forum.opennet.ru - "2 ISP + 6 VLAN не работает IP SLA" (15)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"2 ISP + 6 VLAN не работает IP SLA"

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"2 ISP + 6 VLAN не работает IP SLA"	+/–
Сообщение от PulsarBF (ok) on 15-Июл-11, 14:31
Доброго времени суток, господа! Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin FE 0/0/0 ---- (192.168.0.1) \| FE 0/0/0.9 ---------\| (192.168.9.1) \| \| FE 0/0/0.11 ---- \| (X.X.X.10) (X.X.X.1) (192.168.11.1) \|-> <--- FE 0/0 -------> ISP1 Router FE 0/0/1 ---- \|-> <--- FE 0/1 -------> ISP2 (192.168.1.1) \| \| (Y.Y.Y.194) (Y.Y.Y.193) FE 0/0/1.10 ---------\| (192.168.10.1) \| FE 0/0/1.12 ---- (192.168.12.1) Необходимо чтобы сети подключённый к FE 0/0/0.* ходили в и-нет через ISP1, а подключённые к FE 0/0/1.* через ISP2. Вслучае падения канал все переключаются на живоого провайдера. 79.173.80.1, 212.58.197.17 - DNS ISP1. 217.195.65.9, 217.195.66.253 - DNS ISP2. В качестве оценки соступности пути выбрано доступность DNS серверов провайдеров. Есть следующий конфиг: (вырезано) ! ip source-route ! ip cef ! ip dhcp excluded-address 192.168.9.1 ip dhcp excluded-address 192.168.10.1 ip dhcp excluded-address 192.168.11.1 ip dhcp excluded-address 192.168.12.1 ip dhcp excluded-address 192.168.0.1 192.168.0.99 ! ip dhcp pool Admin network 192.168.9.0 255.255.255.0 default-router 192.168.9.1 dns-server 192.168.9.1 ! ip dhcp pool GSZ network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 192.168.0.1 ! ip dhcp pool EGAIS network 192.168.11.0 255.255.255.0 default-router 192.168.11.1 dns-server 192.168.0.1 ! ip dhcp pool ECO network 192.168.12.0 255.255.255.0 default-router 192.168.12.1 dns-server 192.168.0.1 ! ip dhcp pool Test network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.0.1 netbios-name-server 192.168.0.14 ! ip domain name yourdomain.com ip name-server 79.173.80.1 ip name-server 212.58.197.17 ip name-server 217.195.65.9 ip name-server 217.195.66.253 no ipv6 cef ! (вырезано) ! redundancy ! track 1 ip sla 1 reachability ! track 2 ip sla 2 reachability ! interface FastEthernet0/0 description AstraOreol ip address X.X.X.10 255.255.255.0 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/1 description PeterStar ip address Y.Y.Y.194 255.255.255.248 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/0/0 ip address 192.168.0.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/0/0.9 description Admin encapsulation dot1Q 9 ip address 192.168.9.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface FastEthernet0/0/0.11 description EGAIS encapsulation dot1Q 11 ip address 192.168.11.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface FastEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/0/1.10 description GSZ encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface FastEthernet0/0/1.12 description ECO encapsulation dot1Q 12 ip address 192.168.12.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! ip forward-protocol nd ip http server ip http access-class 23 ip http authentication local no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ip dns server ip dns spoofing ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload ip nat inside source route-map PeterStar interface FastEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 X.X.X.1 ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 ! ip access-list extended Admin permit ip 192.168.9.0 0.0.0.255 any ip access-list extended ECO permit ip 192.168.12.0 0.0.0.255 any ip access-list extended EGAIS permit ip 192.168.11.0 0.0.0.255 any ip access-list extended GSZ permit ip 192.168.10.0 0.0.0.255 any ip access-list extended ICMP_AstraOreol permit icmp any host X.X.X.1 ip access-list extended ICMP_PeterStar permit icmp any host Y.Y.Y.193 ip access-list extended Test permit ip 192.168.0.0 0.0.0.255 any ip access-list extended Test1 permit ip 192.168.1.0 0.0.0.255 any ! ip sla 1 icmp-jitter 212.58.197.17 source-ip X.X.X.10 num-packets 3 frequency 20 ip sla schedule 1 life forever start-time now ip sla 2 icmp-jitter 217.195.66.253 source-ip Y.Y.Y.194 num-packets 3 frequency 20 ip sla schedule 2 life forever start-time now logging esm config access-list 23 permit 10.10.10.0 0.0.0.7 access-list 23 permit 192.168.0.0 0.0.0.255 ! route-map AstraOreol permit 10 match ip address Admin EGAIS Test match interface FastEthernet0/0 ! route-map PeterStar permit 10 match ip address GSZ ECO Test1 match interface FastEthernet0/1 ! route-map ICMP_Route_Select permit 10 match ip address ICMP_AstraOreol set ip next-hop X.X.X.1 ! route-map ICMP_Route_Select permit 20 match ip address ICMP_PeterStart set ip next-hop Y.Y.Y.193 ! (вырезано) end Конфиг недоделаный, не реализован route-map для переключения пити на живой канал. Это пока бессмысленно, т.к. на данный момент проблема в том, что канал до ISP2 в down, хотя реально он живой. NAT работает нормально. Грешу на ACL. Но где проблема не понимаю. После пропинговки выяснилось следующее: 79.173.80.1 не пингуется если в качестве источника указаны - 192.168.9.x и 192.168.11.x. 212.58.197.17 нет пинга ежели источник - fa0/0/1, 192.168.9.x, 192.168.11.x, 192.168.1.x. 217.195.65.9 нет пинга ежели источник - fa0/0, fa0/0/0, fa0/0/1, X.X.X.10, 192.168.0.x, 192.168.1.x. 217.195.66.253 нет пинга ежели источник - fa0/1, Y.Y.Y.194, 192.168.9.x, 192.168.11.x, 192.168.10.x, 192.168.12.x. Полный бред. Мозг кипит. Может кто видит в чём проблема?
Ответить \| Правка \| Cообщить модератору

