форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение		[ Отслеживать ]

"Проброс портов и балансировка CEF"	+/–
Сообщение от idm80 (ok) on 04-Фев-14, 22:15
Всем доброго дня. Недавно столкнулся со следующей проблемой. Вкратце выглядит так: снаружи два провайдера, внутри один почтовый сервер. с обоих внешних IP проброшен порт на него. Настроен ip sla резервирование каналов. Когда на шлюзе прописано 2 маршрута по умолчанию с разной стоимостью - доступ работает снаружи по обоим внешним ИП, но тогда не работает CEF per session. Если поставлю на маршруты одинаковую стоимостью - CEF начинает работать, но тогда снаружи почтовик доступен только по одному из двух адресов. Конфигурация ниже: ! track 1 ip sla 1 reachability delay down 1 up 1 ! track 2 ip sla 2 reachability delay down 1 up 1 ! ! ! interface GigabitEthernet0/0.1 encapsulation dot1Q 3 ip address 192.168.12.102 255.255.254.0 ip nat inside ip virtual-reassembly in ! interface GigabitEthernet0/0.2 encapsulation dot1Q 2 ip address 192.168.247.1 255.255.255.0 secondary ip address 10.10.0.1 255.255.248.0 ip helper-address 10.10.0.1 ip nat inside ip virtual-reassembly in ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 encapsulation dot1Q 4 ip address XXX.XXX.162.90 255.255.255.248 secondary ip address XXX.XXX.162.91 255.255.255.248 secondary ip address XXX.XXX.162.92 255.255.255.248 secondary ip address XXX.XXX.162.93 255.255.255.248 secondary ip address XXX.XXX.162.94 255.255.255.248 secondary ip address XXX.XXX.162.126 255.255.255.252 ip nat outside ip virtual-reassembly in ! interface GigabitEthernet0/1.2 encapsulation dot1Q 5 ip address YYY.YYY.120.91 255.255.255.248 secondary ip address YYY.YYY.120.92 255.255.255.248 secondary ip address YYY.YYY.120.93 255.255.255.248 secondary ip address YYY.YYY.120.94 255.255.255.248 secondary ip address YYY.YYY.120.90 255.255.255.248 ip nat outside ip virtual-reassembly in ! ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip dns server ip nat pool SPARK XXX.XXX.162.90 XXX.XXX.162.94 netmask 255.255.255.248 ip nat pool MAXNET YYY.YYY.120.91 YYY.YYY.120.94 netmask 255.255.255.248 ip nat inside source route-map MAXNET pool MAXNET overload ip nat inside source route-map MAXNET_MX interface GigabitEthernet0/1.2 overload ip nat inside source route-map SPARK pool SPARK overload ip nat inside source route-map SPARK_MX interface GigabitEthernet0/1.1 overload ip nat inside source static tcp 192.168.12.14 8080 XXX.XXX.162.93 8080 route-map SPARK extendable ip nat inside source static tcp 192.168.12.101 25 XXX.XXX.162.126 25 route-map SPARK_MX extendable ip nat inside source static tcp 192.168.12.101 25 YYY.YYY.120.90 25 route-map MAXNET_MX extendable ip nat inside source static tcp 192.168.12.6 3389 YYY.YYY.120.92 3389 route-map MAXNET extendable ip route 0.0.0.0 0.0.0.0 XXX.XXX.162.89 50 track 1 ip route 0.0.0.0 0.0.0.0 YYY.YYY.120.89 100 track 2 ip route 98.139.183.24 255.255.255.255 XXX.XXX.162.89 ip route 206.190.36.45 255.255.255.255 YYY.YYY.120.89 ! ip access-list extended LAN deny ip host 192.168.12.101 any permit ip 10.10.0.0 0.0.7.255 any permit ip 192.168.12.0 0.0.1.255 any ip access-list extended MX permit ip host 192.168.12.101 any ! ip sla auto discovery ip sla 1 icmp-echo 98.139.183.24 source-ip XXX.XXX.162.91 threshold 500 timeout 500 frequency 5 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo 206.190.36.45 source-ip YYY.YYY.120.91 threshold 500 timeout 500 frequency 5 ip sla schedule 2 life forever start-time now ! route-map MAXNET permit 10 match ip address LAN match interface GigabitEthernet0/1.2 ! route-map SPARK_MX permit 10 match ip address MX match interface GigabitEthernet0/1.1 ! route-map MAXNET_MX permit 10 match ip address MX match interface GigabitEthernet0/1.2 ! route-map SPARK permit 10 match ip address LAN match interface GigabitEthernet0/1.1 ! Задача состоит в том, чтобы одновременно работала и балансировка (т к не хочется чтобы второй канал простаивал вы то время как первый загружен), и сервисы были доступны по обоим IP адресам снаружи. Возможно ли это в принципе.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проброс портов и балансировка CEF"	+/–
Сообщение от ShyLion (ok) on 05-Фев-14, 07:43
