forum.opennet.ru - "Доступ к Cisco через 2 ISP" (11)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Доступ к Cisco через 2 ISP"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступ к Cisco через 2 ISP"	+/–
Сообщение от ghool (ok) on 15-Апр-14, 16:10
Ещё одна сторона старого вопроса. Есть Cisco 1841 (iOS 15), к ней подключены два провайдера и локалка. Если первый канал падает - переключаемся на второй. Оживает - вовращаемся. А вот как сделать, что бы сама Cisco была доступна через оба канала постоянно? FastEthernet 0/0 (1.2.3.4/30) - ISP1 FastEthernet 0/0.2 (10.0.0.10/24) - ISP2 (Yota даёт внешний айпи вот таким образом, но если она становится основным каналом - всё пашет, даже VPN-ы. Снаружи USB-модем виден по йотовскому внешнему IP, а внутрь даёт 10.0.0.10 и шлюз 10.0.0.1) FastEthernet 0/1 (192.168.25.1/24) - LAN Пытался делать так: Cisco(config)#ip access-list extended acl_from_Yota Cisco(config-ext-nacl)#permit ip host 10.0.0.10 any Cisco(config-ext-nacl)# route-map map_to_Yota permit 10 Cisco(config-route-map)#match ip address acl_from_Yota Cisco(config-route-map)#set ip nex-hop 10.0.0.1 Cisco(config-route-map)#int fa 0/0.2 Cisco(config-if)#ip policy route-map map_to_Yota Но Cisco #ping 8.8.8.8 source fastEthernet 0/0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: Packet sent with a source address of 10.0.0.10 ..... Success rate is 0 percent (0/5) ЧЯДНТ?
Ответить \| Правка \| Cообщить модератору

Оглавление

Доступ к Cisco через 2 ISP, Алексей, 18:27 , 15-Апр-14, (1)

Доступ к Cisco через 2 ISP, ShyLion, 20:59 , 15-Апр-14, (3)

Доступ к Cisco через 2 ISP, ShyLion, 20:58 , 15-Апр-14, (2)

Доступ к Cisco через 2 ISP, ghool, 23:38 , 15-Апр-14, (4)

Доступ к Cisco через 2 ISP, ShyLion, 06:54 , 16-Апр-14, (5)

Доступ к Cisco через 2 ISP, ghool, 16:56 , 16-Апр-14, (6)

Доступ к Cisco через 2 ISP, AlexDv, 02:01 , 17-Апр-14, (7)
Доступ к Cisco через 2 ISP, ShyLion, 08:55 , 17-Апр-14, (9)

Доступ к Cisco через 2 ISP, ghool, 13:21 , 17-Апр-14, (10)

Доступ к Cisco через 2 ISP, ShyLion, 13:59 , 17-Апр-14, (11)

Доступ к Cisco через 2 ISP, asx, 05:53 , 17-Апр-14, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Доступ к Cisco через 2 ISP" +/–

Сообщение от Алексей (??) on 15-Апр-14, 18:27

> Но
> Cisco #ping 8.8.8.8 source fastEthernet 0/0.2
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
> Packet sent with a source address of 10.0.0.10
> .....
> Success rate is 0 percent (0/5)
Железка SLA поддерживает?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Доступ к Cisco через 2 ISP" +/–

Сообщение от ShyLion (??) on 15-Апр-14, 20:59

>> Но
>> Cisco #ping 8.8.8.8 source fastEthernet 0/0.2
>> Type escape sequence to abort.
>> Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
>> Packet sent with a source address of 10.0.0.10
>> .....
>> Success rate is 0 percent (0/5)
> Железка SLA поддерживает?
Это тут не при чем

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Доступ к Cisco через 2 ISP" +/–

Сообщение от ShyLion (??) on 15-Апр-14, 20:58

>[оверквотинг удален]
> Cisco(config-route-map)#set ip nex-hop 10.0.0.1
> Cisco(config-route-map)#int fa 0/0.2
> Cisco(config-if)#ip policy route-map map_to_Yota
> Но
> Cisco #ping 8.8.8.8 source fastEthernet 0/0.2
> Type escape sequence to abort.
> Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
> Packet sent with a source address of 10.0.0.10
> .....
> Success rate is 0 percent (0/5)

Ip local policy ....
> ЧЯДНТ?
На интерфейсе полиси убрать

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Доступ к Cisco через 2 ISP" +/–

Сообщение от ghool (ok) on 15-Апр-14, 23:38

> На интерфейсе полиси убрать
Не помогло
Причём:
Cisco (config)#ip route 8.8.4.4 255.255.255.255 10.0.0.1
Cisco #ping 8.8.4.4 source fastEthernet 0/0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.4.4, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.10
!!!!!
НО
Cisco #ping 8.8.8.8 source fastEthernet 0/0.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
Packet sent with a source address of 10.0.0.10
.....
Success rate is 0 percent (0/5)
Дело не в полиси на интерфейсе.
Или не только в этом...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Доступ к Cisco через 2 ISP" +/–

Сообщение от ShyLion (ok) on 16-Апр-14, 06:54

>> На интерфейсе полиси убрать
> Не помогло
Это было не основное.
Основное: ip local policy ...

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Доступ к Cisco через 2 ISP" +/–

Сообщение от ghool (ok) on 16-Апр-14, 16:56

>>> На интерфейсе полиси убрать
>> Не помогло
> Это было не основное.
> Основное: ip local policy ...
Ага!
Спасибо, убрал Policy с интерфейса, добавил как local.
Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP не получается всё равно.
Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого интерфейса надо отправлять обратно через него же.
Я думал, что циска сама это поймёт - ведь пакеты приходят на 10.0.0.10, значит с него и обратно должны идти

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Доступ к Cisco через 2 ISP" +/–

Сообщение от AlexDv (??) on 17-Апр-14, 02:01

>>>> На интерфейсе полиси убрать
>>> Не помогло
>> Это было не основное.
>> Основное: ip local policy ...
> Ага!
> Спасибо, убрал Policy с интерфейса, добавил как local.
> Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP
> не получается всё равно.
> Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого
> интерфейса надо отправлять обратно через него же.
Это возможно при наличии full view с обоими провайдерами.
Все остальное - костыли.
> Я думал, что циска сама это поймёт - ведь пакеты приходят на
> 10.0.0.10, значит с него и обратно должны идти
Не должны. См. выше. В вашем случае, ответы на пакеты, пришедшие от резервного провайдера, уходят по дефолтному маршруту на основного. Основной провайдер имеет право не принимать такие пакеты. Тогда может помочь policy routing, но только для тех протколов, для которых он настоен.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Доступ к Cisco через 2 ISP" +/–

Сообщение от ShyLion (ok) on 17-Апр-14, 08:55

>[оверквотинг удален]
>> Это было не основное.
>> Основное: ip local policy ...
> Ага!
> Спасибо, убрал Policy с интерфейса, добавил как local.
> Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP
> не получается всё равно.
> Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого
> интерфейса надо отправлять обратно через него же.
> Я думал, что циска сама это поймёт - ведь пакеты приходят на
> 10.0.0.10, значит с него и обратно должны идти
Роутеру все равно откуда пришел пакет, обратный он шлет согласно таблицы маршрутизации.
В полиси матч соурс айпи роутера, и set ip default next-hop и set interface ..

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Доступ к Cisco через 2 ISP" +/–

Сообщение от ghool (ok) on 17-Апр-14, 13:21

>>[оверквотинг удален]
> В полиси матч соурс айпи роутера, и set ip default next-hop и
> set interface ..
Вот, что у меня есть сейчас:
Cisco(config)#ip access-list extended acl_from_Yota
Cisco(config-ext-nacl)#permit ip host 10.0.0.10 any
Cisco(config-ext-nacl)# route-map map_to_Yota permit 10
Cisco(config-route-map)#match ip address acl_from_Yota
Cisco(config-route-map)#set ip next-hop 10.0.0.1
!Вот это добавил по вашей рекомендации
Cisco(config-route-map)#set default interface FastEthernet 0/0.2
Cisco(config-route-map)#exit
Cisco(config)#ip local policy route-map map_to_Yota

Я так понимаю, что
"В полиси матч соурс айпи роутера" - это первые 4 строки конфига, что я привёл
А
set ip default next-hop и set interface .. - следующие две
Или нужна ещё одна полиси?
Извините за тупняки

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Доступ к Cisco через 2 ISP" +/–

Сообщение от ShyLion (ok) on 17-Апр-14, 13:59

ip local policy route-map RM_LOCAL
!
ip access-list extended RM_LOCAL
permit ip host 10.1.3.3 any
!
route-map RM_LOCAL permit 10
match ip address RM_LOCAL
set ip next-hop 10.1.3.1
!
Это все что нужно. Если где-то еще полиси-роутинг используется, возможно он мешает.
debug ip policy
debug ip policy dynamic

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

8. "Доступ к Cisco через 2 ISP" +/–

Сообщение от asx on 17-Апр-14, 05:53

> А вот как сделать, что бы сама Cisco была доступна через оба
> канала постоянно?
Используйте vrf.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступ к Cisco через 2 ISP"	+/–
Сообщение от Алексей (??) on 15-Апр-14, 18:27
> Но > Cisco #ping 8.8.8.8 source fastEthernet 0/0.2 > Type escape sequence to abort. > Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: > Packet sent with a source address of 10.0.0.10 > ..... > Success rate is 0 percent (0/5) Железка SLA поддерживает?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	3. "Доступ к Cisco через 2 ISP"	+/–
	Сообщение от ShyLion (??) on 15-Апр-14, 20:59
	>> Но >> Cisco #ping 8.8.8.8 source fastEthernet 0/0.2 >> Type escape sequence to abort. >> Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: >> Packet sent with a source address of 10.0.0.10 >> ..... >> Success rate is 0 percent (0/5) > Железка SLA поддерживает? Это тут не при чем
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

2. "Доступ к Cisco через 2 ISP"	+/–
Сообщение от ShyLion (??) on 15-Апр-14, 20:58
>[оверквотинг удален] > Cisco(config-route-map)#set ip nex-hop 10.0.0.1 > Cisco(config-route-map)#int fa 0/0.2 > Cisco(config-if)#ip policy route-map map_to_Yota > Но > Cisco #ping 8.8.8.8 source fastEthernet 0/0.2 > Type escape sequence to abort. > Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: > Packet sent with a source address of 10.0.0.10 > ..... > Success rate is 0 percent (0/5) Ip local policy .... > ЧЯДНТ? На интерфейсе полиси убрать
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "Доступ к Cisco через 2 ISP"	+/–
	Сообщение от ghool (ok) on 15-Апр-14, 23:38
	> На интерфейсе полиси убрать Не помогло Причём: Cisco (config)#ip route 8.8.4.4 255.255.255.255 10.0.0.1 Cisco #ping 8.8.4.4 source fastEthernet 0/0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.4.4, timeout is 2 seconds: Packet sent with a source address of 10.0.0.10 !!!!! НО Cisco #ping 8.8.8.8 source fastEthernet 0/0.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: Packet sent with a source address of 10.0.0.10 ..... Success rate is 0 percent (0/5) Дело не в полиси на интерфейсе. Или не только в этом...
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Доступ к Cisco через 2 ISP"	+/–
	Сообщение от ShyLion (ok) on 16-Апр-14, 06:54
	>> На интерфейсе полиси убрать > Не помогло Это было не основное. Основное: ip local policy ...
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Доступ к Cisco через 2 ISP"	+/–
	Сообщение от ghool (ok) on 16-Апр-14, 16:56
	>>> На интерфейсе полиси убрать >> Не помогло > Это было не основное. > Основное: ip local policy ... Ага! Спасибо, убрал Policy с интерфейса, добавил как local. Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP не получается всё равно. Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого интерфейса надо отправлять обратно через него же. Я думал, что циска сама это поймёт - ведь пакеты приходят на 10.0.0.10, значит с него и обратно должны идти
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "Доступ к Cisco через 2 ISP"	+/–
	Сообщение от AlexDv (??) on 17-Апр-14, 02:01
	>>>> На интерфейсе полиси убрать >>> Не помогло >> Это было не основное. >> Основное: ip local policy ... > Ага! > Спасибо, убрал Policy с интерфейса, добавил как local. > Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP > не получается всё равно. > Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого > интерфейса надо отправлять обратно через него же. Это возможно при наличии full view с обоими провайдерами. Все остальное - костыли. > Я думал, что циска сама это поймёт - ведь пакеты приходят на > 10.0.0.10, значит с него и обратно должны идти Не должны. См. выше. В вашем случае, ответы на пакеты, пришедшие от резервного провайдера, уходят по дефолтному маршруту на основного. Основной провайдер имеет право не принимать такие пакеты. Тогда может помочь policy routing, но только для тех протколов, для которых он настоен.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	9. "Доступ к Cisco через 2 ISP"	+/–
	Сообщение от ShyLion (ok) on 17-Апр-14, 08:55
	>[оверквотинг удален] >> Это было не основное. >> Основное: ip local policy ... > Ага! > Спасибо, убрал Policy с интерфейса, добавил как local. > Пинги с этого интерфейса уходят, а вот снаружи подключиться через второй ISP > не получается всё равно. > Как я понимаю, надо объяснить циске, что весь траффик, пришедший с этого > интерфейса надо отправлять обратно через него же. > Я думал, что циска сама это поймёт - ведь пакеты приходят на > 10.0.0.10, значит с него и обратно должны идти Роутеру все равно откуда пришел пакет, обратный он шлет согласно таблицы маршрутизации. В полиси матч соурс айпи роутера, и set ip default next-hop и set interface ..
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	10. "Доступ к Cisco через 2 ISP"	+/–
	Сообщение от ghool (ok) on 17-Апр-14, 13:21
	>>[оверквотинг удален] > В полиси матч соурс айпи роутера, и set ip default next-hop и > set interface .. Вот, что у меня есть сейчас: Cisco(config)#ip access-list extended acl_from_Yota Cisco(config-ext-nacl)#permit ip host 10.0.0.10 any Cisco(config-ext-nacl)# route-map map_to_Yota permit 10 Cisco(config-route-map)#match ip address acl_from_Yota Cisco(config-route-map)#set ip next-hop 10.0.0.1 !Вот это добавил по вашей рекомендации Cisco(config-route-map)#set default interface FastEthernet 0/0.2 Cisco(config-route-map)#exit Cisco(config)#ip local policy route-map map_to_Yota Я так понимаю, что "В полиси матч соурс айпи роутера" - это первые 4 строки конфига, что я привёл А set ip default next-hop и set interface .. - следующие две Или нужна ещё одна полиси? Извините за тупняки
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Доступ к Cisco через 2 ISP"	+/–
	Сообщение от ShyLion (ok) on 17-Апр-14, 13:59
	ip local policy route-map RM_LOCAL ! ip access-list extended RM_LOCAL permit ip host 10.1.3.3 any ! route-map RM_LOCAL permit 10 match ip address RM_LOCAL set ip next-hop 10.1.3.1 ! Это все что нужно. Если где-то еще полиси-роутинг используется, возможно он мешает. debug ip policy debug ip policy dynamic
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору

8. "Доступ к Cisco через 2 ISP"	+/–
Сообщение от asx on 17-Апр-14, 05:53
> А вот как сделать, что бы сама Cisco была доступна через оба > канала постоянно? Используйте vrf.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору