The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"2 ISP + 6 VLAN не работает IP SLA"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от PulsarBF email(ok) on 15-Июл-11, 14:31 
Доброго времени суток, господа!

Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin

FE 0/0/0    ----
(192.168.0.1)  |
FE 0/0/0.9  ---------|
(192.168.9.1)  |       |
FE 0/0/0.11 ----      |            (X.X.X.10)               (X.X.X.1)
(192.168.11.1)        |->        <--- FE 0/0   -------> ISP1
                                   Router
FE 0/0/1    ----         |->        <--- FE 0/1   -------> ISP2
(192.168.1.1)  |        |            (Y.Y.Y.194)              (Y.Y.Y.193)
FE 0/0/1.10 ---------|
(192.168.10.1) |
FE 0/0/1.12 ----
(192.168.12.1)

Необходимо чтобы сети подключённый к FE 0/0/0.* ходили в и-нет через ISP1, а подключённые к FE 0/0/1.* через ISP2. Вслучае падения канал все переключаются на живоого провайдера. 79.173.80.1, 212.58.197.17 - DNS ISP1. 217.195.65.9, 217.195.66.253 - DNS ISP2. В качестве оценки соступности пути выбрано доступность DNS серверов провайдеров.

Есть следующий конфиг:

(вырезано)
!
ip source-route
!
ip cef
!
ip dhcp excluded-address 192.168.9.1
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.11.1
ip dhcp excluded-address 192.168.12.1
ip dhcp excluded-address 192.168.0.1 192.168.0.99
!
ip dhcp pool Admin
network 192.168.9.0 255.255.255.0
default-router 192.168.9.1
dns-server 192.168.9.1
!
ip dhcp pool GSZ
network 192.168.10.0 255.255.255.0
default-router 192.168.10.1
dns-server 192.168.0.1
!
ip dhcp pool EGAIS
network 192.168.11.0 255.255.255.0
default-router 192.168.11.1
dns-server 192.168.0.1
!
ip dhcp pool ECO
network 192.168.12.0 255.255.255.0
default-router 192.168.12.1
dns-server 192.168.0.1
!
ip dhcp pool Test
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1
dns-server 192.168.0.1
netbios-name-server 192.168.0.14
!
ip domain name yourdomain.com
ip name-server 79.173.80.1
ip name-server 212.58.197.17
ip name-server 217.195.65.9
ip name-server 217.195.66.253
no ipv6 cef
!
(вырезано)
!
redundancy
!
track 1 ip sla 1 reachability
!
track 2 ip sla 2 reachability
!
interface FastEthernet0/0
description AstraOreol
ip address X.X.X.10 255.255.255.0
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/1
description PeterStar
ip address Y.Y.Y.194 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/0/0.9
description Admin
encapsulation dot1Q 9
ip address 192.168.9.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/0.11
description EGAIS
encapsulation dot1Q 11
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/0/1.10
description GSZ
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface FastEthernet0/0/1.12
description ECO
encapsulation dot1Q 12
ip address 192.168.12.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip dns spoofing
ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload
ip nat inside source route-map PeterStar interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 X.X.X.1
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193
!
ip access-list extended Admin
permit ip 192.168.9.0 0.0.0.255 any
ip access-list extended ECO
permit ip 192.168.12.0 0.0.0.255 any
ip access-list extended EGAIS
permit ip 192.168.11.0 0.0.0.255 any
ip access-list extended GSZ
permit ip 192.168.10.0 0.0.0.255 any
ip access-list extended ICMP_AstraOreol
permit icmp any host X.X.X.1
ip access-list extended ICMP_PeterStar
permit icmp any host Y.Y.Y.193
ip access-list extended Test
permit ip 192.168.0.0 0.0.0.255 any
ip access-list extended Test1
permit ip 192.168.1.0 0.0.0.255 any
!
ip sla 1
icmp-jitter 212.58.197.17 source-ip X.X.X.10 num-packets 3
frequency 20
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-jitter 217.195.66.253 source-ip Y.Y.Y.194 num-packets 3
frequency 20
ip sla schedule 2 life forever start-time now
logging esm config
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 192.168.0.0 0.0.0.255
!
route-map AstraOreol permit 10
match ip address Admin EGAIS Test
match interface FastEthernet0/0
!
route-map PeterStar permit 10
match ip address GSZ ECO Test1
match interface FastEthernet0/1
!
route-map ICMP_Route_Select permit 10
match ip address ICMP_AstraOreol
set ip next-hop X.X.X.1
!
route-map ICMP_Route_Select permit 20
match ip address ICMP_PeterStart
set ip next-hop Y.Y.Y.193
!
(вырезано)
end

