Всем доброго времени суток.Есть CISCO 1811, два интернет-провайдера и локальная сеть регионального офиса, соединенная с локальной сетью головного офиса GRE каналом. Необходимо настроить отказоустойчивое соединение офиса с интернетом и, соответственно, с головным офисом.
Использовал PBR, конфигурацию CISCO привожу ниже, однако никак не могу понять где ошибся, переключение каналов не работает...IP 194.67.17.5 - некий хост, по которому проверяется состояние канала
XX.XX.XX.54 и YY.YY.YY.74 - внешние адреса CISCO от разных провайдеров
XX.XX.XX.73 и YY.YY.YY.49 - шлюзы по умолчанию тоже разных провайдеров
AA.AA.AA.254 и BB.BB.BB.190 - конечные точки GRE тунеля на стороне головного офисаip sla 1
icmp-jitter 194.67.17.5 source-ip XX.XX.XX.54 num-packets 5
timeout 500
frequency 5
ip sla schedule 1 life forever start-time nowip sla 2
icmp-jitter 194.67.17.5 source-ip YY.YY.YY.74 num-packets 5
timeout 500
frequency 5
ip sla schedule 2 life forever start-time nowtrack 1 rtr 1 reachability
track 2 rtr 2 reachability
interface Tunnel1
ip address 10.10.52.6 255.255.255.252
tunnel source XX.XX.XX.74
tunnel destination AA.AA.AA.254interface Tunnel0
ip address 10.10.52.2 255.255.255.252
tunnel source YY.YY.YY.54
tunnel destination BB.BB.BB.190interface FastEthernet0
ip address XX.XX.XX.74 255.255.255.252
ip nat outsideinterface FastEthernet1
ip address YY.YY.YY.54 255.255.255.240
ip nat outsideinterface Vlan2
ip address 192.168.52.254 255.255.255.0
ip nat insideip route 0.0.0.0 0.0.0.0 YY.YY.YY.49 50 track 1
ip route 172.16.0.0 255.255.0.0 Tunnel0 50 track 1
ip route 192.168.0.0 255.255.0.0 Tunnel0 50 track 1
ip route 0.0.0.0 0.0.0.0 XX.XX.XX.73 100 track 2
ip route 172.16.0.0 255.255.0.0 Tunnel1 100 track 2
ip route 192.168.0.0 255.255.0.0 Tunnel1 100 track 2
ip route 192.168.52.0 255.255.255.0 Vlan2ip nat inside source route-map ISP1 interface FastEthernet0 overload
ip nat inside source route-map ISP2 interface FastEthernet1 overloadip access-list standard LOCAL-NET
permit 192.168.52.0 0.0.0.255route-map ISP1 permit 10
match ip address LOCAL-NET
match interface FastEthernet0route-map ISP2 permit 10
match ip address LOCAL-NET
match interface FastEthernet1
Оба track'а после старта переходят в down, как я понимаю из-за того, что нет маршрутов по умолчанию.-----------------
cisco#show track
Track 1
Response Time Reporter 1 reachability
Reachability is Down
3 changes, last change 00:10:18
Latest operation return code: Timeout
Tracked by:
STATIC-IP-ROUTING 0
Track 2
Response Time Reporter 2 reachability
Reachability is Down
3 changes, last change 00:07:33
Latest operation return code: Timeout
Tracked by:
STATIC-IP-ROUTING 0
cisco#show ip routeGateway of last resort is not set
195.122.228.0/28 is subnetted, 1 subnets
C 195.122.228.48 is directly connected, FastEthernet1
C 192.168.52.0/24 is directly connected, Vlan2
-------------Как решить проблему в этом случае? Заранее всем спасибо.
В ip sla 1 и ip sla 2 надо пинговать различные машины.
Если пользовать gw провайдера, то будет выглядеть так:ip sla 1
icmp-jitter xx.xx.xx.49 source-ip XX.XX.XX.54 num-packets 5
timeout 500
frequency 5
ip sla schedule 1 life forever start-time nowip sla 2
icmp-jitter yy.yy.yy.73 source-ip YY.YY.YY.74 num-packets 5
timeout 500
frequency 5
ip sla schedule 2 life forever start-time nowip access-list extended PingISP_A
permit icmp host XX.XX.XX.54 host XX.XX.XX.49
ip access-list extended PingISP_B
permit icmp host YY.YY.YY.74 host YY.YY.YY.73route-map LocalPolicy permit 10
match ip address PingISP_A
set interface FastEthernet1
set ip next-hop XX.XX.XX.49
!
route-map LocalPolicy permit 20
match ip address PingISP_B
set interface FastEthernet0
set ip next-hop YY.YY.YY.73ip local policy route-map LocalPolicy
>В ip sla 1 и ip sla 2 надо пинговать различные машины.
>
>Если пользовать gw провайдера, то будет выглядеть так:
>Пинговать GW провайдера мне не совсем подходит, т.к. один из них при неуплате за услуги отключает только Интернет, а не отключает локальную сеть, вход через которую идет через тот же GW. А пинговать необходимо именно GW провайдеров?
>ip access-list extended PingISP_A
>ip access-list extended PingISP_BНе совсем понял назначение этих ACL...
Проблема в том, что у меня не поднимаются на CISCO дефолтовые маршруты, т.к. они не определены изначально, а должны назначаться в зависимости от живого канала.
>>В ip sla 1 и ip sla 2 надо пинговать различные машины.
>>
>>Если пользовать gw провайдера, то будет выглядеть так:
>>
>
>Пинговать GW провайдера мне не совсем подходит, т.к. один из них при
>неуплате за услуги отключает только Интернет, а не отключает локальную сеть,
>вход через которую идет через тот же GW. А пинговать необходимо
>именно GW провайдеров?нет, можно пинговать что угодно
>
>>ip access-list extended PingISP_A
>>ip access-list extended PingISP_B
>
>Не совсем понял назначение этих ACL...
>ети ACL для LocalPolicy - она определяет куда отправлять пакеты с самого рутера,
когда нет маршрута, попроще говоря.>Проблема в том, что у меня не поднимаются на CISCO дефолтовые маршруты,
>т.к. они не определены изначально, а должны назначаться в зависимости от
>живого канала.для етого и нужни LocalPolicy
еще так навеяло: a собственно туннели работают? сети 10.10.52.x видите?
>еще так навеяло: a собственно туннели работают? сети 10.10.52.x видите?нет, не вижу, маршруты вообще ни поднимаются...
спасибо за отклик и разъяснения, настрою в ближайшее время (в офисе сотрудники работают) и отпишусь о результатах
>спасибо за отклик и разъяснения, настрою в ближайшее время (в офисе сотрудники
>работают) и отпишусь о результатахА если не сложно, можно показать итоговый конфиг. Спасибо.
>>спасибо за отклик и разъяснения, настрою в ближайшее время (в офисе сотрудники
>>работают) и отпишусь о результатах
>
>А если не сложно, можно показать итоговый конфиг. Спасибо.Извиняюсь за задержку с ответом, ниже итоговая конфигурация.
----- BEGIN CONFIGURATION -----
ip sla 1
icmp-jitter zzz.zzz.zzz.2 source-ip yyy.yyy.yyy.54 num-packets 5
timeout 500
frequency 5
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-jitter zzz.zzz.zzz.2 source-ip xxx.xxx.xxx.74 num-packets 5
timeout 500
frequency 5
ip sla schedule 2 life forever start-time nowtrack 1 rtr 1 reachability
track 2 rtr 2 reachability
interface FastEthernet0
ip address xxx.xxx.xxx.74 255.255.255.252
ip nat outsideinterface FastEthernet1
ip address yyy.yyy.yyy.54 255.255.255.240
ip nat outsideinterface Vlan2
ip address 192.168.52.254 255.255.255.0
ip nat insideip local policy route-map PING-POLICY
ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.49 50 track 1
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.73 100 track 2
ip route 192.168.52.0 255.255.255.0 Vlan2ip nat inside source route-map ISP1 interface FastEthernet0 overload
ip nat inside source route-map ISP2 interface FastEthernet1 overloadip access-list extended PING1
permit icmp host xxx.xxx.xxx.74 host zzz.zzz.zzz.2
ip access-list extended PING2
permit icmp host yyy.yyy.yyy.54 host zzz.zzz.zzz.2access-list 1 permit 192.168.52.0 0.0.0.255
route-map ISP1 permit 10
match ip address 1
match interface FastEthernet0route-map ISP1 permit 10
match ip address 1
match interface FastEthernet1route-map PING-POLICY permit 10
match ip address PING2
set interface FastEthernet1
set ip next-hop yyy.yyy.yyy.49route-map PING-POLICY permit 20
match ip address PING1
set interface FastEthernet0
set ip next-hop xxx.xxx.xxx.73----- END CONFIGURATION -----
Данные в конфигурации:
xxx.xxx.xxx.74 - внешний IP cisco от провайдера X
xxx.xxx.xxx.73 - default gateway для cisco от провайдера X
yyy.yyy.yyy.54 - внешний IP cisco от провайдера Y
yyy.yyy.yyy.49 - default gateway для cisco от провайдера Y
zzz.zzz.zzz.2 - IP хоста в Интернете, по которому проверяется сосотояние канала
192.168.52.0/24 - внутренняя сеть офисаС такими настройками всё работает, если необходимы какие-либо разъяснения - пишите, отвечу. И постараюсь без задержки :)
Народ помогите решить проблему. Есть два провайдера у обоих реальные IP один по Ethernet второй через (резервный) ADSl. Сначала настроил icmp-echo, все заработало. Но из-за частых переключений решил настроить icmp-jitter, на основном провайдере все заработало, но на резервном провайдера трекинг подниматься не хочет.
в source-ip указал IP выданные провайдером.
вот кусочки конфигаtrack 1 ip sla 100 reachability
delay down 5 up 5
!
track 2 ip sla 200 reachability
delay down 5 up 5interface FastEthernet0/2/0
description MAXNET
ip address *.*.*.41 255.255.255.192
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname *****-39dml1
ppp chap password 7 03560E53525A77
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 217.15.192.1 50 name main_ISP track 1
ip route 0.0.0.0 0.0.0.0 Dialer0 100 name reserv_ISP track 2
ip route 62.148.128.1 255.255.255.255 Dialer0 name DNSDOMOLINK_isp_reserv
ip route 195.112.96.34 255.255.255.255 217.15.192.1 name DNSMAXNET_isp_main
ip http server
ip http secure-server
!
!
ip nat inside source route-map ISP_main interface FastEthernet0/2/0 overload
ip nat inside source route-map ISP_reserv interface Dialer0 overload
!
ip sla 100
icmp-jitter 195.112.96.34 source-ip *.*.*.41 num-packets 5
timeout 10000
threshold 10000
frequency 30
ip sla schedule 100 life forever start-time now
ip sla 200
icmp-jitter 62.148.128.1 source-ip *.*.*.170 num-packets 5
timeout 10000
threshold 10000
frequency 30
ip sla schedule 200 life forever start-time now
access-list 100 deny ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permitroute-map ISP_reserv permit 10
match ip address 100
match interface Dialer0
!
route-map ISP_main permit 10
match ip address 100
match interface FastEthernet0/2/0event manager applet clear_nat
event track 1 state any
action 0.9 cli command "enable"
action 1.0 cli command "clear ip nat translation *"
action 2.0 cli command "clear ip nat translation forced"Track 1
IP SLA 100 reachability
Reachability is Up
3 changes, last change 01:08:20
Delay up 5 secs, down 5 secs
Latest operation return code: OK
Latest RTT (millisecs) 1
Tracked by:
STATIC-IP-ROUTING 0
EEM applet clear_nat
Track 2
IP SLA 200 reachability
Reachability is Down
1 change, last change 01:15:34
Delay up 5 secs, down 5 secs
Latest operation return code: Timeout
Tracked by:
STATIC-IP-ROUTING 0
IP SLAs Infrastructure Engine-II
Entry number: 100
Owner:
Tag:
Type of operation to perform: icmp-jitter
Target address/Source address: 195.112.96.34/*.*.*.41
Operation timeout (milliseconds): 10000
Packet Interval (milliseconds)/Number of packets: 20/5
Type Of Service parameters: 0x0
Vrf Name:
Schedule:
Operation frequency (seconds): 30 (not considered if randomly scheduled)
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Randomly Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 10000 (not considered if react RTT is configured)
Distribution Statistics:
Number of statistic hours kept: 2
Number of statistic distribution buckets kept: 1
Statistic distribution interval (milliseconds): 20
Enhanced History:Entry number: 200
Owner:
Tag:
Type of operation to perform: icmp-jitter
Target address/Source address: 62.148.128.1/*.*.*.170
Operation timeout (milliseconds): 10000
Packet Interval (milliseconds)/Number of packets: 20/5
Type Of Service parameters: 0x0
Vrf Name:
Schedule:
Operation frequency (seconds): 30 (not considered if randomly scheduled)
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Randomly Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 10000 (not considered if react RTT is configured)
Distribution Statistics:
Number of statistic hours kept: 2
Number of statistic distribution buckets kept: 1
Statistic distribution interval (milliseconds): 20
Enhanced History:Заранее спасибо
jinn, спасибо за помощь! всё заработало!
>jinn, спасибо за помощь! всё заработало!а куда итоговый конфиг делся?
А где сброс трансляций при переключении каналов?
>А где сброс трансляций при переключении каналов?В моем случае это не критично.
>>А где сброс трансляций при переключении каналов?
>
>В моем случае это не критично.где конфига?
спасибо за конфиг,
я переделал его под свои нужды. Задача такая:
необходимо 1 маршрут проходить через 1 провайдер а все другие маршруты (дефолт) через 2 провайдер. Ну естессно когда есть связь, если пропадает хоть на одном то идет переключение на другой провайдер.
Однако трак не поднимается и дает таймаут. Переключение между 1 и 2 траком работает без проблем а вот 3 и 4 ый отвечающие за дефолт маршруты не пашут.usm#sh track
Track 1
Response Time Reporter 1 reachability
Reachability is Down
1 change, last change 02:29:09
Latest operation return code: Timeout
Tracked by:
STATIC-IP-ROUTING 0
Track 2
Response Time Reporter 2 reachability
Reachability is Up
10 changes, last change 00:05:58
Latest operation return code: OK
Latest RTT (millisecs) 45
Tracked by:
STATIC-IP-ROUTING 0
Track 3
Response Time Reporter 3 reachability
Reachability is Down
2 changes, last change 00:15:43
Latest operation return code: Timeout
Tracked by:
STATIC-IP-ROUTING 0
Track 4
Response Time Reporter 4 reachability
Reachability is Down
2 changes, last change 00:15:44
Latest operation return code: Timeout
Tracked by:
STATIC-IP-ROUTING 0
вот конфиг:
track 1 rtr 1 reachability
track 2 rtr 2 reachability
track 3 rtr 3 reachability
track 4 rtr 4 reachability
ip sla 1
icmp-jitter ZZ.ZZ.ZZ.39 source-ip YY.YY.YY.26 num-packets 5
timeout 500
frequency 5
ip sla schedule 1 life forever start-time nowip sla 2
icmp-jitter ZZ.ZZ.ZZ.39 source-ip XX.XX.XX.227 num-packets 5
timeout 500
frequency 5
ip sla schedule 2 life forever start-time nowip sla 3
icmp-jitter ZZ.ZZ.ZZ.42 source-ip YY.YY.YY.26 num-packets 5
timeout 500
frequency 5
ip sla schedule 3 life forever start-time nowip sla 4
icmp-jitter ZZ.ZZ.ZZ.42 source-ip XX.XX.XX.227 num-packets 5
timeout 500
frequency 5
ip sla schedule 4 life forever start-time now
ip local policy route-map PING_POLICYip route FF.FF.FF.0 255.255.224.0 YY.YY.YY.254 50 track 1
ip route 0.0.0.0 0.0.0.0 YY.YY.YY.254 50 track 3ip route FF.FF.FF.0 255.255.224.0 XX.XX.XX.225 100 track 2
ip route 0.0.0.0 0.0.0.0 XX.XX.XX.225 100 track 4
ip nat inside source route-map ISP1 interface FastEthernet0 overload
ip nat inside source route-map ISP2 interface FastEthernet1 overload
ip nat inside source route-map ISP3 interface FastEthernet0 overload
ip nat inside source route-map ISP4 interface FastEthernet1 overload
ip access-list extended PING1
permit icmp host XX.XX.XX.227 host ZZ.ZZ.ZZ.39
ip access-list extended PING2
permit icmp host YY.YY.YY.26 host ZZ.ZZ.ZZ.39
ip access-list extended PING3
permit icmp host XX.XX.XX.227 host ZZ.ZZ.ZZ.42
ip access-list extended PING4
permit icmp host YY.YY.YY.26 host ZZ.ZZ.ZZ.42access-list 1 permit 172.22.31.0 0.0.0.255
route-map PING_POLICY permit 10
match ip address PING2
set interface FastEthernet1
set ip next-hop YY.YY.YY.254route-map PING_POLICY permit 20
match ip address PING1
set interface FastEthernet0
set ip next-hop XX.XX.XX.225route-map PING_POLICY permit 30
match ip address PING4
set interface FastEthernet1
set ip next-hop YY.YY.YY.254route-map PING_POLICY permit 40
match ip address PING3
set interface FastEthernet0
set ip next-hop XX.XX.XX.225
route-map ISP2 permit 10
match ip address 1
match interface Dialer0route-map ISP1 permit 10
match ip address 1
match interface FastEthernet0route-map ISP3 permit 10
match ip address 1
match interface Dialer0route-map ISP4 permit 10
match ip address 1
match interface FastEthernet0
YY.26 первый айпи
YY.254 айпи первого гейтвея
XX.225 второй айпи
XX.227 айпи второго гейтвея
zz.9 пинг проверка 1 пути
zz.42 пинг проверка 2 пути
зачем нужен 3-ий и 4-ый track?может попробовать так
-----
ip route FF.FF.FF.0 255.255.224.0 YY.YY.YY.254 50 track 1
ip route 0.0.0.0 0.0.0.0 YY.YY.YY.254 50 track 1ip route FF.FF.FF.0 255.255.224.0 XX.XX.XX.225 100 track 2
ip route 0.0.0.0 0.0.0.0 XX.XX.XX.225 100 track 2
-----или я не совсем понял вашу задачу...
>[оверквотинг удален]
>
>-----
>ip route FF.FF.FF.0 255.255.224.0 YY.YY.YY.254 50 track 1
>ip route 0.0.0.0 0.0.0.0 YY.YY.YY.254 50 track 1
>
>ip route FF.FF.FF.0 255.255.224.0 XX.XX.XX.225 100 track 2
>ip route 0.0.0.0 0.0.0.0 XX.XX.XX.225 100 track 2
>-----
>
>или я не совсем понял вашу задачу...так мне надо через fastehternet0 пускать в весь инет, а через fastethernet1 только по 1 маршруту. Другими словами одновременно 2 провайдера должны использоваться.
>[оверквотинг удален]
>
>-----
>ip route FF.FF.FF.0 255.255.224.0 YY.YY.YY.254 50 track 1
>ip route 0.0.0.0 0.0.0.0 YY.YY.YY.254 50 track 1
>
>ip route FF.FF.FF.0 255.255.224.0 XX.XX.XX.225 100 track 2
>ip route 0.0.0.0 0.0.0.0 XX.XX.XX.225 100 track 2
>-----
>
>или я не совсем понял вашу задачу...Проблема решена во таким образом )))
ip route FF.FF.FF.0 255.255.224.0 YY.YY.YY.254 50 track 1
ip route 0.0.0.0 0.0.0.0 YY.YY.YY.254 100 track 1ip route FF.FF.FF.0 255.255.224.0 XX.XX.XX.225 100 track 2
ip route 0.0.0.0 0.0.0.0 XX.XX.XX.225 50 track 2т.е. 50 поменял на 100 все случаи отрабатываются.
Всем спасибо!
SOS с маршрутки пингуются все адреса включая FF.FF.FF.0 255.255.224.0 через нужный интерфейс.Однако с локалки
в случаях когда
1. на обеих интерфейсах связь есть:
со внутренней подсетки (LAN) видятся только дефлот маршруты а FF.FF.FF.0 255.255.224.0 не видны!2. когда трак 1 есть а трак 2 нет то нифига не видно
3. когда трак 1 нет а трак 2 есть то все есть
т.е. какие то траблы с трак путями через 1.
ip route таблица в норме во всех состояниях.
причем с маршрутки все пингуется и проблем нет в любых состояниях.
на обоих интерфейсах ip nat outside стоит.