forum.opennet.ru - "Два провайдера ня Cisco 7206 VXR + ДМЗ" (12)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Два провайдера ня Cisco 7206 VXR + ДМЗ"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Два провайдера ня Cisco 7206 VXR + ДМЗ"
Сообщение от lon (ok) on 05-Мрт-07, 20:44
Здрасте все! Столкнулся со следующей ситуацией: Имеем офис воткнутый в один Ethernet порт циски, ДМЗ в другой Ethernet порт. И провайдер висящий на одном Serial порту. Сейчас меняем провайдера и необходимо изменить конфигурацию циски + Весь ДМЗ перевести на новые IP. Дабы сделать это постепенно, хочу сначала пустить локальных пользователей через нового провайдера, а ДМЗ оставить на старом (Дабы НС сервак пока не перенастраивать), а потом уже взяться и за IP-шники ДМЗ.. Перечитал кучу литературы, к примеру на этом сайте есть подобный пример http://web.opennet.ru/base/cisco/2isp_link.txt.html, но никак не пойму место: ip route 0.0.0.0 0.0.0.0 192.168.0.5 ip route 0.0.0.0 0.0.0.0 192.168.0.9 Как циска понимает кого и куда отправлять, у меня при добавлении в этом месте второго провайдера все начинает идти через него и сразу возникают проблемы с ДНС. Конфиг: ! interface FastEthernet0/0 ip address 192.168.3.3 255.255.255.0 secondary ip address 192.168.0.1 255.255.255.0 ip access-group 2 in ip accounting output-packets ip nat inside exceed-action drop no ip mroute-cache duplex auto speed 100 traffic-shape group 112 256000 8000 8000 1000 ! interface FastEthernet0/1 ip address 213.189.x.x 255.255.x.x ip access-group 101 in ip accounting output-packets no ip mroute-cache duplex auto speed 100 ! interface Serial1/0:0 ip address 62.117.y.y 255.255.y.y ip access-group 118 in ip access-group 119 out ip nat outside ! interface Serial1/1:0 ip address 213.189.x1.x1 255.255.x1.x1 ip access-group 108 in ip access-group 109 out ip nat outside crypto map clientmap ! ip nat pool zenon-space 213.189.x1.x1 213.189.x1.x1 netmask 255.255.x1.x1 ip nat pool comcor-space 62.117.y.y 62.117.y.y netmask 255.255.y.y ip nat inside source route-map comcor-map pool comcor-space overload ip nat inside source route-map zenon-map pool zenon-space overload ip classless ip route 0.0.0.0 0.0.0.0 213.189.x3.x3 ip route 62.117.y.y 255.255.255.255 Serial1/0:0 ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0 access-list 1 permit 192.168.0.0 0.0.0.255 access-list 1 permit 213.189.x.x 0.0.x.x access-list 1 deny any log access-list 3 permit 192.168.0.9 access-list 3 permit 192.168.0.11 access-list 3 permit 192.168.0.12 access-list 3 permit 192.168.0.5 access-list 3 permit 192.168.0.16 access-list 3 permit 192.168.0.214 access-list 3 deny any log ! route-map zenon-map permit 20 match ip address 1 match interface Serial1/1:0 set default interface Serial1/1:0 ! route-map comcor-map permit 20 match ip address 3 match interface Serial1/0:0 set default interface Serial1/0:0 Если добавляю ip route 0.0.0.0 0.0.0.0 62.117.y.y - все начинает идти через нового провайдера, и соответственно падает ДНС. Господа профы, скажите плз. где затупил!! Чувствую, что ответ где-то на поверхности, но не хватает теории элементарной! PS: новый провайдер - comcor :)
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Два провайдера ня Cisco 7206 VXR + ДМЗ, Изгой, 09:17 , 06-Мрт-07, (1)

Два провайдера ня Cisco 7206 VXR + ДМЗ, Изгой, 11:29 , 06-Мрт-07, (2)

Два провайдера ня Cisco 7206 VXR + ДМЗ, lon, 13:07 , 06-Мрт-07, (4)

Два провайдера ня Cisco 7206 VXR + ДМЗ, lon, 13:02 , 06-Мрт-07, (3)

Два провайдера ня Cisco 7206 VXR + ДМЗ, Изгой, 14:15 , 06-Мрт-07, (5)

Два провайдера ня Cisco 7206 VXR + ДМЗ, lon, 16:23 , 06-Мрт-07, (6)

Два провайдера ня Cisco 7206 VXR + ДМЗ, lon, 19:39 , 06-Мрт-07, (7)

Два провайдера ня Cisco 7206 VXR + ДМЗ, Изгой, 08:42 , 07-Мрт-07, (8)

Два провайдера ня Cisco 7206 VXR + ДМЗ, lon, 13:12 , 13-Мрт-07, (9)

Два провайдера ня Cisco 7206 VXR + ДМЗ, fantom, 13:30 , 13-Мрт-07, (10)