Конфиг недоделаный, не реализован route-map для переключения пити на живой канал. Это пока бессмысленно, т.к. на данный момент проблема в том, что канал до ISP2 в down, хотя реально он живой. NAT работает нормально. Грешу на ACL. Но где проблема не понимаю.

После пропинговки выяснилось следующее:
79.173.80.1 не пингуется если в качестве источника указаны - 192.168.9.x и 192.168.11.x.
212.58.197.17 нет пинга ежели источник - fa0/0/1, 192.168.9.x, 192.168.11.x, 192.168.1.x.
217.195.65.9 нет пинга ежели источник - fa0/0, fa0/0/0, fa0/0/1, X.X.X.10, 192.168.0.x, 192.168.1.x.
217.195.66.253 нет пинга ежели источник - fa0/1, Y.Y.Y.194, 192.168.9.x, 192.168.11.x, 192.168.10.x, 192.168.12.x.

Полный бред. Мозг кипит. Может кто видит в чём проблема?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от йцукен (??) on 19-Июл-11, 17:32 
Может:
ip route 0.0.0.0 0.0.0.0 X.X.X.1 track 1
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 track 2

Еще на интерфейсе не видно роутмапа, который заворачивает трафик на инет.
Или может я к вечеру уже не вижу нифига

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от PulsarBF email(ok) on 21-Июл-11, 10:38 
> Может:
> ip route 0.0.0.0 0.0.0.0 X.X.X.1 track 1
> ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 track 2

Спасибо за то, что смогли найти на меня время.

track'и можно прикрутить в последний момент. Там еще будут созданы два раздела в route-map ICMP_Route_Select для с теми же track'ами, чтобы VLAN'ы подключённые к соответствующим интерфейсам ходили через соответствующих провадеров и ежели что переключались на живого, например так:

route-map ICMP_Route_Select permit 100
match ip address To_AstraOreol
set ip next-hop verify-availability X.X.X.1 track 1
set ip next-hop verify-availability Y.Y.Y.193 track 2
!
route-map ICMP_Route_Select permit 200
match ip address To_PeterStar
set ip next-hop verify-availability Y.Y.Y.193 track 2
set ip next-hop verify-availability X.X.X.1 track 1

Но это потом, сейчас проблема в том что track 2 постоянно в down'е (с track 1  всё в порядке). И пинги не со всех интерфейсов не на все адреса идут. Хотя NAT работает исправно и правила трансляции создает верные.

> Еще на интерфейсе не видно роутмапа, который заворачивает трафик на инет.
> Или может я к вечеру уже не вижу нифига

Действительно в этом конфиге нет route-map'а на интерфейсах. Я поставил его на все интерфесы fa 0/0/0 & fa 0/0/1 и их подинтерфейсы, ситуаци с пингами не изменилась.

Навсякий случай новый конфиг:

(вырезано)
!
ip cef
ip dhcp excluded-address 192.168.9.1
ip dhcp excluded-address 192.168.10.1
ip dhcp excluded-address 192.168.11.1
ip dhcp excluded-address 192.168.12.1
ip dhcp excluded-address 192.168.0.1 192.168.0.99
!
ip dhcp pool Admin
   network 192.168.9.0 255.255.255.0
   default-router 192.168.9.1
   dns-server 192.168.9.1
!
ip dhcp pool GSZ
   network 192.168.10.0 255.255.255.0
   default-router 192.168.10.1
   dns-server 192.168.0.1
!
ip dhcp pool EGAIS
   network 192.168.11.0 255.255.255.0
   default-router 192.168.11.1
   dns-server 192.168.0.1
!
ip dhcp pool ECO
   network 192.168.12.0 255.255.255.0
   default-router 192.168.12.1
   dns-server 192.168.0.1
!
ip dhcp pool Test
   network 192.168.0.0 255.255.255.0
   default-router 192.168.0.1
   dns-server 192.168.0.1
   netbios-name-server 192.168.0.14
!
!
ip domain name yourdomain.com
ip name-server 79.173.80.1
ip name-server 212.58.197.17
ip name-server 217.195.65.9
ip name-server 217.195.66.253
no ipv6 cef
!
(вырезано)
!
track 1 ip sla 1 reachability
!
track 2 ip sla 2 reachability
!
interface FastEthernet0/0
description AstraOreol
ip address X.X.X.10 255.255.255.0
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
!
interface FastEthernet0/1
description PeterStar
ip address Y.Y.Y.194 255.255.255.248
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
!
interface FastEthernet0/0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
duplex auto
speed auto
!
!
interface FastEthernet0/0/0.9
description Admin
encapsulation dot1Q 9
ip address 192.168.9.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/0.11
description EGAIS
encapsulation dot1Q 11
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
duplex auto
speed auto
!
!
interface FastEthernet0/0/1.10
description GSZ
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/1.12
description ECO
encapsulation dot1Q 12
ip address 192.168.12.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip dns spoofing
ip nat pool AstraOreolPool X.X.X.10 X.X.X.10 netmask 255.255.255.0
ip nat pool PeterStarPool Y.Y.Y.194 Y.Y.Y.194 netmask 255.255.255.248
ip nat inside source route-map AstraOreol_NAT pool AstraOreolPool overload
ip nat inside source route-map PeterStar_NAT pool PeterStarPool overload
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 X.X.X.1
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 Y.Y.Y.193
!
ip access-list standard To_AstraOreol
permit 192.168.0.0 0.0.0.255
permit 192.168.9.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
ip access-list standard To_PeterStar
permit 192.168.1.0 0.0.0.255
permit 192.168.10.0 0.0.0.255
permit 192.168.12.0 0.0.0.255
!
ip access-list extended AstraOreol_Net
permit ip any X.X.X.0 0.0.0.255
ip access-list extended PeterStar_Net
permit ip any Y.Y.Y.192 0.0.0.7
!
ip sla 1
icmp-jitter 212.58.197.17 source-ip X.X.X.10 num-packets 3
frequency 20
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-jitter 217.195.65.9 source-ip Y.Y.Y.194 num-packets 3
frequency 20
ip sla schedule 2 life forever start-time now
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 192.168.0.0 0.0.0.255
!
route-map AstraOreol_NAT permit 10
match ip address To_AstraOreol
!
route-map Route_Select permit 10
match ip address AstraOreol_Net
set ip next-hop X.X.X.1
!
route-map Route_Select permit 20
match ip address PeterStar_Net
set ip next-hop Y.Y.Y.193
!
route-map Route_Select permit 100
match ip address To_AstraOreol
set ip next-hop X.X.X.1
!
route-map Route_Select permit 200
match ip address To_PeterStar
set ip next-hop Y.Y.Y.193
!
route-map PeterStar_NAT permit 10
match ip address To_PeterStar
!
(вырезвно)

Господа, HELP! Верчу так и сяк, не могу понять в чем дело!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от BlackFire (ok) on 25-Июл-11, 17:41 
Господа, после следующих изменений в конфиге:

ip route 0.0.0.0 0.0.0.0 X.X.X.1
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 254
ip route 79.173.80.1 255.255.255.255 X.X.X.1
ip route 212.58.197.17 255.255.255.255 X.X.X.1
ip route 217.195.65.9 255.255.255.255 Y.Y.Y.193
ip route 217.195.66.253 255.255.255.255 Y.Y.Y.193

Пинги в основном перестали ходить. Выглядит это так:
ISP1 (X.X.X.1)
- 79.173.80.1 не пингуется вообще,
- 212.58.197.17 нет пингов с Fa0/0 и X.X.X.10
ISP2 (Y.Y.Y.193)
- 217.195.65.9 нет пингов с Fa0/0, Fa0/0/0, X.X.X.10, 192.168.0.x, 192.168.9.x, 192.168.11.x,
- 217.195.66.253 нет пингов с Fa0/0, Fa0/0/0, X.X.X.10, 192.168.0.x, 192.168.9.x, 192.168.11.x

Повторюсь, что в этой конфигурации, что в прежней пакеты попадали на NAT в нужный интерфейс (судя по выводу debug ip nat), просто почему-то не было ответов.

Вот вывод sh ip route:


S*    0.0.0.0/0 [1/0] via X.X.X.1
      X.X.X.0/8 is variably subnetted, 2 subnets, 2 masks
C        X.X.X.0/24 is directly connected, FastEthernet0/0
L        X.X.X.10/32 is directly connected, FastEthernet0/0
      79.0.0.0/32 is subnetted, 1 subnets
S        79.173.80.1 [1/0] via X.X.X.1
      Y.Y.Y.0/8 is variably subnetted, 2 subnets, 2 masks
C        Y.Y.Y.192/29 is directly connected, FastEthernet0/1
L        Y.Y.Y.86.194/32 is directly connected, FastEthernet0/1
      192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.0.0/24 is directly connected, FastEthernet0/0/0
L        192.168.0.1/32 is directly connected, FastEthernet0/0/0
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, FastEthernet0/0/1
L        192.168.1.1/32 is directly connected, FastEthernet0/0/1
      192.168.9.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.9.0/24 is directly connected, FastEthernet0/0/0.9
L        192.168.9.1/32 is directly connected, FastEthernet0/0/0.9
      192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.10.0/24 is directly connected, FastEthernet0/0/1.10
L        192.168.10.1/32 is directly connected, FastEthernet0/0/1.10
      192.168.11.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.11.0/24 is directly connected, FastEthernet0/0/0.11
L        192.168.11.1/32 is directly connected, FastEthernet0/0/0.11
      192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.12.0/24 is directly connected, FastEthernet0/0/1.12
L        192.168.12.1/32 is directly connected, FastEthernet0/0/1.12
      212.58.197.0/32 is subnetted, 1 subnets
S        212.58.197.17 [1/0] via X.X.X.1
      217.195.65.0/32 is subnetted, 1 subnets
S        217.195.65.9 [1/0] via Y.Y.Y.193
      217.195.66.0/32 is subnetted, 1 subnets
S        217.195.66.253 [1/0] via Y.Y.Y.193

После возврата к изначальной конфигурации с добавлением административной дистанции в следующем виде:


ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 10.8.188.1
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 109.124.86.193 20

Ситуаци улучшилась но не до конца, большинство пингов ходит. Не походят пинги на DNS-сервера ISP2 (217.195.65.9, 217.195.66.253) с интерфейсов которые по логике как раз туда и должны ходить (Fa0/1, Fa0/0/1, Y.Y.Y.194, 192.168.1.x, 192.168.10.x, 192.168.12.x). Все остальные пингуются.

Вывод sh ip route:


S*    0.0.0.0/0 [1/0] via 10.8.188.1, FastEthernet0/0
      X.X.X.0/8 is variably subnetted, 2 subnets, 2 masks
C        X.X.X.0/24 is directly connected, FastEthernet0/0
L        X.X.X.10/32 is directly connected, FastEthernet0/0
      Y.Y.Y.0/8 is variably subnetted, 2 subnets, 2 masks
C        Y.Y.Y.192/29 is directly connected, FastEthernet0/1
L        Y.Y.Y.194/32 is directly connected, FastEthernet0/1
      192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.0.0/24 is directly connected, FastEthernet0/0/0
L        192.168.0.1/32 is directly connected, FastEthernet0/0/0
      192.168.1.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.1.0/24 is directly connected, FastEthernet0/0/1
L        192.168.1.1/32 is directly connected, FastEthernet0/0/1
      192.168.9.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.9.0/24 is directly connected, FastEthernet0/0/0.9
L        192.168.9.1/32 is directly connected, FastEthernet0/0/0.9
      192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.10.0/24 is directly connected, FastEthernet0/0/1.10
L        192.168.10.1/32 is directly connected, FastEthernet0/0/1.10
      192.168.11.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.11.0/24 is directly connected, FastEthernet0/0/0.11
L        192.168.11.1/32 is directly connected, FastEthernet0/0/0.11
      192.168.12.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.12.0/24 is directly connected, FastEthernet0/0/1.12
L        192.168.12.1/32 is directly connected, FastEthernet0/0/1.12

Вот что происходит на NAT'е

Вывод debug ip nat.
(удачный)


*Jul 25 13:06:39.927: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [377]
*Jul 25 13:06:39.931: NAT*: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40528]
*Jul 25 13:06:39.935: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [378]
*Jul 25 13:06:39.939: NAT*: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40529]
*Jul 25 13:06:39.939: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [379]
*Jul 25 13:06:39.943: NAT*: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40530]
*Jul 25 13:06:39.943: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [380]
*Jul 25 13:06:39.951: NAT*: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40531]
*Jul 25 13:06:39.951: NAT: s=192.168.1.1->Y.Y.Y.194, d=212.58.197.17 [381]
*Jul 25 13:06:39.955: NAT*: s=212.58.197.17, d=Y.Y.Y.194->192.168.1.1 [40532]

(не удачный)

*Jul 25 13:07:22.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [382]
*Jul 25 13:07:24.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [383]
*Jul 25 13:07:26.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [384]
*Jul 25 13:07:28.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [385]
*Jul 25 13:07:30.111: NAT: s=192.168.1.1->Y.Y.Y.194, d=217.195.66.253 [386]

Вывод sh ip nat tr:

Pro Inside global      Inside local       Outside local      Outside global
icmp Y.Y.Y.194:85 192.168.1.1:85     212.58.197.17:85   212.58.197.17:85
icmp Y.Y.Y.194:86 192.168.1.1:86     217.195.66.253:86  217.195.66.253:86

Как видно пакеты идут на нужный интерфейс, и правильно транслируются, но ответ на пинг не приходит.

И на последок, вывод sh track (между прочи используется icmp-jitter):


Track 1
  IP SLA 1 reachability
  Reachability is Up
    8 changes, last change 00:32:14
  Latest operation return code: OK
  Latest RTT (millisecs) 1
Track 2
  IP SLA 2 reachability
  Reachability is Down
    1 change, last change 02:22:12
  Latest operation return code: Timeout

Все предсказуемо, т.к. DNS-сервера ISP2 с соответствующих интерфейсов не пингуются.

Сдается мне счастье где-то рядом. Ваши комментарии.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от PulsarBF email(ok) on 22-Июл-11, 11:51 
> Доброго времени суток, господа!
> Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin

Першел на более стабильную c2800nm-adventerprisek9-mz.150-1.M5.bin, результат тот же.
Коллеги, есть на форме спецы которые с подобным сталкивались и/или могут помочь?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от Gromophon email(ok) on 25-Июл-11, 03:11 
>> Доброго времени суток, господа!
>> Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin
> Першел на более стабильную c2800nm-adventerprisek9-mz.150-1.M5.bin, результат тот же.
> Коллеги, есть на форме спецы которые с подобным сталкивались и/или могут помочь?

проверочные хосты надо отдельно прописывать статическим роутом типа
ip route [checkhost] 255.255.255.255 FastEthernet0/1 [next hop]

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от Gromophon email(ok) on 25-Июл-11, 03:17 
>>> Доброго времени суток, господа!
>>> Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin
>> Першел на более стабильную c2800nm-adventerprisek9-mz.150-1.M5.bin, результат тот же.
>> Коллеги, есть на форме спецы которые с подобным сталкивались и/или могут помочь?

еще у меня так и не завелось два дефолтных маршрута с одинаковыми метриками, делал через ip policy route-map на интерфейсе

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от Maxmara on 25-Июл-11, 17:54 
Ну и накрутили вы уважаемый....
Задача должна решаться по принципу чем проще... тем лучше...

