Исходные данные таковы. Cisco 871, IOS (C870-ADVIPSERVICESK9-M), Version 12.4(24)T1.
Два провайдера:
TTK - основной, интернет выдает по PPPoE (Dialler 0). Внешний ip 188.168.x.x.
VTK - внутренняя и внешняя сеть провайдера с адресным пространством 192.168.0.0/16, 85.15.64.0/20, 85.15.80.0/21, 85.15.88.0/22 (Vlan2). Внутренний ip 192.168.68.91. Резервный интернет пока не используется(Dialler1).
Внутренняя сеть - 10.1.1.0/24. Комп с торрент клиентом 10.1.1.5 порт 6881.Задача раздавать торенты с компа в две сети по одному порту.
В данный момент в зависимости от того какой интерфейс быстрей поднялся dialler0 или vlan2 в ту сеть и идет эффективно раздача, на другую сеть такое впечатление что пакеты просто теряются.
Подскажите как настроить, уже неделю бьюсь над проблемой. Понимаю что нудно делать через route-map но правильно написать не получается.
Конфиг циски.
!
version 12.4
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
service timestamps debug datetime msec localtime show-timezone
service timestamps log datetime localtime
service password-encryption
service sequence-numbers
!
hostname cisco
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
logging buffered 4096 informational
logging console critical
enable secret 5 xxxxxxxx
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default local
aaa authorization exec default local
aaa authorization network default local
!
!
aaa session-id common
clock timezone Khab 10
clock summer-time Khab recurring last Sun Mar 2:00 last Sun Oct 2:00
clock save interval 10
!
!
dot11 syslog
no ip source-route
!
!
ip dhcp pool Clients
import all
network 10.1.1.0 255.255.255.0
dns-server 80.237.82.66 80.237.41.250 85.15.64.49
default-router 10.1.1.1
!
!
ip cef
no ip bootp server
ip domain name xxxxxxxxxxxxxx
ip name-server 80.237.82.66
ip name-server 85.15.64.49
ip name-server 80.237.41.250
no ipv6 cef
!
multilink bundle-name authenticated
!
!
username User privilege 15 secret 5 xxxxxxxxxxxxxxxxxx
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
description VTK_Phisic
switchport access vlan 2
!
interface FastEthernet4
description $ES_WAN$$FW_OUTSIDE$
no ip address
ip access-group 151 in
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface Vlan1
description $ETH-SW-LAUNCH$$INTF-INFO-HWIC 4ESW$$ES_LAN$$FW_INSIDE$
ip address 10.1.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1412
!
interface Vlan2
description VTK lan
ip address 192.168.68.91 255.255.255.0
ip access-group 150 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
ip route-cache policy
ip policy route-map MAP1
pppoe enable group global
pppoe-client dial-pool-number 2
!
interface Dialer0
description $FW_OUTSIDE$
ip address negotiated
ip access-group 150 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1300
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache policy
ip policy route-map MAP
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxx
ppp chap password 7 xxxxxxxx
ppp pap sent-username xxxxxxxx password 7 xxxxxxxx
!
interface Dialer1
description VTK_Inet
ip address negotiated
ip access-group 150 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1300
ip nat outside
ip virtual-reassembly
encapsulation ppp
ip route-cache policy
ip policy route-map MAP1
shutdown
dialer pool 2
dialer-group 2
no cdp enable
ppp authentication chap pap callin
ppp chap hostname xxxxxxxx
ppp chap password 7 xxxxxxxx
ppp pap sent-username xxxxxxxx password 7 xxxxxxxx
!
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 85.15.64.0 255.255.240.0 192.168.68.1
ip route 85.15.80.0 255.255.248.0 192.168.68.1
ip route 85.15.88.0 255.255.252.0 192.168.68.1
ip route 192.168.0.0 255.255.0.0 192.168.68.1
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list ttk_nat_list interface Dialer0 overload
ip nat inside source list vtk_nat_list interface Vlan2 overload
ip nat inside source static tcp 10.1.1.5 6881 188.168.x.x 6881 extendable
ip nat inside source static udp 10.1.1.5 6881 188.168.x.x 6881 extendable
ip nat inside source static tcp 10.1.1.5 6881 192.168.68.91 6881 extendable
ip nat inside source static udp 10.1.1.5 6881 192.168.68.91 6881 extendable
!
ip access-list extended ttk_nat_list
deny ip 10.1.1.0 0.0.0.255 85.15.64.0 0.0.15.255
deny ip 10.1.1.0 0.0.0.255 85.15.80.0 0.0.7.255
deny ip 10.1.1.0 0.0.0.255 85.15.88.0 0.0.3.255
deny ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.255.255
permit ip 10.1.1.0 0.0.0.255 any
ip access-list extended vtk_nat_list
permit ip 10.1.1.0 0.0.0.255 85.15.64.0 0.0.15.255
permit ip 10.1.1.0 0.0.0.255 85.15.80.0 0.0.7.255
permit ip 10.1.1.0 0.0.0.255 85.15.88.0 0.0.3.255
permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.255.255
deny ip any any
!
logging trap debugging
logging 10.1.1.4
!
access-list 150 permit udp any any eq ntp
access-list 150 permit icmp any any
access-list 150 permit gre any any
access-list 150 permit tcp any any established
access-list 150 permit tcp any any eq 6881
access-list 150 permit udp any any eq 6881
access-list 150 permit udp host 85.15.64.49 any
access-list 150 permit udp host 80.237.82.66 any
access-list 150 permit udp host 80.237.41.250 any
access-list 150 permit udp any any eq domain
access-list 150 deny ip any any
access-list 151 deny ip any any
access-list 170 deny ip 85.15.64.0 0.0.15.255 10.1.1.0 0.0.0.255
access-list 170 deny ip 85.15.80.0 0.0.7.255 10.1.1.0 0.0.0.255
access-list 170 deny ip 85.15.88.0 0.0.3.255 10.1.1.0 0.0.0.255
access-list 170 deny ip 192.168.0.0 0.0.255.255 10.1.1.0 0.0.0.255
access-list 170 permit ip any 10.1.1.0 0.0.0.255
access-list 171 permit ip 85.15.64.0 0.0.15.255 10.1.1.0 0.0.0.255
access-list 171 permit ip 85.15.80.0 0.0.7.255 10.1.1.0 0.0.0.255
access-list 171 permit ip 85.15.88.0 0.0.3.255 10.1.1.0 0.0.0.255
access-list 171 permit ip 192.168.0.0 0.0.255.255 10.1.1.0 0.0.0.255
access-list 171 deny ip any any
dialer-list 1 protocol ip permit
!
!
!
!
route-map MAP permit 10
match ip address 170
match interface Vlan1
!
route-map MAP1 permit 10
match ip address 171
match interface Vlan1
!
!
!
control-plane
!
!
line con 0
logging synchronous
no modem enable
transport output telnet
line aux 0
transport output telnet
line vty 0 4
privilege level 15
logging synchronous
transport input telnet ssh
!
scheduler max-task-time 5000
scheduler allocate 4000 1000
scheduler interval 500
end
Возможно ошибаюсь, пишу из того как понял задачу. Роут-мапы ничего не дадут поскольку в нашем случае дестенейшин неизвестен - по каким критериям будете отбирать трафик неясно.
Предлагаю:
1. снять роут-мапы, повешены они не правильно, поскольку трафик уже дошел до outside интерфейса (и то только до Dialer0)
2. Добавить еще один дефаул роут ip route 0.0.0.0 0.0.0.0 Vlan2Что получим - получим тупую примитивную но баллансировку трафика по per destenation.
проверяем по коммандам sh ip cef, sh ip route, traceroute <внешний IP>.
>
>Роут-мапы ничего не дадут поскольку в нашем случае дестенейшин неизвестен - по каким критериям будете отбирать трафик неясно.
>Критерий отбора, что все пакеты на сети 192.168.0.0/16, 85.15.64.0/20, 85.15.80.0/21, 85.15.88.0/22 пойдут через Vlan2, все остальное по дефалт гетвею на Dialler0.
Насколько я понял как раз роут мапом в таком случае пакеты и заворачиваются, в примерах видел подобное но там второго провайдера заворачивали в отдельную внутреннею подсеть. Можно ли так сделать с одной внутренней подсетью, и как правильно написать роут мет для этого.
>
>Что получим - получим тупую примитивную но баллансировку трафика по per destenation.
>А то что на Vlan2 нет внешнего интернета, только внутресеть провайдера и го внешнии айпи. Не будут туда уходить пакеты предназначенные во внешний мир?
Запутался я :))
если нужна роуткарта
собери правилоip access-list ext MAP-acl
permit ip any 192.168.0.0 0.0.255.255
permit ip any 85.15.88.0 0.0.15.255route-map INET-map
match ip address MAP-acl
set int Vlan2
set ip next hop 192.168.68.1int vlan1
ip policy route-map INET-mapip nat inside source list MAP-acl interface Vlan2 overload
ну как-то вот так>>А то что на Vlan2 нет внешнего интернета, только внутресеть провайдера и го внешнии >>айпи. Не будут туда уходить пакеты предназначенные во внешний мир?
Если пров дал тебе внутреннюю сетку то он наверняка знает что с ней делать - скорее всего натит на внешний ИП.
>ip access-list ext MAP-acl
>permit ip any 192.168.0.0 0.0.255.255
>permit ip any 85.15.88.0 0.0.15.255
>Hello!
a ne pravilnee ispoljzovatj prefix-list a ne access-list?