Не могу разобраться, если можете, подскажите пожалуйста.

Есть такая конфигурация:

Два внешних интерфейса к двум разным провайдерам

interface GigabitEthernet0/0
description MAIN_ISP
ip address 10.10.10.54 255.255.255.240 secondary
ip address 10.10.10.51 255.255.255.240
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto

interface GigabitEthernet0/1
description BACKUP_ISP
ip address 20.20.20.198 255.255.255.240 secondary
ip address 40.40.40.82 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto

один внутренний интерфейс во внутреннюю сеть.

interface GigabitEthernet0/2
description link_between_2911_and_ASA
ip address 192.168.255.1 255.255.255.248
ip nat inside
ip virtual-reassembly in
ip policy route-map Load-Balance
duplex auto
speed auto

Две записи NAT

ip nat inside source static 192.168.6.54 10.10.10.54 route-map static-nat-isp-main
ip nat inside source static 192.168.6.54 20.20.20.198 route-map static-nat-isp-backup

PBR

route-map static-nat-isp-backup permit 10
match interface GigabitEthernet0/1

route-map static-nat-isp-main permit 10
match interface GigabitEthernet0/0

маршруты

ip route 0.0.0.0 0.0.0.0 10.10.10.49 5 track 1
ip route 0.0.0.0 0.0.0.0 40.40.40.81 10 track 2
ip route 192.168.6.0 255.255.255.0 192.168.255.2

мониторинг доступности каналов

ip sla 1
icmp-echo 10.10.10.49 source-interface GigabitEthernet0/0
threshold 1000
frequency 5
ip sla schedule 1 life forever start-time now

ip sla 2
icmp-echo 40.40.40.81 source-interface GigabitEthernet0/1
threshold 1000
frequency 5
ip sla schedule 2 life forever start-time now

track 1 ip sla 1 reachability
delay down 5 up 5
!
track 2 ip sla 2 reachability
delay down 5 up 5

Когда два оба провайдера доступны , адрес машины 192.168.6.54 транслируется в интернет в адрес 10.10.10.54
Когда провайдер main_isp не доступен , адрес машины 192.168.6.54 транслируется в интернет в адрес 20.20.20.198

Вопрос.
Не могу понять по какому правилу происходит трансляция в первом случае, и по какому во втором случае.

Когда первый провайдер перестает быть доступным меняется шлюз по умолчанию с 10.10.10.49 на 40.40.40.81 - это понятно.
Где и когда меняется NAT?

Кроме того WEB сервер на машине 192.168.6.54 доступен из Интернета одновременно по двум адресам. И по 10.10.10.54 и по 20.20.20.198. Правильно ли это?

PS. Приведен не весь конфиг конечно. Я выбрал то, что по моему мнению касается этого вопроса. Могу и ошибаться конечно. Всю дополнительную информацию предоставлю.
Буду благодарен все кто откликнется.    

• Помощь по  NAT при использовании IP SLA,shadow_alone, 20:12 , 01-Дек-15
  • Помощь по  NAT при использовании IP SLA,Gustaf, 13:18 , 02-Дек-15
    • Помощь по  NAT при использовании IP SLA,ShyLion, 14:24 , 02-Дек-15
      • Помощь по  NAT при использовании IP SLA,Gustaf, 14:27 , 03-Дек-15
        • Помощь по  NAT при использовании IP SLA,ShyLion, 14:46 , 03-Дек-15
          • Помощь по  NAT при использовании IP SLA,Gustaf, 21:16 , 03-Дек-15

> Вопрос.
> Не могу понять по какому правилу происходит трансляция в первом случае, и
> по какому во втором случае.

ip nat inside source static 192.168.6.54 10.10.10.54 route-map static-nat-isp-main
ip nat inside source static 192.168.6.54 20.20.20.198 route-map static-nat-isp-backup

> Когда первый провайдер перестает быть доступным меняется шлюз по умолчанию с 10.10.10.49
> на 40.40.40.81 - это понятно.
> Где и когда меняется NAT?

он не меняется, он для обоих каналов активен

> Кроме того WEB сервер на машине 192.168.6.54 доступен из Интернета одновременно по
> двум адресам. И по 10.10.10.54 и по 20.20.20.198. Правильно ли это?

Всё правильно, судя по тому что в правилах нет обратного

> PS. Приведен не весь конфиг конечно. Я выбрал то, что по моему
> мнению касается этого вопроса. Могу и ошибаться конечно. Всю дополнительную информацию
> предоставлю.

