URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19783
[ Назад ]
Исходное сообщение
"В чем причина? (ip sla)"
Отправлено merko , 12-Окт-09 09:47 
Добрый день, помогите разобраться где накосячил...
Из внутренней сети не проходят пинги в интернет.
С самой циски все работает.

track 1 rtr 1 reachability
!
track 2 rtr 2 reachability
!
interface FastEthernet0/0
ip address 172.25.0.1 255.255.255.252
duplex auto
speed auto
pppoe enable
pppoe-client dial-pool-number 1
!
interface FastEthernet0/1
ip address 195.206.58.X 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1/0
!
interface FastEthernet0/1/1
!
interface FastEthernet0/1/2
!
interface FastEthernet0/1/3
!
interface Vlan1
ip address 172.25.1.40 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Dialer1
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname xxxxxxxxx
ppp chap password 0 xxxxxxxx
!
ip local policy route-map rm_local
ip classless
ip route 0.0.0.0 0.0.0.0 Dialer1 50 track 1
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 100 track 2
!
no ip http server
ip http authentication local
ip http secure-server
ip nat inside source route-map ISP1 interface Dialer1 overload
ip nat inside source route-map ISP2 interface FastEthernet0/1 overload
!
ip access-list extended local_ISP1
permit ip host 195.46.102.Z any
ip access-list extended local_ISP2
permit ip host 195.206.58.X any
!
access-list 1 permit 172.25.1.0 0.0.0.255
dialer-list 1 protocol ip permit
route-map rm_local permit 10
match ip address local_ISP1
match interface Dialer1
set ip next-hop 213.228.XXX.XXX
!
route-map rm_local permit 20
match ip address local_ISP2
match interface FastEthernet0/1
set ip next-hop 195.206.58.XX
!
route-map ISP2 permit 10
match ip address 1
match interface FastEthernet0/1
!
route-map ISP1 permit 10
match ip address 1
match interface Dialer1

Содержание
Сообщения в этом обсуждении
"В чем причина? (ip sla)"
Отправлено merko , 12-Окт-09 10:11 
next-hop из внутренней сети пингуется...
"В чем причина? (ip sla)"
Отправлено merko2005yandex.ru , 12-Окт-09 18:02 
up
"В чем причина? (ip sla)"
Отправлено j_vw , 12-Окт-09 20:34 
Что ж вы к sla то привязались....
Попробуйте, сначала, без него....Не при чем он...
Где привязка route-map к Vlan1 ?
Потренируйтесь направлять трафик на разных провайдеров (route-map + NAT)не меняя дефолтный роут.


"В чем причина? (ip sla)"
Отправлено j_vw , 12-Окт-09 21:57 

>Где привязка route-map к Vlan1 ?

Фигню спорол....Не нужна...

Вот кусок рабочего конфига (основной и резервный провайдер)...Сравнивай

track timer interface 5
track timer ip route 20
!
track 1 ip sla 1 reachability
delay down 10 up 30

!
interface TO_ISPI
description TRUNK to ISPI
ip address Y.Y.Y.Y 255.255.255.0
ip nat outside
ip virtual-reassembly
no cdp enable

!        
interface TO_ISPII
description TRUNK to ISPII
ip address Z.Z.Z.Z 255.255.255.0
ip nat outside
ip virtual-reassembly
no cdp enable

!
interface INTERTNAL
description Internal LAN
ip address X.X.X.1 255.255.255.0
ip nat inside
ip virtual-reassembly

!
ip local policy route-map 123

ip route 0.0.0.0 0.0.0.0 ISPI_GW track 1
ip route 0.0.0.0 0.0.0.0 ISPII_GW 10

ip nat inside source route-map ISPI_map interface TO_ISPI overload
ip nat inside source route-map ISPII_map interface TO_ISPII overload


ip access-list standard route_back
permit ISPII_GW


ip access-list extended to_nat
permit ip X.X.X.0 0.0.0.255 any

!
ip sla 1
icmp-echo ISPI_GW
timeout 4000
threshold 20
frequency 6
ip sla schedule 1 life forever start-time now
        
!
!

!
route-map 123 permit 10
description ROUTE BACK ISPII
match ip address route_back
set ip next-hop ISPII_GW
!
route-map ISPI_map permit 10
match ip address to_nat
match interface TO_ISPI
!
route-map ISPII_map permit 10
match ip address to_nat
match interface TO_ISPII


!

!!!В качестве бонуса !!!

event manager applet clear_nat
event track 1 state any
action 1.0 cli command "enable"
action 2.0 cli command "clear ip nat translation *"
action 3.0 cli command "clear ip nat translation forced"
action 4.0 syslog msg "Clear NAT-table complite"

"В чем причина? (ip sla)"
Отправлено merko , 13-Окт-09 05:02 
Нат судя по всему работает. Делаю пинг из внутренней сети на 77.88.21.8, пинг не проходит но на циске вижу трансляцию.

Router_BANK#sh ip na translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 195.206.58.X:1024 172.25.1.111:1024 77.88.21.8:1024   77.88.21.8:1024

"В чем причина? (ip sla)"
Отправлено merko , 13-Окт-09 05:08 
да, дело не в нате.
если прописываю маршрут то все работает
ip route 77.88.21.8 255.255.255.255 195.206.58.201

значит что-то с маршрутизацией...

"В чем причина? (ip sla)"
Отправлено merko , 13-Окт-09 07:29 
Косяк скорее всего в локальной политике

ip nat inside source route-map ISP1 interface Dialer1 overload
ip nat inside source route-map ISP2 interface FastEthernet0/1 overload
!
ip access-list extended local_ISP1
permit ip host 195.46.102.Z any
ip access-list extended local_ISP2
permit ip host 195.206.58.X any
!
access-list 1 permit 172.25.1.0 0.0.0.255
dialer-list 1 protocol ip permit
!
route-map rm_local permit 10
match ip address local_ISP1
match interface Dialer1
set ip next-hop 213.228.XXX.XXX
!
route-map rm_local permit 20
match ip address local_ISP2
match interface FastEthernet0/1
set ip next-hop 195.206.58.XX
!
route-map ISP2 permit 10
match ip address 1
match interface FastEthernet0/1
!
route-map ISP1 permit 10
match ip address 1
match interface Dialer1

Если в
ip access-list extended local_ISP2
permit ip host 195.206.58.X any
добавляю
permit ip 172.25.0.0 0.0.0.255 any

то из внутренней сети пинги в инет начинают ходить, а внутренний интерфейс (Vlan1 172.25.1.40) не доступен.

З.Ы. уже голову сломал...