
>этим могут случиться нехорошие вещи.
>Особенно настораживает обычный switch.
>
>И еще уточнение. Поднят EIGRP в случае если один канал отваливается, трафик
>направляется через другого провайдера.
да вообщем-то ничем особо не грозит вам такое подключение

"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 20-Май-08 21:38

>>ip nat inside source list 1 interface FastEthernet0/1.3 overload
>>ip nat inside source list 2 interface FastEthernet0/1.2 overload
>Cisco#cle ip nat t *
>сделай, у тебя висят активные трансляции
Да, так срабатывает. Дальше:
Сделал track-и. sh ip route track-table:
ip route 0.0.0.0 0.0.0.0 217.30.241.1 240 track 1 state is [up]
ip route 0.0.0.0 0.0.0.0 87.117.170.209 250 track 2 state is [up]
Если выдергиваю шнур одного провайдера:
ip route 0.0.0.0 0.0.0.0 217.30.241.1 240 track 1 state is [down]
ip route 0.0.0.0 0.0.0.0 87.117.170.209 250 track 2 state is [up]
Дефолтный шлюз тоже меняется правильно. Но трафик через второго провайдера не идет. Чищу активные трансляции - все равно не идет.
Вообще удаляю определение динамической NAT первого провайдера - трафик начинает идти через второго прова.

"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 23-Май-08 11:44

А можно как-то NAT сделать зависимым от track-ов? То-есть отвалился пров - нат тоже "чистится".

"Один внешний интерфейс и два провайдера"
Отправлено GolDi , 23-Май-08 13:15

>А можно как-то NAT сделать зависимым от track-ов? То-есть отвалился пров -
>нат тоже "чистится".
Уже было на форуме, через VRF.

"Один внешний интерфейс и два провайдера"
Отправлено CrAzOiD , 23-Май-08 13:21

>А можно как-то NAT сделать зависимым от track-ов? То-есть отвалился пров -
>нат тоже "чистится".
EEM
event manager applet Test1
event track 1
.....

"Один внешний интерфейс и два провайдера"
Отправлено alchie , 23-Май-08 14:01

>А можно как-то NAT сделать зависимым от track-ов? То-есть отвалился пров -
>нат тоже "чистится".
попробуй заменить
>ip nat inside source list 1 interface FastEthernet0/1.3 overload
>ip nat inside source list 2 interface FastEthernet0/1.2 overload
на
ip nat inside source route-map RM1 interface FastEthernet0/1.3 overload
ip nat inside source route-map RM2 interface FastEthernet0/1.2 overload
route-map RM1
match ip addr 1
route-map RM2
match ip addr 2

в обычных ситуациях позволяет делать ip nat outside на 2+ интерфейсах

"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 23-Май-08 18:26

>в обычных ситуациях позволяет делать ip nat outside на 2+ интерфейсах
Да вроде у меня тоже обычная ситуация. Делал как написано и на этом форуме, и на других. Практически уверен, что где-то накосячил или что-то упустил:
track 1 rtr 1 reachability
track 2 rtr 2 reachability
ip route 0.0.0.0 0.0.0.0 217.30.241.1 240 track 1
ip route 0.0.0.0 0.0.0.0 87.117.170.209 250 track 2
ip nat inside source route-map RM1 interface FastEthernet0/1.3 overload
ip nat inside source route-map RM2 interface FastEthernet0/1.3 overload
ip access-list extended LocalNet
permit ip 192.168.0.0 0.0.0.255 any
ip access-list extended track1
permit icmp any host 217.30.241.1
ip access-list extended track2
permit icmp any host 87.117.170.209
ip sla 1
icmp-echo 217.30.241.1 source-interface FastEthernet0/1.3
timeout 2000
frequency 3
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo 87.117.170.209 source-interface FastEthernet0/1.2
timeout 2000
frequency 3
ip sla schedule 2 life forever start-time now
route-map RM2 permit 10
match ip address LocalNet
!
route-map RM1 permit 10
match ip address LocalNet
Сейчас обратил внимание, что не только не удаляются старые трансляции, но и новые создаются с "убитого" ip.
Попробую vrf.

"Один внешний интерфейс и два провайдера"
Отправлено Изгой , 26-Май-08 08:46

>[оверквотинг удален]
>
>route-map RM2 permit 10
> match ip address LocalNet
>!
>route-map RM1 permit 10
> match ip address LocalNet
>
>Сейчас обратил внимание, что не только не удаляются старые трансляции, но и
>новые создаются с "убитого" ip.
>Попробую vrf.
Вот тут указан один и тот же подинтерфейс ?? так не разбирался особо .. быстрым взглядом..

"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 26-Май-08 09:55

>Вот тут указан один и тот же подинтерфейс ?? так не разбирался
>особо .. быстрым взглядом..
Одна локальная сеть:
ip access-list extended LocalNet
permit ip 192.168.0.0 0.0.0.255 any
Или нужно обязательно указывать два ACL?

"Один внешний интерфейс и два провайдера"
Отправлено Technocrat , 26-Май-08 18:17

Все, заработало! Добавил match interface и next-hop в роут-мапы, оставил только один track (на первого прова).
Всем большое спасибо!