NAT vs PBR c функцией слежения

Статическая и динамическая, протоколы

NAT vs PBR c функцией слежения

Сообщение msergey » 21 окт 2009, 09:23

Возникла очередная задача. Схема сети.
Изображение
Дано: маршрутизатор Cisco 2801, IOS 12.4(13)T. К сожалению пока он отсутвуют и нет возможности собрать схему на столе.
Приходит два канал Интернет от двух разных ISP.
Необходимо организовать резервирование Интернет канала.
Если живы оба провайдера, то выпускаем через ISP#1, соответственно, если ISP#1 упал, выходим через IPS#2.

Темы по NAT и PBR избиты, но всё же.
Будет ли работать следующий конфиг:
Код: Выделить всё
!--- Следим за достижимостью ISP#1
track 123 rtr 1 reachability
!
!--- Следим за достижимостью ISP#2
track 124 rtr 2 reachability
!
interface FastEthernet0/0
 description ISP#1
 ip address 172.19.0.2 255.255.255.252
 ip nat outside
!
interface FastEthernet0/1
 description ISP#2
 ip address 192.168.0.2 255.255.255.252
 ip nat outside
!
interface FastEthernet0/2
 description LOCAL-NET
 ip address 10.10.10.1 255.255.255.0
 ip nat inside
 ip policy route-map GW
!
route-map GW permit 10
set ip next-hop verify-availability 172.19.0.1 10 track 123
set ip next-hop verify-availability 192.168.0.1 20 track 124
!
!--- Определяем и запускаем слежение на ISP#1
rtr 1
type echo protocol ipIcmpEcho 172.19.0.1
rtr schedule 1 life forever start-time now
!
!--- Определяем и запускаем слежение на ISP#2
rtr 2
type echo protocol ipIcmpEcho 192.168.0.1
rtr schedule 2 life forever start-time now
!
ip nat inside source route-map LAN-NAT interface FastEthernet0/0 overload
ip nat inside source route-map LAN-NAT interface FastEthernet0/1 overload
!
route-map LAN-NAT permit 10
 match ip address 100
!
access-list 100 remark LAN-NAT
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
access-list 100 deny   ip any any
!
msergey
новичок
 
Сообщения: 52
Зарегистрирован: 16 янв 2009, 14:57
Откуда: СПб

Re: NAT vs PBR c функцией слежения

Сообщение root » 21 окт 2009, 12:14

msergey писал(а):Будет ли работать следующий конфиг:

сложно сказать если честно, пока не попробуешь не узнаешь :)
судя по конфигу должно работать, задумка зачет !
сам никогда не пользовал подобное, не было подобных схем.
попробуй, отпишись, будет работать - накатаем статейку для блога.

а def gw у циски куда смотрит ?

вот глянь ещё тему: PBR Recursive Next Hop

З.Ы. Эта тема все же больше для раздела "Маршрутизация" подходит, перенесу сейчас.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: NAT vs PBR c функцией слежения

Сообщение msergey » 21 окт 2009, 13:12

root писал(а):а def gw у циски куда смотрит ?


На ISP#1
Код: Выделить всё
ip route 0.0.0.0 0.0.0.0 172.19.0.1


Для резервирования Cisco если я не ошибаюсь, можно воспользоваться административной дистанцией и сделать так:
Код: Выделить всё
ip route 0.0.0.0 0.0.0.0 172.19.0.1
ip route 0.0.0.0 0.0.0.0 192.168.0.1 10
msergey
новичок
 
Сообщения: 52
Зарегистрирован: 16 янв 2009, 14:57
Откуда: СПб

Re: NAT vs PBR c функцией слежения

Сообщение root » 22 окт 2009, 10:11

msergey писал(а):Для резервирования Cisco

ну это не для резервирования циски, а все же маршрута :)

msergey писал(а):можно воспользоваться административной дистанцией

можно, сработает когда МАС 1-го GW`я пропадет

З.Ы. Забыл сказать:
msergey спсб, что схемки рисуешь. с ними легче понять о чем собственно спич
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: NAT vs PBR c функцией слежения

Сообщение msergey » 03 ноя 2009, 11:09

И снова я...

Спешу Вас обрадовать, задача моя несколько усложнилась.
Схема сети:
Изображение

Первая поставленная задача решена, вот конфиг Cisco 1841:
Код: Выделить всё
!
track 123 ip sla 1 reachability
!
interface FastEthernet0/0
 description ISP#1
 ip address 85.0.0.242 255.255.255.248
 ip nat outside
!
interface FastEthernet0/1
 description ISP#2
 ip address 84.0.0.242 255.255.255.248
 ip nat outside
!
interface FastEthernet0/3/0
 description OFFICE#1
 switchport access vlan 10
!
interface FastEthernet0/3/1
 switchport access vlan 20
!
interface FastEthernet0/3/2
 switchport access vlan 30
!
!
interface Vlan10
 description OFFICE#1
 ip address 192.168.168.29 255.255.255.0
 ip nat inside
!
interface Vlan20
 description Link-to-Office#2-primary
 ip address 192.168.0.2 255.255.255.248
 ip nat inside
!
interface Vlan30
 description Link-to-Office#2-backup
 ip address 10.10.10.2 255.255.255.248
 ip nat inside
!
ip local policy route-map LocalPolicy
ip route 0.0.0.0 0.0.0.0 85.0.0.241 track 123
ip route 0.0.0.0 0.0.0.0 84.0.0.241 254
!
ip nat inside source route-map ISP#1 interface FastEthernet0/0 overload
ip nat inside source route-map ISP#2 interface FastEthernet0/1 overload
!
ip sla 1
 icmp-echo 85.0.0.241 source-interface FastEthernet0/0
 timeout 1000
 threshold 40
 frequency 3
ip sla schedule 1 life forever start-time now
!
ip access-list extended PingISP#1
 permit icmp host 85.0.0.242 host 85.0.0.241
!
access-list 104 remark OFFICE#1
access-list 104 permit ip 192.168.168.0 0.0.0.255 any
access-list 104 permit ip host 192.168.0.2 any
access-list 104 permit ip host 10.10.10.2 any
access-list 104 deny ip any any
!
route-map ISP#1 permit 10
 match ip address 104
 match interface FastEthernet0/0
!
route-map ISP#2 permit 10
 match ip address 104
 match interface FastEthernet0/1
!
route-map LocalPolicy permit 10
 match ip address PingISP#1
 set ip next-hop 85.0.0.241
 set interface FastEthernet0/0
!


