https://opennet.dev/openforum/vsluhforumID6/22886.html Доброго времени суток, господа!<br><br>Задачка для гуру! Дано: CISCO 2811 c c2800nm-adventerprisek9-mz.151-4.M.bin<br><br>FE 0/0/0 ----<br>(192.168.0.1) &#124;<br>FE 0/0/0.9 ---------&#124; <br>(192.168.9.1) &#124; &#124;<br>FE 0/0/0.11 ---- &#124; (X.X.X.10) (X.X.X.1)<br>(192.168.11.1) &#124;-&gt; &lt;--- FE 0/0 -------&gt; ISP1<br> Router<br>FE 0/0/1 ---- &#124;-&gt; &lt;--- FE 0/1 -------&gt; ISP2<br>(192.168.1.1) &#124; &#124; (Y.Y.Y.194) (Y.Y.Y.193)<br>FE 0/0/1.10 ---------&#124;<br>(192.168.10.1) &#124;<br>FE 0/0/1.12 ----<br>(192.168.12.1)<br><br>Необходимо чтобы сети подключённый к FE 0/0/0.* ходили в и-нет через ISP1, а подключённые к FE 0/0/1.* через ISP2. Вслучае падения канал все переключаются на живоого провайдера. 79.173.80.1, 212.58.197.17 - DNS ISP1. 217.195.65.9, 217.195.66.253 - DNS ISP2. В качестве оценки соступности пути выбрано доступность DNS серверов провайдеров.<br><br>Есть следующий конфиг:<br><br>(вырез https://opennet.dev/openforum/vsluhforumID6/22886.html#15 Thu, 28 Jul 2011 09:11:16 GMT Задача решена! Всем спасибо!<br><br>Ниже привожу кусок работающего конфига, который прететерпел изменения. Остальное так же, как и было.<br>[code]<br>track 1 ip sla 1 reachability<br>!<br>track 2 ip sla 2 reachability<br> delay down 60 up 20<br>!<br>interface FastEthernet0/0<br> description AstraOreol<br> ip address X.X.X.10 255.255.255.0<br> ip nat outside<br> ip nat enable<br> ip virtual-reassembly<br> duplex auto<br> speed auto<br>!<br>interface FastEthernet0/1<br> description PeterStar<br> ip address Y.Y.Y.194 255.255.255.248<br> ip nat outside<br> ip nat enable<br> ip virtual-reassembly<br> duplex auto<br> speed auto<br>!<br>interface FastEthernet0/0/0<br> ip address 192.168.0.1 255.255.255.0<br> ip nat inside<br> ip nat enable<br> ip virtual-reassembly<br> ip policy route-map Route_Select<br> duplex auto<br> speed auto<br>!<br>interface FastEthernet0/0/0.9<br> description Admin<br> encapsulation dot1Q 9<br> ip address 192.168.9.1 255.255.255.0<br> ip nat inside<br> ip nat enable<br> ip virtual-reassembly<br> ip policy route-map Route_Select<br>!<br>interface FastEthernet0/0/0.11<br> descriptio https://opennet.dev/openforum/vsluhforumID6/22886.html#14 Tue, 26 Jul 2011 12:42:33 GMT После прослушки снифером интерфейса Fa 0/1 выяснилось, что icmp-запросы на 79.173.80.1 и 212.58.197.17 все проходят, а вот на 217.195.65.9 и 217.195.66.253 запросы после NAT'а куда-то деваются и в канал не попадают. Соответственно и нет пингов на эти адреса с вышеуказанных источников.<br><br>Что их рубит? Есть у какие-нибудь идеи? <br> https://opennet.dev/openforum/vsluhforumID6/22886.html#13 Tue, 26 Jul 2011 12:37:03 GMT 1) Есть, возможно бредовая идея...подвести ваш случай под знаменатель того который работает... т.е. создаем Loopback заворачиваем весь трафик pbr на него и уже на нем делаем nat+pbr<br><br>2) Локальная политика нужна только для самого маршрутизатора и на клиентов не влияет, т.е. чтобы трафик клиентов ходил правильно нужна только политика на интерфесах... поэтому логично, что стало еще хуже...<br> https://opennet.dev/openforum/vsluhforumID6/22886.html#12 Tue, 26 Jul 2011 07:36:37 GMT &gt;[оверквотинг удален]<br>&gt; ip nat inside source list 100 interface FastEthernet0/1 overload <br>&gt; ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload <br>&gt; access-list 101 permit ip host 255.255.255.255 any <br>&gt; access-list 102 permit ip host 255.255.255.255 any <br>&gt; route-map AstraOreol permit 10 <br>&gt; match ip address 101 <br>&gt; match interface FastEthernet0/0 <br>&gt; route-map RMAP_SELECT permit 10 <br>&gt; match ip address 102 <br>&gt; set ip next-hop verify-availability YYY.YYY.YYY.YYY 10 track 10 <br><br>Те же яйца, только в профиль ))<br><br>&gt; в общем я решил не изобретать велосипеда....<br>&gt; вот вам готовый пример работающего решения очень похожего на ваше, чтоб не <br>&gt; тратить время <br>&gt; http://www.opennet.ru/openforum/vsluhforumID6/15824.html <br><br>Эту тему я просматривал, там такой же принцип конфига как у меня. Различия в двух местах.<br><br>1. В маршрутной карте отвечающей за NAT есть, кроме соответствия ACL, ещё и соответствие интерфейсу. Добавление такого соответствия приводит к тому, что в тех случаях когда не пр https://opennet.dev/openforum/vsluhforumID6/22886.html#11 Mon, 25 Jul 2011 18:07:13 GMT Проще у меня действительно не получилось, пришлось бы дергать добавлять правила nat...и т.д. выходило что-то вроде....<br><br>ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX 1 track 10<br>ip route 0.0.0.0 0.0.0.0 YYY.YYY.YYY.YYY 2 track 20<br><br>ip access-list 100 permit ip 192.168.0.0 0.0.255.255<br><br>ip nat inside source list 100 interface FastEthernet0/1 overload<br>ip nat inside source route-map AstraOreol interface FastEthernet0/0 overload <br><br>access-list 101 permit ip host 255.255.255.255 any <br>access-list 102 permit ip host 255.255.255.255 any <br><br>route-map AstraOreol permit 10<br>match ip address 101<br>match interface FastEthernet0/0<br><br>route-map RMAP_SELECT permit 10 <br>match ip address 102 <br>set ip next-hop verify-availability YYY.YYY.YYY.YYY 10 track 10<br><br><br>в общем я решил не изобретать велосипеда....<br>вот вам готовый пример работающего решения очень похожего на ваше, чтоб не тратить время<br><br>http://www.opennet.ru/openforum/vsluhforumID6/15824.html<br> https://opennet.dev/openforum/vsluhforumID6/22886.html#10 Mon, 25 Jul 2011 14:59:38 GMT &gt;&gt; Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого <br>&gt;&gt; начала. Там описана решаемая задача. Ваши предложения не достаточны, для её <br>&gt;&gt; решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию, <br>&gt;&gt; пожалуйста.<br>&gt; Если я предлагаю решение, то, наверное, я это делаю вполне осознанно и <br>&gt; читал то что написано, пример конфига дам поздней, как до дома <br>&gt; доберусь...<br><br>Буду очень признателен.<br> https://opennet.dev/openforum/vsluhforumID6/22886.html#9 Mon, 25 Jul 2011 14:53:52 GMT &gt; Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого <br>&gt; начала. Там описана решаемая задача. Ваши предложения не достаточны, для её <br>&gt; решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию, <br>&gt; пожалуйста.<br><br>Если я предлагаю решение, то, наверное, я это делаю вполне осознанно и читал то что написано, пример конфига дам поздней, как до дома доберусь...<br> https://opennet.dev/openforum/vsluhforumID6/22886.html#8 Mon, 25 Jul 2011 14:26:45 GMT &gt; Ну и накрутили вы уважаемый....<br>&gt; Задача должна решаться по принципу чем проще... тем лучше...<br>&gt; 1) Делаете 2 обыных дефолта с разными метриками <br>&gt; 2) Активным становится дефолт с лучшей метрикой и все уходит на него <br>&gt; 3) Чтобы все не уходило на деофлт с лучшей метрикой используем pbr <br>&gt; 4) При падении канала все переключается на резервный маршрут за исключением pbr <br>&gt; для которого мы используем тракинг <br><br>Сударь, для более конструктивного разговора, не поленитесь, прочитайте первый пост с самого начала. Там описана решаемая задача. Ваши предложения не достаточны, для её решения. Я сам сторонник простоты. Ежели я ошибаюсь, конфиг в студию, пожалуйста.<br> https://opennet.dev/openforum/vsluhforumID6/22886.html#7 Mon, 25 Jul 2011 13:54:48 GMT Ну и накрутили вы уважаемый....<br>Задача должна решаться по принципу чем проще... тем лучше...<br><br>1) Делаете 2 обыных дефолта с разными метриками<br>2) Активным становится дефолт с лучшей метрикой и все уходит на него<br>3) Чтобы все не уходило на деофлт с лучшей метрикой используем pbr<br>4) При падении канала все переключается на резервный маршрут за исключением pbr для которого мы используем тракинг<br>