> Задача состоит в том, чтобы одновременно работала и балансировка (т к не > хочется чтобы второй канал простаивал вы то время как первый загружен), > и сервисы были доступны по обоим IP адресам снаружи. Возможно ли > это в принципе. Возможно. На почтовике прописать еще один IP адрес. Со второго внешнего IP натить на этот адрес. На интерфейсе, смотрящем в локалку вешать полиси роутинг с принудительной маршрутизацией на второго провайдера пакетов от второго внутреннего IP почтовика. CEF роутит по связке Source IP - Destination IP. Для одной пары всегда выбирает один маршрут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Проброс портов и балансировка CEF"	+/–
	Сообщение от idm80 (ok) on 05-Фев-14, 11:07
	>[оверквотинг удален] >> хочется чтобы второй канал простаивал вы то время как первый загружен), >> и сервисы были доступны по обоим IP адресам снаружи. Возможно ли >> это в принципе. > Возможно. > На почтовике прописать еще один IP адрес. Со второго внешнего IP натить > на этот адрес. На интерфейсе, смотрящем в локалку вешать полиси роутинг > с принудительной маршрутизацией на второго провайдера пакетов от второго внутреннего IP > почтовика. > CEF роутит по связке Source IP - Destination IP. Для одной пары > всегда выбирает один маршрут. уже пробовал. дело в том что маршрутизация выполняется уже после ната, а у нас (в случае использования CEF) - два равноценных маршрута. те пакет при выходе маскируется первым внешний ИП, а дальше маршрут уходит через второго ISP. связи нет.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Проброс портов и балансировка CEF"	+/–
	Сообщение от elk_killa (ok) on 05-Фев-14, 12:24
	>> почтовика. >> CEF роутит по связке Source IP - Destination IP. Для одной пары >> всегда выбирает один маршрут. > уже пробовал. дело в том что маршрутизация выполняется уже после ната, а > у нас (в случае использования CEF) - два равноценных маршрута. те > пакет при выходе маскируется первым внешний ИП, а дальше маршрут уходит > через второго ISP. связи нет. маршрутизация выполняется ДО ната http://www.cisco.com/image/gif/paws/6209/5.pdf (inside-to-outside)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Проброс портов и балансировка CEF"	+/–
	Сообщение от idm80 (ok) on 05-Фев-14, 14:42
	>>> почтовика. >>> CEF роутит по связке Source IP - Destination IP. Для одной пары >>> всегда выбирает один маршрут. >> уже пробовал. дело в том что маршрутизация выполняется уже после ната, а >> у нас (в случае использования CEF) - два равноценных маршрута. те >> пакет при выходе маскируется первым внешний ИП, а дальше маршрут уходит >> через второго ISP. связи нет. > маршрутизация выполняется ДО ната http://www.cisco.com/image/gif/paws/6209/5.pdf > (inside-to-outside) Все верно, ошибся, спасибо за поправку. Получается следующая ситуация: пакет сначала выходит на маршрутизатор, отправляется на произвольную default network, и далее, если он натится не тем внешним ИП, то ничего не работает. Думаю что надо копать именно в эту сторону. Можно ли как нибудь указать в маршрутах кого маршрутизировать принудительно, кого - произвольно. Т е условно говоря, для списка внутренних адресов серверов, для которых надо транслировать порты, есть приоритет в маршрутах и не работает балансировка: ip route 0.0.0.0 0.0.0.0 XXX.XXX.162.89 50 track 1 ip route 0.0.0.0 0.0.0.0 YYY.YYY.120.89 100 track 2 Для всех остальных - маршруты равноценны и работает CEF ip route 0.0.0.0 0.0.0.0 XXX.XXX.162.89 100 track 1 ip route 0.0.0.0 0.0.0.0 YYY.YYY.120.89 100 track 2 смысл думаю именно такой. можно ли это реализовать?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Проброс портов и балансировка CEF"	+/–
	Сообщение от ShyLion (ok) on 06-Фев-14, 12:43
	>[оверквотинг удален] >>> и сервисы были доступны по обоим IP адресам снаружи. Возможно ли >>> это в принципе. >> Возможно. >> На почтовике прописать еще один IP адрес. Со второго внешнего IP натить >> на этот адрес. На интерфейсе, смотрящем в локалку вешать полиси роутинг >> с принудительной маршрутизацией на второго провайдера пакетов от второго внутреннего IP >> почтовика. >> CEF роутит по связке Source IP - Destination IP. Для одной пары >> всегда выбирает один маршрут. > уже пробовал. У меня именно так работало. Возможно ты в чем-то ошибся или невнимательно прочитал написаное.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Проброс портов и балансировка CEF"	+/–
	Сообщение от idm80 (ok) on 07-Фев-14, 15:05
	тем не менее указанное выше решение не работает. сделал иначе - через route-map.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	7. "Проброс портов и балансировка CEF"	+/–
	Сообщение от ShyLion (ok) on 10-Фев-14, 08:27
	> тем не менее указанное выше решение не работает. сделал иначе - через > route-map. В предлагаемом мною решении все насквозь пропитано роут-мапами. Покажи что в итоге вышло.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема