URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9766
[ Назад ]

Исходное сообщение
"Object Tracking + NAT"
Отправлено Grant , 05-Фев-06 01:59

Доброго времени суток всем!
Кто-нибудь реализовывал Subj ? Задача банальна - два провайдера, если объект на основном канале в дауне то внутренняя сетка натится через второго провайдера. В целом все понятно, НО непойму как tracking привязать к route-map ? из описания видно что можно вешать его на ip route 0.0.0.0 0.0.0.0 x.x.x.x track 123 и все ?
спасибо за советы ...
Антон

Содержание

Object Tracking + NAT,sh_, 10:28 , 05-Фев-06
- Object Tracking + NAT,Grant, 14:37 , 05-Фев-06
  - Object Tracking + NAT,sh_, 15:00 , 05-Фев-06
  - Object Tracking + NAT,jzazz, 08:08 , 06-Фев-06
    - Object Tracking + NAT,jzazz, 08:10 , 06-Фев-06
    - Object Tracking + NAT,Grant, 09:36 , 06-Фев-06
      - Object Tracking + NAT,sh_, 09:40 , 06-Фев-06
      - Object Tracking + NAT,Lacunacoil, 10:35 , 06-Фев-06
        
        Object Tracking + NAT,Grant, 10:01 , 07-Фев-06

Сообщения в этом обсуждении

"Object Tracking + NAT"
Отправлено sh_ , 05-Фев-06 10:28

Зачем к route-map? Привязываешь к ip route, а в route-map'е матчишь интерфейсы через которые пакет уходит...

"Object Tracking + NAT"
Отправлено Grant , 05-Фев-06 14:37

>Зачем к route-map? Привязываешь к ip route, а в route-map'е матчишь интерфейсы
>через которые пакет уходит...

да но ведь нужно НАТить сетку только в случае если object state down ... попробовал соорудить вот это, чтобы хост НАТился в обе сетки сразу и в зависимости от ip route отправлялся дальше как вы и советовали, но хост прописанный в ACL 11 НАТится только один раз route-map ISP1-NAT, ISP2-NAT не выполняется (смотрю по sh ip nat tra). подозреваю что возникает тоже самое как и нельзя порписать два ip nat source static на один и тот же хост, как быть ?
interface FastEthernet0/0
ip address 212.175.x.1 255.255.255.240 secondary
ip address 217.151.y.129 255.255.255.224 secondary
ip address 192.168.1.1 255.255.255.0
...
ip nat inside
...
interface Serial0/0
ip address 217.151.y.50 255.255.255.252
...
ip nat outside
...
interface Ethernet1/0
ip address 212.175.x.50 255.255.255.252
...
ip nat outside
...
ip route 0.0.0.0 0.0.0.0 212.175.x.49 track 123
ip route 0.0.0.0 0.0.0.0 217.151.y.49 254
ip nat pool ISP1-test 212.175.x.14 212.175.x.14 prefix-length 28
ip nat pool ISP2-test 217.151.y.130 217.151.y.130 prefix-length 27
ip nat inside source route-map ISP1-NAT pool ISP1-test overload
ip nat inside source route-map ISP2-NAT pool ISP2-test overload
access-list 2 permit 217.151.y.128 0.0.0.31
access-list 3 permit 212.175.x.0 0.0.0.15
access-list 11 permit host 192.168.1.133
route-map ISP1-NAT permit 10
match ip address 11
match interface Ethernet1/0
route-map ISP2-NAT permit 10
match ip address 11
match interface Serial0/0
route-map ISP permit 10
match ip address 2
set interface Serial0/0
route-map ISP permit 20
match ip address 3
set interface Ethernet1/0

tracking object конечно работает, тут вопросов нет ...
Антон

"Object Tracking + NAT"
Отправлено sh_ , 05-Фев-06 15:00

В route-map ISP добавьте verify-availability, вместо set int eth поставьте set ip next-h. В route-map ISP1-NAT и ISP2-NAT уберите match ip address 11.

"Object Tracking + NAT"
Отправлено jzazz , 06-Фев-06 08:08

>>Зачем к route-map? Привязываешь к ip route, а в route-map'е матчишь интерфейсы
>>через которые пакет уходит...
>
>
>да но ведь нужно НАТить сетку только в случае если object state
>down ... попробовал соорудить вот это, чтобы хост НАТился в обе
>сетки сразу и в зависимости от ip route отправлялся дальше как
>вы и советовали, но хост прописанный в ACL 11 НАТится только
>один раз route-map ISP1-NAT, ISP2-NAT не выполняется (смотрю по sh ip
>nat tra). подозреваю что возникает тоже самое как и нельзя порписать
>два ip nat source static на один и тот же хост,
>как быть ?
>

route-map ISP permit 10
description Select Next Hop
match ip address 101
set ip next-hop verify-availability 195.239.x.x 20 track 124
set ip next-hop verify-availability 212.176.x.x 30 track 123
!
control-plane
!
rtr 1
type echo protocol ipIcmpEcho 195.239.x.x source-interface Serial0
rtr schedule 1 life forever start-time now
rtr 2
type echo protocol ipIcmpEcho 212.176.x.x source-interface FastEthernet0
rtr schedule 2 life forever start-time now

"Object Tracking + NAT"
Отправлено jzazz , 06-Фев-06 08:10

а да еще вот это надо:
track 123 rtr 1 reachability
!
track 124 rtr 2 reachability

"Object Tracking + NAT"
Отправлено Grant , 06-Фев-06 09:36

>route-map ISP permit 10
> description Select Next Hop
> match ip address 101
> set ip next-hop verify-availability 195.239.x.x 20 track 124
> set ip next-hop verify-availability 212.176.x.x 30 track 123
>!
>control-plane
>!
>rtr 1
> type echo protocol ipIcmpEcho 195.239.x.x source-interface Serial0
>rtr schedule 1 life forever start-time now
>rtr 2
> type echo protocol ipIcmpEcho 212.176.x.x source-interface FastEthernet0
>rtr schedule 2 life forever start-time now

спасибо Jzazz, да отлично, но проблема с НАТом осталась ... как натить один и тот же хост в зависимости от направления ?

"Object Tracking + NAT"
Отправлено sh_ , 06-Фев-06 09:40

>как натить один и тот же хост в зависимости от направления ?
Ну говорят же вам, с помщью rout-map матчить интерфейсы выхода пакетов...

"Object Tracking + NAT"
Отправлено Lacunacoil , 06-Фев-06 10:35

>>route-map ISP permit 10
>> description Select Next Hop
>> match ip address 101
>> set ip next-hop verify-availability 195.239.x.x 20 track 124
>> set ip next-hop verify-availability 212.176.x.x 30 track 123
>>!
>>control-plane
>>!
>>rtr 1
>> type echo protocol ipIcmpEcho 195.239.x.x source-interface Serial0
>>rtr schedule 1 life forever start-time now
>>rtr 2
>> type echo protocol ipIcmpEcho 212.176.x.x source-interface FastEthernet0
>>rtr schedule 2 life forever start-time now
>
>
>спасибо Jzazz, да отлично, но проблема с НАТом осталась ... как натить
>один и тот же хост в зависимости от направления ?
У меня была еще сложнее ситуацыя у меня был один выходной интерейс, я натил на основании next-hop.

"Object Tracking + NAT"
Отправлено Grant , 07-Фев-06 10:01

проблема решилась отключением CEF - no ip cef
спасибо всем, ну и в итоге рабочий конфиг для потомков как полагается:
ip sla monitor 1
type echo protocol ipIcmpEcho 212.175.x.49 source-interface Ethernet1/0
timeout 1000
threshold 2
frequency 3
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 217.151.y.49 source-interface Serial0/0
timeout 1000
threshold 2
frequency 3
ip sla monitor schedule 2 life forever start-time now
track 123 rtr 1 reachability
track 124 rtr 2 reachability
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
...
ip nat inside
...
interface Serial0/0
ip address 217.151.y.50 255.255.255.252
...
ip nat outside
...
interface Ethernet1/0
ip address 212.175.x.50 255.255.255.252
...
ip nat outside
...
ip route 0.0.0.0 0.0.0.0 212.175.x.49
ip route 0.0.0.0 0.0.0.0 217.151.x.49
ip nat pool ISP1-pool 212.175.x.14 212.175.x.14 prefix-length 28
ip nat pool ISP2-pool 217.151.y.130 217.151.y.130 prefix-length 27
ip nat inside source route-map ISP1-NAT pool ISP1-pool overload
ip nat inside source route-map ISP2-NAT pool ISP2-pool overload
ip access-list standard ISP1-gw
permit 212.175.x.49
ip access-list standard ISP2-gw
permit 217.151.y.49
access-list 4 permit 192.168.1.133
route-map ISP1-NAT permit 10
match ip address 4
match ip next-hop ISP1-gw
route-map ISP2-NAT permit 10
match ip address 4
match ip next-hop ISP2-gw
route-map ISP permit 10
match ip address 4
set ip next-hop verify-availability 212.175.x.49 20 track 123
set ip next-hop verify-availability 217.151.y.49 30 track 124

удачи!