https://www.opennet.ru/openforum/vsluhforumID6/18724.html Такая проблема:<br><br>Cisco 1841 используется для доступа в И-нет через провайдера с помощью NAT.<br>Появилась необходимость NAT'ить внутренний трафик на определенный IP-адрес в еще одну частную сеть сеть.<br>Добавил 4-х портовый модуль, включил один из 4-х интерфейсов в VLAN с нужным IP-адресом этой сети, сделал NAT и случилось следующее -- работает только один NAT, тот, который создан первым...<br><br>Что мне сделать, подскажите, пожалуйста!<br><br> https://www.opennet.ru/openforum/vsluhforumID6/18724.html#21 Wed, 29 Apr 2009 06:33:42 GMT &gt;[оверквотинг удален]<br>&gt;route-map ISP permit 10 <br>&gt; match ip address ISP_1_source_IP <br>&gt; set ip default next-hop ISP_1_GW <br>&gt;route-map ISP permit 20 <br>&gt; match ip address ISP_2_source_IP <br>&gt; set ip default next-hop ISP_2_GW <br>&gt;...затем правила для приватных сеток <br>&gt;<br>&gt;Перед проверкой ping 213.180.204.8 ... <br>&gt;ip local policy route-map ISP <br><br>zxc и alex.krav огромное спасибо Вам за помощ !!!!!!!!!!<br> https://www.opennet.ru/openforum/vsluhforumID6/18724.html#20 Wed, 29 Apr 2009 04:19:38 GMT &gt;[оверквотинг удален]<br>&gt;Success rate is 0 percent (0/5) <br>&gt;<br>&gt;<br>&gt;Если игратся с метриками <br>&gt;<br>&gt;ip route 0.0.0.0 0.0.0.0 Dialer1 100 <br>&gt;ip route 0.0.0.0 0.0.0.0 ISP 2 GW 50 <br>&gt;<br>&gt;то пинги проходят и с того и с того сорса <br>&gt;<br><br>Это ни о чём не говорит. Скорее всего какой-то из провайдеров не принимает пакеты из чужих сеток.<br>Здесь Вам хорошо расписали разные варианты решения вопроса. Чтобы не было вышеозначенных проблем (при использовании PBR) добавьте соответствующие строки:<br><br>route-map ISP permit 10<br> match ip address ISP_1_source_IP<br> set ip default next-hop ISP_1_GW<br>route-map ISP permit 20<br> match ip address ISP_2_source_IP<br> set ip default next-hop ISP_2_GW<br>...затем правила для приватных сеток<br><br>Перед проверкой ping 213.180.204.8 ...<br>ip local policy route-map ISP<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/18724.html#19 Tue, 28 Apr 2009 14:33:55 GMT &gt;[оверквотинг удален]<br>&gt; set ip next-hop verify-availability xxx.xxx.xxx.xxx 20 track 123 <br>&gt;<br>&gt;route-map NAT permit 20 <br>&gt; match ip address NAT-ALL <br>&gt; set ip next-hop verify-availability xxx.xxx.xxx.xxx 10 track 123 <br>&gt; set ip next-hop verify-availability yyy.yyy.yyy.yyy 20 track 124 <br>&gt;<br>&gt;<br>&gt;Ну, а вообще, ваша задача решалась <br>&gt;http://www.certification.ru/cgi-bin/forum.cgi?action=thread&id=29370 <br><br>Увидел такую проблему, при таком раскладе <br>ip route 0.0.0.0 0.0.0.0 Dialer1 <br>ip route 0.0.0.0 0.0.0.0 ISP 2 GW<br><br>ping 213.180.204.8 source di1<br>Success rate is 100 percent (5/5), round-trip min/avg/max = 44/46/48 m<br><br>ping 213.180.204.8 source ISP 2 MY<br>Success rate is 0 percent (0/5)<br><br><br>Если игратся с метриками<br> <br>ip route 0.0.0.0 0.0.0.0 Dialer1 100<br>ip route 0.0.0.0 0.0.0.0 ISP 2 GW 50<br><br>то пинги проходят и с того и с того сорса <br> <br><br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/18724.html#18 Tue, 28 Apr 2009 12:10:00 GMT Да, и напоследок: лучше отказывайтесь от ip sla <br><br>:-)<br><br> https://www.opennet.ru/openforum/vsluhforumID6/18724.html#17 Tue, 28 Apr 2009 12:04:35 GMT &gt;но все таки кто нибудь <br>&gt;схему с ip sla может подсказать что не правильно? <br><br>повторюсь:<br>вам надо или убрать track из дефолтовых маршрутов<br>написать правильный route-map <br><br><br>1. Уберите отсюда track 123 и track 124 и два NAT заработают сразу же.<br>Каналы будут делиться 50% на 50%<br><br>ip route 0.0.0.0 0.0.0.0 Dialer1 20 track 123<br>ip route 0.0.0.0 0.0.0.0 ISP 2 GW 20 track 124<br><br>2. Если просто нужно использовать основной + резервный канал с помощью sla, то <br>сделайте так:<br>route-map NAT permit 10<br> match ip address NAT<br> set ip next-hop verify-availability xxx.xxx.xxx.xxx 10 track 123<br> set ip next-hop verify-availability yyy.yyy.yyy.yyy 20 track 124<br><br><br>3. Если надо для определенной группы из 20 адресов пользовать неосновной канал, а для остальных -- основной, то route-map надо немного изменить:<br><br>route-map NAT permit 10<br> match ip address NAT-20IP<br> set ip next-hop verify-availability yyy.yyy.yyy.yyy 10 track 124<br> set ip next-hop verify-availability xxx.xxx.xxx.xxx 20 track 123<br><br>route-map NAT permit https://www.opennet.ru/openforum/vsluhforumID6/18724.html#16 Tue, 28 Apr 2009 11:17:54 GMT &gt;[оверквотинг удален]<br>&gt;Вы невнимательно смотрели конфиг. Никаких филиалов у меня нет, и уж тем <br>&gt;более VPN-ов. <br>&gt;Эти туннели начинаются и заканчиваются на одном и том же маршрутизаторе. <br>&gt;<br>&gt;Ситуацию я описал в начале. Два канала в интернет. Один приоритетный, другой <br>&gt;-- бэкап. <br>&gt;Можете смело переносить мой конфиг к себе, только интерфейсы измените на свои <br>&gt;и адресацию под себя настройте. <br>&gt;Ну, и возможно, немного для себя NAT поднастроите (для 20 адресов исключения). <br>&gt;<br><br>Большое спасибо за помощь, увидел ошибался извеняюсь, но все таки кто нибудь схему с ip sla может подсказать что не правильно?<br> https://www.opennet.ru/openforum/vsluhforumID6/18724.html#15 Tue, 28 Apr 2009 10:04:56 GMT &gt;Ну у вас ситуация соовсем другая, Вы как я понимаю берете VPN-ы <br>&gt;на удаленный филал с которым и строите ospf и признаком того <br>&gt;что канал упал являются маршруты ospf, у меня же ситуация совсем <br>&gt;другая <br><br>Вы невнимательно смотрели конфиг. Никаких филиалов у меня нет, и уж тем более VPN-ов.<br>Эти туннели начинаются и заканчиваются на одном и том же маршрутизаторе.<br><br>Ситуацию я описал в начале. Два канала в интернет. Один приоритетный, другой -- бэкап.<br>Можете смело переносить мой конфиг к себе, только интерфейсы измените на свои и адресацию под себя настройте.<br>Ну, и возможно, немного для себя NAT поднастроите (для 20 адресов исключения).<br> https://www.opennet.ru/openforum/vsluhforumID6/18724.html#14 Tue, 28 Apr 2009 09:41:33 GMT &gt;[оверквотинг удален]<br>&gt;ip nat inside source list NAT interface Dialer0 vrf DSV overload <br>&gt;ip nat inside source list NAT interface Vlan2 vrf ROSTELECOM overload <br>&gt;! <br>&gt;ip access-list extended NAT <br>&gt; deny ip 192.168.1.0 0.0.0.255 192.168.0.0 0.0.255.255 <br>&gt; permit ip 192.168.1.0 0.0.0.255 any <br>&gt; permit ip 192.168.0.0 0.0.0.255 any <br>&gt;! <br>&gt;no cdp run <br>&gt;! <br><br>Ну у вас ситуация соовсем другая, Вы как я понимаю берете VPN-ы на удаленный филал с которым и строите ospf и признаком того что канал упал являются маршруты ospf, у меня же ситуация совсем другая <br> https://www.opennet.ru/openforum/vsluhforumID6/18724.html#13 Tue, 28 Apr 2009 09:30:28 GMT Пример, как это у меня работает.<br>Оборудование -- cisco871<br>Канал 1 -- ADSL, PPPoE (динамическая адресация)<br>Канал 2 -- FastEthernet (сеть /30 от провайдера)<br><br>Второй канал приоритетный, дешевый, быстрый и надежный. При отсутствии трансляции через приоритетный канал, сразу же начинает работать ADSL.<br>Недостаток этого конфига -- DNS. В случае работы резервного канала имена могут разрешаться с 5-сек. задержкой (из-за последовательной отработки маршрутизатором DNS серверов по списку). Но от этого можно избавиться, если использовать отдельностоящий в локальной сети DNS сервер.<br><br>Данное решение (VRF+динамическая маршрутизация) предложил уважаемый ВОЛКА на certification.ru<br><br><br><br>Вырезка конфига:<br>!<br>!<br>ip dhcp excluded-address 192.168.1.1<br>!<br>ip dhcp pool LAN<br> network 192.168.1.0 255.255.255.0<br> default-router 192.168.1.1<br> dns-server 192.168.1.1<br>!<br>!<br>ip cef<br>ip domain name yourdomain.com<br>ip name-server vrf DSV 212.122.1.9<br>ip name-server vrf DSV 212.122.1.2<br>ip name-server vrf ROSTELECOM 208.67.222.22