Добрый день!
Прошу подсказать Вас решение данной проблемы:

Есть провайдер к которому идут 2 физических канала связи: 1-й по Ethernet и 2-й по SHDSL.
Настаривается все на Cisco2811 c IOS Version 12.4(13r)T, RELEASE SOFTWARE (fc1)

Схема нового подключения такая:(попытаюсь изобразить)
                      |---
                      |
------2Mb/c(SHDSL)----(VOiP WAN)
                      |
                      |
-----10Mb/c(Eth)------ (WAN)    Cisco 2811
                      |
                      |
---(клиенты)PPPoE))---|
                      |-----

Имеем пулл адресов **.**.**.** 255.255.255.224 (32 адреса) шлюзом будет адрес ****.193
пул начинается с ***,192 по 223 адрес.

При старой схеме работы, по дсл получаем 2 мегабита для нужд апи телефонии и интернет трафика , все работает. Но сложилась ситуация что канала катострофически нестало хватать телефонии появился так сказать большой джитер.
Решили создать еще один канал по Ethernet со скоростью 10мб, который физически подключается в интерфейс Eth0/0
Так вот подскажите как настроить конфиг, чтобы работало используя один пул адресов но 2 канала, по которым отдельно бы ходило интренет и телефония?

Привожу старый конфиг:

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname skynet
!
boot-start-marker
boot-end-marker
!
card type e1 0 2
enable secret 5 **********.
enable password *********
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 1
aaa accounting network default start-stop group radius
!
aaa session-id common
!
resource policy
!
clock timezone TLDK 6
network-clock-participate wic 2
!
!
ip cef
!
!
ip name-server 212.19.200.100
ip name-server 212.19.200.101
vpdn enable
!
vpdn-group ****
!
!
!
isdn switch-type primary-net5
!
voice-card 0
no dspfarm
!
!
voice call disc-pi-off
!
voice service pots
supported-language ru
!
voice service voip
allow-connections h323 to h323
fax protocol t38 ls-redundancy 0 hs-redundancy 0 fallback cisco
h323
!
!
!
voice class codec 2
codec preference 1 g729r8
codec preference 2 g729br8
codec preference 3 g711alaw
codec preference 4 g711ulaw
codec preference 5 g723r63
codec preference 7 g726r24
codec preference 8 g726r16
codec preference 9 g723r53
codec preference 10 g723ar63
!
voice class codec 728
codec preference 1 g711alaw
codec preference 2 g711ulaw
!
!
!
!
!
!
voice class custom-cptone 100
dualtone busy
  frequency 430
  cadence 350 350
dualtone disconnect
  frequency 425 435
  cadence 350 continuous
!
!
!
!
!
!
!
voice statistics type csr
!
!
!
!
username skynet privilege 15 secret 5 *********
!
!
controller DSL 0/1/0
mode atm
line-term cpe
line-mode 2-wire line-zero
dsl-mode shdsl symmetric annex A-B
line-rate auto
!
controller E1 0/2/0
framing NO-CRC4
pri-group timeslots 1-24
description Cisco2811 E1
!
controller E1 0/2/1
shutdown
!
!
bridge irb
!
!
!
bba-group pppoe global
virtual-template 1
!
!
interface Tunnel1
description KTCompany
ip address 85.195.180.254 255.255.255.252
ip nat outside
ip virtual-reassembly
tunnel source 85.195.180.254
tunnel destination 77.94.37.142
tunnel mode ipip
!
interface FastEthernet0/0
ip address 10.12.6.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
ip cgmp proxy
duplex half
speed auto
no mop enabled
h323-gateway voip interface
!
interface FastEthernet0/1
ip address 192.168.100.2 255.255.255.0
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
no mop enabled
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
!        
interface ATM0/1/0.1 point-to-point
description WAN_Kazaktelecom
ip virtual-reassembly
no snmp trap link-status
bridge-group 1
pvc 0/35
  encapsulation aal5snap
!
!
interface Serial0/2/0:15
description D canal ATC DMS 100/200
no ip address
encapsulation hdlc
no logging event link-status
isdn switch-type primary-net5
isdn incoming-voice voice
isdn map address .* plan isdn type national
isdn T309-enable
isdn T310 60000
no cdp enable
!
interface Virtual-Template1
ip unnumbered FastEthernet0/1
ip accounting output-packets
ip mtu 1492
ip nat inside
ip virtual-reassembly
ppp authentication chap callin
!
interface BVI1
ip address 85.195.180.254 255.255.255.252
ip access-group NET-72.10 in
ip nat outside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 85.195.180.253
!
!
no ip http server
no ip http secure-server

ip nat inside source route-map BVI1-map interface BVI1 overload
ip nat inside source route-map BVI1-map-ppp interface BVI1 overload
ip nat inside source route-map TUNNEL-map interface Tunnel1 overload
ip nat inside source route-map TUNNEL-map-ppp interface Tunnel1 overload
!
ip access-list extended NET-72.10
deny   ip 72.10.169.0 0.0.0.255 any
permit ip any any
!
ip radius source-interface FastEthernet0/0
access-list 102 permit ip 10.12.6.0 0.0.0.255 any
access-list 104 permit ip 192.168.18.0 0.0.0.255 any
!
!
!
route-map TUNNEL-map-ppp permit 12
match ip address 104
match interface Tunnel1
!
route-map BVI1-map permit 10
match ip address 102
match interface BVI1
!
route-map TUNNEL-map permit 10
match ip address 102
match interface Tunnel1
!        
route-map BVI1-map-ppp permit 12
match ip address 104
match interface BVI1
!
!
!
radius-server host 10.12.6.100 auth-port 1900 acct-port 1901
radius-server timeout 10
radius-server key test
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
voice-port 0/0/0
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/0/1
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/0/2
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/0/3
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/2/0:15
cptone RU
description port for ATS DMS 100/200
!
voice-port 0/3/0
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
cptone RU
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/3/1
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
cptone RU
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/3/2
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
cptone RU
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/3/3
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
cptone RU
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
!
!
!
!
dial-peer voice 1 voip
destination-pattern T
voice-class codec 2
session target ipv4:10.12.6.100
dtmf-relay h245-alphanumeric
fax-relay ecm disable
fax rate 9600
fax protocol t38 ls-redundancy 5 hs-redundancy 2 fallback cisco
ip qos dscp cs5 media
ip qos dscp cs5 signaling
!
dial-peer voice 810 pots
destination-pattern 7728....
no digit-strip
direct-inward-dial
port 0/2/0:15
!
dial-peer voice 7282 voip
shutdown
destination-pattern 7511750...
voice-class codec 728
session target ipv4:10.12.6.90
dtmf-relay h245-alphanumeric
fax rate 9600
fax protocol t38 ls-redundancy 2 hs-redundancy 0 fallback cisco
ip qos dscp cs5 media
ip qos dscp cs5 signaling
no vad
!
dial-peer voice 7511750 voip
shutdown
destination-pattern 7511750555
session target ipv4:10.12.6.7
dtmf-relay h245-alphanumeric
fax rate 9600
fax protocol t38 ls-redundancy 2 hs-redundancy 0 fallback cisco
ip qos dscp cs5 media
ip qos dscp cs5 signaling
!
!
!

вот прошу порекомендовть мне как действовать имея один пул адресов (новый, в конфиге он еще не указан), можнона на примере конфига рассказать.

Большое спасибо.
                      

• 1 ISP 2  канала связи,j_vw, 19:37 , 25-Мрт-10
  • 1 ISP 2  канала связи,Gbyte, 20:26 , 25-Мрт-10
    • 1 ISP 2  канала связи,j_vw, 21:07 , 25-Мрт-10
      • 1 ISP 2  канала связи,Pve1, 21:52 , 25-Мрт-10
        • 1 ISP 2  канала связи,j_vw, 22:00 , 25-Мрт-10
      • 1 ISP 2  канала связи,Gbyte, 06:49 , 26-Мрт-10
        • 1 ISP 2  канала связи,tilk, 07:47 , 26-Мрт-10
          • 1 ISP 2  канала связи,tilk, 10:04 , 26-Мрт-10
            • 1 ISP 2  канала связи,j_vw, 10:14 , 26-Мрт-10
              • 1 ISP 2  канала связи,tilk, 10:18 , 26-Мрт-10
        • 1 ISP 2  канала связи,j_vw, 09:54 , 26-Мрт-10
          • 1 ISP 2  канала связи,tilk, 11:19 , 26-Мрт-10
            • 1 ISP 2  канала связи,j_vw, 11:28 , 26-Мрт-10
              • 1 ISP 2  канала связи,tilk, 11:36 , 26-Мрт-10
          • 1 ISP 2  канала связи,Gbyte, 12:22 , 26-Мрт-10
• 1 ISP 2  канала связи,ShyLion, 13:45 , 26-Мрт-10
  • 1 ISP 2  канала связи,tilk, 13:53 , 26-Мрт-10
    • 1 ISP 2  канала связи,ShyLion, 14:20 , 26-Мрт-10
      • 1 ISP 2  канала связи,tilk, 14:24 , 26-Мрт-10
        • 1 ISP 2  канала связи,Gbyte, 15:04 , 26-Мрт-10
          • 1 ISP 2  канала связи,tilk, 15:07 , 26-Мрт-10
            • 1 ISP 2  канала связи,Gbyte, 15:14 , 26-Мрт-10
        • 1 ISP 2  канала связи,ShyLion, 16:05 , 26-Мрт-10
          • 1 ISP 2  канала связи,tilk, 15:20 , 01-Апр-10
            • 1 ISP 2  канала связи,ShyLion, 15:58 , 01-Апр-10
              • 1 ISP 2  канала связи,tilk, 16:12 , 01-Апр-10
                • 1 ISP 2  канала связи,ShyLion, 07:13 , 02-Апр-10
                • 1 ISP 2  канала связи,ShyLion, 07:15 , 02-Апр-10
                  • 1 ISP 2  канала связи,tilk, 07:18 , 02-Апр-10
                    • 1 ISP 2  канала связи,ShyLion, 09:00 , 02-Апр-10
                    • 1 ISP 2  канала связи,ShyLion, 09:03 , 02-Апр-10

>
>Имеем пулл адресов **.**.**.** 255.255.255.224 (32 адреса) шлюзом будет адрес ****.193
>пул начинается с ***,192 по 223 адрес.
>
> который физически
>подключается в интерфейс Eth0/0
>Так вот подскажите как настроить конфиг, чтобы работало используя один пул адресов
>но 2 канала, по которым отдельно бы ходило интренет и телефония?

ИМНО, один пул не получится....
Либо просите провайдера о выделении нового, либо пусть старый делят на две подсети...

А, дальше, например, роут-мепом разведите телефонию и интернет...

>
>ИМНО, один пул не получится....

Мне кажется можно обойтись маршрутизацией - договорится с провайдером, настроить статику или динамическую маршрутизацию.

Вы у себя на оба канала маршрут в 0.0.0.0 настраиваете, они у себя прописывают ваш пул на обоих каналах.

>
>>
>>ИМНО, один пул не получится....
>
>Мне кажется можно обойтись маршрутизацией - договорится с провайдером, настроить статику или
>динамическую маршрутизацию.
>
>Вы у себя на оба канала маршрут в 0.0.0.0 настраиваете, они у
>себя прописывают ваш пул на обоих каналах.

не хиляет... ;)
Маршрутизация внутри одной сетки.... ;)
Ну, сами понимаете.. ;)

http://www.anticisco.ru/index.php?sn=pub
Статья №3.

Как раз то, что вам нужно, и даже больше)

http://www.anticisco.ru/pubs/DualISPRouter.pdf

Это другая задача.....
Совсем другая....
Хотя некоторые решения применимы....(IP SLA для РЕЗЕРВИРОВАНИЯ....С оговорками)

>
>не хиляет... ;)
>Маршрутизация внутри одной сетки.... ;)
>Ну, сами понимаете.. ;)

отчего это не хиляет?

у человека на двух линках разные подсети и подсеть белых адресов на собственном рутере - очень даже все хорошо и правильно.

>>
>>не хиляет... ;)
>>Маршрутизация внутри одной сетки.... ;)
>>Ну, сами понимаете.. ;)
>
>отчего это не хиляет?
>
>у человека на двух линках разные подсети и подсеть белых адресов на
>собственном рутере - очень даже все хорошо и правильно.

итак, я понял что логичнее и безболезненее заказать еще один пул адресов. простить телеком делить существующий пулл это волокита и трата времени. будем простить ))).
А как дальше быть ? направьте человека на правильный путь)))

Ребята прошу проверить и высказать свое мнение(рабочий, не рабочий, что подправить ) о новом конфиге.
есть 2 белые сети(оставили старый пулл и взяли новый).

version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ******
!
boot-start-marker
boot-end-marker
!
enable secret 5 *****************
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 1
aaa accounting network default start-stop group radius
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
vpdn enable
!
vpdn-group test
!
!
!
!
voice-card 0
no dspfarm
!
!
voice call disc-pi-off
!
voice service pots
supported-language ru
!
voice service voip
allow-connections h323 to h323
fax protocol t38 ls-redundancy 0 hs-redundancy 0 fallback cisco
h323
!
!
!
voice class codec 2
codec preference 1 g729r8
codec preference 2 g729br8
codec preference 3 g711alaw
codec preference 4 g711ulaw
codec preference 5 g723r63
codec preference 7 g726r24
codec preference 8 g726r16
codec preference 9 g723r53
codec preference 10 g723ar63
!
voice class codec 728
codec preference 1 g711alaw
codec preference 2 g711ulaw
!
!
!
!
!
!
voice class custom-cptone 100
dualtone busy
  frequency 430
  cadence 350 350
dualtone disconnect
  frequency 425 435
  cadence 350 continuous
!
!
!
voice statistics type csr
!
!
!
!
username skynet privilege 15 secret 5 ****************
!
!
!
bridge irb
!
!
!
bba-group pppoe global
virtual-template 1
!
!
interface FastEthernet0/0
description WAN_Kazaxtelecom_SkyNet
ip address 88.*.*.206 255.255.255.224
ip nat outside
no ip virtual-reassembly
ip cgmp proxy
duplex half
speed auto
no mop enabled
!
interface FastEthernet0/1
description Local_SkyNet
ip address 192.168.18.2 255.255.255.0 secondary
ip address 10.12.6.1 255.255.255.0
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
no mop enabled
h323-gateway voip interface
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/1/0.1 point-to-point
description WAN_Kazaktelecom_VOIP
ip virtual-reassembly
no snmp trap link-status
bridge-group 1
pvc 0/35
  encapsulation aal5snap
!
!
interface Virtual-Template1
ip unnumbered FastEthernet0/1
ip accounting output-packets
ip mtu 1492
ip nat inside
ip virtual-reassembly
ppp authentication chap callin
!
interface BVI1
ip address 89.*.*.234 255.255.255.252
ip nat outside
ip virtual-reassembly
!
ip route 10.12.6.0 255.255.255.0 89.*.*.233
ip route 192.168.18.0 255.255.255.0 88.*.*.193
!
!
ip http server
no ip http secure-server
!
ip radius source-interface FastEthernet0/1
access-list 102 permit ip host 10.12.6.7 any
access-list 104 permit ip 192.168.18.0 0.0.0.255 any
!
!
!
route-map Eth-10-map permit 12
match ip address 104
match interface FastEthernet0/0
!
route-map BVI1-map permit 10
match ip address 102
match interface BVI1
!
!
!
radius-server host 10.12.6.7 auth-port 1900 acct-port 1901
radius-server timeout 10
radius-server key test
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
!
!
scheduler allocate 20000 1000

Сразу неправильно:
ip route 10.12.6.0 255.255.255.0 89.*.*.233
ip route 192.168.18.0 255.255.255.0 88.*.*.193

Теперь у вас схема с двумя провайдерами...
Читаем:
http://anticisco.ru/pubs/DualISPRouter.pdf

>Сразу неправильно:
>ip route 10.12.6.0 255.255.255.0 89.*.*.233
>ip route 192.168.18.0 255.255.255.0 88.*.*.193
>
>Теперь у вас схема с двумя провайдерами...
>Читаем:
>http://anticisco.ru/pubs/DualISPRouter.pdf

почему?

мне нужно чтобы каждая подсеть только ходила на своего провайдера

эта сеть только сюда >ip route 10.12.6.0 255.255.255.0 89.*.*.233
а эта только сюда >ip route 192.168.18.0 255.255.255.0 88.*.*.193

или такая схема не рабочая?

>
>у человека на двух линках разные подсети

Это откуда взяли?
Вот чтобы так было и нужен второй пул на другой линк.
А пока у него ОДНА подсеть (белая) и ОДИН линк.

>и подсеть белых адресов на
>собственном рутере - очень даже все хорошо и правильно.

>Сразу неправильно:
>ip route 10.12.6.0 255.255.255.0 89.*.*.233
>ip route 192.168.18.0 255.255.255.0 88.*.*.193
>
>Теперь у вас схема с двумя провайдерами...
>Читаем:
>http://anticisco.ru/pubs/DualISPRouter.pdf

почему?

мне нужно чтобы каждая подсеть только ходила на своего провайдера

эта сеть только сюда >ip route 10.12.6.0 255.255.255.0 89.*.*.233
а эта только сюда >ip route 192.168.18.0 255.255.255.0 88.*.*.193

или такая схема не рабочая?

>
>эта сеть только сюда >ip route 10.12.6.0 255.255.255.0 89.*.*.233
>а эта только сюда >ip route 192.168.18.0 255.255.255.0 88.*.*.193

Перевожу на русский:
У вас написано, что В!!! сеть 10.12.6.0 нужно ходить через 89.*.*.233

А на самом деле, нужно писать, например,
0.0.0.0 0.0.0.0 89.*.*.233
0.0.0.0 0.0.0.0 88.*.*.193 10

Дальше, с помощью route-map раскидываете трафик по провайдерам.
С помощью ip sla, так же, возможно резервировать каналы, чтобы при обрыве одного линка, весь трафик уходил по живому.
В статье, ссылку на которую я дал, все нужные вам технологии есть....

>[оверквотинг удален]
>
>А на самом деле, нужно писать, например,
>0.0.0.0 0.0.0.0 89.*.*.233
>0.0.0.0 0.0.0.0 88.*.*.193 10
>
>Дальше, с помощью route-map раскидываете трафик по провайдерам.
>С помощью ip sla, так же, возможно резервировать каналы, чтобы при обрыве
>одного линка, весь трафик уходил по живому.
>В статье, ссылку на которую я дал, все нужные вам технологии есть....
>

большое спасибо.....я не так вас понял)), думал что то другое тоже не верно. а мои роут мапы правильно написанны? вы не скажите свое мнение?

>
>>
>>у человека на двух линках разные подсети
>
>Это откуда взяли?
>Вот чтобы так было и нужен второй пул на другой линк.
>А пока у него ОДНА подсеть (белая) и ОДИН линк.
>

Прочитал начальный конфиг.
У человека два физических на прова интерфейса на которых серые IP..

>>и подсеть белых адресов на
>>собственном рутере - очень даже все хорошо и правильно.

И сеть белых адресов :)

вот прову достаточно прописать у себя что в обоих линках этого клиента есть его белая сеть...

>Добрый день!
>Прошу подсказать Вас решение данной проблемы:

что-то я не вижу никакого пула, который ты хотел бы сохранить и главное для чего?
Также не совсем понятно как IP телефония связана с каналами на провайдера - все диалпиры у тебя вовнутрь смотрят, либо ты чего-то не договариваешь.

>что-то я не вижу никакого пула, который ты хотел бы сохранить и
>главное для чего?

пулл на 32 адреса/224 новый, по адресу которыго инте будет идти.....вот как понять сохранить.....мне непонятно.

>Также не совсем понятно как IP телефония связана с каналами на провайдера
>- все диалпиры у тебя вовнутрь смотрят, либо ты чего-то не
>договариваешь.

старый пул из 4 адресов 252 по нему телефония уходит в интернет по дсл.....все договариваю, если что спросите конкретно.....даил пиры тут вообще не приводил пока.

>[оверквотинг удален]
>понять сохранить.....мне непонятно.
>
>
>>Также не совсем понятно как IP телефония связана с каналами на провайдера
>>- все диалпиры у тебя вовнутрь смотрят, либо ты чего-то не
>>договариваешь.
>
>старый пул из 4 адресов 252 по нему телефония уходит в интернет
>по дсл.....все договариваю, если что спросите конкретно.....даил пиры тут вообще не
>приводил пока.

Так в итоге надо чтобы оба пула были или один?

Вообще раскидывать трафик в сторону провайдера - роутмапами на интерфейсах где ip nat inside стоит для трафика от клиентских сетей и ip local policy route-map для трафика, который генерит сама киса (только тут есть нюанс с тоннелями - тоннельный трафик, после инкапсуляции, под локальную политику не попадает. это известный баг и лечится только отдельным статическим маршрутом). Это source-based routing. Роутмапы можно еще оснастить ip sla + tracking.
Провайдер в свою очередь должен будет прописать для разных пулов разные интерфейсы.

В целом схема конечно получится громоздкая.
Еще можно подумать насчет VRF - клиентов интернета и отдельный для них канал назначить на отдельный VRF и они будут жить вообще сами по себе.

>>[оверквотинг удален]
>Так в итоге надо чтобы оба пула были или один?

первый варивант моей задачи неподойтет, тяжел в реализации. выбрал 2 вариант, при котором есть две разные белые сети. по одной пойдет инет , по другой телефония.

привел набитый конфиг, воот  и прошу его теперь проверить вас. на предмет, будет работать или нет интернет

>>>[оверквотинг удален]
>>Так в итоге надо чтобы оба пула были или один?
>
> первый варивант моей задачи неподойтет, тяжел в реализации. выбрал 2 вариант,
>при котором есть две разные белые сети. по одной пойдет инет
>, по другой телефония.
>
>привел набитый конфиг, воот  и прошу его теперь проверить вас. на
>предмет, будет работать или нет интернет

У тебя линки с провайдером с серыми адресами так? если да, то зачем тебе жестко привязываться белыми подсетями к физике? не лучше ди обеспечить отказоустойчивость - провайдер оба твоих пула прописывает за твоими интерфейсами и вы получаете оба рабочих канала с резервированием.

>>>>[оверквотинг удален]
>У тебя линки с провайдером с серыми адресами так? если да, то
>зачем тебе жестко привязываться белыми подсетями к физике? не лучше ди
>обеспечить отказоустойчивость - провайдер оба твоих пула прописывает за твоими интерфейсами
>и вы получаете оба рабочих канала с резервированием.

нет, у меня линки с провайдером с белыми адресами.

>>>>>[оверквотинг удален]
>>У тебя линки с провайдером с серыми адресами так? если да, то
>>зачем тебе жестко привязываться белыми подсетями к физике? не лучше ди
>>обеспечить отказоустойчивость - провайдер оба твоих пула прописывает за твоими интерфейсами
>>и вы получаете оба рабочих канала с резервированием.
>
>нет, у меня линки с провайдером с белыми адресами.

Дело ваше, но первое что делают когда строят сеть - это дизайн.
Дизайн должен быть максимально простым и предоставлять возможность для развития.

максимально просто было бы договорится с провом о том что на линках у тебя будут серые адреса и пров пропишет твои белые сети. таким образом вы сразу избавляетесь от всяких sla, лишних route-map и др.

>привел набитый конфиг, воот  и прошу его теперь проверить вас. на
>предмет, будет работать или нет интернет

тогда ты попадаешь под стандартную ситуацию "Два ISP на одном роутере"

добавь еще роутмап

route-map RM deny 10
  match ip address LOCAL_traffic
route-map RM permit 20
  match ip address ISP1_traffic
  set ip next-hop ISP1_next_hop_IP
route-map RM permit 30
  match ip address ISP2_traffic
  set ip next-hop ISP2_next_hop_IP

и повесь его на inside интерфейсы:

interface FasX/X
ip policy route-map RM

и локальную политику для самой кисы и сервисов, которые ей используются
ip local policy route-map RM

в роутмапах, которые на нате у тебя, оставь только match interface

дефолтный маршрут будет использоваться для трафика, который не попал под полиси

все это еще можно сдобрить IP SLA

>[оверквотинг удален]
> ip policy route-map RM
>
>и локальную политику для самой кисы и сервисов, которые ей используются
>ip local policy route-map RM
>
>в роутмапах, которые на нате у тебя, оставь только match interface
>
>дефолтный маршрут будет использоваться для трафика, который не попал под полиси
>
>все это еще можно сдобрить IP SLA

В продолжении темы: я создал конфиг для начала маленький, в котором мне нужно прсто попадать в инет с локальных машин из двух разных сетей. привожу конфиг:

interface FastEthernet0/0
description WAN_Kazaxtelecom_SkyNet
ip address 212.154.**** 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!

interface FastEthernet0/1.1
encapsulation dot1Q 100 native
ip address 10.12.6.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
no cdp enable
!
interface FastEthernet0/1.2
encapsulation dot1Q 200
ip address 192.168.18.2 255.255.255.0
ip nat inside
no ip virtual-reassembly
no cdp enable
!
!
ip route 0.0.0.0 0.0.0.0 212.154.****
!
!
ip nat inside source route-map sky_local_1 interface FastEthernet0/0 overload
ip nat inside source route-map sky_local_2 interface FastEthernet0/0 overload
!
access-list 102 permit ip 10.12.6.0 0.0.0.255 any
access-list 104 permit ip 192.168.18.0 0.0.0.255 any
!
!
!
route-map sky_local_1 permit 10
match ip address 102
match interface FastEthernet0/0

!
route-map sky_local_2 permit 12
match ip address 104
match interface FastEthernet0/0
!

работает только та сетка на которой прописано -
interface FastEthernet0/1.1
encapsulation dot1Q 100 native ,  а именно native

вопрос почему если убераешь native все перестает работать, даже с локальной сети интерфейс не пингуется.

>вопрос почему если убераешь native все перестает работать, даже с локальной сети
>интерфейс не пингуется.

ты чего-то мягкое с теплым смешиваешь.
Какие у тебя виланы на свиче, куда FastEthernet0/1 воткнут?
какие сети в этих виланах?
покажи конфиг интерфейса с того конца.

>>вопрос почему если убераешь native все перестает работать, даже с локальной сети
>>интерфейс не пингуется.
>
>ты чего-то мягкое с теплым смешиваешь.
>Какие у тебя виланы на свиче, куда FastEthernet0/1 воткнут?
>какие сети в этих виланах?
>покажи конфиг интерфейса с того конца.

я первый раз VLan делал и честно скажу , что на другой стороне нету виланов ниа свиче , и даже свича нету))).

я может не в ту степь полез с конфигом.

задача такая: есть провайдер , подключен к FEth 0/0
на FEth0/1 конектяться клиенты с разных подсетей -  с 10 сети и 192 сети. я хотел чтобы одни проходили свободно в инет с интерфейса FEth0/1.1 а с FEth0/1.2 авторизовались по PPPoE такое возможно реализавть или нет?

>я первый раз VLan делал и честно скажу , что на другой
>стороне нету виланов ниа свиче , и даже свича нету))).

Тогда не надо делать сабинтерфейсов. Они предназначены для случаев, когда используется 802.1q транк и позволяет в каждом вилане по интерфейсу создать и роутить между ними.
Native означает, что этот вилан через транковые порты ходит без 802.1q тега.
Убери всю эту хреновину и на обычный интерфейс без точки повесь два IP из этих сетей. Один из адресов добаваляй с secondary в конце. Таких secondary адресов на интерфейсе может быть много.

interface FastEthernet0/1
  ip address 10.12.6.1 255.255.255.0
  ip address 192.168.18.2 255.255.255.0 secondary
  ip nat inside
!

>interface FastEthernet0/1
>  ip address 10.12.6.1 255.255.255.0
>  ip address 192.168.18.2 255.255.255.0 secondary
>  ip nat inside
>!

Большое спасибо за ответ.
Я так и делал до этого, но тут возникает вопрос. у меня клиенты которые ходят по 192,168,18,* сети они должны авторизоваться по PPPOE а с сети 10,12,6,* не должны, она довереннная, если я их сожу их боих адресами на инт. то мне приходиться обоих авторизовать. Может есть вариант как на одном интерфейсе одну подсеть авторизовать а другую нет?

>Может есть вариант как на одном интерфейсе одну подсеть авторизовать а
>другую нет?

PPPoE работает поверх 2 уровня. Ему вообще до фени, какие там у кого IP. В том числе и на интерфейсе.

>Может есть вариант как на одном интерфейсе одну подсеть авторизовать а
>другую нет?

Физически они у тебя в одном сегменте. С таким подходом им ничего не мешает назначать самостоятельно IP (и даже MAC) от чужой машины.
Для разделения их надо селить в разных сегментах. Либо на отдельных свичах, либо в разных VLAN.