The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

Как настроить Cisco для работы основного и бэкапного каналов. (cisco backup route balance)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: cisco, backup, route, balance,  (найти похожие документы)
From: fenix2 <fenix111@mail.ru.> Newsgroups: email Date: Mon, 24 Oct 2007 14:31:37 +0000 (UTC) Subject: Как настроить Cisco для работы основного и бэкапного каналов. ip sla или как сделать чтобы красиво работал основный\бэкапный каналы без BGP. Итак, у нас есть маршрутизатор Cisco и 2 канала, основной и бэкапный. Мы хотим 1. чтобы когда отваливался основной, работал бэкапный (и когда основной поднялся, маршрут обратно переписывался на него) 2. чтобы нагрузка между ними балансировалась (и с PBR в том числе). Опять же, при падении провайдера трафик не него не должен ходить. Оба провайдера у нас через ethernet, и статический маршрут не исчезнет при падении провайдера. Настроим IP SLA для проверки доступности провайдеров (пингуем наши дефолт-гейтвеи) ip sla 1 icmp-echo 80.91.170.13 source-interface GigabitEthernet0/1 timeout 2000 frequency 3 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo 83.218.239.13 source-interface GigabitEthernet0/2 timeout 2000 frequency 3 ip sla schedule 2 life forever start-time now track 1 rtr 1 reachability track 2 rtr 2 reachability Метод icmp-echo не очень хорош, т.к. при пропадании одного icmp пакета, что случается чаще чем я думал (можно глянуть коммандой show track), идёт переключение маршрута(об этом чуть позже). Лучше использовать, icmp-jitter (доступен с только с 12.4Т), тк. он пускает несколько пакетов. Например: ip sla 1 icmp-jitter 80.91.170.13 source-ip 80.91.170.14 num-packets 5 timeout 2 frequency 4 ip sla schedule 2 life forever start-time now ip sla 2 icmp-jitter 83.218.239.13 source-ip 83.218.239.14 num-packets 5 timeout 2 frequency 4 ip sla schedule 2 life forever start-time now И собственно добавим статические маршруты на провайдеров. ip route 0.0.0.0 0.0.0.0 80.91.170.13 50 track 1 (основной провайдер, AD 50) ip route 0.0.0.0 0.0.0.0 83.218.239.13 100 track 2 (бэкапный, AD 100) Если нету ответа на эхо запрос от провайдера, статический маршрут убирается. При отсутствии AD (Administrative Distance) в ip route у статических маршрутов будет load blancing (per destanation, при влючённом ip cef. Т.е. на один dst-ip всё поёдет через одного провайдера, на другой dst-ip через другого) Добавим еще PolicyBasedRouting (если у нас не симметричные каналы, или мы хотим чтобы некоторые внутренние хосты выходили через конкретного провайдера, а в случае его падения через бэкапного). В route-map выставляется приоритет на лучшего провайдера. рисуем рoут мап route-map 115 permit 10 match ip address 115 set ip next-hop verify-availability 80.91.170.13 10 track 1 set ip next-hop verify-availability 83.218.239.13 20 track 2 указывем в acl внутренних хостов access-list 115 permit ip host 192.168.0.15 any access-list 115 permit ip host 192.168.10.2 any access-list 115 permit ip host 192.168.0.161 any И вешаем ip policy route-map 115 На интерфейс который смотрит в локалку. При такой конфигурации переход на живого провайдера происходит примерно за время timeout в ip sla, т.е. 2 секунды.

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Zhenya, 03:20, 06/11/2007 [ответить] [смотреть все]
  • +/
    Я бы еще порекомендовал посмотреть в сторону OER (Optimized Edge Routing)
     
  • 1.2, sasha, 11:03, 06/11/2007 [ответить] [смотреть все]
  • +/
    как подобное реализовать на linux без написания своих скриптов?
     
  • 1.3, jey, 22:23, 06/11/2007 [ответить] [смотреть все]
  • +/
    А как быть если в cisco нет "ip sla"?
     
     
  • 2.4, frep, 10:10, 07/11/2007 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Поменять IOS.
     
  • 1.5, wesadex, 16:37, 13/11/2007 [ответить] [смотреть все]
  • +/
    Совсем уж глупый вопрос: а можно что-то аналогичное сделать на циске у которой один WAN-порт? т.е. я могу в свитч втыкнуть два прова и цискин ВАН и...
     
     
  • 2.6, crazycool, 19:02, 14/11/2007 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    с помощью VLAN'ов раздели.
     
  • 1.7, Ranger, 13:45, 16/11/2007 [ответить] [смотреть все]  
  • +/
    а если нужно, чтоб бэкапный канал (GPRS) поднимался только в случае отключения основного? и сигнал по нему проходил только с одного определенного хоста?
     
     
  • 2.8, crazycool, 14:48, 19/11/2007 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Для использования GPRS канала необходим GPRS-модем, на котором, по-моему, должны... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, Жуков Иван, 16:06, 22/11/2007 [ответить] [смотреть все]  
  • +/
    Если можно таже задача, только с двумя провайдерами BGP, full-view от обоих.
     
     
  • 2.10, crazycool, 14:56, 23/11/2007 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а что тоже? что-то я не совсем понимаю, что вы хотите сделать?
     
     
  • 3.11, Иван Жуков, 15:56, 28/11/2007 [^] [ответить] [смотреть все]  
  • +/
    Имеется два канала от двух провайдеров, основной и резервный Резервный канал до... весь текст скрыт [показать]
     
     
  • 4.12, crazycool, 11:23, 05/12/2007 [^] [ответить] [смотреть все]  
  • +/
    используйте weight с помощью pbr назначаем на маршруты приходящие от первого пр... весь текст скрыт [показать]
     
     
  • 5.13, Иван Жуков, 10:47, 06/12/2007 [^] [ответить] [смотреть все]  
  • +/
    Это только для исходящего трафика сработает А как быть с входящим трафиком pr... весь текст скрыт [показать]
     
     
  • 6.14, crazycool, 16:07, 06/12/2007 [^] [ответить] [смотреть все]  
  • +/
    да, это фигня можно попробовать sla настроить и редистрибьютить сети сначала ... весь текст скрыт [показать]
     
     
  • 7.15, crazycool, 16:14, 06/12/2007 [^] [ответить] [смотреть все]  
  • +/
    а еще вариантик есть какая сеть закреплена за твоей AS кой хочется знать маску... весь текст скрыт [показать]
     
     
  • 8.16, Иван Жуков, 08:28, 07/12/2007 [^] [ответить] [смотреть все]  
  • +/
    С помощью prepend, в лучшем случае получается распределение нагрузки, 10 трафик... весь текст скрыт [показать]
     
     
  • 9.17, crazycool, 11:27, 07/12/2007 [^] [ответить] [смотреть все]  
  • +/
    ладно, с препендами закончим пока есть вариант выполнить следующее анонсить эк... весь текст скрыт [показать]
     
     
  • 10.22, iros, 10:28, 24/01/2008 [^] [ответить] [смотреть все]  
  • +/
    backup community спасет Вас.
    У меня тоже самое.
     
     
  • 11.23, crazycool, 11:22, 24/01/2008 [^] [ответить] [смотреть все]  
  • +/
    простите, а на ссылку не наведете, как это работает и что это такое очень интер... весь текст скрыт [показать]
     
     
  • 12.28, Иван Жуков, 13:32, 19/03/2008 [^] [ответить] [смотреть все]  
  • +/
    Удалось настроить с использованием BGP Conditional Advertisement Feature http ... весь текст скрыт [показать]
     
  • 1.18, LSA, 06:36, 18/12/2007 [ответить] [смотреть все]  
  • +/
    А как быть в случае с PAT? Ситуация - 2 провайдера, моя cisco, за ней серверы, на cisco настроен проброс определённых портов на сервера. Проблема в изменении параметров проброса при переключении между провами.
    Проброс настроен так:
    ip nat inside source list 100 interface FastEthernet0/1 overload
    ip nat inside source static tcp 210.10.0.2 21 xx.xx.xx.xx 21 extendable
    ip nat inside source static tcp 210.10.0.2 22 xx.xx.xx.xx 22 extendable
    Подскажите если кто знает как это победить!
     
     
  • 2.19, crazycool, 10:51, 21/12/2007 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а как менятся параметры проброса вам провайдер выделяет IP 210 10 0 2, другой в... весь текст скрыт [показать] [показать ветку]
     
  • 2.27, kir, 14:27, 10/02/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А как быть в случае с PAT Ситуация - 2 провайдера, моя cisco, за ней серверы,... весь текст скрыт [показать] [показать ветку]
     
  • 2.37, Tpoxa, 11:22, 07/05/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    если 2 прова, то надо вместо ip nat inside source list 100 interface FastEthern... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Dev, 22:55, 21/01/2008 [ответить] [смотреть все]  
  • +/
    Вопрос первый: у меня Cisco 3640 с таким ИОСом: c3640-i-mz.124-16.bin.. Это не 12,4Т, но 12,4 же, первый вариант должен прокатывать... А вот "ip sla" нету? Вернее "ip sla monitor 1" можно ввести, но дальше затык (я думаю, что это просто не совсем то)... Как быть?

    Второй вопрос: Если первый пров через сериал, а второй через езернет - разницы нет? Как я понимаю source-ip - это ip интерфейса, который смотри в сторону прова?

    Третий вопрос: первый айпи в строках проверки доступности - это любой хост в инете, который будет показателем доступности провайдера? просто у нас часто бывает, что пров доступен, а в середине маршрута - обломс... придется брать хост инета, а не шлюз прова, т.е. что-то типа  www.ru [194.87.0.50]. Я правильно понимаю?

    Заранее благодарен...

     
     
  • 2.21, crazycool, 10:05, 22/01/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    IP SLAs - ICMP Echo Operation для вашей платформы есть в IOS ах IP версии 12 3... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.25, Dev, 07:24, 08/02/2008 [^] [ответить] [смотреть все]  
  • +/
    Есть в моей, но там команда ip sla 1 не проходит, т к заменена на ip sla monito... весь текст скрыт [показать]
     
     
  • 4.26, Dev, 08:42, 08/02/2008 [^] [ответить] [смотреть все]  
  • +/
    Разобрался ... весь текст скрыт [показать]
     
  • 1.24, kir, 18:19, 06/02/2008 [ответить] [смотреть все]  
  • +/
    А как быть в случае с PAT Ситуация - 2 провайдера, моя cisco, за ней серверы,... весь текст скрыт [показать]
     
     
  • 2.29, Max, 09:53, 01/08/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Господа, а как быть если проблемы с каналом не от провайдера до вас, а у самого провайдера. Если сделать что бы проверялась связь от вас до маршрутизатора провайдера, то при пропадании канала у самого провайдера, маршрутизатор провайдера будет пинговаться а вот переключения не получиться потому как ответ  от маршрутизатор провайдера приходит! Может целесообразнее ставить проверку пинга канала на внешние устройства например www.ru
     
  • 1.30, rincho, 17:44, 18/08/2008 [ответить] [смотреть все]  
  • +/
    вопрос: а как привязать PAT к двум или трём провайдерам? Ситуация такая что от каждого из провайдеров получаем статик дефолт маршрут. А задача получать инет на внутреннем интерфейсе с частной адресацией.  используется cisco 2811 , на ней подняты сабинтерфейсы. на сабинтерфейсы на выход поставлено ip nat outside. на сабинт внутренний ip nat inside. ip nat inside source list X.X.X.X x.x.x.x а overload делать куда?
     
     
  • 2.31, Max, 17:53, 02/09/2008 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Товарищи а почему никто не пишет, что для того что бы заработал jitter надо что бы было ещё оборудование которое поддерживало бы эту технологию.
    "Весьма важный момент: jitter тест возможен только между двумя устройствами Cisco поддерживающими IP SLA тесты. Вы не сможете запустить данный тест между маршрутизатором Cisco и, например, компьютером или маршрутизатором другого производителя."
    потом в моей версии IOS нпример необходимо установить ещё и порт по которому конектиться! "Router(config-sla-monitor)# type jitter dest-ipaddr 172.29.139.134 dest-port 5000" что за порт здесь этого не написанно! но без него никак!

     
  • 1.32, www_tank, 11:55, 22/12/2008 [ответить] [смотреть все]  
  • +/
    у меня проблема как у Ивана Жукова с той лишь разницей, что BGP поднять не реально.
    и вообще оба провайдера не будут никак учавствовать в моей беде.

    проблема с2801 со sla на двух каналах от двух провайдеров.
    на резервный канал кроме прочего трафика приходит Ipsec туннель. вот он и не поднимается, потому что первый же ответный пакет идет по дефолтовому маршруту в основной канал. статик на другой конец туннеля прописать не представляется возможным,т.е. там динамически выдаваемый Ip.

     
  • 1.33, tpoxa, 17:33, 24/12/2012 [ответить] [смотреть все]  
  • +/
    можно было бы добавить инфу о том, как при этом сделать nat. обычный nat в этом случае работать не будет, точнее, будет работать только на 1 ифейс, а в данном случае надо чтобы на оба. надо сделать ip nat inside source route-map бла-бла. Но в качестве идеи автор молодец.
     
  • 1.34, tpoxa, 17:41, 24/12/2012 [ответить] [смотреть все]  
  • +/
    вот все просто и понятно http://www.cisco.com/en/US/tech/tk364/technologies_configuration_example09186
     
  • 1.35, костя, 19:16, 29/04/2013 [ответить] [смотреть все]  
  • +/
    Всем привет, меня интересует как/что сделать так чтобы впн мог передавать на выходе только данные, те которые меня интересуют, а все остальное отсеивал??

    Заранее спасибо!


     
     
  • 2.36, crazycool, 19:28, 05/05/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Всем привет, меня интересует как/что сделать так чтобы впн мог передавать на
    > выходе только данные, те которые меня интересуют, а все остальное отсеивал??
    > Заранее спасибо!

    Что ты имеешь в виду под словами "на выходе"? Все зависит от того, какую технологию ты используешь для построения VPN туннелей.
    - Legacy IPSec
    - IPsec using VTI
    - DMVPN
    - GETVPN

    Kindly,
    Vitalii


     
  • 1.38, subbotin, 17:24, 18/06/2015 [ответить] [смотреть все]  
  • +/
    Здравствуйте, есть роутер:
    Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9_NPE-M), Version 15.3(3)M2, RELEASE SOFTWARE (fc1)
    ROM: System Bootstrap, Version 15.0(1r)M16, RELEASE SOFTWARE (fc1)
    Не могу дать команду ip sla 1
    Есть только варинты ip sla
    key-chain
    responder
    server
    Подскажите что делать, менять IOS? Если да, на какой?
     
     
  • 2.39, subbotin, 16:50, 26/06/2015 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если кому интересно, решилось все заменой IOS на:
    Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.4(3)M2, RELEASE SOFTWARE (fc2) и активацией лицензии securityk9.
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:





      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor