- 2 isp на cisco 3845,
 elk_killa, 10:46 , 26-Июл-14 (1)У вас gi0/1 напрямую в провБ вставлен или через свитч? Если первое, так как клиенты попадут во влан172? Если второе, тогда зачем им вообще ваша циска с роутмапом? Пусть укажут шлюзом *.193 и ходят напрямую. В общем дизайн на оба варианта хромает. Нарисуйте себе схему L2/L3 и увидите, почему не работает. Если обязательно нужно, чтоб клиенты проваБ ходили через 3845, посадите их в отдельную подсеть /26 и статик натом выпускайте в Gi0/1.172
- 2 isp на cisco 3845, Andrew, 15:10 , 27-Июл-14 (2)
> У вас gi0/1 напрямую в провБ вставлен или через свитч? Если первое,
> так как клиенты попадут во влан172? Если второе, тогда зачем им
> вообще ваша циска с роутмапом? Пусть укажут шлюзом *.193 и ходят
> напрямую. В общем дизайн на оба варианта хромает. Нарисуйте себе схему
> L2/L3 и увидите, почему не работает. Если обязательно нужно, чтоб клиенты
> проваБ ходили через 3845, посадите их в отдельную подсеть /26 и
> статик натом выпускайте в Gi0/1.172 Благодарю за ответ!
В целом, с недостаточно проработанным дизайном согласен.Подключение производилось в сжатые сроки. Также дополнительно к потоку данных, провайдерБ еще пропускает bgp-трафик предприятия в vlan 171, поэтому решение по пропуску трафика данных и bgp предложено провайдеромБ в виде trunk'а.
Что касается подключения канала, то безусловно switch - простое решение. Но, при использовании switch, а имеется cisco 2960g (c2960-lanbase-mz.122-35.SE5) в качестве ядра, возникает ряд вопросов:
1.необходим биллинг трафика (команды ip flow ingress/egress на уровне интерфейсов отсутствуют, также отсутствуют команды:
ip flow-export source <interface_name>
ip flow-export version <version_number>
ip flow-export destination <ip> <port> ) 2.блок адресов 93.х.х.192/26 является внешним, который хотелось бы сэкономить за счет nat..
Прошу указать решение с использованием роутера 3845 и nat , если возможно, подробней. С уважением, Андрей
- 2 isp на cisco 3845, elk_killa, 20:13 , 27-Июл-14 (3)
> Также дополнительно к потоку данных, провайдерБ еще пропускает bgp-трафик
> предприятия в vlan 171, поэтому решение по пропуску трафика данных
> и bgp предложено провайдеромБ в виде trunk'а.Это еще что за зверь? Что за bgp-траффик при PA-блоках адресов и статическом дефолте на А? > Что касается подключения канала, то безусловно switch - простое
> решение. Но, при использовании switch, а имеется cisco 2960g (c2960-lanbase-mz.122-35.SE5)
> в качестве ядра, возникает ряд вопросов: Свитч (L3) в качестве ядра нужен для IVR, это не мешает его использовать для dot1q линков с провайдерами. Без схемы сети, откуда и куда что должно ходить, советовать нечего > 2.блок адресов 93.х.х.192/26 является внешним, который хотелось бы сэкономить за счет nat.. Блок адресов можно использовать в nat pool > Прошу указать решение с использованием роутера 3845 и nat , если возможно,
> подробней. Пока неясно, что нужно решать-то
- 2 isp на cisco 3845, Andrew, 18:30 , 29-Июл-14 (4)
Добрый день! Благодарю за ваши ответы!
Вносим уточнения :
> Это еще что за зверь? Что за bgp-траффик при PA-блоках адресов и
> статическом дефолте на А?bgp трафик идет для сети pi блока предприятия - 85.х.х.0/23;
фрагмент конфигурации bgp : router bgp <as_number>
bgp log-neighbor-changes
neighbor <providerB_ip> remote-as <providerB_as_number>
neighbor <providerB_ip> description ### -eBGP to providerB
neighbor 92.x.x.45 remote-as <providerA_as_number>
neighbor 92.x.x.45 description ### -eBGP to providerA
!
address-family ipv4
neighbor <providerB_ip> activate
neighbor <providerB_ip> prefix-list default_only in
neighbor <providerB_ip> prefix-list to_providers out
neighbor <providerB_ip> route-map providerB in
neighbor 92.x.x.45 activate
neighbor 92.x.x.45 prefix-list default_only in
neighbor 92.x.x.45 prefix-list to_providers out
neighbor 92.x.x.45 route-map providerA in no auto-summary
no synchronization
network 85.x.x.0 mask 255.255.254.0
exit-address-family
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 92.x.x.45
ip route 85.x.x.0 255.255.254.0 Null0 250
ip prefix-list default_only seq 5 permit 0.0.0.0/0
!
ip prefix-list nnets description unroutable nets
ip prefix-list nnets seq 10 permit 127.0.0.0/8 le 32
ip prefix-list nnets seq 20 permit 172.16.0.0/12 le 32
ip prefix-list nnets seq 25 permit 192.168.0.0/16 le 32
ip prefix-list nnets seq 30 permit 169.254.0.0/16 le 32
ip prefix-list nnets seq 35 permit 224.0.0.0/4 le 32
ip prefix-list nnets seq 40 permit 240.0.0.0/4 le 32
!
ip prefix-list to_providers seq 5 permit 85.x.x.0/23
ip prefix-list to_providers seq 10 deny 0.0.0.0/0
route-map providerA deny 100
match ip address prefix-list nnets
!
route-map providerA permit 110
set local-preference 200
route-map providerB deny 100
match ip address prefix-list nnets
!
route-map providerB permit 110
set local-preference 250
> Свитч (L3) в качестве ядра нужен для IVR, это не мешает его
> использовать для dot1q линков с провайдерами. Без схемы сети, откуда и
> куда что должно ходить, советовать нечего
К сожалению, на данный момент inter vlan-routing реализован именно на маршрутизаторе. > Блок адресов можно использовать в nat pool Можно более подробный пример > Пока неясно, что нужно решать-то Подключить канал от провайдера Б, предоставленного в trunk порт в двух vlan : 171 (трафик для bgp) и vlan 172 (трафик сети передачи данных с выделенной подсетью 93.x.x.194 255.255.255.192). При этом необходим биллинг трафика сети 93.x.x.194/26 с использованием netflow. Если возможно реализовать с помощью nat, прошу указать детальный пример.
Заранее благодарен. С уважением, Андрей
- 2 isp на cisco 3845, elk_killa, 19:25 , 29-Июл-14 (5)
нуу в инете же полно примеровip nat pool ProvBdot172 93.x.x.195 93.x.x.254 netmask 255.255.255.192 interface GigabitEthernet0/1.172
ip nat outside
interface GigabitEthernetX3
ip nat inside ip nat inside source list NatB pool ProvBdot172 [overload] > Подключить канал от провайдера Б, предоставленного в trunk порт в двух
> vlan : 171 (трафик для bgp) и vlan 172 (трафик сети
> передачи данных с выделенной подсетью 93.x.x.194 255.255.255.192). При этом необходим
> биллинг трафика сети 93.x.x.194/26 с использованием netflow. Если возможно реализовать
> с помощью nat, прошу указать детальный пример.
> Заранее благодарен.
> С уважением, Андрей
- 2 isp на cisco 3845, Andrew, 17:58 , 11-Авг-14 (6)
>[оверквотинг удален]
> ip nat pool ProvBdot172 93.x.x.195 93.x.x.254 netmask 255.255.255.192
> interface GigabitEthernet0/1.172
> ip nat outside
> interface GigabitEthernetX3
> ip nat inside
> ip nat inside source list NatB pool ProvBdot172 [overload]
>> Если возможно реализовать
>> с помощью nat, прошу указать детальный пример.
>> Заранее благодарен.
>> С уважением, Андрей Добрый день! Повторно, благодарю за ваши ответы! Прошу прощения за небольшую задержку, в виду отсутствия времени для реализации рекомендаций.
С каналом разобрался: настроил совместно линковую сеть /30 с провайдером на интерфейсе GigabitEthernet0/1 и поток данных беспрепятственно достиг сети интернет :) Но с использованием nat имееются затруднения : для созданной немаршрутизируемой сети 10.110.71.0/24 не осуществляется трансляция nat overload. Фрагмент конфигурации: interface GigabitEthernet0/0
description Switch link
ip address 91.х.х.1 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no ip route-cache cef
duplex auto
speed auto
media-type rj45
fair-queue
no cdp enable
!
interface GigabitEthernet0/0.172
description ProviderB_dataflow
encapsulation dot1Q 172
ip address 93.x.x.194 255.255.255.192
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip policy route-map providerBflow
no cdp enable
!
interface GigabitEthernet0/0.173
description internal_net
encapsulation dot1Q 173
ip address 10.110.71.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/1
description ProviderB_uplink
ip address <linking_ip_ProviderB> 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
media-type rj45
fair-queue
no cdp enable
!
interface GigabitEthernet0/1.171
description bgp_providerB_flow
encapsulation dot1Q 171
ip address <linking_bgp_ip_ProviderB>/30
no ip redirects
no ip unreachables
no ip proxy-arp
no cdp enable
!
interface FastEthernet4/0
description providerA link
ip address 92.x.x.46 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
no ip virtual-reassembly
duplex auto
speed auto
fair-queue
! ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24
ip nat inside source list 99 pool natpoolproviderB overload access-list 99 remark 10.110.71.nat natpoolproviderB
access-list 99 permit 10.110.71.0 0.0.0.255 route-map providerBflow permit 10
match ip address 100
set ip next-hop <linking_ip_ProviderB> При использовании текущих настроек отсутствует возможность доступа в
сеть интернет из сети 10.110.71.0 с коммутатора из vlan 173.
Прошу оказать содействие в данной ситуации.
С уважением, Андрей
- 2 isp на cisco 3845, crash, 06:41 , 12-Авг-14 (7)
> ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24
> ip nat inside source list 99 pool natpoolproviderB overload
> access-list 99 remark 10.110.71.nat natpoolproviderB
> access-list 99 permit 10.110.71.0 0.0.0.255 то есть шлюз по-умолчанию у вас для данной сети является провейдер В? > route-map providerBflow permit 10
> match ip address 100
> set ip next-hop <linking_ip_ProviderB>
> При использовании текущих настроек отсутствует возможность доступа в
> сеть интернет из сети 10.110.71.0 с коммутатора из vlan 173. а что у вас должно попадать в match ip address 100?
- 2 isp на cisco 3845, Andrew, 13:22 , 12-Авг-14 (9)
Добрый день!>> ip nat pool natpoolproviderB 93.1.1.194 93.1.1.194 prefix-length 24
>> ip nat inside source list 99 pool natpoolproviderB overload
>> access-list 99 remark 10.110.71.nat natpoolproviderB
>> access-list 99 permit 10.110.71.0 0.0.0.255
> то есть шлюз по-умолчанию у вас для данной сети является провейдер В? Опишу полную картину :
а.Шлюз по умолчанию для сети 10.110.71.0/24 находящейся в vlan 173 - 10.110.71.1;
б.Шлюз по умолачанию на роутере - ip route 0.0.0.0 92.x.x.46 (провайдер А);
в.Для блока адресов 93.x.x.192 255.255.255.192 (сеть провайдера B из vlan 172) есть route-map, который в качестве next-hop устанавливает link-ip со стороны провайдера B (ответный ip установлен на роутере на интерфейсе GigabitEthernet0/1); в качестве nat используется 2 свободный ip из блока 93.x.x.192/26 - 93.x.x.194 в режиме overload;
93.x.x.193 - шлюз для сети 93.x.x.192/26 в vlan 172.