Два провайдера ня Cisco 7206 VXR + ДМЗ, lon, 16:54 , 13-Мрт-07, (11)

Два провайдера ня Cisco 7206 VXR + ДМЗ, kravt, 12:21 , 15-Апр-07, (12)

Сообщения по теме [Сортировка по времени, UBB]

1. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от Изгой (??) on 06-Мрт-07, 09:17

>Здрасте все!
>Столкнулся со следующей ситуацией:
>Имеем офис воткнутый в один Ethernet порт циски, ДМЗ в другой Ethernet
>порт.
>И провайдер висящий на одном Serial порту.
>Сейчас меняем провайдера и необходимо изменить конфигурацию циски + Весь ДМЗ перевести
>на новые IP.
>Дабы сделать это постепенно, хочу сначала пустить локальных пользователей через нового провайдера,
>а ДМЗ оставить на старом (Дабы НС сервак пока не перенастраивать),
>а потом уже взяться и за IP-шники ДМЗ..
>Перечитал кучу литературы, к примеру на этом сайте есть подобный пример http://web.opennet.ru/base/cisco/2isp_link.txt.html,
>но никак не пойму место:
>ip route 0.0.0.0 0.0.0.0 192.168.0.5
>ip route 0.0.0.0 0.0.0.0 192.168.0.9
>Как циска понимает кого и куда отправлять, у меня при добавлении в
>этом месте второго провайдера все начинает идти через него и сразу
>возникают проблемы с ДНС.
>Конфиг:
>!
>interface FastEthernet0/0
> ip address 192.168.3.3 255.255.255.0 secondary
> ip address 192.168.0.1 255.255.255.0
> ip access-group 2 in
> ip accounting output-packets
> ip nat inside
> exceed-action drop
> no ip mroute-cache
> duplex auto
> speed 100
> traffic-shape group 112 256000 8000 8000 1000
>!
>interface FastEthernet0/1
> ip address 213.189.x.x 255.255.x.x
> ip access-group 101 in
> ip accounting output-packets
> no ip mroute-cache
> duplex auto
> speed 100
>!
>interface Serial1/0:0
> ip address 62.117.y.y 255.255.y.y
> ip access-group 118 in
> ip access-group 119 out
> ip nat outside
>!
>interface Serial1/1:0
> ip address 213.189.x1.x1 255.255.x1.x1
> ip access-group 108 in
> ip access-group 109 out
> ip nat outside
> crypto map clientmap
>!
>
>ip nat pool zenon-space 213.189.x1.x1 213.189.x1.x1 netmask 255.255.x1.x1
>ip nat pool comcor-space 62.117.y.y 62.117.y.y netmask 255.255.y.y
>
>ip nat inside source route-map comcor-map pool comcor-space overload
>ip nat inside source route-map zenon-map pool zenon-space overload
>ip classless
>ip route 0.0.0.0 0.0.0.0 213.189.x3.x3
>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>
>access-list 1 permit 192.168.0.0 0.0.0.255
>access-list 1 permit 213.189.x.x 0.0.x.x
>access-list 1 deny   any log
>
>access-list 3 permit 192.168.0.9
>access-list 3 permit 192.168.0.11
>access-list 3 permit 192.168.0.12
>access-list 3 permit 192.168.0.5
>access-list 3 permit 192.168.0.16
>access-list 3 permit 192.168.0.214
>access-list 3 deny   any log
>!
>route-map zenon-map permit 20
> match ip address 1
> match interface Serial1/1:0
> set default interface Serial1/1:0
>!
>route-map comcor-map permit 20
> match ip address 3
> match interface Serial1/0:0
> set default interface Serial1/0:0
>
>Если добавляю ip route 0.0.0.0 0.0.0.0 62.117.y.y - все начинает идти через
>нового провайдера, и соответственно падает ДНС.
>Господа профы, скажите плз. где затупил!!
>Чувствую, что ответ где-то на поверхности, но не хватает теории элементарной!
>
>PS: новый провайдер - comcor :)
ip route 62.117.y.y 255.255.255.255 Serial1/0:0
ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
вот эти записи зачем ??  у вас что то не работает с 0.0.0.0.0  за хоп первый пров
0.0.0.0. за хоп 2 пров ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от Изгой (??) on 06-Мрт-07, 11:29

>>Здрасте все!
>>Столкнулся со следующей ситуацией:
>>Имеем офис воткнутый в один Ethernet порт циски, ДМЗ в другой Ethernet
>>порт.
>>И провайдер висящий на одном Serial порту.
>>Сейчас меняем провайдера и необходимо изменить конфигурацию циски + Весь ДМЗ перевести
>>на новые IP.
>>Дабы сделать это постепенно, хочу сначала пустить локальных пользователей через нового провайдера,
>>а ДМЗ оставить на старом (Дабы НС сервак пока не перенастраивать),
>>а потом уже взяться и за IP-шники ДМЗ..
>>Перечитал кучу литературы, к примеру на этом сайте есть подобный пример http://web.opennet.ru/base/cisco/2isp_link.txt.html,
>>но никак не пойму место:
>>ip route 0.0.0.0 0.0.0.0 192.168.0.5
>>ip route 0.0.0.0 0.0.0.0 192.168.0.9
>>Как циска понимает кого и куда отправлять, у меня при добавлении в
>>этом месте второго провайдера все начинает идти через него и сразу
>>возникают проблемы с ДНС.
>>Конфиг:
>>!
>>interface FastEthernet0/0
>> ip address 192.168.3.3 255.255.255.0 secondary
>> ip address 192.168.0.1 255.255.255.0
>> ip access-group 2 in
>> ip accounting output-packets
>> ip nat inside
>> exceed-action drop
>> no ip mroute-cache
>> duplex auto
>> speed 100
>> traffic-shape group 112 256000 8000 8000 1000
>>!
>>interface FastEthernet0/1
>> ip address 213.189.x.x 255.255.x.x
>> ip access-group 101 in
>> ip accounting output-packets
>> no ip mroute-cache
>> duplex auto
>> speed 100
>>!
>>interface Serial1/0:0
>> ip address 62.117.y.y 255.255.y.y
>> ip access-group 118 in
>> ip access-group 119 out
>> ip nat outside
>>!
>>interface Serial1/1:0
>> ip address 213.189.x1.x1 255.255.x1.x1
>> ip access-group 108 in
>> ip access-group 109 out
>> ip nat outside
>> crypto map clientmap
>>!
>>
>>ip nat pool zenon-space 213.189.x1.x1 213.189.x1.x1 netmask 255.255.x1.x1
>>ip nat pool comcor-space 62.117.y.y 62.117.y.y netmask 255.255.y.y
>>
>>ip nat inside source route-map comcor-map pool comcor-space overload
>>ip nat inside source route-map zenon-map pool zenon-space overload
>>ip classless
>>ip route 0.0.0.0 0.0.0.0 213.189.x3.x3
>>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>>
>>access-list 1 permit 192.168.0.0 0.0.0.255
>>access-list 1 permit 213.189.x.x 0.0.x.x
>>access-list 1 deny   any log
>>
>>access-list 3 permit 192.168.0.9
>>access-list 3 permit 192.168.0.11
>>access-list 3 permit 192.168.0.12
>>access-list 3 permit 192.168.0.5
>>access-list 3 permit 192.168.0.16
>>access-list 3 permit 192.168.0.214
>>access-list 3 deny   any log
>>!
>>route-map zenon-map permit 20
>> match ip address 1
>> match interface Serial1/1:0
>> set default interface Serial1/1:0
>>!
>>route-map comcor-map permit 20
>> match ip address 3
>> match interface Serial1/0:0
>> set default interface Serial1/0:0
>>
>>Если добавляю ip route 0.0.0.0 0.0.0.0 62.117.y.y - все начинает идти через
>>нового провайдера, и соответственно падает ДНС.
>>Господа профы, скажите плз. где затупил!!
>>Чувствую, что ответ где-то на поверхности, но не хватает теории элементарной!
>>
>>PS: новый провайдер - comcor :)
>
>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>вот эти записи зачем ??  у вас что то не работает
>с 0.0.0.0.0  за хоп первый пров
>0.0.0.0. за хоп 2 пров ?
Да и обратите внимание на акцесс листы  для мапов , что то там не то ?? или так кажеться , то есть в первом мапе вы разрешаете ходить >>access-list 1 permit 192.168.0.0 0.0.0.255 куда входят access-list 3 permit 192.168.0.9
>>access-list 3 permit 192.168.0.11
>>access-list 3 permit 192.168.0.12
>>access-list 3 permit 192.168.0.5
>>access-list 3 permit 192.168.0.16
>>access-list 3 permit 192.168.0.214
Почему же этот мап не должен их заворачивать ?
то есть и тот мап и этот мап их заворачивает.? кто первей того и тапки ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от lon (ok) on 06-Мрт-07, 13:07

>Да и обратите внимание на акцесс листы  для мапов , что то там не то ?? или так кажеться , то есть в первом мапе вы разрешаете ходить >>access-list 1 permit 192.168.0.0 0.0.0.255 куда входят access-list 3 permit 192.168.0.9
>>>access-list 3 permit 192.168.0.11
>>>access-list 3 permit 192.168.0.12
>>>access-list 3 permit 192.168.0.5
>>>access-list 3 permit 192.168.0.16
>>>access-list 3 permit 192.168.0.214
>Почему же этот мап не должен их заворачивать ?
>то есть и тот мап и этот мап их заворачивает.? кто первей
>того и тапки ?
Да... тут тема ясна, в результате хочу убрать access-list 1 permit 192.168.0.0 0.0.0.255. Хотя сегодня поэкспериментирую с этим. Вот тока проблема как раз не в локальной сети, а в ДМЗ, а она правильно прописана.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от lon (ok) on 06-Мрт-07, 13:02

>
>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>вот эти записи зачем ??  у вас что то не работает
>с 0.0.0.0.0  за хоп первый пров
>0.0.0.0. за хоп 2 пров ?
В данном месте происходит роутинг на маршрутизатор провайдера, находящийся за циской. Т.е. 213.189.x3.x3 - это как раз он. Т.е. все пакеты 0.0.0.0 0.0.0.0 я роучу на него, а потом указываю за каким портом он стоит. Это было изначально так. С новым провайдером делал все по аналогии, просто в конфиге пока не добавил строку с 0.0.0.0, т.к. все начинает работать сразу через новый маршрут.
Да... а можно по подробнее про хоп, так и не понял что это. Может по этому и не могу понять всю схему полностью?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от Изгой (??) on 06-Мрт-07, 14:15

>>
>>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>>вот эти записи зачем ??  у вас что то не работает
>>с 0.0.0.0.0  за хоп первый пров
>>0.0.0.0. за хоп 2 пров ?
>
>В данном месте происходит роутинг на маршрутизатор провайдера, находящийся за циской. Т.е.
>213.189.x3.x3 - это как раз он. Т.е. все пакеты 0.0.0.0 0.0.0.0
>я роучу на него, а потом указываю за каким портом он
>стоит. Это было изначально так. С новым провайдером делал все по
>аналогии, просто в конфиге пока не добавил строку с 0.0.0.0, т.к.
>все начинает работать сразу через новый маршрут.
>Да... а можно по подробнее про хоп, так и не понял что
>это. Может по этому и не могу понять всю схему полностью?
>
ip route 62.117.y.y 255.255.255.255 Serial1/0:0
ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
Это адреса следующего хопа , т е адреса ваших провайдеров , так ??
у вас есть интерфейсы к примеру 1.2.3.4.5 и т.д  все подсети прописанные на данных интерфейсах считаються присоеденёнными и маршруты к ним прописывать ненадо ,  и если у вас тупиковый роутер то можно прописывать только ссылаясь на следующий хоп , что типа за таким интерфейсом находяться подсети такие то .ТО есть  0.0.0.0 0.0.0.0 хоп провайдера
означает что все неизвестные подсети находяться за интерфейсом провайдера - кроме присоедененных подсетей к вашему маршрутизатору , и их прописывать не надо.Ух трудно так , может сумбурно накатал , если же у вас внутри есть ещё подсети отличные от присоединнённых тогда их надо тоже прописать на маршрутизаторе.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от lon (ok) on 06-Мрт-07, 16:23

>>
>ip route 62.117.y.y 255.255.255.255 Serial1/0:0
>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0
>Это адреса следующего хопа , т е адреса ваших провайдеров , так
>??
> у вас есть интерфейсы к примеру 1.2.3.4.5 и т.д  все
>подсети прописанные на данных интерфейсах считаються присоеденёнными и маршруты к ним
>прописывать ненадо ,  и если у вас тупиковый роутер то
>можно прописывать только ссылаясь на следующий хоп , что типа за
>таким интерфейсом находяться подсети такие то .ТО есть  0.0.0.0 0.0.0.0
>хоп провайдера
>означает что все неизвестные подсети находяться за интерфейсом провайдера - кроме присоедененных
>подсетей к вашему маршрутизатору , и их прописывать не надо.Ух трудно
>так , может сумбурно накатал , если же у вас внутри
>есть ещё подсети отличные от присоединнённых тогда их надо тоже прописать
>на маршрутизаторе.
Вроде в общих частях разобрался, осталось видимо собрать все мысли воедино. К примеру я из локальной сети пингую внешний IP, как заработает логика циски?
первое что сработает это
route-map comcor-map permit 20
match ip address 3
match interface Serial1/0:0
т.к. пакет пришел, к примеру с 192.168.0.5 и дальше пакет уйдет на серийник?
Или все-таки в зависимости от точки назначения будут выбраны правила ip route и соответствующий путь... вот тут у меня самый большой затык!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от lon (ok) on 06-Мрт-07, 19:39

Или задам вопрос проще.. есть два маршрута
ip route 0.0.0.0 0.0.0.0 213.189.x.x
ip route 0.0.0.0 0.0.0.0 62.117.y.y
Т.е. адреса маршрутизаторов провайдера, в зависимости от чего будет применяться тот или иной путь?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от Изгой (??) on 07-Мрт-07, 08:42

>Или задам вопрос проще.. есть два маршрута
>ip route 0.0.0.0 0.0.0.0 213.189.x.x
>ip route 0.0.0.0 0.0.0.0 62.117.y.y
>Т.е. адреса маршрутизаторов провайдера, в зависимости от чего будет применяться тот или
>иной путь?

В данном случае ( без нат ) если весь трафик проходит через процесс свичинг , пакеты будут распределяться равномерно , один туда другой сюда , ( по крайней мере так пишут в умных книжках). Так как оба маршрута имеют одинаковую стоимость . Но всё это происходит по другому когда применяеться фаст свичинг , и тем более когда работает PAT на два интерфейса. Без NAT и PAT при применение коммутации CEF возможно равномерное распределение трафика практически без потерь производительности для маршрутизатора , ну опять же идеального балансинга врят ли получиться .
У вас случай с PAT  тут будут приеняться политика примерно такая как при Фаст Свичнге , то есть пройдя первый раз через выходной интерфейс (пакет) кешируеться и весь поток идёт через данный интерфейс, поэтому применяються роут мапы на PAT (NAT), чтоб разделять по правилу какой трафик и на какой интерфейс нужно завернуть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от lon (ok) on 13-Мрт-07, 13:12

Большое спасибо за развернутые ответы, но сколько не дергал конфиг однозначно все идет через новый маршрут, вне зависимости от роутмапов. Думаю, перегоню все на нового провайдера одним хлопом, но просто любопытно где же затык! Вот мои роутмапы текущие... вроде там все предельно просто:
!
route-map zenon-map permit 20
match ip address 1
match interface Serial1/1:0
set default interface Serial1/1:0
!
route-map comcor-map permit 20
match ip address 3
match interface Serial1/0:0
set default interface Serial1/0:0
!
ACL1 - для одной подсети, 3 - для другой соответственно..
Или RM-пы правильные?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от fantom (??) on 13-Мрт-07, 13:30

>Большое спасибо за развернутые ответы, но сколько не дергал конфиг однозначно все
>идет через новый маршрут, вне зависимости от роутмапов. Думаю, перегоню все
>на нового провайдера одним хлопом, но просто любопытно где же затык!
>Вот мои роутмапы текущие... вроде там все предельно просто:
>!
>route-map zenon-map permit 20
> match ip address 1
> match interface Serial1/1:0
> set default interface Serial1/1:0
>!
>route-map comcor-map permit 20
> match ip address 3
> match interface Serial1/0:0
> set default interface Serial1/0:0
>!
>
>ACL1 - для одной подсети, 3 - для другой соответственно..
>Или RM-пы правильные?
А вы их на интерфейсы повесили?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от lon (ok) on 13-Мрт-07, 16:54

>
>А вы их на интерфейсы повесили?
ВОТ!!!
Точно, этого-то я и не знал! Спасибец, все заработало!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Два провайдера ня Cisco 7206 VXR + ДМЗ"

Сообщение от kravt (??) on 15-Апр-07, 12:21

>>
>>А вы их на интерфейсы повесили?
>
>ВОТ!!!
>Точно, этого-то я и не знал! Спасибец, все заработало!!

А ip route 0.0.0.0 0.0.0.0 ...  ты убрал или оставил?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
Сообщение от Изгой (??) on 06-Мрт-07, 09:17
>Здрасте все! >Столкнулся со следующей ситуацией: >Имеем офис воткнутый в один Ethernet порт циски, ДМЗ в другой Ethernet >порт. >И провайдер висящий на одном Serial порту. >Сейчас меняем провайдера и необходимо изменить конфигурацию циски + Весь ДМЗ перевести >на новые IP. >Дабы сделать это постепенно, хочу сначала пустить локальных пользователей через нового провайдера, >а ДМЗ оставить на старом (Дабы НС сервак пока не перенастраивать), >а потом уже взяться и за IP-шники ДМЗ.. >Перечитал кучу литературы, к примеру на этом сайте есть подобный пример http://web.opennet.ru/base/cisco/2isp_link.txt.html, >но никак не пойму место: >ip route 0.0.0.0 0.0.0.0 192.168.0.5 >ip route 0.0.0.0 0.0.0.0 192.168.0.9 >Как циска понимает кого и куда отправлять, у меня при добавлении в >этом месте второго провайдера все начинает идти через него и сразу >возникают проблемы с ДНС. >Конфиг: >! >interface FastEthernet0/0 > ip address 192.168.3.3 255.255.255.0 secondary > ip address 192.168.0.1 255.255.255.0 > ip access-group 2 in > ip accounting output-packets > ip nat inside > exceed-action drop > no ip mroute-cache > duplex auto > speed 100 > traffic-shape group 112 256000 8000 8000 1000 >! >interface FastEthernet0/1 > ip address 213.189.x.x 255.255.x.x > ip access-group 101 in > ip accounting output-packets > no ip mroute-cache > duplex auto > speed 100 >! >interface Serial1/0:0 > ip address 62.117.y.y 255.255.y.y > ip access-group 118 in > ip access-group 119 out > ip nat outside >! >interface Serial1/1:0 > ip address 213.189.x1.x1 255.255.x1.x1 > ip access-group 108 in > ip access-group 109 out > ip nat outside > crypto map clientmap >! > >ip nat pool zenon-space 213.189.x1.x1 213.189.x1.x1 netmask 255.255.x1.x1 >ip nat pool comcor-space 62.117.y.y 62.117.y.y netmask 255.255.y.y > >ip nat inside source route-map comcor-map pool comcor-space overload >ip nat inside source route-map zenon-map pool zenon-space overload >ip classless >ip route 0.0.0.0 0.0.0.0 213.189.x3.x3 >ip route 62.117.y.y 255.255.255.255 Serial1/0:0 >ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0 > >access-list 1 permit 192.168.0.0 0.0.0.255 >access-list 1 permit 213.189.x.x 0.0.x.x >access-list 1 deny any log > >access-list 3 permit 192.168.0.9 >access-list 3 permit 192.168.0.11 >access-list 3 permit 192.168.0.12 >access-list 3 permit 192.168.0.5 >access-list 3 permit 192.168.0.16 >access-list 3 permit 192.168.0.214 >access-list 3 deny any log >! >route-map zenon-map permit 20 > match ip address 1 > match interface Serial1/1:0 > set default interface Serial1/1:0 >! >route-map comcor-map permit 20 > match ip address 3 > match interface Serial1/0:0 > set default interface Serial1/0:0 > >Если добавляю ip route 0.0.0.0 0.0.0.0 62.117.y.y - все начинает идти через >нового провайдера, и соответственно падает ДНС. >Господа профы, скажите плз. где затупил!! >Чувствую, что ответ где-то на поверхности, но не хватает теории элементарной! > >PS: новый провайдер - comcor :) ip route 62.117.y.y 255.255.255.255 Serial1/0:0 ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0 вот эти записи зачем ?? у вас что то не работает с 0.0.0.0.0 за хоп первый пров 0.0.0.0. за хоп 2 пров ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от Изгой (??) on 06-Мрт-07, 11:29
	>>Здрасте все! >>Столкнулся со следующей ситуацией: >>Имеем офис воткнутый в один Ethernet порт циски, ДМЗ в другой Ethernet >>порт. >>И провайдер висящий на одном Serial порту. >>Сейчас меняем провайдера и необходимо изменить конфигурацию циски + Весь ДМЗ перевести >>на новые IP. >>Дабы сделать это постепенно, хочу сначала пустить локальных пользователей через нового провайдера, >>а ДМЗ оставить на старом (Дабы НС сервак пока не перенастраивать), >>а потом уже взяться и за IP-шники ДМЗ.. >>Перечитал кучу литературы, к примеру на этом сайте есть подобный пример http://web.opennet.ru/base/cisco/2isp_link.txt.html, >>но никак не пойму место: >>ip route 0.0.0.0 0.0.0.0 192.168.0.5 >>ip route 0.0.0.0 0.0.0.0 192.168.0.9 >>Как циска понимает кого и куда отправлять, у меня при добавлении в >>этом месте второго провайдера все начинает идти через него и сразу >>возникают проблемы с ДНС. >>Конфиг: >>! >>interface FastEthernet0/0 >> ip address 192.168.3.3 255.255.255.0 secondary >> ip address 192.168.0.1 255.255.255.0 >> ip access-group 2 in >> ip accounting output-packets >> ip nat inside >> exceed-action drop >> no ip mroute-cache >> duplex auto >> speed 100 >> traffic-shape group 112 256000 8000 8000 1000 >>! >>interface FastEthernet0/1 >> ip address 213.189.x.x 255.255.x.x >> ip access-group 101 in >> ip accounting output-packets >> no ip mroute-cache >> duplex auto >> speed 100 >>! >>interface Serial1/0:0 >> ip address 62.117.y.y 255.255.y.y >> ip access-group 118 in >> ip access-group 119 out >> ip nat outside >>! >>interface Serial1/1:0 >> ip address 213.189.x1.x1 255.255.x1.x1 >> ip access-group 108 in >> ip access-group 109 out >> ip nat outside >> crypto map clientmap >>! >> >>ip nat pool zenon-space 213.189.x1.x1 213.189.x1.x1 netmask 255.255.x1.x1 >>ip nat pool comcor-space 62.117.y.y 62.117.y.y netmask 255.255.y.y >> >>ip nat inside source route-map comcor-map pool comcor-space overload >>ip nat inside source route-map zenon-map pool zenon-space overload >>ip classless >>ip route 0.0.0.0 0.0.0.0 213.189.x3.x3 >>ip route 62.117.y.y 255.255.255.255 Serial1/0:0 >>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0 >> >>access-list 1 permit 192.168.0.0 0.0.0.255 >>access-list 1 permit 213.189.x.x 0.0.x.x >>access-list 1 deny any log >> >>access-list 3 permit 192.168.0.9 >>access-list 3 permit 192.168.0.11 >>access-list 3 permit 192.168.0.12 >>access-list 3 permit 192.168.0.5 >>access-list 3 permit 192.168.0.16 >>access-list 3 permit 192.168.0.214 >>access-list 3 deny any log >>! >>route-map zenon-map permit 20 >> match ip address 1 >> match interface Serial1/1:0 >> set default interface Serial1/1:0 >>! >>route-map comcor-map permit 20 >> match ip address 3 >> match interface Serial1/0:0 >> set default interface Serial1/0:0 >> >>Если добавляю ip route 0.0.0.0 0.0.0.0 62.117.y.y - все начинает идти через >>нового провайдера, и соответственно падает ДНС. >>Господа профы, скажите плз. где затупил!! >>Чувствую, что ответ где-то на поверхности, но не хватает теории элементарной! >> >>PS: новый провайдер - comcor :) > >ip route 62.117.y.y 255.255.255.255 Serial1/0:0 >ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0 >вот эти записи зачем ?? у вас что то не работает >с 0.0.0.0.0 за хоп первый пров >0.0.0.0. за хоп 2 пров ? Да и обратите внимание на акцесс листы для мапов , что то там не то ?? или так кажеться , то есть в первом мапе вы разрешаете ходить >>access-list 1 permit 192.168.0.0 0.0.0.255 куда входят access-list 3 permit 192.168.0.9 >>access-list 3 permit 192.168.0.11 >>access-list 3 permit 192.168.0.12 >>access-list 3 permit 192.168.0.5 >>access-list 3 permit 192.168.0.16 >>access-list 3 permit 192.168.0.214 Почему же этот мап не должен их заворачивать ? то есть и тот мап и этот мап их заворачивает.? кто первей того и тапки ?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от lon (ok) on 06-Мрт-07, 13:07
	>Да и обратите внимание на акцесс листы для мапов , что то там не то ?? или так кажеться , то есть в первом мапе вы разрешаете ходить >>access-list 1 permit 192.168.0.0 0.0.0.255 куда входят access-list 3 permit 192.168.0.9 >>>access-list 3 permit 192.168.0.11 >>>access-list 3 permit 192.168.0.12 >>>access-list 3 permit 192.168.0.5 >>>access-list 3 permit 192.168.0.16 >>>access-list 3 permit 192.168.0.214 >Почему же этот мап не должен их заворачивать ? >то есть и тот мап и этот мап их заворачивает.? кто первей >того и тапки ? Да... тут тема ясна, в результате хочу убрать access-list 1 permit 192.168.0.0 0.0.0.255. Хотя сегодня поэкспериментирую с этим. Вот тока проблема как раз не в локальной сети, а в ДМЗ, а она правильно прописана.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от lon (ok) on 06-Мрт-07, 13:02
	> >ip route 62.117.y.y 255.255.255.255 Serial1/0:0 >ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0 >вот эти записи зачем ?? у вас что то не работает >с 0.0.0.0.0 за хоп первый пров >0.0.0.0. за хоп 2 пров ? В данном месте происходит роутинг на маршрутизатор провайдера, находящийся за циской. Т.е. 213.189.x3.x3 - это как раз он. Т.е. все пакеты 0.0.0.0 0.0.0.0 я роучу на него, а потом указываю за каким портом он стоит. Это было изначально так. С новым провайдером делал все по аналогии, просто в конфиге пока не добавил строку с 0.0.0.0, т.к. все начинает работать сразу через новый маршрут. Да... а можно по подробнее про хоп, так и не понял что это. Может по этому и не могу понять всю схему полностью?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от Изгой (??) on 06-Мрт-07, 14:15
	>> >>ip route 62.117.y.y 255.255.255.255 Serial1/0:0 >>ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0 >>вот эти записи зачем ?? у вас что то не работает >>с 0.0.0.0.0 за хоп первый пров >>0.0.0.0. за хоп 2 пров ? > >В данном месте происходит роутинг на маршрутизатор провайдера, находящийся за циской. Т.е. >213.189.x3.x3 - это как раз он. Т.е. все пакеты 0.0.0.0 0.0.0.0 >я роучу на него, а потом указываю за каким портом он >стоит. Это было изначально так. С новым провайдером делал все по >аналогии, просто в конфиге пока не добавил строку с 0.0.0.0, т.к. >все начинает работать сразу через новый маршрут. >Да... а можно по подробнее про хоп, так и не понял что >это. Может по этому и не могу понять всю схему полностью? > ip route 62.117.y.y 255.255.255.255 Serial1/0:0 ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0 Это адреса следующего хопа , т е адреса ваших провайдеров , так ?? у вас есть интерфейсы к примеру 1.2.3.4.5 и т.д все подсети прописанные на данных интерфейсах считаються присоеденёнными и маршруты к ним прописывать ненадо , и если у вас тупиковый роутер то можно прописывать только ссылаясь на следующий хоп , что типа за таким интерфейсом находяться подсети такие то .ТО есть 0.0.0.0 0.0.0.0 хоп провайдера означает что все неизвестные подсети находяться за интерфейсом провайдера - кроме присоедененных подсетей к вашему маршрутизатору , и их прописывать не надо.Ух трудно так , может сумбурно накатал , если же у вас внутри есть ещё подсети отличные от присоединнённых тогда их надо тоже прописать на маршрутизаторе.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от lon (ok) on 06-Мрт-07, 16:23