1) Делаете 2 обыных дефолта с разными метриками
2) Активным становится дефолт с лучшей метрикой и все уходит на него
3) Чтобы все не уходило на деофлт с лучшей метрикой используем pbr
4) При падении канала все переключается на резервный маршрут за исключением pbr для которого мы используем тракинг

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от BlackFire (ok) on 25-Июл-11, 18:26 
> Ну и накрутили вы уважаемый....
> Задача должна решаться по принципу чем проще... тем лучше...
> 1) Делаете 2 обыных дефолта с разными метриками
> 2) Активным становится дефолт с лучшей метрикой и все уходит на него
> 3) Чтобы все не уходило на деофлт с лучшей метрикой используем pbr
> 4) При падении канала все переключается на резервный маршрут за исключением pbr
> для которого мы используем тракинг

Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого начала. Там описана решаемая задача. Ваши предложения не достаточны, для её решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию, пожалуйста.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от Maxmara on 25-Июл-11, 18:53 
> Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого
> начала. Там описана решаемая задача. Ваши предложения не достаточны, для её
> решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию,
> пожалуйста.

Если я предлагаю решение, то, наверное, я это делаю вполне осознанно и читал то что написано, пример конфига дам поздней, как до дома доберусь...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от BlackFire (ok) on 25-Июл-11, 18:59 
>> Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого
>> начала. Там описана решаемая задача. Ваши предложения не достаточны, для её
>> решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию,
>> пожалуйста.
> Если я предлагаю решение, то, наверное, я это делаю вполне осознанно и
> читал то что написано, пример конфига дам поздней, как до дома
> доберусь...

Буду очень признателен.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от Maxmara on 25-Июл-11, 22:07 
Проще у меня действительно не получилось, пришлось бы дергать добавлять правила nat...и т.д. выходило что-то вроде....

ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX 1 track 10
ip route 0.0.0.0 0.0.0.0 YYY.YYY.YYY.YYY 2 track 20

ip access-list 100 permit ip 192.168.0.0 0.0.255.255

ip nat inside source list 100 interface FastEthernet0/1 overload
ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload

access-list 101 permit ip host 255.255.255.255 any
access-list 102 permit ip host 255.255.255.255 any

route-map AstraOreol permit 10
match ip address 101
match interface FastEthernet0/0

route-map RMAP_SELECT permit 10
match ip address 102
set ip next-hop verify-availability YYY.YYY.YYY.YYY 10 track 10


в общем я решил не изобретать велосипеда....
вот вам готовый пример работающего решения очень похожего на ваше, чтоб не тратить время

https://www.opennet.ru/openforum/vsluhforumID6/15824.html

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от BlackFire (ok) on 26-Июл-11, 11:36 
>[оверквотинг удален]
> ip nat inside source list 100 interface FastEthernet0/1 overload
> ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload
> access-list 101 permit ip host 255.255.255.255 any
> access-list 102 permit ip host 255.255.255.255 any
> route-map AstraOreol permit 10
> match ip address 101
> match interface FastEthernet0/0
> route-map RMAP_SELECT permit 10
> match ip address 102
> set ip next-hop verify-availability YYY.YYY.YYY.YYY 10 track 10

Те же яйца, только в профиль ))

> в общем я решил не изобретать велосипеда....
> вот вам готовый пример работающего решения очень похожего на ваше, чтоб не
> тратить время
> https://www.opennet.ru/openforum/vsluhforumID6/15824.html

Эту тему я просматривал, там такой же принцип конфига как у меня. Различия в двух местах.

1. В маршрутной карте отвечающей за NAT есть, кроме соответствия ACL, ещё и соответствие интерфейсу. Добавление такого соответствия приводит к тому, что в тех случаях когда не проходил пинг, пакеты не добираются даже до NAT'а. Эта ситуация разбиралась в этой теме: https://www.opennet.ru/openforum/vsluhforumID6/22860.html.

