Добрый день!
Прошу подсказать Вас решение данной проблемы:Есть провайдер к которому идут 2 физических канала связи: 1-й по Ethernet и 2-й по SHDSL.
Настаривается все на Cisco2811 c IOS Version 12.4(13r)T, RELEASE SOFTWARE (fc1)Схема нового подключения такая:(попытаюсь изобразить)
|---
|
------2Mb/c(SHDSL)----(VOiP WAN)
|
|
-----10Mb/c(Eth)------ (WAN) Cisco 2811
|
|
---(клиенты)PPPoE))---|
|-----Имеем пулл адресов **.**.**.** 255.255.255.224 (32 адреса) шлюзом будет адрес ****.193
пул начинается с ***,192 по 223 адрес.При старой схеме работы, по дсл получаем 2 мегабита для нужд апи телефонии и интернет трафика , все работает. Но сложилась ситуация что канала катострофически нестало хватать телефонии появился так сказать большой джитер.
Решили создать еще один канал по Ethernet со скоростью 10мб, который физически подключается в интерфейс Eth0/0
Так вот подскажите как настроить конфиг, чтобы работало используя один пул адресов но 2 канала, по которым отдельно бы ходило интренет и телефония?Привожу старый конфиг:
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname skynet
!
boot-start-marker
boot-end-marker
!
card type e1 0 2
enable secret 5 **********.
enable password *********
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 1
aaa accounting network default start-stop group radius
!
aaa session-id common
!
resource policy
!
clock timezone TLDK 6
network-clock-participate wic 2
!
!
ip cef
!
!
ip name-server 212.19.200.100
ip name-server 212.19.200.101
vpdn enable
!
vpdn-group ****
!
!
!
isdn switch-type primary-net5
!
voice-card 0
no dspfarm
!
!
voice call disc-pi-off
!
voice service pots
supported-language ru
!
voice service voip
allow-connections h323 to h323
fax protocol t38 ls-redundancy 0 hs-redundancy 0 fallback cisco
h323
!
!
!
voice class codec 2
codec preference 1 g729r8
codec preference 2 g729br8
codec preference 3 g711alaw
codec preference 4 g711ulaw
codec preference 5 g723r63
codec preference 7 g726r24
codec preference 8 g726r16
codec preference 9 g723r53
codec preference 10 g723ar63
!
voice class codec 728
codec preference 1 g711alaw
codec preference 2 g711ulaw
!
!
!
!
!
!
voice class custom-cptone 100
dualtone busy
frequency 430
cadence 350 350
dualtone disconnect
frequency 425 435
cadence 350 continuous
!
!
!
!
!
!
!
voice statistics type csr
!
!
!
!
username skynet privilege 15 secret 5 *********
!
!
controller DSL 0/1/0
mode atm
line-term cpe
line-mode 2-wire line-zero
dsl-mode shdsl symmetric annex A-B
line-rate auto
!
controller E1 0/2/0
framing NO-CRC4
pri-group timeslots 1-24
description Cisco2811 E1
!
controller E1 0/2/1
shutdown
!
!
bridge irb
!
!
!
bba-group pppoe global
virtual-template 1
!
!
interface Tunnel1
description KTCompany
ip address 85.195.180.254 255.255.255.252
ip nat outside
ip virtual-reassembly
tunnel source 85.195.180.254
tunnel destination 77.94.37.142
tunnel mode ipip
!
interface FastEthernet0/0
ip address 10.12.6.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
ip cgmp proxy
duplex half
speed auto
no mop enabled
h323-gateway voip interface
!
interface FastEthernet0/1
ip address 192.168.100.2 255.255.255.0
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
no mop enabled
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
!
interface ATM0/1/0.1 point-to-point
description WAN_Kazaktelecom
ip virtual-reassembly
no snmp trap link-status
bridge-group 1
pvc 0/35
encapsulation aal5snap
!
!
interface Serial0/2/0:15
description D canal ATC DMS 100/200
no ip address
encapsulation hdlc
no logging event link-status
isdn switch-type primary-net5
isdn incoming-voice voice
isdn map address .* plan isdn type national
isdn T309-enable
isdn T310 60000
no cdp enable
!
interface Virtual-Template1
ip unnumbered FastEthernet0/1
ip accounting output-packets
ip mtu 1492
ip nat inside
ip virtual-reassembly
ppp authentication chap callin
!
interface BVI1
ip address 85.195.180.254 255.255.255.252
ip access-group NET-72.10 in
ip nat outside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 85.195.180.253
!
!
no ip http server
no ip http secure-serverip nat inside source route-map BVI1-map interface BVI1 overload
ip nat inside source route-map BVI1-map-ppp interface BVI1 overload
ip nat inside source route-map TUNNEL-map interface Tunnel1 overload
ip nat inside source route-map TUNNEL-map-ppp interface Tunnel1 overload
!
ip access-list extended NET-72.10
deny ip 72.10.169.0 0.0.0.255 any
permit ip any any
!
ip radius source-interface FastEthernet0/0
access-list 102 permit ip 10.12.6.0 0.0.0.255 any
access-list 104 permit ip 192.168.18.0 0.0.0.255 any
!
!
!
route-map TUNNEL-map-ppp permit 12
match ip address 104
match interface Tunnel1
!
route-map BVI1-map permit 10
match ip address 102
match interface BVI1
!
route-map TUNNEL-map permit 10
match ip address 102
match interface Tunnel1
!
route-map BVI1-map-ppp permit 12
match ip address 104
match interface BVI1
!
!
!
radius-server host 10.12.6.100 auth-port 1900 acct-port 1901
radius-server timeout 10
radius-server key test
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
voice-port 0/0/0
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/0/1
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/0/2
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/0/3
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/2/0:15
cptone RU
description port for ATS DMS 100/200
!
voice-port 0/3/0
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
cptone RU
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/3/1
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
cptone RU
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/3/2
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
cptone RU
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
voice-port 0/3/3
supervisory disconnect dualtone mid-call
supervisory custom-cptone 100
cptone RU
timeouts call-disconnect 5
timeouts wait-release 5
connection plar 212031
!
!
!
!
!
dial-peer voice 1 voip
destination-pattern T
voice-class codec 2
session target ipv4:10.12.6.100
dtmf-relay h245-alphanumeric
fax-relay ecm disable
fax rate 9600
fax protocol t38 ls-redundancy 5 hs-redundancy 2 fallback cisco
ip qos dscp cs5 media
ip qos dscp cs5 signaling
!
dial-peer voice 810 pots
destination-pattern 7728....
no digit-strip
direct-inward-dial
port 0/2/0:15
!
dial-peer voice 7282 voip
shutdown
destination-pattern 7511750...
voice-class codec 728
session target ipv4:10.12.6.90
dtmf-relay h245-alphanumeric
fax rate 9600
fax protocol t38 ls-redundancy 2 hs-redundancy 0 fallback cisco
ip qos dscp cs5 media
ip qos dscp cs5 signaling
no vad
!
dial-peer voice 7511750 voip
shutdown
destination-pattern 7511750555
session target ipv4:10.12.6.7
dtmf-relay h245-alphanumeric
fax rate 9600
fax protocol t38 ls-redundancy 2 hs-redundancy 0 fallback cisco
ip qos dscp cs5 media
ip qos dscp cs5 signaling
!
!
!вот прошу порекомендовть мне как действовать имея один пул адресов (новый, в конфиге он еще не указан), можнона на примере конфига рассказать.
Большое спасибо.
>
>Имеем пулл адресов **.**.**.** 255.255.255.224 (32 адреса) шлюзом будет адрес ****.193
>пул начинается с ***,192 по 223 адрес.
>
> который физически
>подключается в интерфейс Eth0/0
>Так вот подскажите как настроить конфиг, чтобы работало используя один пул адресов
>но 2 канала, по которым отдельно бы ходило интренет и телефония?ИМНО, один пул не получится....
Либо просите провайдера о выделении нового, либо пусть старый делят на две подсети...А, дальше, например, роут-мепом разведите телефонию и интернет...
>
>ИМНО, один пул не получится....Мне кажется можно обойтись маршрутизацией - договорится с провайдером, настроить статику или динамическую маршрутизацию.
Вы у себя на оба канала маршрут в 0.0.0.0 настраиваете, они у себя прописывают ваш пул на обоих каналах.
>
>>
>>ИМНО, один пул не получится....
>
>Мне кажется можно обойтись маршрутизацией - договорится с провайдером, настроить статику или
>динамическую маршрутизацию.
>
>Вы у себя на оба канала маршрут в 0.0.0.0 настраиваете, они у
>себя прописывают ваш пул на обоих каналах.не хиляет... ;)
Маршрутизация внутри одной сетки.... ;)
Ну, сами понимаете.. ;)
http://www.anticisco.ru/index.php?sn=pub
Статья №3.Как раз то, что вам нужно, и даже больше)
Это другая задача.....
Совсем другая....
Хотя некоторые решения применимы....(IP SLA для РЕЗЕРВИРОВАНИЯ....С оговорками)
>
>не хиляет... ;)
>Маршрутизация внутри одной сетки.... ;)
>Ну, сами понимаете.. ;)отчего это не хиляет?
у человека на двух линках разные подсети и подсеть белых адресов на собственном рутере - очень даже все хорошо и правильно.
>>
>>не хиляет... ;)
>>Маршрутизация внутри одной сетки.... ;)
>>Ну, сами понимаете.. ;)
>
>отчего это не хиляет?
>
>у человека на двух линках разные подсети и подсеть белых адресов на
>собственном рутере - очень даже все хорошо и правильно.итак, я понял что логичнее и безболезненее заказать еще один пул адресов. простить телеком делить существующий пулл это волокита и трата времени. будем простить ))).
А как дальше быть ? направьте человека на правильный путь)))
Ребята прошу проверить и высказать свое мнение(рабочий, не рабочий, что подправить ) о новом конфиге.
есть 2 белые сети(оставили старый пулл и взяли новый).version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname ******
!
boot-start-marker
boot-end-marker
!
enable secret 5 *****************
!
aaa new-model
!
!
aaa authentication login default local
aaa authentication ppp default group radius
aaa authorization network default group radius
aaa accounting update periodic 1
aaa accounting network default start-stop group radius
!
aaa session-id common
!
resource policy
!
!
!
ip cef
!
!
vpdn enable
!
vpdn-group test
!
!
!
!
voice-card 0
no dspfarm
!
!
voice call disc-pi-off
!
voice service pots
supported-language ru
!
voice service voip
allow-connections h323 to h323
fax protocol t38 ls-redundancy 0 hs-redundancy 0 fallback cisco
h323
!
!
!
voice class codec 2
codec preference 1 g729r8
codec preference 2 g729br8
codec preference 3 g711alaw
codec preference 4 g711ulaw
codec preference 5 g723r63
codec preference 7 g726r24
codec preference 8 g726r16
codec preference 9 g723r53
codec preference 10 g723ar63
!
voice class codec 728
codec preference 1 g711alaw
codec preference 2 g711ulaw
!
!
!
!
!
!
voice class custom-cptone 100
dualtone busy
frequency 430
cadence 350 350
dualtone disconnect
frequency 425 435
cadence 350 continuous
!
!
!
voice statistics type csr
!
!
!
!
username skynet privilege 15 secret 5 ****************
!
!
!
bridge irb
!
!
!
bba-group pppoe global
virtual-template 1
!
!
interface FastEthernet0/0
description WAN_Kazaxtelecom_SkyNet
ip address 88.*.*.206 255.255.255.224
ip nat outside
no ip virtual-reassembly
ip cgmp proxy
duplex half
speed auto
no mop enabled
!
interface FastEthernet0/1
description Local_SkyNet
ip address 192.168.18.2 255.255.255.0 secondary
ip address 10.12.6.1 255.255.255.0
ip virtual-reassembly
duplex auto
speed auto
pppoe enable
no mop enabled
h323-gateway voip interface
!
interface ATM0/1/0
no ip address
no atm ilmi-keepalive
dsl operating-mode auto
!
interface ATM0/1/0.1 point-to-point
description WAN_Kazaktelecom_VOIP
ip virtual-reassembly
no snmp trap link-status
bridge-group 1
pvc 0/35
encapsulation aal5snap
!
!
interface Virtual-Template1
ip unnumbered FastEthernet0/1
ip accounting output-packets
ip mtu 1492
ip nat inside
ip virtual-reassembly
ppp authentication chap callin
!
interface BVI1
ip address 89.*.*.234 255.255.255.252
ip nat outside
ip virtual-reassembly
!
ip route 10.12.6.0 255.255.255.0 89.*.*.233
ip route 192.168.18.0 255.255.255.0 88.*.*.193
!
!
ip http server
no ip http secure-server
!
ip radius source-interface FastEthernet0/1
access-list 102 permit ip host 10.12.6.7 any
access-list 104 permit ip 192.168.18.0 0.0.0.255 any
!
!
!
route-map Eth-10-map permit 12
match ip address 104
match interface FastEthernet0/0
!
route-map BVI1-map permit 10
match ip address 102
match interface BVI1
!
!
!
radius-server host 10.12.6.7 auth-port 1900 acct-port 1901
radius-server timeout 10
radius-server key test
!
control-plane
!
bridge 1 protocol ieee
bridge 1 route ip
!
!
!
!
scheduler allocate 20000 1000
Сразу неправильно:
ip route 10.12.6.0 255.255.255.0 89.*.*.233
ip route 192.168.18.0 255.255.255.0 88.*.*.193Теперь у вас схема с двумя провайдерами...
Читаем:
http://anticisco.ru/pubs/DualISPRouter.pdf
>Сразу неправильно:
>ip route 10.12.6.0 255.255.255.0 89.*.*.233
>ip route 192.168.18.0 255.255.255.0 88.*.*.193
>
>Теперь у вас схема с двумя провайдерами...
>Читаем:
>http://anticisco.ru/pubs/DualISPRouter.pdfпочему?
мне нужно чтобы каждая подсеть только ходила на своего провайдера
эта сеть только сюда >ip route 10.12.6.0 255.255.255.0 89.*.*.233
а эта только сюда >ip route 192.168.18.0 255.255.255.0 88.*.*.193или такая схема не рабочая?
>
>у человека на двух линках разные подсетиЭто откуда взяли?
Вот чтобы так было и нужен второй пул на другой линк.
А пока у него ОДНА подсеть (белая) и ОДИН линк.>и подсеть белых адресов на
>собственном рутере - очень даже все хорошо и правильно.
>Сразу неправильно:
>ip route 10.12.6.0 255.255.255.0 89.*.*.233
>ip route 192.168.18.0 255.255.255.0 88.*.*.193
>
>Теперь у вас схема с двумя провайдерами...
>Читаем:
>http://anticisco.ru/pubs/DualISPRouter.pdfпочему?
мне нужно чтобы каждая подсеть только ходила на своего провайдера
эта сеть только сюда >ip route 10.12.6.0 255.255.255.0 89.*.*.233
а эта только сюда >ip route 192.168.18.0 255.255.255.0 88.*.*.193или такая схема не рабочая?
>
>эта сеть только сюда >ip route 10.12.6.0 255.255.255.0 89.*.*.233
>а эта только сюда >ip route 192.168.18.0 255.255.255.0 88.*.*.193Перевожу на русский:
У вас написано, что В!!! сеть 10.12.6.0 нужно ходить через 89.*.*.233
А на самом деле, нужно писать, например,
0.0.0.0 0.0.0.0 89.*.*.233
0.0.0.0 0.0.0.0 88.*.*.193 10Дальше, с помощью route-map раскидываете трафик по провайдерам.
С помощью ip sla, так же, возможно резервировать каналы, чтобы при обрыве одного линка, весь трафик уходил по живому.
В статье, ссылку на которую я дал, все нужные вам технологии есть....
>[оверквотинг удален]
>
>А на самом деле, нужно писать, например,
>0.0.0.0 0.0.0.0 89.*.*.233
>0.0.0.0 0.0.0.0 88.*.*.193 10
>
>Дальше, с помощью route-map раскидываете трафик по провайдерам.
>С помощью ip sla, так же, возможно резервировать каналы, чтобы при обрыве
>одного линка, весь трафик уходил по живому.
>В статье, ссылку на которую я дал, все нужные вам технологии есть....
>большое спасибо.....я не так вас понял)), думал что то другое тоже не верно. а мои роут мапы правильно написанны? вы не скажите свое мнение?
>
>>
>>у человека на двух линках разные подсети
>
>Это откуда взяли?
>Вот чтобы так было и нужен второй пул на другой линк.
>А пока у него ОДНА подсеть (белая) и ОДИН линк.
>Прочитал начальный конфиг.
У человека два физических на прова интерфейса на которых серые IP..>>и подсеть белых адресов на
>>собственном рутере - очень даже все хорошо и правильно.И сеть белых адресов :)
вот прову достаточно прописать у себя что в обоих линках этого клиента есть его белая сеть...
>Добрый день!
>Прошу подсказать Вас решение данной проблемы:что-то я не вижу никакого пула, который ты хотел бы сохранить и главное для чего?
Также не совсем понятно как IP телефония связана с каналами на провайдера - все диалпиры у тебя вовнутрь смотрят, либо ты чего-то не договариваешь.
>что-то я не вижу никакого пула, который ты хотел бы сохранить и
>главное для чего?пулл на 32 адреса/224 новый, по адресу которыго инте будет идти.....вот как понять сохранить.....мне непонятно.
>Также не совсем понятно как IP телефония связана с каналами на провайдера
>- все диалпиры у тебя вовнутрь смотрят, либо ты чего-то не
>договариваешь.старый пул из 4 адресов 252 по нему телефония уходит в интернет по дсл.....все договариваю, если что спросите конкретно.....даил пиры тут вообще не приводил пока.
>[оверквотинг удален]
>понять сохранить.....мне непонятно.
>
>
>>Также не совсем понятно как IP телефония связана с каналами на провайдера
>>- все диалпиры у тебя вовнутрь смотрят, либо ты чего-то не
>>договариваешь.
>
>старый пул из 4 адресов 252 по нему телефония уходит в интернет
>по дсл.....все договариваю, если что спросите конкретно.....даил пиры тут вообще не
>приводил пока.Так в итоге надо чтобы оба пула были или один?
Вообще раскидывать трафик в сторону провайдера - роутмапами на интерфейсах где ip nat inside стоит для трафика от клиентских сетей и ip local policy route-map для трафика, который генерит сама киса (только тут есть нюанс с тоннелями - тоннельный трафик, после инкапсуляции, под локальную политику не попадает. это известный баг и лечится только отдельным статическим маршрутом). Это source-based routing. Роутмапы можно еще оснастить ip sla + tracking.
Провайдер в свою очередь должен будет прописать для разных пулов разные интерфейсы.В целом схема конечно получится громоздкая.
Еще можно подумать насчет VRF - клиентов интернета и отдельный для них канал назначить на отдельный VRF и они будут жить вообще сами по себе.
>>[оверквотинг удален]
>Так в итоге надо чтобы оба пула были или один?первый варивант моей задачи неподойтет, тяжел в реализации. выбрал 2 вариант, при котором есть две разные белые сети. по одной пойдет инет , по другой телефония.
привел набитый конфиг, воот и прошу его теперь проверить вас. на предмет, будет работать или нет интернет
>>>[оверквотинг удален]
>>Так в итоге надо чтобы оба пула были или один?
>
> первый варивант моей задачи неподойтет, тяжел в реализации. выбрал 2 вариант,
>при котором есть две разные белые сети. по одной пойдет инет
>, по другой телефония.
>
>привел набитый конфиг, воот и прошу его теперь проверить вас. на
>предмет, будет работать или нет интернетУ тебя линки с провайдером с серыми адресами так? если да, то зачем тебе жестко привязываться белыми подсетями к физике? не лучше ди обеспечить отказоустойчивость - провайдер оба твоих пула прописывает за твоими интерфейсами и вы получаете оба рабочих канала с резервированием.
>>>>[оверквотинг удален]
>У тебя линки с провайдером с серыми адресами так? если да, то
>зачем тебе жестко привязываться белыми подсетями к физике? не лучше ди
>обеспечить отказоустойчивость - провайдер оба твоих пула прописывает за твоими интерфейсами
>и вы получаете оба рабочих канала с резервированием.нет, у меня линки с провайдером с белыми адресами.
>>>>>[оверквотинг удален]
>>У тебя линки с провайдером с серыми адресами так? если да, то
>>зачем тебе жестко привязываться белыми подсетями к физике? не лучше ди
>>обеспечить отказоустойчивость - провайдер оба твоих пула прописывает за твоими интерфейсами
>>и вы получаете оба рабочих канала с резервированием.
>
>нет, у меня линки с провайдером с белыми адресами.Дело ваше, но первое что делают когда строят сеть - это дизайн.
Дизайн должен быть максимально простым и предоставлять возможность для развития.максимально просто было бы договорится с провом о том что на линках у тебя будут серые адреса и пров пропишет твои белые сети. таким образом вы сразу избавляетесь от всяких sla, лишних route-map и др.
>привел набитый конфиг, воот и прошу его теперь проверить вас. на
>предмет, будет работать или нет интернеттогда ты попадаешь под стандартную ситуацию "Два ISP на одном роутере"
добавь еще роутмап
route-map RM deny 10
match ip address LOCAL_traffic
route-map RM permit 20
match ip address ISP1_traffic
set ip next-hop ISP1_next_hop_IP
route-map RM permit 30
match ip address ISP2_traffic
set ip next-hop ISP2_next_hop_IPи повесь его на inside интерфейсы:
interface FasX/X
ip policy route-map RMи локальную политику для самой кисы и сервисов, которые ей используются
ip local policy route-map RMв роутмапах, которые на нате у тебя, оставь только match interface
дефолтный маршрут будет использоваться для трафика, который не попал под полиси
все это еще можно сдобрить IP SLA
>[оверквотинг удален]
> ip policy route-map RM
>
>и локальную политику для самой кисы и сервисов, которые ей используются
>ip local policy route-map RM
>
>в роутмапах, которые на нате у тебя, оставь только match interface
>
>дефолтный маршрут будет использоваться для трафика, который не попал под полиси
>
>все это еще можно сдобрить IP SLAВ продолжении темы: я создал конфиг для начала маленький, в котором мне нужно прсто попадать в инет с локальных машин из двух разных сетей. привожу конфиг:
interface FastEthernet0/0
description WAN_Kazaxtelecom_SkyNet
ip address 212.154.**** 255.255.255.252
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!interface FastEthernet0/1.1
encapsulation dot1Q 100 native
ip address 10.12.6.1 255.255.255.0
ip nat inside
no ip virtual-reassembly
no cdp enable
!
interface FastEthernet0/1.2
encapsulation dot1Q 200
ip address 192.168.18.2 255.255.255.0
ip nat inside
no ip virtual-reassembly
no cdp enable
!
!
ip route 0.0.0.0 0.0.0.0 212.154.****
!
!
ip nat inside source route-map sky_local_1 interface FastEthernet0/0 overload
ip nat inside source route-map sky_local_2 interface FastEthernet0/0 overload
!
access-list 102 permit ip 10.12.6.0 0.0.0.255 any
access-list 104 permit ip 192.168.18.0 0.0.0.255 any
!
!
!
route-map sky_local_1 permit 10
match ip address 102
match interface FastEthernet0/0!
route-map sky_local_2 permit 12
match ip address 104
match interface FastEthernet0/0
!работает только та сетка на которой прописано -
interface FastEthernet0/1.1
encapsulation dot1Q 100 native , а именно nativeвопрос почему если убераешь native все перестает работать, даже с локальной сети интерфейс не пингуется.
>вопрос почему если убераешь native все перестает работать, даже с локальной сети
>интерфейс не пингуется.ты чего-то мягкое с теплым смешиваешь.
Какие у тебя виланы на свиче, куда FastEthernet0/1 воткнут?
какие сети в этих виланах?
покажи конфиг интерфейса с того конца.
>>вопрос почему если убераешь native все перестает работать, даже с локальной сети
>>интерфейс не пингуется.
>
>ты чего-то мягкое с теплым смешиваешь.
>Какие у тебя виланы на свиче, куда FastEthernet0/1 воткнут?
>какие сети в этих виланах?
>покажи конфиг интерфейса с того конца.я первый раз VLan делал и честно скажу , что на другой стороне нету виланов ниа свиче , и даже свича нету))).
я может не в ту степь полез с конфигом.
задача такая: есть провайдер , подключен к FEth 0/0
на FEth0/1 конектяться клиенты с разных подсетей - с 10 сети и 192 сети. я хотел чтобы одни проходили свободно в инет с интерфейса FEth0/1.1 а с FEth0/1.2 авторизовались по PPPoE такое возможно реализавть или нет?
>я первый раз VLan делал и честно скажу , что на другой
>стороне нету виланов ниа свиче , и даже свича нету))).Тогда не надо делать сабинтерфейсов. Они предназначены для случаев, когда используется 802.1q транк и позволяет в каждом вилане по интерфейсу создать и роутить между ними.
Native означает, что этот вилан через транковые порты ходит без 802.1q тега.
Убери всю эту хреновину и на обычный интерфейс без точки повесь два IP из этих сетей. Один из адресов добаваляй с secondary в конце. Таких secondary адресов на интерфейсе может быть много.
interface FastEthernet0/1
ip address 10.12.6.1 255.255.255.0
ip address 192.168.18.2 255.255.255.0 secondary
ip nat inside
!
>interface FastEthernet0/1
> ip address 10.12.6.1 255.255.255.0
> ip address 192.168.18.2 255.255.255.0 secondary
> ip nat inside
>!Большое спасибо за ответ.
Я так и делал до этого, но тут возникает вопрос. у меня клиенты которые ходят по 192,168,18,* сети они должны авторизоваться по PPPOE а с сети 10,12,6,* не должны, она довереннная, если я их сожу их боих адресами на инт. то мне приходиться обоих авторизовать. Может есть вариант как на одном интерфейсе одну подсеть авторизовать а другую нет?
>Может есть вариант как на одном интерфейсе одну подсеть авторизовать а
>другую нет?PPPoE работает поверх 2 уровня. Ему вообще до фени, какие там у кого IP. В том числе и на интерфейсе.
>Может есть вариант как на одном интерфейсе одну подсеть авторизовать а
>другую нет?Физически они у тебя в одном сегменте. С таким подходом им ничего не мешает назначать самостоятельно IP (и даже MAC) от чужой машины.
Для разделения их надо селить в разных сегментах. Либо на отдельных свичах, либо в разных VLAN.