forum.opennet.ru - "Object Tracking + NAT" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Object Tracking + NAT"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Object Tracking + NAT"
Сообщение от Grant (??) on 05-Фев-06, 01:59
Доброго времени суток всем! Кто-нибудь реализовывал Subj ? Задача банальна - два провайдера, если объект на основном канале в дауне то внутренняя сетка натится через второго провайдера. В целом все понятно, НО непойму как tracking привязать к route-map ? из описания видно что можно вешать его на ip route 0.0.0.0 0.0.0.0 x.x.x.x track 123 и все ? спасибо за советы ... Антон
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Object Tracking + NAT, sh_, 10:28 , 05-Фев-06, (1)

Object Tracking + NAT, Grant, 14:37 , 05-Фев-06, (2)

Object Tracking + NAT, sh_, 15:00 , 05-Фев-06, (3)
Object Tracking + NAT, jzazz, 08:08 , 06-Фев-06, (4)

Object Tracking + NAT, jzazz, 08:10 , 06-Фев-06, (5)
Object Tracking + NAT, Grant, 09:36 , 06-Фев-06, (6)

Object Tracking + NAT, sh_, 09:40 , 06-Фев-06, (7)
Object Tracking + NAT, Lacunacoil, 10:35 , 06-Фев-06, (8)

Object Tracking + NAT, Grant, 10:01 , 07-Фев-06, (9)

Сообщения по теме [Сортировка по времени, UBB]

1. "Object Tracking + NAT"

Сообщение от sh_ (??) on 05-Фев-06, 10:28

Зачем к route-map? Привязываешь к ip route, а в route-map'е матчишь интерфейсы через которые пакет уходит...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Object Tracking + NAT"

Сообщение от Grant (??) on 05-Фев-06, 14:37

>Зачем к route-map? Привязываешь к ip route, а в route-map'е матчишь интерфейсы
>через которые пакет уходит...

да но ведь нужно НАТить сетку только в случае если object state down ... попробовал соорудить вот это, чтобы хост НАТился в обе сетки сразу и в зависимости от ip route отправлялся дальше как вы и советовали, но хост прописанный в ACL 11 НАТится только один раз route-map ISP1-NAT, ISP2-NAT не выполняется (смотрю по sh ip nat tra). подозреваю что возникает тоже самое как и нельзя порписать два ip nat source static на один и тот же хост, как быть ?
interface FastEthernet0/0
ip address 212.175.x.1 255.255.255.240 secondary
ip address 217.151.y.129 255.255.255.224 secondary
ip address 192.168.1.1 255.255.255.0
...
ip nat inside
...
interface Serial0/0
ip address 217.151.y.50 255.255.255.252
...
ip nat outside
...
interface Ethernet1/0
ip address 212.175.x.50 255.255.255.252
...
ip nat outside
...
ip route 0.0.0.0 0.0.0.0 212.175.x.49 track 123
ip route 0.0.0.0 0.0.0.0 217.151.y.49 254
ip nat pool ISP1-test 212.175.x.14 212.175.x.14 prefix-length 28
ip nat pool ISP2-test 217.151.y.130 217.151.y.130 prefix-length 27
ip nat inside source route-map ISP1-NAT pool ISP1-test overload
ip nat inside source route-map ISP2-NAT pool ISP2-test overload
access-list 2 permit 217.151.y.128 0.0.0.31
access-list 3 permit 212.175.x.0 0.0.0.15
access-list 11 permit host 192.168.1.133
route-map ISP1-NAT permit 10
match ip address 11
match interface Ethernet1/0
route-map ISP2-NAT permit 10
match ip address 11
match interface Serial0/0
route-map ISP permit 10
match ip address 2
set interface Serial0/0
route-map ISP permit 20
match ip address 3
set interface Ethernet1/0

tracking object конечно работает, тут вопросов нет ...
Антон

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Object Tracking + NAT"

Сообщение от sh_ (??) on 05-Фев-06, 15:00

В route-map ISP добавьте verify-availability, вместо set int eth поставьте set ip next-h. В route-map ISP1-NAT и ISP2-NAT уберите match ip address 11.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Object Tracking + NAT"

Сообщение от jzazz on 06-Фев-06, 08:08

>>Зачем к route-map? Привязываешь к ip route, а в route-map'е матчишь интерфейсы
>>через которые пакет уходит...
>
>
>да но ведь нужно НАТить сетку только в случае если object state
>down ... попробовал соорудить вот это, чтобы хост НАТился в обе
>сетки сразу и в зависимости от ip route отправлялся дальше как
>вы и советовали, но хост прописанный в ACL 11 НАТится только
>один раз route-map ISP1-NAT, ISP2-NAT не выполняется (смотрю по sh ip
>nat tra). подозреваю что возникает тоже самое как и нельзя порписать
>два ip nat source static на один и тот же хост,
>как быть ?
>

route-map ISP permit 10
description Select Next Hop
match ip address 101
set ip next-hop verify-availability 195.239.x.x 20 track 124
set ip next-hop verify-availability 212.176.x.x 30 track 123
!
control-plane
!
rtr 1
type echo protocol ipIcmpEcho 195.239.x.x source-interface Serial0
rtr schedule 1 life forever start-time now
rtr 2
type echo protocol ipIcmpEcho 212.176.x.x source-interface FastEthernet0
rtr schedule 2 life forever start-time now

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Object Tracking + NAT"

Сообщение от jzazz on 06-Фев-06, 08:10

а да еще вот это надо:
track 123 rtr 1 reachability
!
track 124 rtr 2 reachability

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Object Tracking + NAT"

Сообщение от Grant (??) on 06-Фев-06, 09:36

>route-map ISP permit 10
> description Select Next Hop
> match ip address 101
> set ip next-hop verify-availability 195.239.x.x 20 track 124
> set ip next-hop verify-availability 212.176.x.x 30 track 123
>!
>control-plane
>!
>rtr 1
> type echo protocol ipIcmpEcho 195.239.x.x source-interface Serial0
>rtr schedule 1 life forever start-time now
>rtr 2
> type echo protocol ipIcmpEcho 212.176.x.x source-interface FastEthernet0
>rtr schedule 2 life forever start-time now

спасибо Jzazz, да отлично, но проблема с НАТом осталась ... как натить один и тот же хост в зависимости от направления ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Object Tracking + NAT"

Сообщение от sh_ (??) on 06-Фев-06, 09:40

>как натить один и тот же хост в зависимости от направления ?
Ну говорят же вам, с помщью rout-map матчить интерфейсы выхода пакетов...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Object Tracking + NAT"

Сообщение от Lacunacoil (??) on 06-Фев-06, 10:35

>>route-map ISP permit 10
>> description Select Next Hop
>> match ip address 101
>> set ip next-hop verify-availability 195.239.x.x 20 track 124
>> set ip next-hop verify-availability 212.176.x.x 30 track 123
>>!
>>control-plane
>>!
>>rtr 1
>> type echo protocol ipIcmpEcho 195.239.x.x source-interface Serial0
>>rtr schedule 1 life forever start-time now
>>rtr 2
>> type echo protocol ipIcmpEcho 212.176.x.x source-interface FastEthernet0
>>rtr schedule 2 life forever start-time now
>
>
>спасибо Jzazz, да отлично, но проблема с НАТом осталась ... как натить
>один и тот же хост в зависимости от направления ?
У меня была еще сложнее ситуацыя у меня был один выходной интерейс, я натил на основании next-hop.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Object Tracking + NAT"

Сообщение от Grant (??) on 07-Фев-06, 10:01

проблема решилась отключением CEF - no ip cef
спасибо всем, ну и в итоге рабочий конфиг для потомков как полагается:
ip sla monitor 1
type echo protocol ipIcmpEcho 212.175.x.49 source-interface Ethernet1/0
timeout 1000
threshold 2
frequency 3
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho 217.151.y.49 source-interface Serial0/0
timeout 1000
threshold 2
frequency 3
ip sla monitor schedule 2 life forever start-time now
track 123 rtr 1 reachability
track 124 rtr 2 reachability
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
...
ip nat inside
...
interface Serial0/0
ip address 217.151.y.50 255.255.255.252
...
ip nat outside
...
interface Ethernet1/0
ip address 212.175.x.50 255.255.255.252
...
ip nat outside
...
ip route 0.0.0.0 0.0.0.0 212.175.x.49
ip route 0.0.0.0 0.0.0.0 217.151.x.49
ip nat pool ISP1-pool 212.175.x.14 212.175.x.14 prefix-length 28
ip nat pool ISP2-pool 217.151.y.130 217.151.y.130 prefix-length 27
ip nat inside source route-map ISP1-NAT pool ISP1-pool overload
ip nat inside source route-map ISP2-NAT pool ISP2-pool overload
ip access-list standard ISP1-gw
permit 212.175.x.49
ip access-list standard ISP2-gw
permit 217.151.y.49
access-list 4 permit 192.168.1.133
route-map ISP1-NAT permit 10
match ip address 4
match ip next-hop ISP1-gw
route-map ISP2-NAT permit 10
match ip address 4
match ip next-hop ISP2-gw
route-map ISP permit 10
match ip address 4
set ip next-hop verify-availability 212.175.x.49 20 track 123
set ip next-hop verify-availability 217.151.y.49 30 track 124

удачи!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Object Tracking + NAT"
Сообщение от sh_ (??) on 05-Фев-06, 10:28
Зачем к route-map? Привязываешь к ip route, а в route-map'е матчишь интерфейсы через которые пакет уходит...
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Object Tracking + NAT"
	Сообщение от Grant (??) on 05-Фев-06, 14:37
	>Зачем к route-map? Привязываешь к ip route, а в route-map'е матчишь интерфейсы >через которые пакет уходит... да но ведь нужно НАТить сетку только в случае если object state down ... попробовал соорудить вот это, чтобы хост НАТился в обе сетки сразу и в зависимости от ip route отправлялся дальше как вы и советовали, но хост прописанный в ACL 11 НАТится только один раз route-map ISP1-NAT, ISP2-NAT не выполняется (смотрю по sh ip nat tra). подозреваю что возникает тоже самое как и нельзя порписать два ip nat source static на один и тот же хост, как быть ? interface FastEthernet0/0 ip address 212.175.x.1 255.255.255.240 secondary ip address 217.151.y.129 255.255.255.224 secondary ip address 192.168.1.1 255.255.255.0 ... ip nat inside ... interface Serial0/0 ip address 217.151.y.50 255.255.255.252 ... ip nat outside ... interface Ethernet1/0 ip address 212.175.x.50 255.255.255.252 ... ip nat outside ... ip route 0.0.0.0 0.0.0.0 212.175.x.49 track 123 ip route 0.0.0.0 0.0.0.0 217.151.y.49 254 ip nat pool ISP1-test 212.175.x.14 212.175.x.14 prefix-length 28 ip nat pool ISP2-test 217.151.y.130 217.151.y.130 prefix-length 27 ip nat inside source route-map ISP1-NAT pool ISP1-test overload ip nat inside source route-map ISP2-NAT pool ISP2-test overload access-list 2 permit 217.151.y.128 0.0.0.31 access-list 3 permit 212.175.x.0 0.0.0.15 access-list 11 permit host 192.168.1.133 route-map ISP1-NAT permit 10 match ip address 11 match interface Ethernet1/0 route-map ISP2-NAT permit 10 match ip address 11 match interface Serial0/0 route-map ISP permit 10 match ip address 2 set interface Serial0/0 route-map ISP permit 20 match ip address 3 set interface Ethernet1/0 tracking object конечно работает, тут вопросов нет ... Антон
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Object Tracking + NAT"
	Сообщение от sh_ (??) on 05-Фев-06, 15:00
	В route-map ISP добавьте verify-availability, вместо set int eth поставьте set ip next-h. В route-map ISP1-NAT и ISP2-NAT уберите match ip address 11.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Object Tracking + NAT"
	Сообщение от jzazz on 06-Фев-06, 08:08
	>>Зачем к route-map? Привязываешь к ip route, а в route-map'е матчишь интерфейсы >>через которые пакет уходит... > > >да но ведь нужно НАТить сетку только в случае если object state >down ... попробовал соорудить вот это, чтобы хост НАТился в обе >сетки сразу и в зависимости от ip route отправлялся дальше как >вы и советовали, но хост прописанный в ACL 11 НАТится только >один раз route-map ISP1-NAT, ISP2-NAT не выполняется (смотрю по sh ip >nat tra). подозреваю что возникает тоже самое как и нельзя порписать >два ip nat source static на один и тот же хост, >как быть ? > route-map ISP permit 10 description Select Next Hop match ip address 101 set ip next-hop verify-availability 195.239.x.x 20 track 124 set ip next-hop verify-availability 212.176.x.x 30 track 123 ! control-plane ! rtr 1 type echo protocol ipIcmpEcho 195.239.x.x source-interface Serial0 rtr schedule 1 life forever start-time now rtr 2 type echo protocol ipIcmpEcho 212.176.x.x source-interface FastEthernet0 rtr schedule 2 life forever start-time now
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "Object Tracking + NAT"
	Сообщение от jzazz on 06-Фев-06, 08:10
	а да еще вот это надо: track 123 rtr 1 reachability ! track 124 rtr 2 reachability
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "Object Tracking + NAT"
	Сообщение от Grant (??) on 06-Фев-06, 09:36
	>route-map ISP permit 10 > description Select Next Hop > match ip address 101 > set ip next-hop verify-availability 195.239.x.x 20 track 124 > set ip next-hop verify-availability 212.176.x.x 30 track 123 >! >control-plane >! >rtr 1 > type echo protocol ipIcmpEcho 195.239.x.x source-interface Serial0 >rtr schedule 1 life forever start-time now >rtr 2 > type echo protocol ipIcmpEcho 212.176.x.x source-interface FastEthernet0 >rtr schedule 2 life forever start-time now спасибо Jzazz, да отлично, но проблема с НАТом осталась ... как натить один и тот же хост в зависимости от направления ?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "Object Tracking + NAT"
	Сообщение от sh_ (??) on 06-Фев-06, 09:40
	>как натить один и тот же хост в зависимости от направления ? Ну говорят же вам, с помщью rout-map матчить интерфейсы выхода пакетов...
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "Object Tracking + NAT"
	Сообщение от Lacunacoil (??) on 06-Фев-06, 10:35
	>>route-map ISP permit 10 >> description Select Next Hop >> match ip address 101 >> set ip next-hop verify-availability 195.239.x.x 20 track 124 >> set ip next-hop verify-availability 212.176.x.x 30 track 123 >>! >>control-plane >>! >>rtr 1 >> type echo protocol ipIcmpEcho 195.239.x.x source-interface Serial0 >>rtr schedule 1 life forever start-time now >>rtr 2 >> type echo protocol ipIcmpEcho 212.176.x.x source-interface FastEthernet0 >>rtr schedule 2 life forever start-time now > > >спасибо Jzazz, да отлично, но проблема с НАТом осталась ... как натить >один и тот же хост в зависимости от направления ? У меня была еще сложнее ситуацыя у меня был один выходной интерейс, я натил на основании next-hop.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	9. "Object Tracking + NAT"
	Сообщение от Grant (??) on 07-Фев-06, 10:01
	проблема решилась отключением CEF - no ip cef спасибо всем, ну и в итоге рабочий конфиг для потомков как полагается: ip sla monitor 1 type echo protocol ipIcmpEcho 212.175.x.49 source-interface Ethernet1/0 timeout 1000 threshold 2 frequency 3 ip sla monitor schedule 1 life forever start-time now ip sla monitor 2 type echo protocol ipIcmpEcho 217.151.y.49 source-interface Serial0/0 timeout 1000 threshold 2 frequency 3 ip sla monitor schedule 2 life forever start-time now track 123 rtr 1 reachability track 124 rtr 2 reachability interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 ... ip nat inside ... interface Serial0/0 ip address 217.151.y.50 255.255.255.252 ... ip nat outside ... interface Ethernet1/0 ip address 212.175.x.50 255.255.255.252 ... ip nat outside ... ip route 0.0.0.0 0.0.0.0 212.175.x.49 ip route 0.0.0.0 0.0.0.0 217.151.x.49 ip nat pool ISP1-pool 212.175.x.14 212.175.x.14 prefix-length 28 ip nat pool ISP2-pool 217.151.y.130 217.151.y.130 prefix-length 27 ip nat inside source route-map ISP1-NAT pool ISP1-pool overload ip nat inside source route-map ISP2-NAT pool ISP2-pool overload ip access-list standard ISP1-gw permit 212.175.x.49 ip access-list standard ISP2-gw permit 217.151.y.49 access-list 4 permit 192.168.1.133 route-map ISP1-NAT permit 10 match ip address 4 match ip next-hop ISP1-gw route-map ISP2-NAT permit 10 match ip address 4 match ip next-hop ISP2-gw route-map ISP permit 10 match ip address 4 set ip next-hop verify-availability 212.175.x.49 20 track 123 set ip next-hop verify-availability 217.151.y.49 30 track 124 удачи!
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]