https://www.opennet.ru/openforum/vsluhforumID6/1313.html Ещё одна сторона старого вопроса.<br><br>Есть Cisco 1841 (iOS 15), к ней подключены два провайдера и локалка.<br>Если первый канал падает - переключаемся на второй. Оживает - вовращаемся.<br>А вот как сделать, что бы сама Cisco была доступна через оба канала постоянно?<br><br>FastEthernet 0/0 (1.2.3.4/30) - ISP1<br><br>FastEthernet 0/0.2 (10.0.0.10/24) - ISP2 (Yota даёт внешний айпи вот таким образом, но если она становится основным каналом - всё пашет, даже VPN-ы. <br>Снаружи USB-модем виден по йотовскому внешнему IP, а внутрь даёт 10.0.0.10 и шлюз 10.0.0.1)<br><br>FastEthernet 0/1 (192.168.25.1/24) - LAN<br><br>Пытался делать так:<br>Cisco(config)#ip access-list extended acl_from_Yota<br>Cisco(config-ext-nacl)#permit ip host 10.0.0.10 any <br>Cisco(config-ext-nacl)# route-map map_to_Yota permit 10 <br>Cisco(config-route-map)#match ip address acl_from_Yota<br>Cisco(config-route-map)#set ip nex-hop 10.0.0.1<br>Cisco(config-route-map)#int fa 0/0.2<br>Cisco(config-if)#ip policy route-map map_to_Yota <br><br><br>Но <br>Cisco #ping 8.8.8.8 source fastEthernet https://www.opennet.ru/openforum/vsluhforumID6/1313.html#11 Thu, 17 Apr 2014 09:59:57 GMT [code]<br>ip local policy route-map RM_LOCAL<br>!<br>ip access-list extended RM_LOCAL<br> permit ip host 10.1.3.3 any<br>!<br>route-map RM_LOCAL permit 10<br> match ip address RM_LOCAL<br> set ip next-hop 10.1.3.1<br>!<br>[/code]<br><br>Это все что нужно. Если где-то еще полиси-роутинг используется, возможно он мешает.<br><br>debug ip policy<br>debug ip policy dynamic<br> https://www.opennet.ru/openforum/vsluhforumID6/1313.html#10 Thu, 17 Apr 2014 09:21:10 GMT &gt;&gt;[оверквотинг удален] <br>&gt; В полиси матч соурс айпи роутера, и set ip default next-hop и <br>&gt; set interface ..<br><br>Вот, что у меня есть сейчас:<br><br>Cisco(config)#ip access-list extended acl_from_Yota<br>Cisco(config-ext-nacl)#permit ip host 10.0.0.10 any<br>Cisco(config-ext-nacl)# route-map map_to_Yota permit 10<br>Cisco(config-route-map)#match ip address acl_from_Yota<br>Cisco(config-route-map)#set ip next-hop 10.0.0.1<br>!Вот это добавил по вашей рекомендации<br>Cisco(config-route-map)#set default interface FastEthernet 0/0.2<br>Cisco(config-route-map)#exit<br>Cisco(config)#ip local policy route-map map_to_Yota<br><br><br>Я так понимаю, что <br>"В полиси матч соурс айпи роутера" - это первые 4 строки конфига, что я привёл<br><br>А <br>set ip default next-hop и set interface .. - следующие две<br><br>Или нужна ещё одна полиси?<br><br>Извините за тупняки<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/1313.html#9 Thu, 17 Apr 2014 04:55:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Это было не основное.<br>&gt;&gt; Основное: ip local policy ...<br>&gt; Ага!<br>&gt; Спасибо, убрал Policy с интерфейса, добавил как local.<br>&gt; Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP <br>&gt; не получается всё равно.<br>&gt; Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого <br>&gt; интерфейса надо отправлять обратно через него же.<br>&gt; Я думал, что циска сама это поймёт - ведь пакеты приходят на <br>&gt; 10.0.0.10, значит с него и обратно должны идти <br><br>Роутеру все равно откуда пришел пакет, обратный он шлет согласно таблицы маршрутизации.<br><br>В полиси матч соурс айпи роутера, и set ip default next-hop и set interface ..<br> https://www.opennet.ru/openforum/vsluhforumID6/1313.html#8 Thu, 17 Apr 2014 01:53:43 GMT &gt; А вот как сделать, что бы сама Cisco была доступна через оба <br>&gt; канала постоянно?<br><br>Используйте vrf.<br> https://www.opennet.ru/openforum/vsluhforumID6/1313.html#7 Wed, 16 Apr 2014 22:01:45 GMT &gt;&gt;&gt;&gt; На интерфейсе полиси убрать <br>&gt;&gt;&gt; Не помогло <br>&gt;&gt; Это было не основное.<br>&gt;&gt; Основное: ip local policy ...<br>&gt; Ага!<br>&gt; Спасибо, убрал Policy с интерфейса, добавил как local.<br>&gt; Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP <br>&gt; не получается всё равно.<br>&gt; Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого <br>&gt; интерфейса надо отправлять обратно через него же.<br><br>Это возможно при наличии full view с обоими провайдерами.<br>Все остальное - костыли.<br><br>&gt; Я думал, что циска сама это поймёт - ведь пакеты приходят на <br>&gt; 10.0.0.10, значит с него и обратно должны идти <br><br>Не должны. См. выше. В вашем случае, ответы на пакеты, пришедшие от резервного провайдера, уходят по дефолтному маршруту на основного. Основной провайдер имеет право не принимать такие пакеты. Тогда может помочь policy routing, но только для тех протколов, для которых он настоен.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1313.html#6 Wed, 16 Apr 2014 12:56:18 GMT &gt;&gt;&gt; На интерфейсе полиси убрать <br>&gt;&gt; Не помогло <br>&gt; Это было не основное.<br>&gt; Основное: ip local policy ...<br><br>Ага!<br>Спасибо, убрал Policy с интерфейса, добавил как local.<br>Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP не получается всё равно.<br><br>Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого интерфейса надо отправлять обратно через него же.<br><br>Я думал, что циска сама это поймёт - ведь пакеты приходят на 10.0.0.10, значит с него и обратно должны идти<br> https://www.opennet.ru/openforum/vsluhforumID6/1313.html#5 Wed, 16 Apr 2014 02:54:09 GMT &gt;&gt; На интерфейсе полиси убрать <br>&gt; Не помогло <br><br>Это было не основное.<br>Основное: ip local policy ...<br> https://www.opennet.ru/openforum/vsluhforumID6/1313.html#4 Tue, 15 Apr 2014 19:38:26 GMT <br>&gt; На интерфейсе полиси убрать <br><br>Не помогло<br><br>Причём:<br>Cisco (config)#ip route 8.8.4.4 255.255.255.255 10.0.0.1<br>Cisco #ping 8.8.4.4 source fastEthernet 0/0.2<br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 8.8.4.4, timeout is 2 seconds:<br>Packet sent with a source address of 10.0.0.10<br>!!!!!<br><br>НО<br><br>Cisco #ping 8.8.8.8 source fastEthernet 0/0.2<br>Type escape sequence to abort.<br>Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:<br>Packet sent with a source address of 10.0.0.10<br>.....<br>Success rate is 0 percent (0/5)<br><br>Дело не в полиси на интерфейсе.<br>Или не только в этом...<br> https://www.opennet.ru/openforum/vsluhforumID6/1313.html#3 Tue, 15 Apr 2014 16:59:16 GMT &gt;&gt; Но <br>&gt;&gt; Cisco #ping 8.8.8.8 source fastEthernet 0/0.2 <br>&gt;&gt; Type escape sequence to abort.<br>&gt;&gt; Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: <br>&gt;&gt; Packet sent with a source address of 10.0.0.10 <br>&gt;&gt; .....<br>&gt;&gt; Success rate is 0 percent (0/5) <br>&gt; Железка SLA поддерживает?<br><br>Это тут не при чем<br>