https://slinkov.ru/openforum/vsluhforumID6/1866.html Не могу разобраться, если можете, подскажите пожалуйста.<br><br>Есть такая конфигурация:<br><br>Два внешних интерфейса к двум разным провайдерам<br><br>interface GigabitEthernet0/0<br>description MAIN_ISP<br>ip address 10.10.10.54 255.255.255.240 secondary<br>ip address 10.10.10.51 255.255.255.240<br>ip nat outside<br>ip virtual-reassembly in<br>duplex auto<br>speed auto<br><br><br>interface GigabitEthernet0/1<br>description BACKUP_ISP<br>ip address 20.20.20.198 255.255.255.240 secondary<br>ip address 40.40.40.82 255.255.255.252<br>ip nat outside<br>ip virtual-reassembly in<br>duplex auto<br>speed auto<br><br>один внутренний интерфейс во внутреннюю сеть.<br><br>interface GigabitEthernet0/2<br>description link_between_2911_and_ASA<br>ip address 192.168.255.1 255.255.255.248<br>ip nat inside<br>ip virtual-reassembly in<br>ip policy route-map Load-Balance<br>duplex auto<br>speed auto<br><br><br>Две записи NAT<br><br>ip nat inside source static 192.168.6.54 10.10.10.54 route-map static-nat-isp-main<br>ip nat inside source static 192.168.6.54 20.20.20.198 route-map static-nat-isp-backup<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/1866.html#6 Thu, 03 Dec 2015 18:16:30 GMT &gt; Так НАТ настроен с роут-мап, роут-мап матчит интерфейс. Т.е. если траффик идет <br>&gt; через основной интерфейс, запись ната с роут-мапом, который матчит другой интерфейс <br>&gt; не сработает.<br><br>Теперь ясно! Спасибо большое за помощь!<br><br> https://slinkov.ru/openforum/vsluhforumID6/1866.html#5 Thu, 03 Dec 2015 11:46:52 GMT &gt;&gt; приоритет - админ. дистанция у дефолтного маршрута, коих у тебя два.<br>&gt;&gt; куда трафик рулится, тот нат и срабатывает.<br>&gt; Хорошо, я понял. То есть зависит именно от дефолтного маршрута. <br>&gt; Только не пойму как роутер "понимает" что надо именно этот НАТ применить. <br><br>Так НАТ настроен с роут-мап, роут-мап матчит интерфейс. Т.е. если траффик идет через основной интерфейс, запись ната с роут-мапом, который матчит другой интерфейс не сработает.<br> https://slinkov.ru/openforum/vsluhforumID6/1866.html#4 Thu, 03 Dec 2015 11:27:46 GMT &gt; приоритет - админ. дистанция у дефолтного маршрута, коих у тебя два.<br>&gt; куда трафик рулится, тот нат и срабатывает.<br><br>Хорошо, я понял. То есть зависит именно от дефолтного маршрута. <br>Только не пойму как роутер "понимает" что надо именно этот НАТ применить. Какая в принципе разница куда дефолт направлен. То есть дожна быть закономерность какая то , или правило. <br>Знаний не хватает :( Cсобственно поэтому у и обратился за помощью. спасибо! <br> <br><br>&gt; кстати это не полный конфиг. по идее надо еще event manager настраивать <br>&gt; чтобы при смене дефолтного маршрутизатора убивал текущие трансляции, иначе они будут <br>&gt; мешать.<br><br>Да , это есть в конфиге. Я не приводил эту часть сразу. <br><br>event manager applet MAIN-ISP-GOES-DOWN<br>event track 1 state down<br>action 1.0 cli command "enable"<br>action 1.1 cli command "configure terminal"<br>action 1.2 cli command "interface tunnel 0"<br>action 1.3 cli command "shutdown"<br>action 1.4 cli command "do clear ip nat translation *"<br>action 1.5 cli command "interface tunnel 1"<br>acti https://slinkov.ru/openforum/vsluhforumID6/1866.html#3 Wed, 02 Dec 2015 11:24:36 GMT приоритет - админ. дистанция у дефолтного маршрута, коих у тебя два.<br>куда трафик рулится, тот нат и срабатывает.<br>кстати это не полный конфиг. по идее надо еще event manager настраивать чтобы при смене дефолтного маршрутизатора убивал текущие трансляции, иначе они будут мешать.<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/1866.html#2 Wed, 02 Dec 2015 10:18:24 GMT Спасибо за помощь!<br><br>&gt; ACL 10 не показал, но и без него понятно.<br><br>нет такого ACL в конфиге.<br>Насколько я понял, 10 - это порядковый номер записи <br><br>источник http://xgu.ru/wiki/Cisco_route-map:<br>"У каждого правила route-map есть порядковый номер<br>когда пакеты проходят сквозь интерфейс, к которому применена PBR, пакеты проверяются по порядку по правилам<br>если пакет совпал с описанием в match, то он маршрутизируется по правилу set<br>если пакет не совпал с описанием в match, правила проверяются дальше<br>если ни в одном правиле совпадения не найдено, то пакет будет маршрутизироваться по стандартной таблице маршрутизации <br>например:<br>route-map PBR permit 10<br> match ip address VLAN_10<br> set ip next-hop 10.0.1.1<br>route-map PBR permit 20<br> match ip address VLAN_20<br> set ip next-hop 10.0.2.2"<br><br>Вопрос в другом,<br>Я понимаю сто НАТ включен для обоих адресов.<br>Но нет понимания почему когда два два гейтвея доступны то внешний адрес у машины 10.10.10.54 , а когда первый гейтвей не доступен то - 20.20.20.198. <br><br>Где прав https://slinkov.ru/openforum/vsluhforumID6/1866.html#1 Tue, 01 Dec 2015 17:12:12 GMT &gt; Вопрос.<br>&gt; Не могу понять по какому правилу происходит трансляция в первом случае, и <br>&gt; по какому во втором случае.<br><br>ip nat inside source static 192.168.6.54 10.10.10.54 route-map static-nat-isp-main<br>ip nat inside source static 192.168.6.54 20.20.20.198 route-map static-nat-isp-backup<br><br>&gt; Когда первый провайдер перестает быть доступным меняется шлюз по умолчанию с 10.10.10.49 <br>&gt; на 40.40.40.81 - это понятно.<br>&gt; Где и когда меняется NAT?<br><br>он не меняется, он для обоих каналов активен<br><br>&gt; Кроме того WEB сервер на машине 192.168.6.54 доступен из Интернета одновременно по <br>&gt; двум адресам. И по 10.10.10.54 и по 20.20.20.198. Правильно ли это? <br><br> Всё правильно, судя по тому что в правилах нет обратного<br><br>&gt; PS. Приведен не весь конфиг конечно. Я выбрал то, что по моему <br>&gt; мнению касается этого вопроса. Могу и ошибаться конечно. Всю дополнительную информацию <br>&gt; предоставлю.<br><br>ACL 10 не показал, но и без него понятно.<br><br>&gt; Буду благодарен все кто откликнется.