Оглавление

2 ISP + 6 VLAN не работает IP SLA, йцукен, 17:32 , 19-Июл-11, (1)

2 ISP + 6 VLAN не работает IP SLA, PulsarBF, 10:38 , 21-Июл-11, (2)

2 ISP + 6 VLAN не работает IP SLA, BlackFire, 17:41 , 25-Июл-11, (6)

2 ISP + 6 VLAN не работает IP SLA, PulsarBF, 11:51 , 22-Июл-11, (3)

2 ISP + 6 VLAN не работает IP SLA, Gromophon, 03:11 , 25-Июл-11, (4)

2 ISP + 6 VLAN не работает IP SLA, Gromophon, 03:17 , 25-Июл-11, (5)

2 ISP + 6 VLAN не работает IP SLA, Maxmara, 17:54 , 25-Июл-11, (7)

2 ISP + 6 VLAN не работает IP SLA, BlackFire, 18:26 , 25-Июл-11, (8)

2 ISP + 6 VLAN не работает IP SLA, Maxmara, 18:53 , 25-Июл-11, (9)

2 ISP + 6 VLAN не работает IP SLA, BlackFire, 18:59 , 25-Июл-11, (10)

2 ISP + 6 VLAN не работает IP SLA, Maxmara, 22:07 , 25-Июл-11, (11)

2 ISP + 6 VLAN не работает IP SLA, BlackFire, 11:36 , 26-Июл-11, (12)

2 ISP + 6 VLAN не работает IP SLA, Maxmara, 16:37 , 26-Июл-11, (13)

2 ISP + 6 VLAN не работает IP SLA, BlackFire, 16:42 , 26-Июл-11, (14)
2 ISP + 6 VLAN не работает IP SLA, BlackFire, 13:11 , 28-Июл-11, (15)

Сообщения по теме [Сортировка по времени | RSS]

1. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от йцукен (??) on 19-Июл-11, 17:32

Может:
ip route 0.0.0.0 0.0.0.0 X.X.X.1 track 1
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 track 2
Еще на интерфейсе не видно роутмапа, который заворачивает трафик на инет.
Или может я к вечеру уже не вижу нифига

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от PulsarBF (ok) on 21-Июл-11, 10:38

> Может:
> ip route 0.0.0.0 0.0.0.0 X.X.X.1 track 1
> ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 track 2
Спасибо за то, что смогли найти на меня время.
track'и можно прикрутить в последний момент. Там еще будут созданы два раздела в route-map ICMP_Route_Select для с теми же track'ами, чтобы VLAN'ы подключённые к соответствующим интерфейсам ходили через соответствующих провадеров и ежели что переключались на живого, например так:
route-map ICMP_Route_Select permit 100
match ip address To_AstraOreol
set ip next-hop verify-availability X.X.X.1 track 1
set ip next-hop verify-availability Y.Y.Y.193 track 2
!
route-map ICMP_Route_Select permit 200
match ip address To_PeterStar
set ip next-hop verify-availability Y.Y.Y.193 track 2
set ip next-hop verify-availability X.X.X.1 track 1
Но это потом, сейчас проблема в том что track 2 постоянно в down'е (с track 1  всё в порядке). И пинги не со всех интерфейсов не на все адреса идут. Хотя NAT работает исправно и правила трансляции создает верные.
> Еще на интерфейсе не видно роутмапа, который заворачивает трафик на инет.
> Или может я к вечеру уже не вижу нифига
Действительно в этом конфиге нет route-map'а на интерфейсах. Я поставил его на все интерфесы fa 0/0/0 & fa 0/0/1 и их подинтерфейсы, ситуаци с пингами не изменилась.
Навсякий случай новый конфиг:
(вырезано)
!
ip cef
ip dhcp excluded-address 192.168.9.1
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.11.1
ip dhcp excluded-address 192.168.12.1
ip dhcp excluded-address 192.168.0.1 192.168.0.99
!
ip dhcp pool Admin
   network 192.168.9.0 255.255.255.0
   default-router 192.168.9.1
   dns-server 192.168.9.1
!
ip dhcp pool GSZ
   network 192.168.10.0 255.255.255.0
   default-router 192.168.10.1
   dns-server 192.168.0.1
!
ip dhcp pool EGAIS
   network 192.168.11.0 255.255.255.0
   default-router 192.168.11.1
   dns-server 192.168.0.1
!
ip dhcp pool ECO
   network 192.168.12.0 255.255.255.0
   default-router 192.168.12.1
   dns-server 192.168.0.1
!
ip dhcp pool Test
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1
   dns-server 192.168.0.1
   netbios-name-server 192.168.0.14
!
!
ip domain name yourdomain.com
ip name-server 79.173.80.1
ip name-server 212.58.197.17
ip name-server 217.195.65.9
ip name-server 217.195.66.253
no ipv6 cef
!
(вырезано)
!
track 1 ip sla 1 reachability
!
track 2 ip sla 2 reachability
!
interface FastEthernet0/0
description AstraOreol
ip address X.X.X.10 255.255.255.0
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
!
interface FastEthernet0/1
description PeterStar
ip address Y.Y.Y.194 255.255.255.248
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
!
interface FastEthernet0/0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
duplex auto
speed auto
!
!
interface FastEthernet0/0/0.9
description Admin
encapsulation dot1Q 9
ip address 192.168.9.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/0.11
description EGAIS
encapsulation dot1Q 11
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
duplex auto
speed auto
!
!
interface FastEthernet0/0/1.10
description GSZ
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/1.12
description ECO
encapsulation dot1Q 12
ip address 192.168.12.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip dns spoofing
ip nat pool AstraOreolPool X.X.X.10 X.X.X.10 netmask 255.255.255.0
ip nat pool PeterStarPool Y.Y.Y.194 Y.Y.Y.194 netmask 255.255.255.248
ip nat inside source route-map AstraOreol_NAT pool AstraOreolPool overload
ip nat inside source route-map PeterStar_NAT pool PeterStarPool overload
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 X.X.X.1
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 Y.Y.Y.193
!
ip access-list standard To_AstraOreol
permit 192.168.0.0 0.0.0.255
permit 192.168.9.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
ip access-list standard To_PeterStar
permit 192.168.1.0 0.0.0.255
permit 192.168.10.0 0.0.0.255
permit 192.168.12.0 0.0.0.255
!
ip access-list extended AstraOreol_Net
permit ip any X.X.X.0 0.0.0.255
ip access-list extended PeterStar_Net
permit ip any Y.Y.Y.192 0.0.0.7
!
ip sla 1
icmp-jitter 212.58.197.17 source-ip X.X.X.10 num-packets 3
frequency 20
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-jitter 217.195.65.9 source-ip Y.Y.Y.194 num-packets 3
frequency 20
ip sla schedule 2 life forever start-time now
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 192.168.0.0 0.0.0.255
!
route-map AstraOreol_NAT permit 10
match ip address To_AstraOreol
!
route-map Route_Select permit 10
match ip address AstraOreol_Net
set ip next-hop X.X.X.1
!
route-map Route_Select permit 20
match ip address PeterStar_Net
set ip next-hop Y.Y.Y.193
!
route-map Route_Select permit 100
match ip address To_AstraOreol
set ip next-hop X.X.X.1
!
route-map Route_Select permit 200
match ip address To_PeterStar
set ip next-hop Y.Y.Y.193
!
route-map PeterStar_NAT permit 10
match ip address To_PeterStar
!
(вырезвно)
Господа, HELP! Верчу так и сяк, не могу понять в чем дело!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от BlackFire (ok) on 25-Июл-11, 17:41

Господа, после следующих изменений в конфиге:

ip route 0.0.0.0 0.0.0.0 X.X.X.1
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 254
ip route 79.173.80.1 255.255.255.255 X.X.X.1
ip route 212.58.197.17 255.255.255.255 X.X.X.1
ip route 217.195.65.9 255.255.255.255 Y.Y.Y.193
ip route 217.195.66.253 255.255.255.255 Y.Y.Y.193
Пинги в основном перестали ходить. Выглядит это так:
ISP1 (X.X.X.1)
- 79.173.80.1 не пингуется вообще,
- 212.58.197.17 нет пингов с Fa0/0 и X.X.X.10
ISP2 (Y.Y.Y.193)
- 217.195.65.9 нет пингов с Fa0/0, Fa0/0/0, X.X.X.10, 192.168.0.x, 192.168.9.x, 192.168.11.x,
- 217.195.66.253 нет пингов с Fa0/0, Fa0/0/0, X.X.X.10, 192.168.0.x, 192.168.9.x, 192.168.11.x
Повторюсь, что в этой конфигурации, что в прежней пакеты попадали на NAT в нужный интерфейс (судя по выводу debug ip nat), просто почему-то не было ответов.
Вот вывод sh ip route:

S*    0.0.0.0/0 [1/0] via X.X.X.1
      X.X.X.0/8 is variably subnetted, 2 subnets, 2 masks
C        X.X.X.0/24 is directly connected, FastEthernet0/0
L        X.X.X.10/32 is directly connected, FastEthernet0/0
      79.0.0.0/32 is subnetted, 1 subnets
S        79.173.80.1 [1/0] via X.X.X.1
      Y.Y.Y.0/8 is variably subnetted, 2 subnets, 2 masks
C        Y.Y.Y.192/29 is directly connected, FastEthernet0/1
L        Y.Y.Y.86.194/32 is directly connected, FastEthernet0/1
      192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.0.0/24 is directly connected, FastEthernet0/0/0
L        192.168.0.1/32 is directly connected, FastEthernet0/0/0
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, FastEthernet0/0/1
L        192.168.1.1/32 is directly connected, FastEthernet0/0/1
      192.168.9.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.9.0/24 is directly connected, FastEthernet0/0/0.9
L        192.168.9.1/32 is directly connected, FastEthernet0/0/0.9
      192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.10.0/24 is directly connected, FastEthernet0/0/1.10
L        192.168.10.1/32 is directly connected, FastEthernet0/0/1.10
      192.168.11.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.11.0/24 is directly connected, FastEthernet0/0/0.11
L        192.168.11.1/32 is directly connected, FastEthernet0/0/0.11
      192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.12.0/24 is directly connected, FastEthernet0/0/1.12
L        192.168.12.1/32 is directly connected, FastEthernet0/0/1.12
      212.58.197.0/32 is subnetted, 1 subnets
S        212.58.197.17 [1/0] via X.X.X.1
      217.195.65.0/32 is subnetted, 1 subnets
S        217.195.65.9 [1/0] via Y.Y.Y.193
      217.195.66.0/32 is subnetted, 1 subnets
S        217.195.66.253 [1/0] via Y.Y.Y.193
После возврата к изначальной конфигурации с добавлением административной дистанции в следующем виде:

ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 10.8.188.1
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 109.124.86.193 20
Ситуаци улучшилась но не до конца, большинство пингов ходит. Не походят пинги на DNS-сервера ISP2 (217.195.65.9, 217.195.66.253) с интерфейсов которые по логике как раз туда и должны ходить (Fa0/1, Fa0/0/1, Y.Y.Y.194, 192.168.1.x, 192.168.10.x, 192.168.12.x). Все остальные пингуются.
Вывод sh ip route:

S*    0.0.0.0/0 [1/0] via 10.8.188.1, FastEthernet0/0
      X.X.X.0/8 is variably subnetted, 2 subnets, 2 masks
C        X.X.X.0/24 is directly connected, FastEthernet0/0
L        X.X.X.10/32 is directly connected, FastEthernet0/0
      Y.Y.Y.0/8 is variably subnetted, 2 subnets, 2 masks
C        Y.Y.Y.192/29 is directly connected, FastEthernet0/1
L        Y.Y.Y.194/32 is directly connected, FastEthernet0/1
      192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.0.0/24 is directly connected, FastEthernet0/0/0
L        192.168.0.1/32 is directly connected, FastEthernet0/0/0
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, FastEthernet0/0/1
L        192.168.1.1/32 is directly connected, FastEthernet0/0/1
      192.168.9.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.9.0/24 is directly connected, FastEthernet0/0/0.9
L        192.168.9.1/32 is directly connected, FastEthernet0/0/0.9
      192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.10.0/24 is directly connected, FastEthernet0/0/1.10
L        192.168.10.1/32 is directly connected, FastEthernet0/0/1.10
      192.168.11.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.11.0/24 is directly connected, FastEthernet0/0/0.11
L        192.168.11.1/32 is directly connected, FastEthernet0/0/0.11
      192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.12.0/24 is directly connected, FastEthernet0/0/1.12
L        192.168.12.1/32 is directly connected, FastEthernet0/0/1.12
Вот что происходит на NAT'е
Вывод debug ip nat.
(удачный)

*Jul 25 13:06:39.927: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [377]
*Jul 25 13:06:39.931: NAT*: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40528]
*Jul 25 13:06:39.935: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [378]
*Jul 25 13:06:39.939: NAT*: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40529]
*Jul 25 13:06:39.939: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [379]
*Jul 25 13:06:39.943: NAT*: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40530]
*Jul 25 13:06:39.943: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [380]
*Jul 25 13:06:39.951: NAT*: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40531]
*Jul 25 13:06:39.951: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [381]
*Jul 25 13:06:39.955: NAT*: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40532]

(не удачный)

*Jul 25 13:07:22.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [382]
*Jul 25 13:07:24.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [383]
*Jul 25 13:07:26.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [384]
*Jul 25 13:07:28.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [385]
*Jul 25 13:07:30.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [386]

Вывод sh ip nat tr:

Pro Inside global      Inside local       Outside local      Outside global
icmp Y.Y.Y.194:85 192.168.1.1:85     212.58.197.17:85   212.58.197.17:85
icmp Y.Y.Y.194:86 192.168.1.1:86     217.195.66.253:86  217.195.66.253:86
Как видно пакеты идут на нужный интерфейс, и правильно транслируются, но ответ на пинг не приходит.
И на последок, вывод sh track (между прочи используется icmp-jitter):

Track 1
  IP SLA 1 reachability
  Reachability is Up
    8 changes, last change 00:32:14
  Latest operation return code: OK
  Latest RTT (millisecs) 1
Track 2
  IP SLA 2 reachability
  Reachability is Down
    1 change, last change 02:22:12
  Latest operation return code: Timeout
Все предсказуемо, т.к. DNS-сервера ISP2 с соответствующих интерфейсов не пингуются.
Сдается мне счастье где-то рядом. Ваши комментарии.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от PulsarBF (ok) on 22-Июл-11, 11:51

> Доброго времени суток, господа!
> Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin
Першел на более стабильную c2800nm-adventerprisek9-mz.150-1.M5.bin, результат тот же.
Коллеги, есть на форме спецы которые с подобным сталкивались и/или могут помочь?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от Gromophon (ok) on 25-Июл-11, 03:11

>> Доброго времени суток, господа!
>> Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin
> Першел на более стабильную c2800nm-adventerprisek9-mz.150-1.M5.bin, результат тот же.
> Коллеги, есть на форме спецы которые с подобным сталкивались и/или могут помочь?
проверочные хосты надо отдельно прописывать статическим роутом типа
ip route [checkhost] 255.255.255.255 FastEthernet0/1 [next hop]

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от Gromophon (ok) on 25-Июл-11, 03:17

>>> Доброго времени суток, господа!
>>> Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin
>> Першел на более стабильную c2800nm-adventerprisek9-mz.150-1.M5.bin, результат тот же.
>> Коллеги, есть на форме спецы которые с подобным сталкивались и/или могут помочь?
еще у меня так и не завелось два дефолтных маршрута с одинаковыми метриками, делал через ip policy route-map на интерфейсе

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от Maxmara on 25-Июл-11, 17:54

Ну и накрутили вы уважаемый....
Задача должна решаться по принципу чем проще... тем лучше...
1) Делаете 2 обыных дефолта с разными метриками
2) Активным становится дефолт с лучшей метрикой и все уходит на него
3) Чтобы все не уходило на деофлт с лучшей метрикой используем pbr
4) При падении канала все переключается на резервный маршрут за исключением pbr для которого мы используем тракинг

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от BlackFire (ok) on 25-Июл-11, 18:26

> Ну и накрутили вы уважаемый....
> Задача должна решаться по принципу чем проще... тем лучше...
> 1) Делаете 2 обыных дефолта с разными метриками
> 2) Активным становится дефолт с лучшей метрикой и все уходит на него
> 3) Чтобы все не уходило на деофлт с лучшей метрикой используем pbr
> 4) При падении канала все переключается на резервный маршрут за исключением pbr
> для которого мы используем тракинг
Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого начала. Там описана решаемая задача. Ваши предложения не достаточны, для её решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию, пожалуйста.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от Maxmara on 25-Июл-11, 18:53

> Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого
> начала. Там описана решаемая задача. Ваши предложения не достаточны, для её
> решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию,
> пожалуйста.
Если я предлагаю решение, то, наверное, я это делаю вполне осознанно и читал то что написано, пример конфига дам поздней, как до дома доберусь...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от BlackFire (ok) on 25-Июл-11, 18:59

>> Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого
>> начала. Там описана решаемая задача. Ваши предложения не достаточны, для её
>> решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию,
>> пожалуйста.
> Если я предлагаю решение, то, наверное, я это делаю вполне осознанно и
> читал то что написано, пример конфига дам поздней, как до дома
> доберусь...
Буду очень признателен.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от Maxmara on 25-Июл-11, 22:07

Проще у меня действительно не получилось, пришлось бы дергать добавлять правила nat...и т.д. выходило что-то вроде....
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX 1 track 10
ip route 0.0.0.0 0.0.0.0 YYY.YYY.YYY.YYY 2 track 20
ip access-list 100 permit ip 192.168.0.0 0.0.255.255
ip nat inside source list 100 interface FastEthernet0/1 overload
ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload
access-list 101 permit ip host 255.255.255.255 any
access-list 102 permit ip host 255.255.255.255 any
route-map AstraOreol permit 10
match ip address 101
match interface FastEthernet0/0
route-map RMAP_SELECT permit 10
match ip address 102
set ip next-hop verify-availability YYY.YYY.YYY.YYY 10 track 10

в общем я решил не изобретать велосипеда....
вот вам готовый пример работающего решения очень похожего на ваше, чтоб не тратить время
https://www.opennet.ru/openforum/vsluhforumID6/15824.html

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от BlackFire (ok) on 26-Июл-11, 11:36

>[оверквотинг удален]
> ip nat inside source list 100 interface FastEthernet0/1 overload
> ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload
> access-list 101 permit ip host 255.255.255.255 any
> access-list 102 permit ip host 255.255.255.255 any
> route-map AstraOreol permit 10
> match ip address 101
> match interface FastEthernet0/0
> route-map RMAP_SELECT permit 10
> match ip address 102
> set ip next-hop verify-availability YYY.YYY.YYY.YYY 10 track 10
Те же яйца, только в профиль ))
> в общем я решил не изобретать велосипеда....
> вот вам готовый пример работающего решения очень похожего на ваше, чтоб не
> тратить время
> https://www.opennet.ru/openforum/vsluhforumID6/15824.html
Эту тему я просматривал, там такой же принцип конфига как у меня. Различия в двух местах.
1. В маршрутной карте отвечающей за NAT есть, кроме соответствия ACL, ещё и соответствие интерфейсу. Добавление такого соответствия приводит к тому, что в тех случаях когда не проходил пинг, пакеты не добираются даже до NAT'а. Эта ситуация разбиралась в этой теме: https://www.opennet.ru/openforum/vsluhforumID6/22860.html.
2.Карта, которая отвечает за выбор пути, разделена на две части. Первая часть отвечающая за пинг (icmp) подвешена, как локальная политика. Вторая часть отвечающая за выбор ISP для внутренних подсетей подвешена на внутренний интерфейс. Собственно, это ни чего не меняет (всё те же яйца). Я пробовал в своём конфиге подвесить route-map Route_Select вместо интерфейсов на локальную политику, стало только хуже, большинство пингов перестало ходить. Почему так и не понял.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от Maxmara on 26-Июл-11, 16:37

1) Есть, возможно бредовая идея...подвести ваш случай под знаменатель того который работает... т.е. создаем Loopback заворачиваем весь трафик pbr на него и уже на нем делаем nat+pbr
2) Локальная политика нужна только для самого маршрутизатора и на клиентов не влияет, т.е. чтобы трафик клиентов ходил правильно нужна только политика на интерфесах... поэтому логично, что стало еще хуже...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от BlackFire (ok) on 26-Июл-11, 16:42

После прослушки снифером интерфейса Fa 0/1 выяснилось, что icmp-запросы на 79.173.80.1 и 212.58.197.17 все проходят, а вот на 217.195.65.9 и 217.195.66.253 запросы после NAT'а куда-то деваются и в канал не попадают. Соответственно и нет пингов на эти адреса с вышеуказанных источников.
Что их рубит? Есть у какие-нибудь идеи?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "2 ISP + 6 VLAN не работает IP SLA" +/–

Сообщение от BlackFire (ok) on 28-Июл-11, 13:11

Задача решена! Всем спасибо!
Ниже привожу кусок работающего конфига, который прететерпел изменения. Остальное так же, как и было.

track 1 ip sla 1 reachability
!
track 2 ip sla 2 reachability
delay down 60 up 20
!
interface FastEthernet0/0
description AstraOreol
ip address X.X.X.10 255.255.255.0
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description PeterStar
ip address Y.Y.Y.194 255.255.255.248
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
duplex auto
speed auto
!
interface FastEthernet0/0/0.9
description Admin
encapsulation dot1Q 9
ip address 192.168.9.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/0.11
description EGAIS
encapsulation dot1Q 11
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
duplex auto
speed auto
!
interface FastEthernet0/0/1.10
description GSZ
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/1.12
description ECO
encapsulation dot1Q 12
ip address 192.168.12.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip dns spoofing
ip nat inside source route-map NAT_AstraOreol interface FastEthernet0/0 overload
ip nat inside source route-map NAT_PeterStar interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 X.X.X.1 track 1
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 254 track 2
ip route 79.173.80.1 255.255.255.255 X.X.X.1 254
ip route 212.58.197.17 255.255.255.255 X.X.X.1 254
ip route 217.195.65.9 255.255.255.255 Y.Y.Y.193 254
ip route 217.195.66.253 255.255.255.255 Y.Y.Y.193 254
!
ip access-list standard To_AstraOreol
permit 192.168.0.0 0.0.0.255
permit 192.168.9.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
ip access-list standard To_PeterStar
permit 192.168.1.0 0.0.0.255
permit 192.168.10.0 0.0.0.255
permit 192.168.12.0 0.0.0.255
!
ip sla 1
icmp-jitter 212.58.197.17 source-ip X.X.X.10 num-packets 3
frequency 40
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo 217.195.66.253 source-ip Y.Y.Y.194
frequency 20
ip sla schedule 2 life forever start-time now
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 192.168.0.0 0.0.0.255
!
route-map NAT_AstraOreol permit 10
match interface FastEthernet0/0
!
route-map Route_Select permit 10
match ip address To_AstraOreol
set ip next-hop verify-availability X.X.X.1 10 track 1
set ip next-hop verify-availability Y.Y.Y.193 20 track 2
!
route-map Route_Select permit 20
match ip address To_PeterStar
set ip next-hop verify-availability Y.Y.Y.193 10 track 2
set ip next-hop verify-availability X.X.X.1 20 track 1
!
route-map NAT_PeterStar permit 10
match interface FastEthernet0/1

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "2 ISP + 6 VLAN не работает IP SLA"	+/–
Сообщение от йцукен (??) on 19-Июл-11, 17:32
Может: ip route 0.0.0.0 0.0.0.0 X.X.X.1 track 1 ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 track 2 Еще на интерфейсе не видно роутмапа, который заворачивает трафик на инет. Или может я к вечеру уже не вижу нифига
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "2 ISP + 6 VLAN не работает IP SLA"	+/–
	Сообщение от PulsarBF (ok) on 21-Июл-11, 10:38
	> Может: > ip route 0.0.0.0 0.0.0.0 X.X.X.1 track 1 > ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 track 2 Спасибо за то, что смогли найти на меня время. track'и можно прикрутить в последний момент. Там еще будут созданы два раздела в route-map ICMP_Route_Select для с теми же track'ами, чтобы VLAN'ы подключённые к соответствующим интерфейсам ходили через соответствующих провадеров и ежели что переключались на живого, например так: route-map ICMP_Route_Select permit 100 match ip address To_AstraOreol set ip next-hop verify-availability X.X.X.1 track 1 set ip next-hop verify-availability Y.Y.Y.193 track 2 ! route-map ICMP_Route_Select permit 200 match ip address To_PeterStar set ip next-hop verify-availability Y.Y.Y.193 track 2 set ip next-hop verify-availability X.X.X.1 track 1 Но это потом, сейчас проблема в том что track 2 постоянно в down'е (с track 1 всё в порядке). И пинги не со всех интерфейсов не на все адреса идут. Хотя NAT работает исправно и правила трансляции создает верные. > Еще на интерфейсе не видно роутмапа, который заворачивает трафик на инет. > Или может я к вечеру уже не вижу нифига Действительно в этом конфиге нет route-map'а на интерфейсах. Я поставил его на все интерфесы fa 0/0/0 & fa 0/0/1 и их подинтерфейсы, ситуаци с пингами не изменилась. Навсякий случай новый конфиг: (вырезано) ! ip cef ip dhcp excluded-address 192.168.9.1 ip dhcp excluded-address 192.168.10.1 ip dhcp excluded-address 192.168.11.1 ip dhcp excluded-address 192.168.12.1 ip dhcp excluded-address 192.168.0.1 192.168.0.99 ! ip dhcp pool Admin network 192.168.9.0 255.255.255.0 default-router 192.168.9.1 dns-server 192.168.9.1 ! ip dhcp pool GSZ network 192.168.10.0 255.255.255.0 default-router 192.168.10.1 dns-server 192.168.0.1 ! ip dhcp pool EGAIS network 192.168.11.0 255.255.255.0 default-router 192.168.11.1 dns-server 192.168.0.1 ! ip dhcp pool ECO network 192.168.12.0 255.255.255.0 default-router 192.168.12.1 dns-server 192.168.0.1 ! ip dhcp pool Test network 192.168.0.0 255.255.255.0 default-router 192.168.0.1 dns-server 192.168.0.1 netbios-name-server 192.168.0.14 ! ! ip domain name yourdomain.com ip name-server 79.173.80.1 ip name-server 212.58.197.17 ip name-server 217.195.65.9 ip name-server 217.195.66.253 no ipv6 cef ! (вырезано) ! track 1 ip sla 1 reachability ! track 2 ip sla 2 reachability ! interface FastEthernet0/0 description AstraOreol ip address X.X.X.10 255.255.255.0 ip nat outside ip nat enable ip virtual-reassembly duplex auto speed auto ! ! interface FastEthernet0/1 description PeterStar ip address Y.Y.Y.194 255.255.255.248 ip nat outside ip nat enable ip virtual-reassembly duplex auto speed auto ! ! interface FastEthernet0/0/0 ip address 192.168.0.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select duplex auto speed auto ! ! interface FastEthernet0/0/0.9 description Admin encapsulation dot1Q 9 ip address 192.168.9.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select ! interface FastEthernet0/0/0.11 description EGAIS encapsulation dot1Q 11 ip address 192.168.11.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select ! interface FastEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select duplex auto speed auto ! ! interface FastEthernet0/0/1.10 description GSZ encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select ! interface FastEthernet0/0/1.12 description ECO encapsulation dot1Q 12 ip address 192.168.12.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select ! ip forward-protocol nd ip http server ip http access-class 23 ip http authentication local no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ip dns server ip dns spoofing ip nat pool AstraOreolPool X.X.X.10 X.X.X.10 netmask 255.255.255.0 ip nat pool PeterStarPool Y.Y.Y.194 Y.Y.Y.194 netmask 255.255.255.248 ip nat inside source route-map AstraOreol_NAT pool AstraOreolPool overload ip nat inside source route-map PeterStar_NAT pool PeterStarPool overload ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 X.X.X.1 ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 Y.Y.Y.193 ! ip access-list standard To_AstraOreol permit 192.168.0.0 0.0.0.255 permit 192.168.9.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 ip access-list standard To_PeterStar permit 192.168.1.0 0.0.0.255 permit 192.168.10.0 0.0.0.255 permit 192.168.12.0 0.0.0.255 ! ip access-list extended AstraOreol_Net permit ip any X.X.X.0 0.0.0.255 ip access-list extended PeterStar_Net permit ip any Y.Y.Y.192 0.0.0.7 ! ip sla 1 icmp-jitter 212.58.197.17 source-ip X.X.X.10 num-packets 3 frequency 20 ip sla schedule 1 life forever start-time now ip sla 2 icmp-jitter 217.195.65.9 source-ip Y.Y.Y.194 num-packets 3 frequency 20 ip sla schedule 2 life forever start-time now access-list 23 permit 10.10.10.0 0.0.0.7 access-list 23 permit 192.168.0.0 0.0.0.255 ! route-map AstraOreol_NAT permit 10 match ip address To_AstraOreol ! route-map Route_Select permit 10 match ip address AstraOreol_Net set ip next-hop X.X.X.1 ! route-map Route_Select permit 20 match ip address PeterStar_Net set ip next-hop Y.Y.Y.193 ! route-map Route_Select permit 100 match ip address To_AstraOreol set ip next-hop X.X.X.1 ! route-map Route_Select permit 200 match ip address To_PeterStar set ip next-hop Y.Y.Y.193 ! route-map PeterStar_NAT permit 10 match ip address To_PeterStar ! (вырезвно) Господа, HELP! Верчу так и сяк, не могу понять в чем дело!
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	6. "2 ISP + 6 VLAN не работает IP SLA"	+/–
	Сообщение от BlackFire (ok) on 25-Июл-11, 17:41
	Господа, после следующих изменений в конфиге: ip route 0.0.0.0 0.0.0.0 X.X.X.1 ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 254 ip route 79.173.80.1 255.255.255.255 X.X.X.1 ip route 212.58.197.17 255.255.255.255 X.X.X.1 ip route 217.195.65.9 255.255.255.255 Y.Y.Y.193 ip route 217.195.66.253 255.255.255.255 Y.Y.Y.193 Пинги в основном перестали ходить. Выглядит это так: ISP1 (X.X.X.1) - 79.173.80.1 не пингуется вообще, - 212.58.197.17 нет пингов с Fa0/0 и X.X.X.10 ISP2 (Y.Y.Y.193) - 217.195.65.9 нет пингов с Fa0/0, Fa0/0/0, X.X.X.10, 192.168.0.x, 192.168.9.x, 192.168.11.x, - 217.195.66.253 нет пингов с Fa0/0, Fa0/0/0, X.X.X.10, 192.168.0.x, 192.168.9.x, 192.168.11.x Повторюсь, что в этой конфигурации, что в прежней пакеты попадали на NAT в нужный интерфейс (судя по выводу debug ip nat), просто почему-то не было ответов. Вот вывод sh ip route: S* 0.0.0.0/0 [1/0] via X.X.X.1 X.X.X.0/8 is variably subnetted, 2 subnets, 2 masks C X.X.X.0/24 is directly connected, FastEthernet0/0 L X.X.X.10/32 is directly connected, FastEthernet0/0 79.0.0.0/32 is subnetted, 1 subnets S 79.173.80.1 [1/0] via X.X.X.1 Y.Y.Y.0/8 is variably subnetted, 2 subnets, 2 masks C Y.Y.Y.192/29 is directly connected, FastEthernet0/1 L Y.Y.Y.86.194/32 is directly connected, FastEthernet0/1 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.0.0/24 is directly connected, FastEthernet0/0/0 L 192.168.0.1/32 is directly connected, FastEthernet0/0/0 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, FastEthernet0/0/1 L 192.168.1.1/32 is directly connected, FastEthernet0/0/1 192.168.9.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.9.0/24 is directly connected, FastEthernet0/0/0.9 L 192.168.9.1/32 is directly connected, FastEthernet0/0/0.9 192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.10.0/24 is directly connected, FastEthernet0/0/1.10 L 192.168.10.1/32 is directly connected, FastEthernet0/0/1.10 192.168.11.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.11.0/24 is directly connected, FastEthernet0/0/0.11 L 192.168.11.1/32 is directly connected, FastEthernet0/0/0.11 192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.12.0/24 is directly connected, FastEthernet0/0/1.12 L 192.168.12.1/32 is directly connected, FastEthernet0/0/1.12 212.58.197.0/32 is subnetted, 1 subnets S 212.58.197.17 [1/0] via X.X.X.1 217.195.65.0/32 is subnetted, 1 subnets S 217.195.65.9 [1/0] via Y.Y.Y.193 217.195.66.0/32 is subnetted, 1 subnets S 217.195.66.253 [1/0] via Y.Y.Y.193 После возврата к изначальной конфигурации с добавлением административной дистанции в следующем виде: ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 10.8.188.1 ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 109.124.86.193 20 Ситуаци улучшилась но не до конца, большинство пингов ходит. Не походят пинги на DNS-сервера ISP2 (217.195.65.9, 217.195.66.253) с интерфейсов которые по логике как раз туда и должны ходить (Fa0/1, Fa0/0/1, Y.Y.Y.194, 192.168.1.x, 192.168.10.x, 192.168.12.x). Все остальные пингуются. Вывод sh ip route: S* 0.0.0.0/0 [1/0] via 10.8.188.1, FastEthernet0/0 X.X.X.0/8 is variably subnetted, 2 subnets, 2 masks C X.X.X.0/24 is directly connected, FastEthernet0/0 L X.X.X.10/32 is directly connected, FastEthernet0/0 Y.Y.Y.0/8 is variably subnetted, 2 subnets, 2 masks C Y.Y.Y.192/29 is directly connected, FastEthernet0/1 L Y.Y.Y.194/32 is directly connected, FastEthernet0/1 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.0.0/24 is directly connected, FastEthernet0/0/0 L 192.168.0.1/32 is directly connected, FastEthernet0/0/0 192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.1.0/24 is directly connected, FastEthernet0/0/1 L 192.168.1.1/32 is directly connected, FastEthernet0/0/1 192.168.9.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.9.0/24 is directly connected, FastEthernet0/0/0.9 L 192.168.9.1/32 is directly connected, FastEthernet0/0/0.9 192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.10.0/24 is directly connected, FastEthernet0/0/1.10 L 192.168.10.1/32 is directly connected, FastEthernet0/0/1.10 192.168.11.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.11.0/24 is directly connected, FastEthernet0/0/0.11 L 192.168.11.1/32 is directly connected, FastEthernet0/0/0.11 192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.12.0/24 is directly connected, FastEthernet0/0/1.12 L 192.168.12.1/32 is directly connected, FastEthernet0/0/1.12 Вот что происходит на NAT'е Вывод debug ip nat. (удачный) Jul 25 13:06:39.927: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [377] Jul 25 13:06:39.931: NAT: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40528] Jul 25 13:06:39.935: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [378] Jul 25 13:06:39.939: NAT: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40529] Jul 25 13:06:39.939: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [379] Jul 25 13:06:39.943: NAT: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40530] Jul 25 13:06:39.943: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [380] Jul 25 13:06:39.951: NAT: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40531] Jul 25 13:06:39.951: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [381] Jul 25 13:06:39.955: NAT: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40532] (не удачный) Jul 25 13:07:22.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [382] Jul 25 13:07:24.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [383] Jul 25 13:07:26.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [384] Jul 25 13:07:28.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [385] Jul 25 13:07:30.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [386] Вывод sh ip nat tr: Pro Inside global Inside local Outside local Outside global icmp Y.Y.Y.194:85 192.168.1.1:85 212.58.197.17:85 212.58.197.17:85 icmp Y.Y.Y.194:86 192.168.1.1:86 217.195.66.253:86 217.195.66.253:86 Как видно пакеты идут на нужный интерфейс, и правильно транслируются, но ответ на пинг не приходит. И на последок, вывод sh track (между прочи используется icmp-jitter): Track 1 IP SLA 1 reachability Reachability is Up 8 changes, last change 00:32:14 Latest operation return code: OK Latest RTT (millisecs) 1 Track 2 IP SLA 2 reachability Reachability is Down 1 change, last change 02:22:12 Latest operation return code: Timeout Все предсказуемо, т.к. DNS-сервера ISP2 с соответствующих интерфейсов не пингуются. Сдается мне счастье где-то рядом. Ваши комментарии.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

3. "2 ISP + 6 VLAN не работает IP SLA"	+/–
Сообщение от PulsarBF (ok) on 22-Июл-11, 11:51
> Доброго времени суток, господа! > Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin Першел на более стабильную c2800nm-adventerprisek9-mz.150-1.M5.bin, результат тот же. Коллеги, есть на форме спецы которые с подобным сталкивались и/или могут помочь?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	4. "2 ISP + 6 VLAN не работает IP SLA"	+/–
	Сообщение от Gromophon (ok) on 25-Июл-11, 03:11
	>> Доброго времени суток, господа! >> Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin > Першел на более стабильную c2800nm-adventerprisek9-mz.150-1.M5.bin, результат тот же. > Коллеги, есть на форме спецы которые с подобным сталкивались и/или могут помочь? проверочные хосты надо отдельно прописывать статическим роутом типа ip route [checkhost] 255.255.255.255 FastEthernet0/1 [next hop]
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "2 ISP + 6 VLAN не работает IP SLA"	+/–
	Сообщение от Gromophon (ok) on 25-Июл-11, 03:17
	>>> Доброго времени суток, господа! >>> Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin >> Першел на более стабильную c2800nm-adventerprisek9-mz.150-1.M5.bin, результат тот же. >> Коллеги, есть на форме спецы которые с подобным сталкивались и/или могут помочь? еще у меня так и не завелось два дефолтных маршрута с одинаковыми метриками, делал через ip policy route-map на интерфейсе
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору

7. "2 ISP + 6 VLAN не работает IP SLA"	+/–
Сообщение от Maxmara on 25-Июл-11, 17:54
Ну и накрутили вы уважаемый.... Задача должна решаться по принципу чем проще... тем лучше... 1) Делаете 2 обыных дефолта с разными метриками 2) Активным становится дефолт с лучшей метрикой и все уходит на него 3) Чтобы все не уходило на деофлт с лучшей метрикой используем pbr 4) При падении канала все переключается на резервный маршрут за исключением pbr для которого мы используем тракинг
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	8. "2 ISP + 6 VLAN не работает IP SLA"	+/–
	Сообщение от BlackFire (ok) on 25-Июл-11, 18:26
	> Ну и накрутили вы уважаемый.... > Задача должна решаться по принципу чем проще... тем лучше... > 1) Делаете 2 обыных дефолта с разными метриками > 2) Активным становится дефолт с лучшей метрикой и все уходит на него > 3) Чтобы все не уходило на деофлт с лучшей метрикой используем pbr > 4) При падении канала все переключается на резервный маршрут за исключением pbr > для которого мы используем тракинг Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого начала. Там описана решаемая задача. Ваши предложения не достаточны, для её решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию, пожалуйста.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "2 ISP + 6 VLAN не работает IP SLA"	+/–
	Сообщение от Maxmara on 25-Июл-11, 18:53
	> Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого > начала. Там описана решаемая задача. Ваши предложения не достаточны, для её > решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию, > пожалуйста. Если я предлагаю решение, то, наверное, я это делаю вполне осознанно и читал то что написано, пример конфига дам поздней, как до дома доберусь...
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "2 ISP + 6 VLAN не работает IP SLA"	+/–
	Сообщение от BlackFire (ok) on 25-Июл-11, 18:59
	>> Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого >> начала. Там описана решаемая задача. Ваши предложения не достаточны, для её >> решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию, >> пожалуйста. > Если я предлагаю решение, то, наверное, я это делаю вполне осознанно и > читал то что написано, пример конфига дам поздней, как до дома > доберусь... Буду очень признателен.
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "2 ISP + 6 VLAN не работает IP SLA"	+/–
	Сообщение от Maxmara on 25-Июл-11, 22:07
	Проще у меня действительно не получилось, пришлось бы дергать добавлять правила nat...и т.д. выходило что-то вроде.... ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX 1 track 10 ip route 0.0.0.0 0.0.0.0 YYY.YYY.YYY.YYY 2 track 20 ip access-list 100 permit ip 192.168.0.0 0.0.255.255 ip nat inside source list 100 interface FastEthernet0/1 overload ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload access-list 101 permit ip host 255.255.255.255 any access-list 102 permit ip host 255.255.255.255 any route-map AstraOreol permit 10 match ip address 101 match interface FastEthernet0/0 route-map RMAP_SELECT permit 10 match ip address 102 set ip next-hop verify-availability YYY.YYY.YYY.YYY 10 track 10 в общем я решил не изобретать велосипеда.... вот вам готовый пример работающего решения очень похожего на ваше, чтоб не тратить время https://www.opennet.ru/openforum/vsluhforumID6/15824.html
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "2 ISP + 6 VLAN не работает IP SLA"	+/–
	Сообщение от BlackFire (ok) on 26-Июл-11, 11:36
	>[оверквотинг удален] > ip nat inside source list 100 interface FastEthernet0/1 overload > ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload > access-list 101 permit ip host 255.255.255.255 any > access-list 102 permit ip host 255.255.255.255 any > route-map AstraOreol permit 10 > match ip address 101 > match interface FastEthernet0/0 > route-map RMAP_SELECT permit 10 > match ip address 102 > set ip next-hop verify-availability YYY.YYY.YYY.YYY 10 track 10 Те же яйца, только в профиль )) > в общем я решил не изобретать велосипеда.... > вот вам готовый пример работающего решения очень похожего на ваше, чтоб не > тратить время > https://www.opennet.ru/openforum/vsluhforumID6/15824.html Эту тему я просматривал, там такой же принцип конфига как у меня. Различия в двух местах. 1. В маршрутной карте отвечающей за NAT есть, кроме соответствия ACL, ещё и соответствие интерфейсу. Добавление такого соответствия приводит к тому, что в тех случаях когда не проходил пинг, пакеты не добираются даже до NAT'а. Эта ситуация разбиралась в этой теме: https://www.opennet.ru/openforum/vsluhforumID6/22860.html. 2.Карта, которая отвечает за выбор пути, разделена на две части. Первая часть отвечающая за пинг (icmp) подвешена, как локальная политика. Вторая часть отвечающая за выбор ISP для внутренних подсетей подвешена на внутренний интерфейс. Собственно, это ни чего не меняет (всё те же яйца). Я пробовал в своём конфиге подвесить route-map Route_Select вместо интерфейсов на локальную политику, стало только хуже, большинство пингов перестало ходить. Почему так и не понял.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "2 ISP + 6 VLAN не работает IP SLA"	+/–
	Сообщение от Maxmara on 26-Июл-11, 16:37
	1) Есть, возможно бредовая идея...подвести ваш случай под знаменатель того который работает... т.е. создаем Loopback заворачиваем весь трафик pbr на него и уже на нем делаем nat+pbr 2) Локальная политика нужна только для самого маршрутизатора и на клиентов не влияет, т.е. чтобы трафик клиентов ходил правильно нужна только политика на интерфесах... поэтому логично, что стало еще хуже...
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору

14. "2 ISP + 6 VLAN не работает IP SLA"	+/–
Сообщение от BlackFire (ok) on 26-Июл-11, 16:42
После прослушки снифером интерфейса Fa 0/1 выяснилось, что icmp-запросы на 79.173.80.1 и 212.58.197.17 все проходят, а вот на 217.195.65.9 и 217.195.66.253 запросы после NAT'а куда-то деваются и в канал не попадают. Соответственно и нет пингов на эти адреса с вышеуказанных источников. Что их рубит? Есть у какие-нибудь идеи?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

15. "2 ISP + 6 VLAN не работает IP SLA"	+/–
Сообщение от BlackFire (ok) on 28-Июл-11, 13:11
Задача решена! Всем спасибо! Ниже привожу кусок работающего конфига, который прететерпел изменения. Остальное так же, как и было. track 1 ip sla 1 reachability ! track 2 ip sla 2 reachability delay down 60 up 20 ! interface FastEthernet0/0 description AstraOreol ip address X.X.X.10 255.255.255.0 ip nat outside ip nat enable ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/1 description PeterStar ip address Y.Y.Y.194 255.255.255.248 ip nat outside ip nat enable ip virtual-reassembly duplex auto speed auto ! interface FastEthernet0/0/0 ip address 192.168.0.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select duplex auto speed auto ! interface FastEthernet0/0/0.9 description Admin encapsulation dot1Q 9 ip address 192.168.9.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select ! interface FastEthernet0/0/0.11 description EGAIS encapsulation dot1Q 11 ip address 192.168.11.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select ! interface FastEthernet0/0/1 ip address 192.168.1.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select duplex auto speed auto ! interface FastEthernet0/0/1.10 description GSZ encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select ! interface FastEthernet0/0/1.12 description ECO encapsulation dot1Q 12 ip address 192.168.12.1 255.255.255.0 ip nat inside ip nat enable ip virtual-reassembly ip policy route-map Route_Select ! ip forward-protocol nd ip http server ip http access-class 23 ip http authentication local no ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ! ip dns server ip dns spoofing ip nat inside source route-map NAT_AstraOreol interface FastEthernet0/0 overload ip nat inside source route-map NAT_PeterStar interface FastEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 X.X.X.1 track 1 ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 254 track 2 ip route 79.173.80.1 255.255.255.255 X.X.X.1 254 ip route 212.58.197.17 255.255.255.255 X.X.X.1 254 ip route 217.195.65.9 255.255.255.255 Y.Y.Y.193 254 ip route 217.195.66.253 255.255.255.255 Y.Y.Y.193 254 ! ip access-list standard To_AstraOreol permit 192.168.0.0 0.0.0.255 permit 192.168.9.0 0.0.0.255 permit 192.168.11.0 0.0.0.255 ip access-list standard To_PeterStar permit 192.168.1.0 0.0.0.255 permit 192.168.10.0 0.0.0.255 permit 192.168.12.0 0.0.0.255 ! ip sla 1 icmp-jitter 212.58.197.17 source-ip X.X.X.10 num-packets 3 frequency 40 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo 217.195.66.253 source-ip Y.Y.Y.194 frequency 20 ip sla schedule 2 life forever start-time now access-list 23 permit 10.10.10.0 0.0.0.7 access-list 23 permit 192.168.0.0 0.0.0.255 ! route-map NAT_AstraOreol permit 10 match interface FastEthernet0/0 ! route-map Route_Select permit 10 match ip address To_AstraOreol set ip next-hop verify-availability X.X.X.1 10 track 1 set ip next-hop verify-availability Y.Y.Y.193 20 track 2 ! route-map Route_Select permit 20 match ip address To_PeterStar set ip next-hop verify-availability Y.Y.Y.193 10 track 2 set ip next-hop verify-availability X.X.X.1 20 track 1 ! route-map NAT_PeterStar permit 10 match interface FastEthernet0/1
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору