Добрый день. Подскажите как завернуть 2 провайдера с Ethernet концами и разными сетями на один WAN порт. Один основной, второй резервный. При этом используется NAT с проброской портов, IpSec во внутреннюю сеть из вне.

   Сейчас настроено следующим образом (может и криво, но все работает):
Провайдер 1: Ethernet, выделана 4-х адресная белая сеть (к примеру 60.50.22.48 /30).
Провайдер 2: EVDO модем в режиме роутера с присвоенным адресом на Ehternet порту 60.50.22.52 и проброской всего входящего на 60.50.22.50. (На модеме на выходном порту за натом прописана сеть 60.50.22.48 /29).
Оба провайдера подключены на WAN порт кошки через обычный свич.
IOS: c1700-advsecurityk9-mz.124-19
Локалка – 192.168.0.х

Кусок конфига
ip sla monitor 1
type echo protocol ipIcmpEcho x.x.x.x (тест осн. прова, x.x.x.x – адрес за провом)
frequency 20
ip sla monitor schedule 1 life forever start-time now
!
track 1 rtr 1 reachability
!
interface FastEthernet0
ip address 60.50.22.50 255.255.255.248 (Прописана сетка /29, что включает оба прова)
ip access-group ACCESS-IN in
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
duplex auto
speed auto
no cdp enable
crypto map clientmap
!
interface FastEthernet1
no cdp enable
!
interface FastEthernet2
no cdp enable
!
interface FastEthernet3
no cdp enable
!
interface FastEthernet4
no cdp enable
!
interface Virtual-Template1 type tunnel
ip unnumbered Vlan1
no ip proxy-arp
ip nat inside
ip virtual-reassembly
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec-profile-1
!
interface Vlan1
description $ETH-SW-LAUNCH$
ip address 192.168.0.1 255.255.255.0
ip access-group INET-ACCESS in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
ip route-cache policy
ip route-cache flow
ip tcp adjust-mss 1452
!
ip route 0.0.0.0 0.0.0.0 60.50.22.49 track 1  (все на осн.прова, если доступен)
ip route 0.0.0.0 0.0.0.0 60.50.22.52 253       (иначе на резерного)
ip route x.x.x.x 255.255.255.255 60.50.22.49 permanent (на «тестовый» адрес всегда через осн. прова)
!
ip nat inside source list NAT interface FastEthernet0 overload
ip nat inside source static tcp 192.168.0.5 25 interface FastEthernet0 25
!

Нужно заменить 2-го провайдера. Там тоже будет Ethernet хвост с белой /30 IP сеткой. Можно как-то реализовать не меняя железо? Где-то слышал что нужно разделить провайдеров с помощью VLAN’ов, но более подробно не нашел.

• Cisco 1711 два провайдера на одном WAN (осн + рез),john_32, 10:37 , 24-Июн-09
  • Cisco 1711 два провайдера на одном WAN (осн + рез),tis43, 11:49 , 24-Июн-09
    • Cisco 1711 два провайдера на одном WAN (осн + рез),john_32, 11:59 , 24-Июн-09
      • Cisco 1711 два провайдера на одном WAN (осн + рез),uid0, 12:15 , 24-Июн-09
  • Cisco 1711 два провайдера на одном WAN (осн + рез),tis43, 13:23 , 24-Июн-09
    • Cisco 1711 два провайдера на одном WAN (осн + рез),klin, 17:40 , 24-Июн-09
      • Cisco 1711 два провайдера на одном WAN (осн + рез),tis43, 09:40 , 26-Июн-09
        • Cisco 1711 два провайдера на одном WAN (осн + рез),tis43, 20:53 , 01-Июл-09
          • Cisco 1711 два провайдера на одном WAN (осн + рез),j_vw, 22:21 , 01-Июл-09
            • Еще вариант,j_vw, 23:21 , 01-Июл-09

>[оверквотинг удален]
>прова)
>!
>ip nat inside source list NAT interface FastEthernet0 overload
>ip nat inside source static tcp 192.168.0.5 25 interface FastEthernet0 25
>!
>
>Нужно заменить 2-го провайдера. Там тоже будет Ethernet хвост с белой /30
>IP сеткой. Можно как-то реализовать не меняя железо? Где-то слышал что
>нужно разделить провайдеров с помощью VLAN’ов, но более подробно не нашел.
>

В принципе не сложно, включаешь у тебя на этом же роутере есть порты fa1 и т.д.
в них и подключай,
допустим второго провайдера в fa1

interface FastEthernet1
swichport access vlan 2

interface vlan2
ip address  60.50.22.XXX 255.255.255.248 здесь адрес второго прова
ip nat outside
добавляешь еще НАТ
ip nat inside source list NAT interface vlan2 overload

а резервирование так же разруливаешь или SLA или PBR

>[оверквотинг удален]
>interface FastEthernet1
>swichport access vlan 2
>
>interface vlan2
>ip address  60.50.22.XXX 255.255.255.248 здесь адрес второго прова
>ip nat outside
>добавляешь еще НАТ
>ip nat inside source list NAT interface vlan2 overload
>
>а резервирование так же разруливаешь или SLA или PBR

Я вот не совсем пойму эти fa1-4. Это по идее порты на свичевой карте. в fa1 - воткнута локалка, он связал с vlan1, но не пойму как. Нигде упоминаний не видно... Подозреваю что вообще нет особой разницы в какой порт её подключать fa1-fa4...
При попытке на fa4 сделать switchport access vlan 2 - "%Access VLAN 2 does not exist. Please add it to vlan database".

>[оверквотинг удален]
>>ip nat inside source list NAT interface vlan2 overload
>>
>>а резервирование так же разруливаешь или SLA или PBR
>
>Я вот не совсем пойму эти fa1-4. Это по идее порты на
>свичевой карте. в fa1 - воткнута локалка, он связал с vlan1,
>но не пойму как. Нигде упоминаний не видно... Подозреваю что вообще
>нет особой разницы в какой порт её подключать fa1-fa4...
>При попытке на fa4 сделать switchport access vlan 2 - "%Access VLAN
>2 does not exist. Please add it to vlan database".

а не дает добавить из-за того что прошивка старая, надо обновить иос, когда я так делал мне помогло!

>[оверквотинг удален]
>>
>>Я вот не совсем пойму эти fa1-4. Это по идее порты на
>>свичевой карте. в fa1 - воткнута локалка, он связал с vlan1,
>>но не пойму как. Нигде упоминаний не видно... Подозреваю что вообще
>>нет особой разницы в какой порт её подключать fa1-fa4...
>>При попытке на fa4 сделать switchport access vlan 2 - "╛cess VLAN
>>2 does not exist. Please add it to vlan database".
>
>а не дает добавить из-за того что прошивка старая, надо обновить иос,
>когда я так делал мне помогло!

vlan database
(vlan)#vlan 39
VLAN 39 added:
    Name: VLAN0039
(vlan)#apply
APPLY completed.
(vlan)#exit
после этого добавляем в свичпорт

>добавляешь еще НАТ
>ip nat inside source list NAT interface vlan2 overload

Так не получаеться - он заменяет
"ip nat inside source list NAT interface FastEthernet0 overload "
Как что-бы NAT с двумя интерфейсами работал. И что делать с перенправлениями портов вида
"ip nat inside source static tcp 192.168.0.5 25 interface FastEthernet0 25"?

>>добавляешь еще НАТ
>>ip nat inside source list NAT interface vlan2 overload
>
>Так не получаеться - он заменяет
>"ip nat inside source list NAT interface FastEthernet0 overload "
>Как что-бы NAT с двумя интерфейсами работал. И что делать с перенправлениями
>портов вида
>"ip nat inside source static tcp 192.168.0.5 25 interface FastEthernet0 25"?

