Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных канала для выхода в интернет?
Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего один ip адрес из локалки выходил в интернет по другому, дополнительному каналу. А по первому выход был перекрыт.

• Одновременно использовать два канала интернет,McS555, 12:50 , 02-Окт-13
  • Одновременно использовать два канала интернет,motok, 13:05 , 02-Окт-13
    • Одновременно использовать два канала интернет,McS555, 13:24 , 02-Окт-13
      • Одновременно использовать два канала интернет,elk_killa, 13:34 , 02-Окт-13
        • Одновременно использовать два канала интернет,motok, 13:50 , 02-Окт-13
          • Одновременно использовать два канала интернет,elk_killa, 14:28 , 02-Окт-13
        • Одновременно использовать два канала интернет,McS555, 14:10 , 02-Окт-13
• NAT: route-map,QRSa, 14:09 , 02-Окт-13
  • NAT: route-map,motok, 14:28 , 02-Окт-13
    • NAT: route-map,QRSa, 14:33 , 02-Окт-13
      • NAT: route-map,motok, 15:41 , 02-Окт-13
        • NAT: route-map,QRSa, 17:28 , 02-Окт-13
• Одновременно использовать два канала интернет,VolanD, 09:20 , 03-Окт-13

> Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных
> канала для выхода в интернет?
> Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего
> один ip адрес из локалки выходил в интернет по другому, дополнительному
> каналу. А по первому выход был перекрыт.

Если просто - все по одному, один по второму : то для ната первого канала запрети этот адрес. А на второй выход настрой nat только(!) для уникала

>> Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных
>> канала для выхода в интернет?
>> Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего
>> один ip адрес из локалки выходил в интернет по другому, дополнительному
>> каналу. А по первому выход был перекрыт.
> Если просто - все по одному, один по второму : то для
> ната первого канала запрети этот адрес. А на второй выход настрой
> nat только(!) для уникала

Последний вопрос, а если я еще один ip route пропишу для второго выхода в инет, железка сама поимет что он именно для второго?

>>> Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных
>>> канала для выхода в интернет?
>>> Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего
>>> один ip адрес из локалки выходил в интернет по другому, дополнительному
>>> каналу. А по первому выход был перекрыт.
>> Если просто - все по одному, один по второму : то для
>> ната первого канала запрети этот адрес. А на второй выход настрой
>> nat только(!) для уникала
> Последний вопрос, а если я еще один ip route пропишу для второго
> выхода в инет, железка сама поимет что он именно для второго?

метрику только поставь (например 10~20)

> метрику только поставь (например 10~20)

что, прямо без PBR поймет, что этот адрес надо маршрутизировать в другой интерфейс? Не слышал про такую "фичу"

>> метрику только поставь (например 10~20)
> что, прямо без PBR поймет, что этот адрес надо маршрутизировать в другой
> интерфейс? Не слышал про такую "фичу"

PBR и IP Sla разные вещи? Я когда то  поднимал резервный канал средствами IpSla. Конфиг где то есть. Но только я не поиму (не знаю), как сделать чтоб канал постоянно работал а не поднимался после подения первого.

> PBR и IP Sla разные вещи? Я когда то  поднимал резервный
> канал средствами IpSla. Конфиг где то есть. Но только я не
> поиму (не знаю), как сделать чтоб канал постоянно работал а не
> поднимался после подения первого.

разные конечно, ipsla дает возможность гасить/поднимать маршрут по событию, а PBR - маршрутизировать по адресам источника

>> метрику только поставь (например 10~20)
> что, прямо без PBR поймет, что этот адрес надо маршрутизировать в другой
> интерфейс? Не слышал про такую "фичу"

да не будет...ступил.. хотя icmp бегать будут

> Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных
> канала для выхода в интернет?
> Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего
> один ip адрес из локалки выходил в интернет по другому, дополнительному
> каналу. А по первому выход был перекрыт.

Добрый день, я бы сделал NAT с route-map (и уже там указывал бы next-hop).

>> Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных
>> канала для выхода в интернет?
>> Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего
>> один ip адрес из локалки выходил в интернет по другому, дополнительному
>> каналу. А по первому выход был перекрыт.
> Добрый день, я бы сделал NAT с route-map (и уже там указывал
> бы next-hop).

Т.е.
добавляю новый ip route с метрикой ...
в основном акцес листе запретить доступ этому аипи.
создать дополнительный лист, внести туда этот аипи.
создать доп роут мап (для основного канала уже есть)для этого листа.
прописываем next-hop .....
вешаем мап на интерфейс второго выхода в инет.
Этого хватит?

> добавляю новый ip route с метрикой ...
> в основном акцес листе запретить доступ этому аипи.
> создать дополнительный лист, внести туда этот аипи.
> создать доп роут мап (для основного канала уже есть)для этого листа.
> прописываем next-hop .....
> вешаем мап на интерфейс второго выхода в инет.
> Этого хватит?

Идея в том, чтобы создать правила NAT с использованием route-map (что-то типа http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec..., только с добавлением next-hop, хотя next-hop можно реализовать с помощью PBR).

>> добавляю новый ip route с метрикой ...
>> в основном акцес листе запретить доступ этому аипи.
>> создать дополнительный лист, внести туда этот аипи.
>> создать доп роут мап (для основного канала уже есть)для этого листа.
>> прописываем next-hop .....
>> вешаем мап на интерфейс второго выхода в инет.
>> Этого хватит?
> Идея в том, чтобы создать правила NAT с использованием route-map (что-то типа
> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...,
> только с добавлением next-hop, хотя next-hop можно реализовать с помощью PBR).

Вообщем с таким конфигом не прокатило... ip для теста взял 192.168.3.114

ip flow-cache timeout active 1
ip domain name orto.ru
ip name-server 84.47.177.77
ip name-server 85.91.99.99
ip name-server 192.168.3.5
ip name-server 192.168.6.1
ip inspect name block_url http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .youtube.ru
ip urlfilter audit-trail
ip cef
no ipv6 cef
!

!
policy-map global_policy
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key  
!
!
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
mode tunnel
!
!
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
description Tunnel to84.47.
set peer 84.47.
set transform-set ESP-3DES-SHA1
match address 103
!
!
!
!
!
interface FastEthernet0
description int_ROC
switchport access vlan 3
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
description second_int
switchport access vlan 2
no ip address
!
interface FastEthernet4
description WAN$ETH-WAN$
ip address 84.47.** 255.255.255.248
ip nat outside
ip inspect block_url out
ip virtual-reassembly in
duplex auto
speed auto
crypto map SDM_CMAP_2
!
interface Vlan1
description local
ip address 192.168.3.3 255.255.255.0
ip access-group 105 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1360
!
interface Vlan2
description second_int
ip address 192.168.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
shutdown
!
interface Vlan3
description ROC
ip address 192.168.6.2 255.255.255.0
ip nat outside
ip virtual-reassembly in

ip forward-protocol nd
!
ip flow-export version 5
ip flow-export destination 192.168.3.5 9996
!
ip dns server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
ip nat inside source route-map vlan3 interface Vlan3 overload
ip route 0.0.0.0 0.0.0.0 84.47.156.233
ip route 0.0.0.0 0.0.0.0 192.168.6.1 10
!
access-list 104 remark CCP_ACL Category=18
access-list 104 permit tcp any host 195.34.32.101 eq smtp
access-list 104 remark block_smtp
access-list 104 deny   tcp any any eq smtp
access-list 104 remark test
access-list 104 deny   ip host 192.168.3.114 any
access-list 104 remark block_5.255.225.12
access-list 104 deny   tcp any host 5.255.225.12
access-list 104 remark IPSec Rule
access-list 104 deny   ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 any
access-list 106 permit ip host 192.168.3.114 any
no cdp run
!
route-map vlan3 permit 1
match ip address 106
match interface Vlan3
set ip next-hop 192.168.6.1
!
route-map SDM_RMAP_1 permit 1
match ip address 104
match interface FastEthernet4
set ip next-hop 84.47.156.233

Почитайте пожалуйста статью https://supportforums.cisco.com/docs/DOC-5061

> Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных
> канала для выхода в интернет?
> Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего
> один ip адрес из локалки выходил в интернет по другому, дополнительному
> каналу. А по первому выход был перекрыт.

Можно их по разным врф'ам  распихать...