- 2 прова и НАТ,
 sh_, 10:00 , 12-Дек-06 (1)access-list 3 perm ho 192.168.77.45
no route-map alpharoute-map alpha permit 10
match ip add 3
set ip next-hop 87.244.XXX.209 route-map alpha permit 20
set ip next-hop verify-availability 86.62.XXX.193 10 track 123
set ip next-hop verify-availability 87.244.XXX.209 20 track 124 ps. обрати внимание на адрес 87.244.XXX.209 и то, что у тебя прописано.
- 2 прова и НАТ, visahouse, 14:17 , 12-Дек-06 (2)
добавил, всё что написали.
теперь в конфиге такое:access-list 3 permit 192.168.77.45
route-map alpha permit 10
match ip address 3
set ip next-hop 86.62.XXX.193
!
route-map alpha permit 20
set ip next-hop verify-availability 86.62.XXX.193 10 track 123
set ip next-hop verify-availability 87.244.XXX.209 20 track 124
!
опять не работает! А вообще можно-ли сделать следующее:
всё что попадает на оба внешних интерфейса автоматически падало на внешний интерфейс ISA-сервера? >access-list 3 perm ho 192.168.77.45
>no route-map alpha
>
>route-map alpha permit 10
>match ip add 3
>set ip next-hop 87.244.XXX.209
>
>route-map alpha permit 20
>set ip next-hop verify-availability 86.62.XXX.193 10 track 123
>set ip next-hop verify-availability 87.244.XXX.209 20 track 124
>
>ps. обрати внимание на адрес 87.244.XXX.209 и то, что у тебя прописано.
>
- 2 прова и НАТ, sh_, 14:29 , 12-Дек-06 (3)
>опять не работает!Я написал не то, что вы вбили в конфиг. >А вообще можно-ли сделать следующее:
>всё что попадает на оба внешних интерфейса автоматически падало на внешний интерфейс ISA-сервера? Можно. Тот же PBR.
- 2 прова и НАТ, visahouse, 15:00 , 12-Дек-06 (4)
>Я написал не то, что вы вбили в конфиг. так я вбивал чётко, что было написано.
Но теперь в конфиге так, как я здесь выкладываю.
- 2 прова и НАТ, sh_, 16:09 , 12-Дек-06 (5)
Я написал
route-map alpha permit 10
match ip add 3
set ip next-hop 87.244.XXX.209у тебя написано route-map alpha permit 10
match ip add 3
set ip next-hop 86.62.XXX.193
- 2 прова и НАТ, visahouse, 16:24 , 12-Дек-06 (6)
Через второго прова, пока не могу ничего делать - через него щас, пока я кошку настраиваю, вся контора работает.
Поэтому для тестирования указал айпишник первого. и лезу конечно же на него.>Я написал
>route-map alpha permit 10
>match ip add 3
>set ip next-hop 87.244.XXX.209
>
>у тебя написано
>
>route-map alpha permit 10
>match ip add 3
>set ip next-hop 86.62.XXX.193
- 2 прова и НАТ, visahouse, 16:33 , 12-Дек-06 (7)
Конфиг текущий:!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname SHL
!
boot-start-marker
boot-end-marker
!
no aaa new-model
clock timezone Moscow 3
clock summer-time Moscow date Mar 30 2003 2:00 Oct 26 2003 3:00
ip cef
!
!
!
!
ip sla monitor 1
type echo protocol ipIcmpEcho 86.62.XXX.193
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 87.244.XXX.209
ip sla monitor schedule 2 life forever start-time now
!
track 123 rtr 1 reachability
!
track 124 rtr 2 reachability
!
!
interface FastEthernet0/0
description RINET$ETH-WAN$
ip address 86.62.XXX.196 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description BREEZZ$ETH-WAN$
ip address 87.244.XXX.214 255.255.255.248 secondary
ip address 87.244.XXX.210 255.255.255.248
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
!
interface Vlan1
description LOCAL
ip address 192.168.77.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map alpha
!
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/1 overload
ip nat inside source static tcp 192.168.77.45 25 86.62.XXX.196 25 extendable
!
access-list 1 remark SDM_ACL Category=1
access-list 1 permit 192.168.77.0 0.0.0.255
access-list 2 remark SDM_ACL Category=2
access-list 2 permit 192.168.77.0 0.0.0.255
access-list 3 permit 192.168.77.45
!
route-map alpha permit 10
match ip address 3
set ip next-hop 86.62.XXX.193
!
route-map alpha permit 20
set ip next-hop verify-availability 86.62.XXX.193 10 track 123
set ip next-hop verify-availability 87.244.XXX.209 20 track 124
!
!
!
!
control-plane
!
!
!
line con 0
login local
line aux 0
line vty 0 4
privilege level 15
login
transport input telnet ssh
line vty 5 15
privilege level 15
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end
- 2 прова и НАТ, Антон, 00:36 , 13-Дек-06 (8)
Привет,по схеме не ясно, где у тебя Cisco. Если между ISP и ISA, тогда "SMTP-траффик почему-то не пробрасывается внутрь" - это значит, что от ISP трафик не попадает на "внешний" интерфейс ISA, и далее не попадает на Exchange. 192.168.77.45 - это "внешний" интерфейс ISA? 25й порт с ISA уходит на Exchange? И еще вопрос, не по теме. У тебя мониторится состояние шлюзов, и они же устанавливаются в качестве next-hop-ов. У тебя шлюзы расположены уже у провайдера? То есть ты по ним реально можешь отследить работоспособность каналов? Спасибо,
Антон
- 2 прова и НАТ, visahouse, 08:39 , 13-Дек-06 (9)
шлюзы стоят у провайдера, так что по ним реально (ну как реально, относительно реально) отслеживается работоспособность каналов.
по схеме - да кошка расположена между провайдером и Исой.
192.168.77.45 - считаем, что это внешний интерфейс ИСЫ. с ИСЫ всё уходин на Exchange.вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется, может в этом дело и есть.
вообщем, надо сделать так, чтобы весь траффик приходящий на внешние интерфейсы кошки уходил сразу к Исе, без разбора что это.
- 2 прова и НАТ, visahouse, 08:52 , 13-Дек-06 (10)
и при этом подставлялся внутренний IP-адрес, иначе как я понимаю ничего приниматься не будет.
- 2 прова и НАТ, Антон, 09:29 , 13-Дек-06 (11)
- 2 прова и НАТ, visahouse, 10:40 , 13-Дек-06 (12)
- 2 прова и НАТ, Антон, 11:40 , 13-Дек-06 (14)
>А DMZ-то причем? Так ведь тебе же нужно "вообщем, надо сделать так, чтобы весь траффик приходящий на внешние интерфейсы кошки уходил сразу к Исе, без разбора что это" - с практической точки зрения можно говорить о том, что ISA у тебя оказвается в DMZ роутера - ты на нее будешь прокидывать весь входящий трафик без разбора. Кстати, я проверил, SDM для "опубликования" "внутреннего" SMTP на "внешнем" интерфейсе роутера пишет вот такое правило ip nat inside source static tcp 192.168.0.2 25 interface FastEthernet0 25 FastEthernet0, естественно, "внешний". И всё работает. У меня вчера ошибка была в том, что "внутренний" хост 192.168.0.2 не знал, как отправить пакеты в Интернет, то есть у него в качестве шлюза по умолчанию был задан не роутер.
- 2 прова и НАТ, sh_, 10:51 , 13-Дек-06 (13)
>вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется, И не должен...
- 2 прова и НАТ, Антон, 11:41 , 13-Дек-06 (15)
>>вчера вечером выяснил, что извне внешний интерфейс кошки не пингуется,
>
>И не должен...
А почеу не должен? ACL-то на WAN-ах никакой не задан, судя по конфигу...
- 2 прова и НАТ, visahouse, 15:02 , 13-Дек-06 (16)
не должен, не должен.
указал 2 роутера(типа 0.0.0.0) и запинговалсяа smtp заработал после того, как я позвонил провайдеру :-)
оказывается эти умные ребята закрыли у себя к нам на вход ВСЁ кроме icmp-пакетов.
а я 2 недели мучаюся... правда пока не могу в реале проверить, как будет работать sla-мониторы.
в вскр придётся выходить и перетыкать. в понедельник сообщу результат.
- 2 прова и НАТ, Антон, 16:47 , 13-Дек-06 (17)
Вот мне интересно, будет ли у тебя "отказоустойчиво" работать Nat при такой конфигурацииip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source list 2 interface FastEthernet0/1 overload Мой прогноз - нет, т.е. когда у тебя основной интерфейс (канал к провайдеру) FastEthernet0/0 будет неработоспособен, маршруты поменяются, но через FastEthernet0/1 ничего натиться не должно... Я не знаю, как правильно, но я реализовал через Route-map -ы в условиях nat-ов, в каждой из которых налагаю условие на match ip next-hop
- 2 прова и НАТ, visahouse, 16:31 , 17-Дек-06 (18)
да. с нат-ом беда какая-то творится. :-)
- 2 прова и НАТ, visahouse, 08:33 , 18-Дек-06 (19)
Даже когда 2 прова работают и пакет идёт ко второму, то IP натится из первого.
- 2 прова и НАТ, Антон, 12:39 , 18-Дек-06 (20)
Может быть, можно как-то по-другому, иожет быть, даже правильно как-то по-другому, но у меня работающий вариант 1:1 как вот в этом посте http://www.opennet.me/openforum/vsluhforumID6/12229.html у EtherDen: ip classless
ip route 0.0.0.0 0.0.0.0 х.х.х.209 10 track 123
ip route 0.0.0.0 0.0.0.0 у.у.у.193 20 track 124
!
ip nat inside source route-map ISP1-NAT interface FastEthernet0 overload
ip nat inside source route-map ISP2-NAT interface FastEthernet1 overload
!
ip access-list standard locallan
permit 192.168.0.0 0.0.0.255
!
!
route-map ISP1-NAT permit 10
match ip address locallan
match interface FastEthernet0
!
route-map ISP2-NAT permit 10
match ip address locallan
match interface FastEthernet1
- 2 прова и НАТ, visahouse, 17:30 , 18-Дек-06 (21)
сенькую.
NAT заработал полностью и правильно.Осталось настроить проход IPSec VPN-a :-)
Конфигурация такая
ISA1 - Интернет - Cisco1841 - ISA2
Надо чтобы этот IPSec траффик c ISA1 на ISA2 проходил через кошку насквозь, не задерживаясь на ней.
- 2 прова и НАТ, Антон, 18:09 , 18-Дек-06 (22)
- 2 прова и НАТ, visahouse, 15:45 , 19-Дек-06 (23)
Просто на ИСЕ, которая за кошкой, завёл ещё один IP-адрес и на кошке сделал статический проброс всего трафика на него.
Всё работает, как ни странно. :-)
|
Версия для распечатки
2 прова и НАТ, 