Теперь новые задачи:
1) Выпустить в Интернет офис №2, учесть резервирование - РЕШЕНО, увидим из первого конфига, nat висит на интерфейсах, которые смотрят в сторону офиса №2.
2) Организовать доступ локальной сети офиса №1 в сеть офиса №2, при этом офис №2 не имеет маршрута в сеть офиса №1;

Вот со вторым пока думаю. Первое что пришло в голову, просто статические маршруты и правила ACL. В своё время я поднимал подобное натом на Linux, а тут чего-то собрать мысли не могу. Так-что прошу поделиться опытом.

Конфиг Cisco 870:
Код: Выделить всё
!
ip sla 1
 icmp-echo 192.168.0.2 source-ip 192.168.0.4
 timeout 1000
 threshold 40
 frequency 3
ip sla schedule 1 life forever start-time now
!
track 123 rtr 1 reachability
!
interface FastEthernet0
 description Link-to-Office#1-primary
 switchport access vlan 20
!
interface FastEthernet1
 description Link-to-Office#1-backup
 switchport access vlan 30
!
interface FastEthernet3
 switchport access vlan 10
!
interface Vlan10
 description OFFICE#2
 ip address 192.168.123.29 255.255.255.0
!
interface Vlan20
  ip address 192.168.0.4 255.255.255.248
!
interface Vlan30
 ip address 10.10.10.4 255.255.255.248
!
ip route 0.0.0.0 0.0.0.0 192.168.0.2 track 123
ip route 0.0.0.0 0.0.0.0 10.10.10.2 254
!
Вложения
11.jpg
msergey
новичок
 
Сообщения: 52
Зарегистрирован: 16 янв 2009, 14:57
Откуда: СПб

Re: NAT vs PBR c функцией слежения

Сообщение lehisnoe » 03 ноя 2009, 14:10

msergey писал(а):Первая поставленная задача решена, вот конфиг Cisco 1841:

Респект!
msergey писал(а):2) Организовать доступ локальной сети офиса №1 в сеть офиса №2, при этом офис №2 не имеет маршрута в сеть офиса №1;

Если офис №2 не будет иметь маршрута в сеть офиса №1, то у самого офиса №1 не будет доступа к локалке офиса №2.
Но, мне кажется, что задачу возможно исполнить, если офис №1 будет ходить в офис №2 из-под ната ;-)
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: NAT vs PBR c функцией слежения

Сообщение msergey » 03 ноя 2009, 14:28

Если офис №2 не будет иметь маршрута в сеть офиса №1, то у самого офиса №1 не будет доступа к локалке офиса №2.
Но, мне кажется, что задачу возможно исполнить, если офис №1 будет ходить в офис №2 из-под ната ;-)


Да, как раз эта мысль пришла мне в голову, но пока не понял как это сделать.
Смущает то, что интерфейсы смотрящие в сеть офиса №2 уже ip nat inside для выхода в Интернет офиса №2.
А по логике насколько я понял мне нужно сделать их ip nat outside, но помоему я чего-то не понимаю.
В поисках решения...
msergey
новичок
 
Сообщения: 52
Зарегистрирован: 16 янв 2009, 14:57
Откуда: СПб

Re: NAT vs PBR c функцией слежения

Сообщение lehisnoe » 03 ноя 2009, 15:16

msergey писал(а):Смущает то, что интерфейсы смотрящие в сеть офиса №2 уже ip nat inside для выхода в Интернет офиса №2.

А ты в акссес-листе, кот. юзает роут-мапа, пропиши, что внутренние сети офиса №2 не следует натить, когда они идут на адреса офиса №1.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: NAT vs PBR c функцией слежения

Сообщение zaikini » 03 ноя 2009, 16:48

Как вариант предлагаю сделать GRE туннели и запустить динамическую маршрутизацию (EIGRP), для автоматического переключения VPN между офисами. Т.к. возможна ситуация, когда шлюз провайдера может быть доступен, но трафик он не пропускает.
Аватара пользователя
zaikini
новичок
 
Сообщения: 50
Зарегистрирован: 15 май 2009, 11:32

Re: NAT vs PBR c функцией слежения

Сообщение msergey » 03 ноя 2009, 16:55

zaikini писал(а):Как вариант предлагаю сделать GRE туннели и запустить динамическую маршрутизацию (EIGRP), для автоматического переключения VPN
между офисами. Т.к. возможна ситуация, когда шлюз провайдера может быть доступен, но трафик он не пропускает.


Задача не в этом. Маршрутизацию я сделать могу.
По поводу шлюза провайдера, у меня там просто L2.
msergey
новичок
 
Сообщения: 52
Зарегистрирован: 16 янв 2009, 14:57
Откуда: СПб

След.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 13

cron