URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 8144
[ Назад ]
Исходное сообщение
"Маршрутизация на основе ACL фильтра"
Отправлено trial , 16-Июн-05 09:51 
Добрый день!
Уважаемые прошу помощи. Ситуация следующая:
Cisco 1760, интерфейсы G.703 и Eth10/100.
По G.703 приходит наземный канал 2 Мб/с, со стороны LAN - 2950, и Pent@ffice DVB роутер на прием трафика.
Для отправки запросов на прием через спутник построен GRE.
При попытке переключить весь трафик на спутниковый, 1760 загибается от NAT. Как вариант разгрузки циски от nat - это отправка через спутник только http и ftp трафика.

Каким образом можно это осуществить?
пробовал через acl на nat интерфейсе - дропаются все пакеты кроме ftp b http.

interface Tunnel100
ip address 10.0.0.174 255.255.255.252
ip nat outside
ip tcp adjust-mss 1436
tunnel source 10.2.2.3
tunnel destination 10.0.0.1
!
interface FastEthernet0/0
ip address 10.3.3.1 255.255.255.252
ip nat inside
ip route-cache flow
speed auto
full-duplex
!
interface Serial1/0:0
ip unnumbered Loopback1
encapsulation ppp
ip route-cache flow
!
interface Serial1/0:1
ip unnumbered Loopback3
encapsulation ppp
ip route-cache flow
!
ip nat inside source list 111 interface Tunnel100 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial1/0:0
ip route 0.0.0.0 0.0.0.0 Tunnel100 50
ip route 10.0.0.1 255.255.255.255 Serial1/0:0
ip route 10.0.0.172 255.255.255.252 Tunnel100
no ip http server
!
access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq www any
access-list 111 permit tcp 62.3.3.0 0.0.0.255 eq ftp any
Заранее благодарен.

Содержание
Сообщения в этом обсуждении
"Маршрутизация на основе ACL фильтра"
Отправлено Nailer , 16-Июн-05 10:29 
>Для отправки запросов на прием через спутник построен GRE.
>При попытке переключить весь трафик на спутниковый, 1760 загибается от NAT. Как
>вариант разгрузки циски от nat - это отправка через спутник только
>http и ftp трафика.
>

А у вас остальной траффик занимает какой-нибудь значительный обьем? :-)


>Каким образом можно это осуществить?
>пробовал через acl на nat интерфейсе - дропаются все пакеты кроме ftp
>b http.

А вы чего хотите? Выпускать остальных с серыми адресами в сеть?

"Маршрутизация на основе ACL фильтра"
Отправлено trial , 16-Июн-05 12:16 
>>Для отправки запросов на прием через спутник построен GRE.
>>При попытке переключить весь трафик на спутниковый, 1760 загибается от NAT. Как
>>вариант разгрузки циски от nat - это отправка через спутник только
>>http и ftp трафика.
>>
>А у вас остальной траффик занимает какой-нибудь значительный обьем? :-)

Остальной трафик порядка 30 %.

>
>>Каким образом можно это осуществить?
>>пробовал через acl на nat интерфейсе - дропаются все пакеты кроме ftp
>>b http.
>
>А вы чего хотите? Выпускать остальных с серыми адресами в сеть?
Нет, адреса конфига я изменил выкладывая на форуме, в конфиге на циске везде реальные ip адреса.
Желание - экономить на трафике закупая спутниковый интернет.
С Уважением.

"Маршрутизация на основе ACL фильтра"
Отправлено Nailer , 16-Июн-05 12:18 
>>>Для отправки запросов на прием через спутник построен GRE.
>>>При попытке переключить весь трафик на спутниковый, 1760 загибается от NAT. Как
>>>вариант разгрузки циски от nat - это отправка через спутник только
>>>http и ftp трафика.
>>>
>>А у вас остальной траффик занимает какой-нибудь значительный обьем? :-)
>
>Остальной трафик порядка 30 %.
>
>>
>>>Каким образом можно это осуществить?
>>>пробовал через acl на nat интерфейсе - дропаются все пакеты кроме ftp
>>>b http.
>>
>>А вы чего хотите? Выпускать остальных с серыми адресами в сеть?
>Нет, адреса конфига я изменил выкладывая на форуме, в конфиге на циске
>везде реальные ip адреса.
>Желание - экономить на трафике закупая спутниковый интернет.
>С Уважением.

Тады policy-routing + nat.. Заворачивайте через роут-мап нужный траффик на лупбэк, на нем нат инсайд, с него на туннель (нат outisde). Остальной пойдет прямо по таблице маршрутизации или куда напишете в роут-мапе..


"Маршрутизация на основе ACL фильтра"
Отправлено trial , 16-Июн-05 13:38 

>Тады policy-routing + nat.. Заворачивайте через роут-мап нужный траффик на лупбэк, на
>нем нат инсайд, с него на туннель (нат outisde). Остальной пойдет
>прямо по таблице маршрутизации или куда напишете в роут-мапе..

access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq ftp any
access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq www any
!
route-map GTSS permit 10
match ip address 111
set interface Tunnel100

Вот так заработало. Но роут мап описывает только адреса идущие на туннель. Т.е. необходимо показать мапу и дефолтный маршрут?
Данный ниже конфиг правильный ?
!
access-list 112 permit any any
!
route-map GTSS permit 10
match ip address 111
set interface Tunnel100
!
route-map GTSS permit 20
match ip address 112
set interface Serial1/0:0

Еще один момент, пошу прощения что offtop.
Правильно ли что при удалении правила из acl удаляется все правило?
С Уважением.

"Маршрутизация на основе ACL фильтра"
Отправлено Nailer , 16-Июн-05 14:00 
>
>>Тады policy-routing + nat.. Заворачивайте через роут-мап нужный траффик на лупбэк, на
>>нем нат инсайд, с него на туннель (нат outisde). Остальной пойдет
>>прямо по таблице маршрутизации или куда напишете в роут-мапе..
>
>access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq ftp any
>access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq www any
>!
>route-map GTSS permit 10
> match ip address 111
> set interface Tunnel100
>
>Вот так заработало. Но роут мап описывает только адреса идущие на туннель.

10.3.3.0 - это внутренняя сетка?

>Т.е. необходимо показать мапу и дефолтный маршрут?

Зачем?

>Данный ниже конфиг правильный ?
>route-map GTSS permit 10
> match ip address 111
> set interface Tunnel100
>!
>route-map GTSS permit 20
> match ip address 112
> set interface Serial1/0:0
>

Нат при этом нормально отрабатывает? У меня было подозрение, что он не будет при такой конфигурации работать..

>Еще один момент, пошу прощения что offtop.
>Правильно ли что при удалении правила из acl удаляется все правило?

Эээ.. What do you mean? ;-)


"Маршрутизация на основе ACL фильтра"
Отправлено trial , 16-Июн-05 14:28 

>>Вот так заработало. Но роут мап описывает только адреса идущие на туннель.
>
>10.3.3.0 - это внутренняя сетка?

Нет это не внутрення сетка, я заменил ip на посте вообще ip сети 62.33.х.х
>>Т.е. необходимо показать мапу и дефолтный маршрут?
>Зачем?

Если не зачем, получается логика следующая: то что описано роут мапом уходит на интерфейс нужный остальное обрабатывается default роутом. Верно ?

>Нат при этом нормально отрабатывает? У меня было подозрение, что он не
>будет при такой конфигурации работать..

Нат пока что работает на ура!

>>Еще один момент, пошу прощения что offtop.
>>Правильно ли что при удалении правила из acl удаляется все правило?
>
>Эээ.. What do you mean? ;-)
к примеру есть список правил типа
access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq ftp any
access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq www any
access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq хх any
access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq хх any

При удалении одного:
no access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq хх any
удаляется весь АСЛ 111. Как избежать этого ?
С Уважением.

"Маршрутизация на основе ACL фильтра"
Отправлено Nailer , 16-Июн-05 15:06 
>
>>>Вот так заработало. Но роут мап описывает только адреса идущие на туннель.
>>
>>10.3.3.0 - это внутренняя сетка?
>
>Нет это не внутрення сетка, я заменил ip на посте вообще ip
>сети 62.33.х.х
>>>Т.е. необходимо показать мапу и дефолтный маршрут?
>>Зачем?
>
>Если не зачем, получается логика следующая: то что описано роут мапом уходит
>на интерфейс нужный остальное обрабатывается default роутом. Верно ?
>

Да. Чем вас такая логика не устраивает?

>>Нат при этом нормально отрабатывает? У меня было подозрение, что он не
>>будет при такой конфигурации работать..
>
>Нат пока что работает на ура!

Хорошо.

>
>>>Еще один момент, пошу прощения что offtop.
>>>Правильно ли что при удалении правила из acl удаляется все правило?
>>
>>Эээ.. What do you mean? ;-)
>к примеру есть список правил типа
>access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq ftp any
>access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq www any
>access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq хх any
>access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq хх any
>
>При удалении одного:
>no access-list 111 permit tcp 10.3.3.0 0.0.0.255 eq хх any
>удаляется весь АСЛ 111. Как избежать этого ?
>С Уважением.

Попробуйте так

ip access-list extend 111
no permit tcp 10.3.3.0 0.0.0.255 eq хх any
exit

"Маршрутизация на основе ACL фильтра"
Отправлено trial , 16-Июн-05 16:44 
За одной бедой другая :(
Ситуация таже самая: G.703 в интернет, FE0/0 в локалку.
При включении rout map циска начинает загибаться секнд через 30, хотя трафик не такой уж и большой.

interface Loopback4
ip address 62.33.197.3 255.255.255.255
!
interface Tunnel100
description Geo
ip address 81.222.112.174 255.255.255.252
ip nat outside
ip tcp adjust-mss 1436
tunnel source 62.33.197.3
tunnel destination 81.222.112.1
!
interface FastEthernet0/0
ip address 10.0.0.1 255.255.255.252
ip nat inside
ip route-cache flow
speed auto
full-duplex
!
interface Serial1/0:0
ip unnumbered Loopback1
encapsulation ppp
ip route-cache flow
!
!
ip nat inside source list 11 interface Tunnel100 overload
ip classless
ip route 0.0.0.0 0.0.0.0 Serial1/0:0
ip route 62.33.197.0 255.255.255.0 10.0.0.2
ip route 62.33.202.0 255.255.255.0 10.0.0.2
ip route 80.237.12.0 255.255.254.0 Serial1/0:1
ip route 81.222.112.1 255.255.255.255 Serial1/0:0
ip route 81.222.112.172 255.255.255.252 Tunnel100
no ip http server
!
!
access-list 7 permit 62.33.197.0 0.0.0.255
access-list 7 permit 62.33.202.0 0.0.0.255
access-list 11 permit 62.33.197.0 0.0.0.255
access-list 11 permit 62.33.202.0 0.0.0.255
access-list 111 permit icmp any any
!
route-map GTSS permit 10
match ip address 111
set interface Tunnel100
=============================================
main#show proc cpu
CPU utilization for five seconds: 68%/27%; one minute: 49%; five minutes: 20%
PID Runtime(ms)   Invoked      uSecs   5Sec   1Min   5Min TTY Process
  21       22185     13813       1606  0.00%  0.00%  0.00%   0 Logger
  22       13824    128977        107  0.07%  0.16%  0.09%   0 TTY Background
  23        6796    128987         52  0.07%  0.03%  0.01%   0 Per-Second Jobs
  28        2485     25895         95  0.00%  0.00%  0.00%   0 Compute load avg
  29       45096      2176      20724  0.47%  0.05%  0.00%   0 Per-minute Jobs
  35      552198    173181       3188 28.79% 17.93%  6.33%   0 IP Input
  37       74197     15492       4789  0.00%  0.04%  0.05%   0 CDP Protocol
  48         100      2280         43  0.00%  0.00%  0.00%   0 IP RIB Update
  49         959     17439         54  0.07%  0.00%  0.00%   0 TCP Timer
  50          72        49       1469  0.00%  0.00%  0.00%   0 TCP Protocols
  59         100      2160         46  0.00%  0.00%  0.00%   0 Adj Manager
  60        8875    194267         45  0.00%  0.01%  0.00%   0 CEF process
  82       37499      8527       4397  0.00%  1.44%  0.37%   0 IP NAT Ager
  83        6959   4023064          1  0.00%  0.02%  0.00%   0 PPP manager
  97         312      2764        112  0.00%  0.00%  0.00%   0 NAT MIB Helper
  98       35944     10616       3385  1.03%  0.79%  0.94%   6 Virtual Exec
main#

"Маршрутизация на основе ACL фильтра"
Отправлено trial , 16-Июн-05 16:45 
Небольшое добавление, в данной конфигурации хотел оставить только пинги через спутник. и таже самая ситуация: не более 30 сек нормальная работа - после задержки и потери на роутере.
"Маршрутизация на основе ACL фильтра"
Отправлено trial , 17-Июн-05 09:08 
Приветствую!
Самое интересное, что трафик (коме пингов) через туннель не ходит... а циска валится когда запускаешь пинг.
"Маршрутизация на основе ACL фильтра"
Отправлено trial , 17-Июн-05 12:59 
Друзья, у кого мысли есть по САБЖ?... буду благодарен любой свежей мысли :(