CISCO 2811 - 2прова, 2шлюза, PAT, NAT, не могу побороть... Опции Подписка на тему Сообщить другу Версия для печати Скачать тему Подписка на этот форум Режимы отображения Переключить на: Древовидный Стандартный Переключить на: Линейный

[Lexa]

Привет друзья админы (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif)

Два провайдера, два юзера в сети, один сервер в ДМЗ. У каждого юзера должен быть свой канал. До сервака с двух внешних айпи проброс по одинаковым портам.

Как сейчас работает:

interface FastEthernet1/0
description LAN
ip address 192.168.0.254 255.255.255.0
ip nat inside
ip policy route-map lan_map
!
interface FastEthernet1/0
description DMZ
ip address 172.16.0.254 255.255.255.0
ip nat inside
ip policy route-map dmz_map



interface FastEthernet0/0
description ISP2
ip address 200.1.1.229 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip nat enable
ip virtual-reassembly
duplex full
speed 100
no keepalive
no cdp enable
!
interface FastEthernet0/1
description ISP1
ip address 194.1.1.229 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip nat enable
ip virtual-reassembly
duplex full
speed 100
no keepalive
no cdp enable
!
ip route 0.0.0.0 0.0.0.0 200.1.1.230
ip route 0.0.0.0 0.0.0.0 194.1.1.230
!
ip access-list extended vasya_nat
permit ip host 192.168.0.1 any
!
ip access-list extended petya_nat
permit ip host 192.168.0.10 any
!
access-list 108 permit ip host 200.1.1.229 any
access-list 110 permit ip host 194.1.1.229 any
!
route-map lan_map permit 10
match ip address vasya_nat
set ip next-hop 200.1.1.230
!
route-map lan_map permit 20
match ip address petya_nat
set ip next-hop 194.1.1.230
!
route-map vasya_map permit 10
match ip address vasya_nat
!
route-map petya_map permit 10
match ip address petya_nat
!
route-map dmz_map permit 20
match ip address dmz_nat
set ip next-hop 194.1.1.230
!
ip local policy route-map LOCAL_MAP
!
route-map LOCAL_MAP permit 10
match ip address 108
set ip next-hop 200.1.1.229
!
route-map LOCAL_MAP permit 20
match ip address 110
set ip next-hop 194.1.1.230
!
ip nat inside source route-map vasya_map interface Fa0/0 overload
ip nat inside source route-map petya_map interface Fa0/1 overload
!
ip nat inside source static tcp 172.16.0.1 3000 194.1.1.229 3000 extendable
ip nat inside source static tcp 172.16.0.1 3000 200.1.1.229 3000 extendable
!

если в LOCAL_POLICY не указать айпи интерфейсов, то снаружи один из них не пингуется, а именно тот, чья сеть не в 0.0.0.0
не знает куда слать отклик


Всё работает при выключеном ip cef. Если включаю ip cef - входящий проброс со второго прова не работает.

С включеным ip cef невозможно подключиться к пробросу который ISP2. Не работает проброс если по умолчанию не шлюз второго прова или если он не забит первым для 0.0.0.0

Когда делаю traceroute от Пети, то ухожу по второму прову, т.к. он по дефолту, хотя прописано в route-map lan_map - match ip address petya_nat - set ip next-hop 194.1.1.230
Еще прикол в том, что хоть трейс и идёт не-туда - айпи в интернете светятся правильные для Пети иВаси, т.е. те которые я им назначаю натом.

Помогите разобраться в такой сложной схеме (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif) Голова кругом уже идёт (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif)

Хочется чтобы Вася ходил через второго прова, Петя через первого и при этом сервак был виден снаружи с двух интерфейсов.

[Автобот]

[Honda_I]

Я там даже конфиг не читал , Леха меня бесит что человек который работал со мной задает такие простые вопросы на которые есть уйма стандартных решений !!! , неужели нельзя попользоватсья поиском в Цыско , а найти вот это самостоятельно http://www.cisco.com/en/UStech/tk648tk361t...080950834.shtml

Я смотрю ты вообще ленивый стал

почитай вот про это VRRP и вот про это HSRP , пригодиться

[Honda_I]

HSRP вот это вроде сиськина дочка , на сиське лучше ее пользовать

[Lexa]

Я там даже конфиг не читал , Леха меня бесит что человек который работал со мной задает такие простые вопросы на которые есть уйма стандартных решений !!!

Стас, гавна в том, что последние 5 лет я на BSD системах работал (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif) Да и если ты помнишь, ТАМ у нас схема была иная - статические маршруты были прописаны везде, да и ospf помогал.

У меня проблема в том, что Цыска почему-то не возращает ответ на тотже интерфейс, откуда пришел входящий пакет при пробросе на сервак (IMG:http://autocenter.uz/forum/style_emoticons/default/sad.gif)

p.s. ты ведь не думаешь, что я раздолбай такой не перепробывав кучу решений, сразу полез сюда постить? (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif) кстати, ссылка не открывается

[Honda_I]

Стас, гавна в том, что последние 5 лет я на BSD системах работал (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif) Да и если ты помнишь, ТАМ у нас схема была иная - статические маршруты были прописаны везде, да и ospf помогал.

У меня проблема в том, что Цыска почему-то не возращает ответ на тотже интерфейс, откуда пришел входящий пакет при пробросе на сервак (IMG:http://autocenter.uz/forum/style_emoticons/default/sad.gif)

p.s. ты ведь не думаешь, что я раздолбай такой не перепробывав кучу решений, сразу полез сюда постить? (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif) кстати, ссылка не открывается

Сюда смотри http://www.cisco.com/en/US/tech/tk648/tk36...080950834.shtml

[Honda_I]

Стас, гавна в том, что последние 5 лет я на BSD системах работал (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif) Да и если ты помнишь, ТАМ у нас схема была иная - статические маршруты были прописаны везде, да и ospf помогал.

У меня проблема в том, что Цыска почему-то не возращает ответ на тотже интерфейс, откуда пришел входящий пакет при пробросе на сервак (IMG:http://autocenter.uz/forum/style_emoticons/default/sad.gif)

p.s. ты ведь не думаешь, что я раздолбай такой не перепробывав кучу решений, сразу полез сюда постить? (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif) кстати, ссылка не открывается

Вообще то мне думать не нужно , я знаю что ты раздолбай Леха ))))))))))) , Бисидями не отмазывайся , там точно все так же , даже по одному протоколу делаеться с двумя и более провидерами .
http://www.xgu.ru/wiki/%D0%9E%D1%82%D0%BA%...%86%D0%B8%D1%8F

[Aladdin]

хе-хе, нашли где постить. (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif)
Думаете на автоцентре так много системных инженеров? (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif)

[Lexa]

хе-хе, нашли где постить. (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif)
Думаете на автоцентре так много системных инженеров? (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif)

хе-хе )) Админ ТПС, админ Саркора, Honda_I, Dimok, DarkAngel и типа йа )))


------------------

Наворотил вообщем я всё - работает отлично + еще мониторинг состояния канала основного (IMG:http://autocenter.uz/forum/style_emoticons/default/smile.gif) Отваливается если, поднимаем второй, но не забывает проверять первый, дабы как можно скорее на него вернуться!

Что получилось из конфига, чтоб со второго прова пробросы работали входящие. Пользователи выходят нормуль, т.к. ip-cef помогает. route-mapы у них те-же что и в предыдущем конфиге.


Fa0/0
descr isp2
213.1.1.229/30
ip nat outside

Fa0/1
descr isp1
194.1.1.229/30
ip nat outside

Fa0/0/0
10.10.222.1
ip nat inside
ip policy route-map pbr_map

ip sla monitor 1
type echo protocol ipIcmpEcho 74.125.87.99 source-ipaddr 194.1.1.229
timeout 3000
frequency 10
ip sla monitor schedule 1 life forever start-time now

track 101 rtr 1 reachability

ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 194.1.1.230 track 101
ip route 0.0.0.0 0.0.0.0 FastEthernet0/0 213.1.1.230 50

ip nat pool endorphin 192.168.222.1 192.168.222.254 netmask 255.255.255.0 add-route
ip nat inside source static tcp 10.10.222.254 3000 194.1.1.229 3000 extendable
ip nat inside source static tcp 10.10.222.254 3000 213.1.1.229 3000 extendable
ip nat outside source list to_isp2 pool endorphin

ip access-list extended to_isp2
permit tcp any host 213.1.1.229 eq 3000

access-list 124 permit tcp any 192.168.222.0 0.0.0.255

route-map pbr permit 10
match ip address 124
match interface Fat0/0
set ip next-hop 213.1.1.230

типа того... в инете дохрена, что написано, но чтоб всё вместе было и работало - фиг там

а еще цискари гады-чтоб завести две HWIC 4ESW карточки, пришлось соеденить их кабелем между собой и

interface FastEthernet0/0/0
switchport stacking-partner interface FastEthernet0/3/0
interface FastEthernet0/3/0
switchport stacking-partner interface FastEthernet0/0/0