https://www.opennet.ru/openforum/vsluhforumID6/2603.html Есть два роутера cisco 2951, каждая смотрит в своего провайдера, на каждой есть NAT.<br><br>Есть ядро сети из двух cisco 9300 в stack, с настроенными SVI (interface vlan), где осуществляется межвланный роутинг.<br><br>Между ядром сети и роутерами настроен eigrp.<br><br>Разные подсети из ядра натятся в разных провайдеров при помощи route-map.<br><br> <br><br>Вроде бы всё стандартно.<br><br> <br><br>Возникла задача сделать доступ на один внутренний IP (виртуальную машину) доступ снаружи с двух провайдеров.<br><br>Т.е. На обеих 2951 пробрасываем порт на внутренный IP.<br><br> <br><br>СХЕМА - https://ibb.co/Wk36rhG<br><br> <br><br>Вроде бы простая задача но вызывает много вопросов.<br><br> <br><br>В случае с микротиком-линуксом там понятно, можно помечать соединения в conntrack в фаирволе. Думаю если бы вместо 9300 был какой микрот я бы решил задачу.<br><br> <br><br>Но как пометить соединения у циски?<br><br> <br><br> <br><br>Есть решение с одним роутером и двумя провайдерами, например можно сделать дополнительный нат через лупбек чтобы менять SRC IP у пакетов пришедших через 2 интерфейс https://www.opennet.ru/openforum/vsluhforumID6/2603.html#6 Sat, 12 Feb 2022 10:04:00 GMT &gt;&gt;&gt; Возникла задача сделать доступ на один внутренний IP (виртуальную машину) доступ снаружи <br>&gt;&gt;&gt; с двух провайдеров.<br>&gt;&gt; Машина на какой ОС?<br>&gt;&gt; С линуксом можно сделать просто - несколько сетевых подключений и использовать полиси <br>&gt;&gt; роутинг на самом хосте. В зависимости от соурс-IP менять таблицу маршрутизации.<br>&gt;&gt; С tcp прекрасно работает.<br>&gt; механизм ip rule <br><br>Спасибо большое! Но к сожалению там винда. Про линукс знаю да.<br> https://www.opennet.ru/openforum/vsluhforumID6/2603.html#5 Mon, 24 Jan 2022 08:07:59 GMT &gt;&gt; Возникла задача сделать доступ на один внутренний IP (виртуальную машину) доступ снаружи <br>&gt;&gt; с двух провайдеров.<br>&gt; Машина на какой ОС?<br>&gt; С линуксом можно сделать просто - несколько сетевых подключений и использовать полиси <br>&gt; роутинг на самом хосте. В зависимости от соурс-IP менять таблицу маршрутизации. <br>&gt; С tcp прекрасно работает.<br><br>механизм ip rule<br> https://www.opennet.ru/openforum/vsluhforumID6/2603.html#4 Mon, 24 Jan 2022 08:06:43 GMT &gt; Возникла задача сделать доступ на один внутренний IP (виртуальную машину) доступ снаружи <br>&gt; с двух провайдеров.<br><br>Машина на какой ОС?<br>С линуксом можно сделать просто - несколько сетевых подключений и использовать полиси роутинг на самом хосте. В зависимости от соурс-IP менять таблицу маршрутизации.<br>С tcp прекрасно работает.<br> https://www.opennet.ru/openforum/vsluhforumID6/2603.html#2 Mon, 17 Jan 2022 11:34:32 GMT Спасибо большое за ответ еек!<br><br>&gt; У вас весь раутинг destination based :) В рамках вашего дизайна никак. <br><br>Ну вот я тоже в голове как ни крутил так ни к чему и не пришел.<br><br>&gt; Потому что cef в этом не помогает.<br><br>Я пробросил наружу свой стенд через боевые роутеры. Получился нат за натом но тем не менее. Нормально заработало вот с такой настройкой:<br><br>ip cef load-sharing algorithm include-ports source destination gtp <br><br>(Enabling the GTP-U TEID Load-Balancing Algorithm Use the command to enable the GTP-U TEID load-balancing algorithm for IPv4.)<br><br>https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipswitch_cef/configuration/15-mt/isw-cef-15-mt-book/isw-cef-load-balancing.html<br><br>Проверял на двух реальниках, заходит и на тот и на тот.<br><br>Если без gtp то иногда начинает думать то на одном то на другом.<br><br>Команда <br><br>show ip cef exact-route source - ip address [src-port port number] destination-ip address[ dest-port port number]<br><br>выдает действительно разные пути.<br><br>Не совсем я конечно понимаю до конца как https://www.opennet.ru/openforum/vsluhforumID6/2603.html#1 Mon, 17 Jan 2022 09:39:50 GMT &gt; 1. Как же все таки в такой схеме с CISCO сделать так <br>&gt; чтобы ответ уходил туда откуда он пришел?<br><br>У вас весь раутинг destination based :) В рамках вашего дизайна никак.<br><br>&gt; 2. Реализуемо ли это в принципе через route-map?<br>&gt; тоже с одного адреса.<br><br>Если я верно понял вашу схему, нет.<br><br>&gt; 3. Можно ли без VRF сделать балансировку для одного влана?<br><br>Да можно смотрите вариант 0 (ноль), ниже в ответе.<br><br>Только в реальности вы все равно закончите VRFами. Потому что если бы для вас вариант с BGP был бы реален, вы вероятно, об этом бы уже знали :)<br><br>&gt; 4. И меня всё таки смущает почему почти нигде не пишут про <br>&gt; такой кейс и использование балансировки через ip cef. Это не бест-практикс? <br><br>Потому что cef в этом не помогает.<br><br><br>&gt; Как тогда сделать?<br><br>0) Переносить сервис на публичный адрес с переходом на BGP (или любой другой динамический протокол который готовы принимать оба провайдера) + анонс вашей сети с приложением в оба провайдера.<br><br>1) VRF + Двойной нат (подменяющий и src и dst адрес) на вашем бор