Новые ответы

route-map,

dmitrytim, 26-Июл-06, 20:44 [смотреть все]

Вопрос в следующем:
Есть два канала в интернет от провайдера и корпоративный. К роутеру непосредственно подключен прокси в прозрачном режиме. На него policy map направляет трафик интернет из локалки. Схема стандартная. Задача в следующем- есть еще один прокси не прямоподключенный но на него есть маршрут через корпоративную сеть. Можно ли в случае падения канала с провайдером 1 послать трафик на другой прозрачный прокси в корпоративке ? object tracking работает но как сформировать правильно route-map? NAT делается с 1м провайдером.
nterface FastEthernet0/0
description ----- LocalNet -----
ip address x.x.x 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map Inet_proxy
duplex auto
speed auto
!
interface FastEthernet0/1/0
description To_proxy
switchport access vlan 2
no ip address
!
interface FastEthernet0/1/1
description To_ISP
switchport access vlan 3
no ip address
!
!
interface Serial0/0/0.1 multipoint
description connected Corporate
ip address y.y.y.1 255.255.255.252
!
interface Vlan2
description Proxy_server
ip address x.x.x1.1 255.255.255.252
ip nat inside
ip virtual-reassembly
!
interface Vlan3
description ISP
ip address z.z.z.z 255.255.255.248
ip access-group Internet in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 z.z.z.z1
ip route y.0.0.0 255.0.0.0 y.y.y.2
ip route a.a.a.a1 255.255.255.255 y.y.y.2
!
access-list 103 remark Inet_proxy
access-list 103 deny   ip x.x.x.0 0.0.0.255 y.y.0.0 0.0.255.255 log
access-list 103 permit tcp x.x.x.0 0.0.0.255 any eq www
access-list 103 deny   ip any any
access-list 103 remark Inet_proxy
access-list 199 remark For_nat
access-list 199 permit icmp any any
access-list 199 permit ip x.x.0.0 0.0.255.255 any
access-list 199 remark For_nat
!
ip nat pool internet z.z.z.z z.z.z.z prefix-length 29
ip nat inside source list 199 pool internet overload
!
track 123 rtr 1 reachability
!
track 124 rtr 2 reachability
!
ip sla monitor 1
type echo protocol ipIcmpEcho z.z.z.z1 source-interface Vlan3 //шлюз ISP
timeout 1000
threshold 100
frequency 5
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho a.a.a.a1 source-interface Serial0/0/0.1 //корпоративныйй прокси
timeout 2000
threshold 600
frequency 10
ip sla monitor schedule 2 life forever start-time now
!
route-map Inet_proxy permit 1
match ip address 103
set ip next-hop verify-availability x.x.x1.2 20 track 123
!
???

Ответить | Сообщить модератору

route-map, boom, 06:18 , 27-Июл-06 (1)
mb? (Если я правильно понял)
ip nat inside source route-map nat_isp interface <isp1_iface> overload
ip nat inside source route-map nat_corp interface <corp_iface> overload
route-map nat_isp permit 10
match ip address nat_to_all_isp
match ip next-hop 51
route-map nat_corp permit 10
match ip address nat_to_all_isp
match ip next-hop 50
ip access-list extended nat_to_all_isp
permit ip <lan_ip> <mask> any
access-list 50 permit corp_ip_gw
access-list 51 permit isp1_ip_gw
OT достаточно настроить так:
ip sla 1
icmp-echo <ip на ком ориентируемся о падении канала isp> source-ip <your_isp_ip>
timeout 1000
threshold 500 (с этим значением рекомедую быть осторожнее, для всех оно по разному[читать ман на циске])
ip sla schedule 1 life forever start-time now
track 1 rtr 1 reachability
ip local policy route-map icmp(это чтобы пакеты отправлялись с нужного интерфейса)
ip route 0.0.0.0 0.0.0.0 isp1_gw track 1
ip route 0.0.0.0 0.0.0.0 proxy_ip 254
ip route x.x.x.x x.x.x.x corp_lan_gw
access-list 100 permit icmp any host <ip исследуемого объекта>
route-map icmp permit 10
match ip address 100
set interface Null0
set ip next-hop isp1_gw

У меня подобная схема работает
Ответить | Сообщить модератору

route-map, dmitrytim, 10:40 , 27-Июл-06 (2)
>mb? (Если я правильно понял)
>
>ip nat inside source route-map nat_isp interface <isp1_iface> overload
>ip nat inside source route-map nat_corp interface <corp_iface> overload
>
>route-map nat_isp permit 10
> match ip address nat_to_all_isp
> match ip next-hop 51
>
>route-map nat_corp permit 10
> match ip address nat_to_all_isp
> match ip next-hop 50
>
>ip access-list extended nat_to_all_isp
> permit ip <lan_ip> <mask> any
>
>access-list 50 permit corp_ip_gw
>access-list 51 permit isp1_ip_gw
>
>OT достаточно настроить так:
>
>ip sla 1
> icmp-echo <ip на ком ориентируемся о падении канала isp> source-ip <your_isp_ip>
> timeout 1000
> threshold 500 (с этим значением рекомедую быть осторожнее, для всех оно
>по разному[читать ман на циске])
>ip sla schedule 1 life forever start-time now
>
>track 1 rtr 1 reachability
>
>ip local policy route-map icmp(это чтобы пакеты отправлялись с нужного интерфейса)
>ip route 0.0.0.0 0.0.0.0 isp1_gw track 1
>ip route 0.0.0.0 0.0.0.0 proxy_ip 254
>ip route x.x.x.x x.x.x.x corp_lan_gw
>
>access-list 100 permit icmp any host <ip исследуемого объекта>
>
>route-map icmp permit 10
> match ip address 100
> set interface Null0
> set ip next-hop isp1_gw
>
>
>У меня подобная схема работает
Спасибо, интересное решение , но мне не нужно транслировать адреса в корпоративную сеть.
Вопрос вот в чем в основном:
В классическом случае когда второй next-hop в тойже подсети- то просто в роутемап надо добавить ip next-hop ip_addr и все но мне нужно направить трафик по адресу который не в прямоподключенной сети. Маршрут на нее есть в виде статики но роутемап игнорирует ее (match срабатывает в этом роутемапе). Как направить трафик на этот другой прокси?
Ответить | Сообщить модератору

route-map, dmitrytim, 15:57 , 22-Авг-06 (3)
>>mb? (Если я правильно понял)
>>
задача решилась просто-если кому интересно скажу. Использовал VPN GRE тунель.

Ответить | Сообщить модератору

route-map, Аноним, 01:59 , 07-Фев-10 (4)
>но мне нужно направить трафик по адресу который не в прямоподключенной сети. Маршрут на нее есть в виде статики но роутемап игнорирует ее (match срабатывает в этом роутемапе). Как направить трафик на этот другой прокси?
как это сделали, если не секрет?
Ответить | Сообщить модератору