https://slinkov.ru/openforum/vsluhforumID6/15050.html Народ, есть 2 провайдера. Есть роутер cisco 2811 на который они заведены.<br>Настроил NAT через одного из провайдеров.<br>Надо чтобы при падении этого провайдера NAT переключался на другого. Проблема в том что не могу один и тот же access-list использовать в 2-х правилах NAT<br><br>ip nat inside source list 133 interface FastEthernet0/1.1 overload<br>ip nat inside source list 133 interface FastEthernet0/1.2 overload - не хочет присваивать, говорить что динамический нат уже используется<br><br>А если я создаю access-list с другим номером, но аналогичный по содержанию, и накладываю его на FastEthernet0/1.2 то траффик никогда не попадает в этот access-list, так как 133 стоит первее. и соответственно ничего не натится.<br><br>Как быть??<br>Вот конфа:<br><br>interface FastEthernet0/0<br> description "LAN DIY SPb"<br> ip address 172.16.0.2 255.255.0.0<br> ip accounting precedence input<br> ip accounting precedence output<br> ip nat inside<br> ip virtual-reassembly<br> duplex auto<br> speed auto<br>!<br>interface FastEthernet0/1<br> description "Trunk INTERFACE https://slinkov.ru/openforum/vsluhforumID6/15050.html#13 Thu, 13 Dec 2007 15:52:13 GMT &gt;Да, и еще - надо ли роут-мапы прикладывать на интерфейсы?? На какие?? <br><br>нет, не надо. нужно прописать правила контроля доступности сервиса, например:<br><br>ip sla 10<br> icmp-echo 111.111.111.112 source-interface FastEthernet4.1<br> timeout 1000<br> frequency 1<br>ip sla schedule 10 life forever start-time now<br>!<br>ip sla 20<br> icmp-echo 222.222.222.223 source-interface FastEthernet4.2<br> timeout 1000<br> frequency 1<br>ip sla schedule 20 life forever start-time now<br><br>определяем треки<br><br>track 10 rtr 10 reachability<br>!<br>track 20 rtr 20 reachability<br><br>и прописываем обычный роутинг в зависимости от доступности трека<br><br>ip route 0.0.0.0 0.0.0.0 111.111.111.112 10 track 10<br>ip route 0.0.0.0 0.0.0.0 222.222.222.223 20 track 20<br><br>выставляем стоимость маршрута из необходимости (меньше - для основного, больше - для резервного, равным - для балансировки и т.п.).<br>и не забываем, что если в sla прописали проверку доступности не ближайшего шлюза, а например неймсервера прова, то дополнительно нужно прописать _жестко_ роутинг на него, https://slinkov.ru/openforum/vsluhforumID6/15050.html#12 Thu, 13 Dec 2007 12:36:03 GMT Да, и еще - надо ли роут-мапы прикладывать на интерфейсы?? На какие??<br> https://slinkov.ru/openforum/vsluhforumID6/15050.html#11 Thu, 13 Dec 2007 12:31:12 GMT &gt;[оверквотинг удален]<br>&gt;access-list 100 deny ip any 10.0.0.0 0.255.255.255 <br>&gt;access-list 100 deny ip any 172.16.0.0 0.15.255.255 <br>&gt;access-list 100 deny ip 192.168.0.0 0.0.255.255 192.168.0.0 0.0.255.255 <br>&gt;access-list 100 permit ip host 192.168.2.1 any <br>&gt;access-list 100 permit ip 192.168.3.0 0.0.0.255 any <br>&gt;access-list 100 permit ip host 192.168.0.2 any <br>&gt;access-list 100 permit ip host 192.168.1.1 any <br>&gt;ну и так далее.. Ж-) <br>&gt;<br>&gt;идея ясна? <br><br>Да, все кристально ясно. Тока будет ли это работать??<br>Буду пробовать...<br>Спасибо огромное!<br> https://slinkov.ru/openforum/vsluhforumID6/15050.html#10 Thu, 13 Dec 2007 12:00:01 GMT &gt;Я же писал про ДВА одинаковых списка - не получается у меня <br><br>рисую идею, потому что данных мало. создаем по интерфейсу на каждого провайдера<br><br>interface FastEthernet4.1<br> desc ISP1<br> encapsulation dot1Q 101<br> ip addr 111.111.111.111 255.255.255.252<br> ip nat outside<br> ip nat enable<br>!<br>interface FastEthernet4.2<br> desc ISP2<br> encapsulation dot1Q 102<br> ip addr 222.222.222.222 255.255.255.252<br> ip nat outside<br> ip nat enable<br><br>дальше пишем правила НАТ<br><br>ip nat inside source route-map ISP1-NAT interface FastEthernet4.1 overload<br>ip nat inside source route-map ISP2-NAT interface FastEthernet4.2 overload<br>!<br>route-map ISP1-NAT permit 10<br> match ip address 100<br> match ip next-hop 5<br>!<br>route-map ISP2-NAT permit 10<br> match ip address 100<br> match ip next-hop 6<br><br>акцесс листы оформляем<br><br>access-list 5 remark NAT ISP1 (nex-hop)<br>access-list 5 permit 111.111.111.112<br>access-list 6 remark NAT ISP2 (nex-hop)<br>access-list 6 permit 222.222.222.223<br>access-list 100 remark SNAT<br>access-list 100 deny ip any 1 https://slinkov.ru/openforum/vsluhforumID6/15050.html#9 Thu, 13 Dec 2007 09:09:14 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;У Вас только 2,5 варианта: <br>&gt;<br>&gt;1. сделать ДВА одинаковых списка и поддерживать их <br>&gt;2. получить блок PI-адресов и договориться с обоими провайдерами, что они их <br>&gt;будут пропускать, тогда можно сделать НАТ в них и отдавать уже <br>&gt;этими адресами <br>&gt;<br>&gt;2,5. Поставить на одном из каналов дополнительную железку, которая будет заниматься НАТ <br>&gt;в тот канал и гнать на нее внутренние адреса. <br><br>Я же писал про ДВА одинаковых списка - не получается у меня при падении канала заставить срабатывать второй список - потому что первый уже сработал. Вот. Если бы можно было бы как нить изменить порядок перебора, то другое дело....<br><br>В общем нашел статью - http://cisco.far.ru/2ispcfg.shtml <br>но никак не пойму как поменять конфиг под себя.<br><br>Вроде делаю все правильно но НАТ не работает все равно. НО!! При удалении строк:<br><br>ip nat inside source route-map Peterstar-NAT pool Peterstar-pool overload<br><br>пишет что нат используется. <br>Ничего не понимаю!!!<br>Помогите!<br> https://slinkov.ru/openforum/vsluhforumID6/15050.html#8 Wed, 12 Dec 2007 13:26:58 GMT &gt;Если я Вас не правильно понял, то киньте плиз кусочек конфы <br><br>Да нет, это я в конце рабочего дня глупость написал :)<br><br>У Вас только 2,5 варианта:<br><br>1. сделать ДВА одинаковых списка и поддерживать их<br>2. получить блок PI-адресов и договориться с обоими провайдерами, что они их будут пропускать, тогда можно сделать НАТ в них и отдавать уже этими адресами<br><br>2,5. Поставить на одном из каналов дополнительную железку, которая будет заниматься НАТ в тот канал и гнать на нее внутренние адреса.<br> https://slinkov.ru/openforum/vsluhforumID6/15050.html#7 Wed, 12 Dec 2007 11:30:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;cisco хочет получить однозначное соответствие ACL и во что будет транслироваться. <br>&gt;<br>&gt;Я вот что подумал, а зачем Вы вообще чего-то упражняете со списками? <br>&gt;<br>&gt;Расставьте inside/outside и рулите маршрутами или route-map. Будет трансляция в адрес интерфейса. <br>&gt;<br>&gt;<br>&gt;Если нужны ACL, то вешайте на внутренний интерфейс и пускайте/не пускайте как <br>&gt;вам надо. <br><br>Делал и так тоже. Вот пример<br>ip nat pool Golden 213.33.253.х 213.33.253.х prefix-length 29<br>ip nat pool Peterstar 84.204.250.х 84.204.250.х prefix-length 29<br><br>ip nat inside source list For-NAT-INET pool Golden overload<br>ip nat inside source list For-NAT-INET pool Peterstar overload - не получается<br><br><br>Если я Вас не правильно понял, то киньте плиз кусочек конфы<br> https://slinkov.ru/openforum/vsluhforumID6/15050.html#6 Wed, 12 Dec 2007 10:10:08 GMT &gt;Так как Вы написали - не будет. <br>&gt;<br>&gt;cisco хочет получить однозначное соответствие ACL и во что будет транслироваться. <br><br>Я вот что подумал, а зачем Вы вообще чего-то упражняете со списками?<br>Расставьте inside/outside и рулите маршрутами или route-map. Будет трансляция в адрес интерфейса.<br><br>Если нужны ACL, то вешайте на внутренний интерфейс и пускайте/не пускайте как вам надо.<br> https://slinkov.ru/openforum/vsluhforumID6/15050.html#5 Wed, 12 Dec 2007 10:03:52 GMT Так как Вы написали - не будет.<br><br>cisco хочет получить однозначное соответствие ACL и во что будет транслироваться.<br>