С использованием nat для сети 10.110.71.0/24 доступ в сеть интернет отсутствует.
>> route-map providerBflow permit 10
>> match ip address 100
>> set ip next-hop <linking_ip_ProviderB>
>> При использовании текущих настроек отсутствует возможность доступа в
>> сеть интернет из сети 10.110.71.0 с коммутатора из vlan 173.
> а что у вас должно попадать в match ip address 100? сейчас установлена следующая инструкция :
access-list 100 permit any any хотя фактически должна быть сеть 93.x.x.194 255.255.255.192 (сеть провайдера B из vlan 172) и инструкция, таким образом, должна быть : access-list 100 permit 93.x.x.194 0.0.0.64 any С уважением, Андрей
- 2 isp на cisco 3845, crash, 06:53 , 13-Авг-14 (12)
> сейчас установлена следующая инструкция :
> access-list 100 permit any any
> хотя фактически должна быть сеть 93.x.x.194 255.255.255.192 (сеть провайдера
> B из vlan 172) и инструкция, таким образом, должна быть
> :
> access-list 100 permit 93.x.x.194 0.0.0.64 any с чего вы решили, что должно быть access-list 100 permit 93.x.x.194 0.0.0.64 any? Я например считаю, что должно быть access-list 100 permit 10.110.71.0 0.0.0.255 any, ведь вы для нее меняете маршрут
- 2 isp на cisco 3845, ShyLion, 12:38 , 12-Авг-14 (8)
>[оверквотинг удален]
> !
> interface GigabitEthernet0/1.171
> description bgp_providerB_flow
> encapsulation dot1Q 171
> ip address <linking_bgp_ip_ProviderB>/30
> no ip redirects
> no ip unreachables
> no ip proxy-arp
> no cdp enable
> !Где ip nat outside и какой из этих линков таки в инет смотрит?
- 2 isp на cisco 3845, Andrew, 13:27 , 12-Авг-14 (10)
>[оверквотинг удален]
>> description bgp_providerB_flow
>> encapsulation dot1Q 171
>> ip address <linking_bgp_ip_ProviderB>/30
>> no ip redirects
>> no ip unreachables
>> no ip proxy-arp
>> no cdp enable
>> !
> Где ip nat outside и какой из этих линков таки в инет
> смотрит?Канал провайдера B термирован на interface GigabitEthernet0/1;
GigabitEthernet0/0 - линк маршрутизатора и коммутатора 2960g; В рамках GigabitEthernet0/0 созданы subinterfaces с указанием nat inside/outside: interface GigabitEthernet0/0.172
description ProviderB_dataflow
encapsulation dot1Q 172
ip address 93.x.x.194 255.255.255.192
no ip redirects
no ip unreachables
no ip proxy-arp
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
ip policy route-map providerBflow
no cdp enable
!
interface GigabitEthernet0/0.173
description internal_net
encapsulation dot1Q 173
ip address 10.110.71.1 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable Следующий интерфейс используется для bgp-трафика от того же провайдера B
interface GigabitEthernet0/1.171
description bgp_providerB_flow
encapsulation dot1Q 171
ip address <linking_bgp_ip_ProviderB>/30
no ip redirects
no ip unreachables
no ip proxy-arp
no cdp enable С уважением, Андрей
- 2 isp на cisco 3845, ShyLion, 14:36 , 12-Авг-14 (11) +1
>>[оверквотинг удален] Что у тебя в 172 вилане? Если 10.110.71.0/24 должна ходить в инет через провайдера B, то на ее интерфейсе должен полиси-роутинг с next-hop в сторону аплинка провайдера. а на самом аплинке должен быть ip nat outside, которого нет.
|
Версия для распечатки
2 isp на cisco 3845, 