2.Карта, которая отвечает за выбор пути, разделена на две части. Первая часть отвечающая за пинг (icmp) подвешена, как локальная политика. Вторая часть отвечающая за выбор ISP для внутренних подсетей подвешена на внутренний интерфейс. Собственно, это ни чего не меняет (всё те же яйца). Я пробовал в своём конфиге подвесить route-map Route_Select вместо интерфейсов на локальную политику, стало только хуже, большинство пингов перестало ходить. Почему так и не понял.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от Maxmara on 26-Июл-11, 16:37 
1) Есть, возможно бредовая идея...подвести ваш случай под знаменатель того который работает... т.е. создаем Loopback заворачиваем весь трафик pbr на него и уже на нем делаем nat+pbr

2) Локальная политика нужна только для самого маршрутизатора и на клиентов не влияет, т.е. чтобы трафик клиентов ходил правильно нужна только политика на интерфесах... поэтому логично, что стало еще хуже...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от BlackFire (ok) on 26-Июл-11, 16:42 
После прослушки снифером интерфейса Fa 0/1 выяснилось, что icmp-запросы на 79.173.80.1 и 212.58.197.17 все проходят, а вот на 217.195.65.9 и 217.195.66.253 запросы после NAT'а куда-то деваются и в канал не попадают. Соответственно и нет пингов на эти адреса с вышеуказанных источников.

Что их рубит? Есть у какие-нибудь идеи?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "2 ISP + 6 VLAN не работает IP SLA"  +/
Сообщение от BlackFire (ok) on 28-Июл-11, 13:11 
Задача решена! Всем спасибо!

Ниже привожу кусок работающего конфига, который прететерпел изменения. Остальное так же, как и было.


track 1 ip sla 1 reachability
!
track 2 ip sla 2 reachability
delay down 60 up 20
!
interface FastEthernet0/0
description AstraOreol
ip address X.X.X.10 255.255.255.0
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
description PeterStar
ip address Y.Y.Y.194 255.255.255.248
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/0/0
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
duplex auto
speed auto
!
interface FastEthernet0/0/0.9
description Admin
encapsulation dot1Q 9
ip address 192.168.9.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/0.11
description EGAIS
encapsulation dot1Q 11
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/1
ip address 192.168.1.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
duplex auto
speed auto
!
interface FastEthernet0/0/1.10
description GSZ
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
interface FastEthernet0/0/1.12
description ECO
encapsulation dot1Q 12
ip address 192.168.12.1 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map Route_Select
!
ip forward-protocol nd
ip http server
ip http access-class 23
ip http authentication local
no ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
!
ip dns server
ip dns spoofing
ip nat inside source route-map NAT_AstraOreol interface FastEthernet0/0 overload
ip nat inside source route-map NAT_PeterStar interface FastEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 X.X.X.1 track 1
ip route 0.0.0.0 0.0.0.0 Y.Y.Y.193 254 track 2
ip route 79.173.80.1 255.255.255.255 X.X.X.1 254
ip route 212.58.197.17 255.255.255.255 X.X.X.1 254
ip route 217.195.65.9 255.255.255.255 Y.Y.Y.193 254
ip route 217.195.66.253 255.255.255.255 Y.Y.Y.193 254
!
ip access-list standard To_AstraOreol
permit 192.168.0.0 0.0.0.255
permit 192.168.9.0 0.0.0.255
permit 192.168.11.0 0.0.0.255
ip access-list standard To_PeterStar
permit 192.168.1.0 0.0.0.255
permit 192.168.10.0 0.0.0.255
permit 192.168.12.0 0.0.0.255
!
ip sla 1
icmp-jitter 212.58.197.17 source-ip X.X.X.10 num-packets 3
frequency 40
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo 217.195.66.253 source-ip Y.Y.Y.194
frequency 20
ip sla schedule 2 life forever start-time now
access-list 23 permit 10.10.10.0 0.0.0.7
access-list 23 permit 192.168.0.0 0.0.0.255
!
route-map NAT_AstraOreol permit 10
match interface FastEthernet0/0
!
route-map Route_Select permit 10
match ip address To_AstraOreol
set ip next-hop verify-availability X.X.X.1 10 track 1
set ip next-hop verify-availability Y.Y.Y.193 20 track 2
!
route-map Route_Select permit 20
match ip address To_PeterStar
set ip next-hop verify-availability Y.Y.Y.193 10 track 2
set ip next-hop verify-availability X.X.X.1 20 track 1
!
route-map NAT_PeterStar permit 10
match interface FastEthernet0/1

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру