Добрый день всем!Существует локальная сеть (10.10.10.0), сеть Провайдера 1 (88.204.Х.0/28) и сеть провайдера 2 (77.245.У.0/28). Локальная сетка NATится успешно, при падении линка на первого провайдера поднимается второй.
Задача: сделать доступными снаружи ip адрес второго провайдера в любое время, даже тогда когда основным маршрутом является первый шлюз.sh run:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname gw
!
boot-start-marker
boot system flash c2800nm-adventerprisek9-mz.124-19.bin
boot-end-marker
!
logging buffered 70000 warnings
!
no aaa new-model
!
ip cef
!
ip name-server 10.10.10.2
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3
!
voice-card 0
no dspfarm
!
no ip rcmd domain-lookup
ip rcmd rsh-enable
ip rcmd remote-host root 10.10.10.2 root enable
!
interface FastEthernet0/0
description ISP 1
ip address 77.245.X.2 255.255.255.240
ip access-group 180 in
ip accounting output-packets
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description ISP 2
ip address 88.204.Y.2 255.255.255.248
ip access-group 190 in
ip accounting output-packets
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 4
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan4
ip address 10.10.10.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
!
no ip classless
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 77.245.X.1 2
ip route 0.0.0.0 0.0.0.0 88.204.Y.1 3
!
no ip http server
no ip http secure-server
ip nat inside source route-map ISP1-NAT interface FastEthernet0/0 overload
ip nat inside source route-map ISP2-NAT interface FastEthernet0/1 overload
ip nat inside source static tcp 10.10.10.2 25 77.245.X.2 25 extendable
ip nat inside source static tcp 10.10.10.2 53 77.245.X.2 53 extendable
ip nat inside source static udp 10.10.10.2 53 77.245.X.2 53 extendable
ip nat inside source static tcp 10.10.10.2 25 88.204.Y.2 25 extendable
ip nat inside source static tcp 10.10.10.2 53 88.204.Y.2 53 extendable
ip nat inside source static udp 10.10.10.2 53 88.204.Y.2 53 extendable
!
ip access-list standard locallan
permit 10.10.10.0 0.0.0.255
!
access-list 12 permit 192.168.0.0 0.0.0.255
access-list 12 permit 10.10.10.0 0.0.0.255
access-list 12 deny any log
access-list 20 permit 77.245.X.0 0.0.0.255
access-list 30 permit 88.204.Y.0 0.0.0.255
access-list 180 remark ACL for ISP1
access-list 190 remark ACL for ISP2
!
route-map ISP1-NAT permit 10
match interface FastEthernet0/0
!
route-map ISP2-NAT permit 10
match interface FastEthernet0/1
!
route-map Tracking permit 10
match interface FastEthernet0/0
set ip next-hop 77.245.X.1
!
route-map Tracking permit 20
match interface FastEthernet0/1
set ip next-hop 88.204.Y.1
!
route-map ISP permit 20
match ip address 20
set ip next-hop 88.204.Y.1
!
route-map ISP permit 30
match ip address 30
set ip next-hop 77.245.X.1
!
control-plane
!
banner login ^CC
Use by unauthorized persons is prohibited
^C
!
line con 0
login local
line aux 0
line vty 0 4
access-class 12 in
login local
transport input telnet
line vty 5 15
access-class 12 in
login local
transport input telnet
!
scheduler allocate 20000 1000
!
end
причем:
ping mail.ru source fa0/1 - идет нормально
traceroute mail.ru source fa0/1 - идет через 77.245.Х.1 (fa0/0)
соответсвенно снаружи нет ни пинга на 88.204.Х.2 ни трасертаЧто можно прикрутить в route-map?
Заранее спасибо!
>Добрый день всем!
>
>Существует локальная сеть (10.10.10.0), сеть Провайдера 1 (88.204.Х.0/28) и сеть провайдера 2
>(77.245.У.0/28). Локальная сетка NATится успешно, при падении линка на первого провайдера
> поднимается второй.
>Задача: сделать доступными снаружи ip адрес второго провайдера в любое время, даже
>тогда когда основным маршрутом является первый шлСмотреть в сторону ip local policy
>>Добрый день всем!
>>
>>Существует локальная сеть (10.10.10.0), сеть Провайдера 1 (88.204.Х.0/28) и сеть провайдера 2
>>(77.245.У.0/28). Локальная сетка NATится успешно, при падении линка на первого провайдера
>> поднимается второй.
>>Задача: сделать доступными снаружи ip адрес второго провайдера в любое время, даже
>>тогда когда основным маршрутом является первый шл
>
>Смотреть в сторону ip local policyсоздал local policy
интерфейсы увиделись оба, но, трансляция на внутренний сервер с бекапного канала не работает:interface FastEthernet0/0
description ISP 1
ip address 77.245.Х.2 255.255.255.240
ip access-group 180 in
ip accounting output-packets
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description ISP 2
ip address 88.204.y.2 255.255.255.240
ip access-group 190 in
ip accounting output-packets
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
switchport access vlan 4
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
no ip address
!
interface Vlan4
ip address 10.10.10.1 255.255.255.0
ip accounting output-packets
ip nat inside
ip virtual-reassembly
!
ip local policy route-map LRP
no ip classless
ip route 0.0.0.0 0.0.0.0 77.245.х.1 2
ip route 0.0.0.0 0.0.0.0 88.204.y.1 3
!
!
no ip http server
no ip http secure-server
ip nat inside source route-map ISP1-NAT interface FastEthernet0/0 overload
ip nat inside source route-map ISP2-NAT interface FastEthernet0/1 overload
ip nat inside source static tcp 10.10.10.2 25 77.245.x.2 25 route-map LRP extendable
ip nat inside source static tcp 10.10.10.2 53 77.245.x.2 53 route-map LRP extendable
ip nat inside source static udp 10.10.10.2 53 77.245.x.2 53 route-map LRP extendable
ip nat inside source static tcp 10.10.10.7 25 88.204.y.2 25 route-map LRP extendable
ip nat inside source static udp 10.10.10.7 53 88.204.y.2 53 route-map LRP extendable
!
ip access-list standard locallan
permit 10.10.10.0 0.0.0.255
!
logging facility local6
logging 10.10.10.2
access-list 12 permit 192.168.0.0 0.0.0.255
access-list 12 permit 10.10.10.0 0.0.0.255
access-list 12 deny any log
access-list 30 permit 88.204.222.194
access-list 40 permit 77.245.99.114
access-list 101 permit ip 10.10.10.0 0.0.0.255 77.0.0.0 0.255.255.255
access-list 102 permit ip 10.10.10.0 0.0.0.255 88.0.0.0 0.255.255.255
access-list 180 remark ISP1 FA0/0
access-list 190 remark ISP2 FA0/1
snmp-server community zhaikmunai RO
!
route-map ISP1-NAT permit 10
match ip address locallan
match interface FastEthernet0/0
!
route-map ISP2-NAT permit 10
match ip address locallan
match interface FastEthernet0/1
!
route-map LRP permit 10
match ip address 30
set ip next-hop 88.204.y.1
!
route-map LRP permit 20
match ip address 40
set ip next-hop 77.245.x.1
!
control-plane
!line con 0
login local
line aux 0
line vty 0 4
access-class 12 in
login local
transport input telnet
line vty 5 15
access-class 12 in
login local
transport input telnet
!
scheduler allocate 20000 1000_________________________________________________
Что можно поделать в случае с NAT и PAT ?
>>>Добрый день всем!
>>Смотреть в сторону ip local policy
>
>создал local policy
>интерфейсы увиделись оба, но, трансляция на внутренний сервер с бекапного канала не
>работает:
>и все же, local policy прекрасно отрабатывает ping и tracert до самого роутера, однако пакет пришедший с бекапного канала и прокинутый по правилам
ip nat inside source static tcp 10.10.10.2 25 88.204.y.2 25 route-map ISP2 extendable
пытается вернуться по основному каналу.
(tcpdump на почтовом сервере видит и запрос и ответ на него)если поставить
ip route 0.0.0.0 0.0.0.0 77.245.x.1
ip route 0.0.0.0 0.0.0.0 88.204.y.1
без предпочтений, то сервер становится доступным по обоим адресам извне, но все пакеты из сети 10.10.10.0 пытаются уйти по бекапному интерфейсу.Есть у кого-нибудь мысли интересные?
ip access-list extended acl_backup_out
permit ip [сетка резервного прова] [wildcard mask] any
!
!
route-map rm_pbr_backup permit 10
description -- Set next-hop to Backup to all backup traffic
match ip address acl_backup_out
set ip next-hop [ip_gateway_backup]
!попробуй так. У тебя нат переключается между резервом и основным - например, таким вот макаром? Попробуй в общем...
!
ip access-list extended acl_nat_o1
remark -- permit NAT for office user
permit ip 10.10.10.0 0.0.0.255 any
!
route-map 130 permit 10
match ip address acl_nat_o1
match interface FastEthernet0/1
!
route-map 120 permit 10
match ip address acl_nat_o1
match interface FastEthernet0/0
!