схема:
с2821 с двумя интерфейсами на двух провайдеров. от каждого из провайдеров получает по две белых сетки с маской /30. одна из этих сеток использется для линка с провайдером, вторая отруливается маршрутом на pix515.
итого на pix515 приходят две сеточки 1.1.1.0/30 и 2.2.2.0/30. которые должны быть на нем обNATены в 192.168.0.0/24. одновременно!!на c2821 поднят sla monitor и он замечательно отрабатывает резервирование каналов.
дефолтовый маршрут каждый раз правильный и инет на с2821 есть всегда.а как быть с НАТами на pix?
когда-то у меня случайно накосячились два НАТ-правила в одну сеть, так работало одно - первое!
заранее благодарю.
>[оверквотинг удален]
>итого на pix515 приходят две сеточки 1.1.1.0/30 и 2.2.2.0/30. которые должны быть
>на нем обNATены в 192.168.0.0/24. одновременно!!
>
>на c2821 поднят sla monitor и он замечательно отрабатывает резервирование каналов.
>дефолтовый маршрут каждый раз правильный и инет на с2821 есть всегда.
>
>а как быть с НАТами на pix?
>когда-то у меня случайно накосячились два НАТ-правила в одну сеть, так работало
>одно - первое!
>заранее благодарю.Как вариант NAT-ить на 2821
>Как вариант NAT-ить на 2821как вариант, принят
а повторить принцип sla только для НАТа как-нибудь можно?
>>Как вариант NAT-ить на 2821
>
>как вариант, принят
>
>а повторить принцип sla только для НАТа как-нибудь можно?Поищите по форуму, не раз уже обсуждалось.
> Поищите по форуму, не раз уже обсуждалось.прошу прощения, не раз обсуждалось как делать SLA+NAT на ОДНОЙ
железяке. этот вариант держу в запасе.У нас принимает каналы c2821, а NATит и защищает pix515, стоящий
за с2821. итого две РАЗНЫЕ железяки. тут прошу меня не пинать, не мое
решение так сделать(2 железяки), и не первый раз оно сидит у меня в
печенках.... За pix515 дальше идет с3745, назначение которого
разруливать внутреннюю корпоративную сеть, но можно его тоже
использовать при необходимости.пока три варианта:
1)на pix515 поднять SLA с реакцией типа:
ip sla monitor 2
type echo protocol ipIcmpEcho 194.х.х.х
track 124 rtr 2 reachability
event manager applet ISP_SWITCHED_20
event track 124
action 1.0 cli command "enable"
action 2.0 cli command "no global (outside) 1 194.x.x.x"
action 3.0 cli command "global (outside) 1 85.y.y.y"проблема в том, что на pix515 Cisco PIX Firewall Version 6.1(2)
нет ни одной из этих команд :)2)на с3745 поднять sla и NAT, зависимый от track, который будет дополнительно транслировать 192.168.0.0 в 192.168.2.1
тогда на pix515 сделать два правила трансляции для 192.168.0.0 и 192.168.2.1.
тут проблема как настроить эту зависимость НАТа3) НАТить на с2821. тут вопросов нет
Есть еще варианты? насколько смешны и нереальны 1) и 2) ?
>[оверквотинг удален]
>нет ни одной из этих команд :)
>
>2)на с3745 поднять sla и NAT, зависимый от track, который будет дополнительно
>транслировать 192.168.0.0 в 192.168.2.1
>тогда на pix515 сделать два правила трансляции для 192.168.0.0 и 192.168.2.1.
>тут проблема как настроить эту зависимость НАТа
>
>3) НАТить на с2821. тут вопросов нет
>
>Есть еще варианты? насколько смешны и нереальны 1) и 2) ?Вы бы хоть схему нарисовали и конфиг 2821, а то что-то я не понимаю
как на PIX приходят сети, которые вам выдали провайдеры.
срочно нарисованная схема вот: http://ifolder.ru/8783228
как сюда выложить, сорри - не знаю
>срочно нарисованная схема вот: http://ifolder.ru/8783228
>как сюда выложить, сорри - не знаюМне кажется исходить надоиз того, что на том устройстве
где работает sla, там должен быть и NAT. А по другому, видимо
не получиться.
Спасибо большое за помощь. Решение нашлось легкое и красивое:
на pix затранслировала 192.168.0.0/24 в промежуточную сеть (pix-c2821) 10.10.10.3,
а на с2821 из 10.10.10.3 двойной НАТ по известной схеме.
вот цитаты с с2821:
#sh runip sla monitor 1
type echo protocol ipIcmpEcho 85.y.y.y-1
timeout 2000
threshold 40
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 194.x.x.x-1
timeout 2000
threshold 40
ip sla monitor schedule 2 life forever start-time now
!
track 100 rtr 1 reachability
delay down 15 up 10
!
track 200 rtr 2 reachability
delay down 15 up 10
!
interface FastEthernet0/0.2nn
ip address 85.y.y.y 255.255.255.252
ip nat outside
!
interface FastEthernet0/0.7xx
ip address 194.x.x.x 255.255.255.252
ip nat outside
!
interface FastEthernet0/1
ip address 10.10.10.1 255.255.255.0 промежуточная сеть pix-c2821
ip nat inside
!
ip route 0.0.0.0 0.0.0.0 85.y.y.y-1 10 track 100
ip route 0.0.0.0 0.0.0.0 194.x.x.x-1 200 track 200
ip nat inside source route-map ISP1 interface FastEthernet0/0.2xx overload
ip nat inside source route-map ISP2 interface FastEthernet0/0.7xx overloadaccess-list 110 permit ip host 10.10.10.3 any
route-map ISP2 permit 10
match ip address 110
match interface FastEthernet0/0.7xx
!
route-map ISP1 permit 10
match ip address 110
match interface FastEthernet0/0.2xxВсе работает, только вот после переключения:
1) новые сессии транслируются и обрабатываются нармально в новый канал
2) старые сессии, если нет динамики обрываются через 2 минуты.
3) старые сессии, если клиент продолжает ломится, висят вечно!!
лечится 2) и 3) или clear xlate на pix. или clear ip nat trans * на с2821Вопросы:
а) можно ли таймаут из 2х минут (2) сделать 20 секунд? т.е. указать НАТу через 20 секунд грохать простаивающие сопоставления
б) как сделать автоматом или clear xlate на pix или clear ip nat trans * на с2821?
на с 2821 есть решение через
event manager applet ISP_SWITCHED_20
event track 200
action 1.0 cli command "enable"
action 2.0 cli command "clear ip nat trans forced"
но у меня нет команды в аплете event track. хотя написано, что она введена гораздо раньше моей версии Cisco IOS Software, 2800 Software (C2800NM-ADVIPSERVICESK9-M), Version 12.4(13a)
может еще есть варианты?
заранее еще раз благодарю!!