NAT с помощю route-map нужно описывать что б два одновременно работали

типа такого

route-map isp 1
match ip address 1
match int fa0

route-map isp 2
match ip address 1
match int vl 2

ip nat inside source route-map isp 1 interface fa0 overload
ip nat inside source route-map isp 2 interface Vlan 2 overload

access-list 1 permit 192.168.0.x 0.0.0.255

>NAT с помощю route-map нужно описывать что б два одновременно работали

Хотелось-бы поочереди...
NAT, PAT разрулил:
!
ip nat inside source route-map ISP1 interface FastEthernet0 overload
ip nat inside source route-map ISP2 interface Vlan2 overload
ip nat inside source static tcp 192.168.0.12 25 60.50.22.50 25 route-map ISP1 extendable no-alias
ip nat inside source static tcp 192.168.0.12 25 10.0.0.2 25 route-map ISP2 extendable no-alias
!
route-map ISP1 permit 10
match ip address NAT
match interface FastEthernet0
!
route-map ISP2 permit 10
match ip address NAT_BackUp
match interface Vlan2
!
Получилось что PAT работает не зависимо от того какой сейчас канал используеться. Т.е. из вне 25-тый порт доступен и на основном и всегда на резервном канале. Хотелось-бы что-бы вход по 25-тому порту был доступен только когда не работает основной канал, а не всегда. Иначе постоянно имеем лишний трафик (Спам к примеру) на дорогом канале с пометровой оплатой. Можно как-то реализовать?

>Получилось что PAT работает не зависимо от того какой сейчас канал используеться.
>Т.е. из вне 25-тый порт доступен и на основном и всегда
>на резервном канале. Хотелось-бы что-бы вход по 25-тому порту был доступен
>только когда не работает основной канал, а не всегда. Иначе постоянно
>имеем лишний трафик (Спам к примеру) на дорогом канале с пометровой
>оплатой. Можно как-то реализовать?

Есть какие идеи? Можно всетаки как-то закрыть трансляции на ВХОД для второго канала при активном первом? Как-то к трэку основного канала привязать, роут мап динамический, acl или еще что...

>>Получилось что PAT работает не зависимо от того какой сейчас канал используеться.
>>Т.е. из вне 25-тый порт доступен и на основном и всегда
>>на резервном канале.

У тебя ip local policy настроено?
Т.е. чтоб пакет уходил с того интерфейса, на который пришел.
IMHO, идея в том, чтобы УБРАТЬ route-map(PBR). Тогда пакеты будут уходить ТОЛЬКО по default роуту (который контролируется SLA).
Правда, пр и этом теряется возможность мониторить(подключиться к рутеру) с резервного интерфейса...Ну, или, можно это как то ACL разрулить....

"Выкушено" отсюда:
http://www.cisco.com/en/US/docs/routers/access/800/860-880-8...

interface Cellular0
ip nat outside
ip virtual-reassembly

interface Vlan1
ip address 10.4.0.254 255.255.0.0
ip nat inside
ip virtual-reassembly

interface Dialer2
ip address negotiated
ip nat outside
ip virtual-reassembly

ip local policy route-map track-primary-if
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer2 track 234
ip route 0.0.0.0 0.0.0.0 Cellular0 254

ip nat inside source route-map nat2cell interface Cellular0 overload
ip nat inside source route-map nat2dsl interface Dialer2 overload
!        
ip sla 1
icmp-echo 209.131.36.158 source-interface Dialer2
timeout 1000
frequency 2
ip sla schedule 1 life forever start-time now

access-list 101 permit ip 10.4.0.0 0.0.255.255 any
access-list 102 permit icmp any host 209.131.36.158
access-list 103 permit ip host 166.136.225.89 128.107.0.0 0.0.255.255
access-list 103 permit ip host 75.40.113.246 128.107.0.0 0.0.255.255

route-map track-primary-if permit 10
match ip address 102
set interface Dialer2
!
route-map nat2dsl permit 10
match ip address 101
match interface Dialer2
!
route-map nat2cell permit 10
match ip address 101
match interface Cellular0