ACL 10 не показал, но и без него понятно.

> Буду благодарен все кто откликнется.

Спасибо за помощь!

> ACL 10 не показал, но и без него понятно.

нет такого ACL в конфиге.
Насколько я понял, 10 - это порядковый номер записи

источник http://xgu.ru/wiki/Cisco_route-map:
"У каждого правила route-map есть порядковый номер
когда пакеты проходят сквозь интерфейс, к которому применена PBR, пакеты проверяются по порядку по правилам
если пакет совпал с описанием в match, то он маршрутизируется по правилу set
если пакет не совпал с описанием в match, правила проверяются дальше
если ни в одном правиле совпадения не найдено, то пакет будет маршрутизироваться по стандартной таблице маршрутизации
например:
route-map PBR permit 10
match ip address VLAN_10
set ip next-hop 10.0.1.1
route-map PBR permit 20
match ip address VLAN_20
set ip next-hop 10.0.2.2"

Вопрос в другом,
Я понимаю сто НАТ включен для обоих адресов.
Но нет понимания почему когда два два гейтвея доступны то внешний адрес у машины  10.10.10.54 , а когда первый гейтвей не доступен то - 20.20.20.198.

Где правило или где приоритет?

Если меняю местами записи вот таким образом:
ip nat inside source static 192.168.6.54 10.10.10.54 route-map static-nat-isp-backup
ip nat inside source static 192.168.6.54 20.20.20.198 route-map static-nat-isp-main

то когда два гейтвея доступны - адрес будет 20.20.20.198, а когда первый гейтвей не доступен то у машины вообще нет доступа в интернет.

приоритет - админ. дистанция у дефолтного маршрута, коих у тебя два.
куда трафик рулится, тот нат и срабатывает.
кстати это не полный конфиг. по идее надо еще event manager настраивать чтобы при смене дефолтного маршрутизатора убивал текущие трансляции, иначе они будут мешать.

> приоритет - админ. дистанция у дефолтного маршрута, коих у тебя два.
> куда трафик рулится, тот нат и срабатывает.

Хорошо, я  понял.  То есть зависит именно от дефолтного маршрута.
Только не пойму как роутер "понимает" что надо именно этот НАТ применить. Какая в принципе разница куда дефолт направлен. То есть дожна быть закономерность какая то , или правило.
Знаний не хватает :(  Cсобственно поэтому у и обратился за помощью. спасибо!    

> кстати это не полный конфиг. по идее надо еще event manager настраивать
> чтобы при смене дефолтного маршрутизатора убивал текущие трансляции, иначе они будут
> мешать.

Да , это есть в конфиге. Я не приводил эту часть сразу.

event manager applet MAIN-ISP-GOES-DOWN
event track 1 state down
action 1.0 cli command "enable"
action 1.1 cli command "configure terminal"
action 1.2 cli command "interface tunnel 0"
action 1.3 cli command "shutdown"
action 1.4 cli command "do clear ip nat translation *"
action 1.5 cli command "interface tunnel 1"
action 1.6 cli command "no shutdown"
event manager applet MAIN-ISP-GOES-UP
event track 1 state up
action 1.0 cli command "enable"
action 1.1 cli command "configure terminal"
action 1.2 cli command "interface tunnel 1"
action 1.3 cli command "shutdown"
action 1.4 cli command "do clear ip nat translation *"
action 1.5 cli command "interface tunnel 0"
action 1.6 cli command "no shutdown"

PS. Конфигурация по наследству досталась. Поэтому и вопросы задаю, где не понятные для меня моменты.

>> приоритет - админ. дистанция у дефолтного маршрута, коих у тебя два.
>> куда трафик рулится, тот нат и срабатывает.
> Хорошо, я  понял.  То есть зависит именно от дефолтного маршрута.
> Только не пойму как роутер "понимает" что надо именно этот НАТ применить.

Так НАТ настроен с роут-мап, роут-мап матчит интерфейс. Т.е. если траффик идет через основной интерфейс, запись ната с роут-мапом, который матчит другой интерфейс не сработает.

> Так НАТ настроен с роут-мап, роут-мап матчит интерфейс. Т.е. если траффик идет
> через основной интерфейс, запись ната с роут-мапом, который матчит другой интерфейс
> не сработает.

Теперь ясно! Спасибо большое за помощь!