	>> >ip route 62.117.y.y 255.255.255.255 Serial1/0:0 >ip route 213.189.x3.x3 255.255.255.255 Serial1/1:0 >Это адреса следующего хопа , т е адреса ваших провайдеров , так >?? > у вас есть интерфейсы к примеру 1.2.3.4.5 и т.д все >подсети прописанные на данных интерфейсах считаються присоеденёнными и маршруты к ним >прописывать ненадо , и если у вас тупиковый роутер то >можно прописывать только ссылаясь на следующий хоп , что типа за >таким интерфейсом находяться подсети такие то .ТО есть 0.0.0.0 0.0.0.0 >хоп провайдера >означает что все неизвестные подсети находяться за интерфейсом провайдера - кроме присоедененных >подсетей к вашему маршрутизатору , и их прописывать не надо.Ух трудно >так , может сумбурно накатал , если же у вас внутри >есть ещё подсети отличные от присоединнённых тогда их надо тоже прописать >на маршрутизаторе. Вроде в общих частях разобрался, осталось видимо собрать все мысли воедино. К примеру я из локальной сети пингую внешний IP, как заработает логика циски? первое что сработает это route-map comcor-map permit 20 match ip address 3 match interface Serial1/0:0 т.к. пакет пришел, к примеру с 192.168.0.5 и дальше пакет уйдет на серийник? Или все-таки в зависимости от точки назначения будут выбраны правила ip route и соответствующий путь... вот тут у меня самый большой затык!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от lon (ok) on 06-Мрт-07, 19:39
	Или задам вопрос проще.. есть два маршрута ip route 0.0.0.0 0.0.0.0 213.189.x.x ip route 0.0.0.0 0.0.0.0 62.117.y.y Т.е. адреса маршрутизаторов провайдера, в зависимости от чего будет применяться тот или иной путь?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от Изгой (??) on 07-Мрт-07, 08:42
	>Или задам вопрос проще.. есть два маршрута >ip route 0.0.0.0 0.0.0.0 213.189.x.x >ip route 0.0.0.0 0.0.0.0 62.117.y.y >Т.е. адреса маршрутизаторов провайдера, в зависимости от чего будет применяться тот или >иной путь? В данном случае ( без нат ) если весь трафик проходит через процесс свичинг , пакеты будут распределяться равномерно , один туда другой сюда , ( по крайней мере так пишут в умных книжках). Так как оба маршрута имеют одинаковую стоимость . Но всё это происходит по другому когда применяеться фаст свичинг , и тем более когда работает PAT на два интерфейса. Без NAT и PAT при применение коммутации CEF возможно равномерное распределение трафика практически без потерь производительности для маршрутизатора , ну опять же идеального балансинга врят ли получиться . У вас случай с PAT тут будут приеняться политика примерно такая как при Фаст Свичнге , то есть пройдя первый раз через выходной интерфейс (пакет) кешируеться и весь поток идёт через данный интерфейс, поэтому применяються роут мапы на PAT (NAT), чтоб разделять по правилу какой трафик и на какой интерфейс нужно завернуть.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от lon (ok) on 13-Мрт-07, 13:12
	Большое спасибо за развернутые ответы, но сколько не дергал конфиг однозначно все идет через новый маршрут, вне зависимости от роутмапов. Думаю, перегоню все на нового провайдера одним хлопом, но просто любопытно где же затык! Вот мои роутмапы текущие... вроде там все предельно просто: ! route-map zenon-map permit 20 match ip address 1 match interface Serial1/1:0 set default interface Serial1/1:0 ! route-map comcor-map permit 20 match ip address 3 match interface Serial1/0:0 set default interface Serial1/0:0 ! ACL1 - для одной подсети, 3 - для другой соответственно.. Или RM-пы правильные?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от fantom (??) on 13-Мрт-07, 13:30
	>Большое спасибо за развернутые ответы, но сколько не дергал конфиг однозначно все >идет через новый маршрут, вне зависимости от роутмапов. Думаю, перегоню все >на нового провайдера одним хлопом, но просто любопытно где же затык! >Вот мои роутмапы текущие... вроде там все предельно просто: >! >route-map zenon-map permit 20 > match ip address 1 > match interface Serial1/1:0 > set default interface Serial1/1:0 >! >route-map comcor-map permit 20 > match ip address 3 > match interface Serial1/0:0 > set default interface Serial1/0:0 >! > >ACL1 - для одной подсети, 3 - для другой соответственно.. >Или RM-пы правильные? А вы их на интерфейсы повесили?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от lon (ok) on 13-Мрт-07, 16:54
	> >А вы их на интерфейсы повесили? ВОТ!!! Точно, этого-то я и не знал! Спасибец, все заработало!!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Два провайдера ня Cisco 7206 VXR + ДМЗ"
	Сообщение от kravt (??) on 15-Апр-07, 12:21
	>> >>А вы их на интерфейсы повесили? > >ВОТ!!! >Точно, этого-то я и не знал! Спасибец, все заработало!! А ip route 0.0.0.0 0.0.0.0 ... ты убрал или оставил?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]