URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22700
[ Назад ]

Исходное сообщение
"2 ISP нет пинга с внешнего мира"

Отправлено kolyaniust , 02-Июн-11 19:25 
Есть такое вот железячкО:

Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 12.4(20)T5, RELEASE SOFTWARE (fc2)
Copyright (c) 1986-2010 by Cisco Systems, Inc.
use. Delivery of Cisco cryptographic products does not imply
A summary of U.S. laws governing Cisco cryptographic products may be found at:
Cisco 881 (MPC8300) processor (revision 0x100) with 249856K/12288K bytes of memory.

Настроил на ней работу 2ISP, но с внешнего мира виден только один ИП (основной), если положить основной то становиться видно бекапный.
Хотелось бы что бы было видно два, на кошке сделал все необходимое, с практических соображений должно работать, но нет, может кто то подскажет где я не прав, ковыряю второй день, все ни как ( :

track 10 ip sla 10 reachability
delay down 5 up 5
!
track 11 ip sla 11 reachability
delay down 5 up 5

ip route 0.0.0.0 0.0.0.0 Dialer1 5 track 10
ip route 0.0.0.0 0.0.0.0 Dialer2 10 track 11

ip nat inside source route-map NAT-KS interface Dialer1 overload
ip nat inside source route-map NAT-UKR interface Dialer2 overload

ip access-list extended NAT-KS
remark -= NAT KS =-
permit ip 192.168.11.0 0.0.0.255 any
deny   ip any any
ip access-list extended NAT-UKR
remark -= NAT-UKR =-
permit ip 192.168.11.0 0.0.0.255 any
deny   ip any any


ip access-list extended track10
remark --== track KS ==--
permit icmp any host 91.214.208.00
ip access-list extended track11
remark --== track UkrTel ==--
permit icmp any host 82.207.64.00
!


ip sla 10
icmp-echo 91.214.208.00 source-interface Dialer1
ip sla schedule 10 life forever start-time now

ip sla 11
icmp-echo 82.207.64.00 source-interface Dialer2
ip sla schedule 11 life forever start-time now

route-map NAT-UKR permit 5
match ip address NAT-UKR
match interface Dialer2
!
route-map NAT-KS permit 5
match ip address NAT-KS
match interface Dialer1
!
route-map track permit 10
match ip address track10
set ip next-hop 91.214.208.00
set interface Null0
!
route-map track permit 11
match ip address track11
set ip next-hop 82.207.64.00
set interface Null0


Содержание

Сообщения в этом обсуждении
"2 ISP нет пинга с внешнего мира"
Отправлено sm00th1980 , 02-Июн-11 20:35 
вообще-то чтобы были видны оба внешних IP - то нужно чтобы пакеты приходящий по каналу отдавались в тот же канал откуда пришли.
Для этого нужно завернуть оба интерфейса в разные VRF. И в каждом VRF прописать свой default route.

"2 ISP нет пинга с внешнего мира"
Отправлено merko , 03-Июн-11 04:20 
А в какие интерфейсы ты втыкаешь 1 и 2 ISP?
Я так понимаю на 881 циске один WAN порт и свитч на 4 LAN порта.

интерфейс Dialer2 поднимается вообще?

покажи полный конфиг


"2 ISP нет пинга с внешнего мира"
Отправлено kdi , 03-Июн-11 04:58 
Local policy


"2 ISP нет пинга с внешнего мира"
Отправлено kolyaniust , 03-Июн-11 10:34 
> Local policy

стоит
ip local policy route-map track


"2 ISP нет пинга с внешнего мира"
Отправлено sm00th1980 , 03-Июн-11 11:46 
еще раз повторюсь - на данной железке без VRF будет всегда в один момент времени активным только 1 default route. А вам нужно чтобы 2 были активны. То что вы в конфиге их прописываете 2 - это тока на SLA влияет, которое отслеживает доступность каанала и переключает роуты между собой - но в один момент времени активен тока 1 дефолтный маршрут.

Вы предвартельно гляньте show ip route 0.0.0.0/0
и увидите что он там тока 1 будет.

А чтобы было 2 сразу активно нужны VRF-ы.


"2 ISP нет пинга с внешнего мира"
Отправлено kdi , 03-Июн-11 11:58 
>> Local policy
> стоит
> ip local policy route-map track

а если так попробовать

access-list 191 permit ip host (ip_isp1) any
access-list 192 permit ip host (ip_isp2) any
!
route-map kak-to-tak permit 10
match ip address 191
set interface dialer1
!
route-map kak-to-tak permit 11
match ip address 192
set interface dialer2
!
ip local policy route-map kak-to-tak


"2 ISP нет пинга с внешнего мира"
Отправлено Николай_kv , 03-Июн-11 13:05 
>[оверквотинг удален]
> !
> route-map kak-to-tak permit 10
> match ip address 191
> set interface dialer1
> !
> route-map kak-to-tak permit 11
> match ip address 192
> set interface dialer2
> !
> ip local policy route-map kak-to-tak

рулить роутмапой можно, но есть несколько ограничений
- "Тупая" балансировка трафика построенная на ацл.
- Если упадет один из ИПС часть хостов курит бамбук.
- Из мира будет пинговаться все равно один внешний IP, но ТСР порты сервисов выставленных наружу будут доступны с двух внешних IP ISP.

Для полноценной балансировки и отказоустойчивости нужен внешний BGP но это уже другая тема.


"2 ISP нет пинга с внешнего мира"
Отправлено kdi , 03-Июн-11 15:03 

> рулить роутмапой можно, но есть несколько ограничений
> - "Тупая" балансировка трафика построенная на ацл.

автор хочет чтобы виделись оба внешних адреса
это делается с помощью local policy и соответствующей route-map

> - Если упадет один из ИПС часть хостов курит бамбук.

с чего бы это? а sla на что?

> - Из мира будет пинговаться все равно один внешний IP, но ТСР
> порты сервисов выставленных наружу будут доступны с двух внешних IP ISP.

тут на самом деле все еще интереснее, но к теме не относиться

> Для полноценной балансировки и отказоустойчивости нужен внешний BGP но это уже другая
> тема.

вот тут согласен


"2 ISP нет пинга с внешнего мира"
Отправлено kolyaniust , 03-Июн-11 14:04 
> А в какие интерфейсы ты втыкаешь 1 и 2 ISP?
> Я так понимаю на 881 циске один WAN порт и свитч на
> 4 LAN порта.
> интерфейс Dialer2 поднимается вообще?
> покажи полный конфиг

Dialer1                    46.174.X.X  YES IPCP   up   up                    
Dialer2                    82.207.Y.Y    YES IPCP   up   up

interface FastEthernet4.1
encapsulation dot1Q 2
ip flow ingress
ip flow egress
pppoe enable group global
pppoe-client dial-pool-number 1
no cdp enable
!
interface FastEthernet4.2
encapsulation dot1Q 3
ip flow ingress
ip flow egress
pppoe enable group global
pppoe-client dial-pool-number 2
no cdp enable
!

Все интр. в апе.

НА Cisco 2821, 1841 такой конфиг был работоспособен.


> Вы предвартельно гляньте show ip route 0.0.0.0/0
> и увидите что он там тока 1 будет.

Смотрите :
С работоспособной кошки, настроено аналогично и все видно :
sh ip route 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
  Known via "static", distance 1, metric 0, candidate default path
  Routing Descriptor Blocks:
  * 91.204.X.X  
      Route metric is 0, traffic share count is 1

С проблемной :
sh ip route 0.0.0.0
Routing entry for 0.0.0.0/0, supernet
  Known via "static", distance 1, metric 0 (connected), candidate default path
  Routing Descriptor Blocks:
  * directly connected, via Dialer1
      Route metric is 0, traffic share count is 1

> А чтобы было 2 сразу активно нужны VRF-ы.

подкиньте если есть возможность кусочек рабочего конфига с  VRF, я с ним не знаком, но начинать с чего то нужно )
Спасибо.


"2 ISP нет пинга с внешнего мира"
Отправлено karen durinyan , 03-Июн-11 14:58 
>[оверквотинг удален]
>   Known via "static", distance 1, metric 0 (connected), candidate default
> path
>   Routing Descriptor Blocks:
>   * directly connected, via Dialer1
>       Route metric is 0, traffic share
> count is 1
>> А чтобы было 2 сразу активно нужны VRF-ы.
> подкиньте если есть возможность кусочек рабочего конфига с  VRF, я с
> ним не знаком, но начинать с чего то нужно )
> Спасибо.

!
! NVRAM config last updated at 06:49:25 UTC Wed Apr 27 2011 by cco
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname xxx-br1
!
boot-start-marker
boot system flash c2800nm-advipservicesk9-mz.124-22.T3.bin
boot-end-marker
!
vrf definition local
rd 0:0
route-target export 0:0
route-target import 0:0
route-target import 100:0
route-target import 200:0
!
address-family ipv4
exit-address-family
!
vrf definition isp1                                                                                                                                  
rd 100:0                                                                                                                                              
route-target export 100:0                                                                                                                            
route-target import 100:0                                                                                                                            
route-target import 0:0                                                                                                                              
route-target import 200:0                                                                                                                            
!                                                                                                                                                    
address-family ipv4
exit-address-family
!
vrf definition isp2
rd 200:0
route-target export 200:0
route-target import 200:0
route-target import 0:0
route-target import 100:0
!
address-family ipv4
exit-address-family
!
logging message-counter syslog
logging buffered 4096
no logging console
enable secret 5 xxx
!
no aaa new-model
!
!
!
dot11 syslog
ip source-route
!
!
ip cef
!
!
no ip domain lookup
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
vpdn enable
!
!
!
!
!
!
!
!
!
!
!
!
!
!        
!
!
!
!
!
voice-card 0
!
!
!
username cco secret 5 xxx
!
!
!
archive
log config
  hidekeys
!
!
ip tftp source-interface Loopback0
ip ssh version 2
!
track 1 ip sla 1
!
!
!
!
interface Loopback0
vrf forwarding local
ip address 10.218.127.1 255.255.255.255
!
interface FastEthernet0/0
vrf forwarding isp1
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 1
!
interface FastEthernet0/1
vrf forwarding isp2
no ip address
duplex auto
speed auto
pppoe enable group global
pppoe-client dial-pool-number 2
!
interface FastEthernet0/0/0
no ip address
ip flow ingress
duplex full
speed 100
!
interface FastEthernet0/0/0.2
vrf forwarding local
encapsulation dot1Q 2 native
ip address 10.218.2.1 255.255.255.0
ip flow ingress
!
interface FastEthernet0/0/0.12
vrf forwarding local
encapsulation dot1Q 12
ip address 192.168.1.1 255.255.255.0
ip flow ingress
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1300
!
interface Dialer1
description isp1
vrf forwarding isp1
ip address negotiated
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly max-reassemblies 64
encapsulation ppp
dialer pool 1
ppp authentication pap callin
ppp pap sent-username xxx password 7 xxx
!
interface Dialer2
description isp2
vrf forwarding isp2
ip address negotiated
no ip proxy-arp
ip mtu 1492
ip flow ingress
ip nat outside
ip virtual-reassembly max-reassemblies 64
encapsulation ppp
dialer pool 2
ppp authentication pap callin
ppp pap sent-username xxx password 7 xxx
!
!
router bgp 65535
no synchronization
bgp router-id 10.218.127.1
bgp log-neighbor-changes
no auto-summary
!
address-family ipv4 vrf isp2
  redistribute connected
  redistribute static
  no synchronization
exit-address-family
!
address-family ipv4 vrf isp1
  redistribute connected
  redistribute static
  no synchronization
exit-address-family
!
address-family ipv4 vrf local
  redistribute connected
  redistribute static
  no synchronization
exit-address-family
!
no ip forward-protocol nd
ip route vrf local 0.0.0.0 0.0.0.0 Dialer1 track 1
ip route vrf local 0.0.0.0 0.0.0.0 Dialer2 200
ip route vrf isp1 0.0.0.0 0.0.0.0 Dialer1
ip route vrf isp2 0.0.0.0 0.0.0.0 Dialer2
no ip http server
no ip http secure-server
!
ip flow-cache timeout active 1
ip flow-export source Loopback0
ip flow-export version 5
ip flow-export destination 192.168.1.11 9996 vrf local
!
ip nat inside source route-map nat-isp1 interface Dialer1 vrf local overload
ip nat inside source route-map nat-isp2 interface Dialer2 vrf local overload
ip nat inside source static tcp 192.168.1.11 22 xxx 22 vrf local extendable
!
ip access-list extended nat-isp1
permit ip 192.168.1.0 0.0.0.255 any
permit ip 10.218.0.0 0.0.255.255 any
ip access-list extended nat-isp2
permit ip 192.168.1.0 0.0.0.255 any
permit ip 10.218.0.0 0.0.255.255 any
!
ip sla 1
icmp-echo xxx source-interface Dialer1
vrf isp1
frequency 10
ip sla schedule 1 life forever start-time now
!
!
!
!
route-map nat-isp2 permit 10
match ip address nat-isp2
match interface Dialer2
!
route-map nat-isp1 permit 10
match ip address nat-isp1
match interface Dialer1
!
!
!
!
control-plane
!
!
!
ccm-manager fax protocol cisco
!
mgcp fax t38 ecm
mgcp behavior g729-variants static-pt
!
!
!
!
!
!
line con 0
password 7 xxx
login local
line aux 0
password 7 xxx
login local
line vty 0 4
password 7 xxx
login local
transport input ssh
line vty 5 15
password 7 xxx
login local
transport input ssh
!
scheduler allocate 20000 1000
ntp source Loopback0
ntp server vrf local 192.168.1.11
end



"2 ISP нет пинга с внешнего мира"
Отправлено kolyaniust , 03-Июн-11 17:37 
Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 12.4(20)T5, RELEASE SOFTWARE (fc2)

VRF не держит (((, перепрошить пока нет возможности. Далекое расстояние, рискованно.
За конфиг огромное спасибо, буду изучать.