The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Как настроить Cisco для работы основного и бэкапного каналов. (cisco backup route balance)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: cisco, backup, route, balance,  (найти похожие документы)
From: fenix2 <fenix111@mail.ru.> Newsgroups: email Date: Mon, 24 Oct 2007 14:31:37 +0000 (UTC) Subject: Как настроить Cisco для работы основного и бэкапного каналов. ip sla или как сделать чтобы красиво работал основный\бэкапный каналы без BGP. Итак, у нас есть маршрутизатор Cisco и 2 канала, основной и бэкапный. Мы хотим 1. чтобы когда отваливался основной, работал бэкапный (и когда основной поднялся, маршрут обратно переписывался на него) 2. чтобы нагрузка между ними балансировалась (и с PBR в том числе). Опять же, при падении провайдера трафик не него не должен ходить. Оба провайдера у нас через ethernet, и статический маршрут не исчезнет при падении провайдера. Настроим IP SLA для проверки доступности провайдеров (пингуем наши дефолт-гейтвеи) ip sla 1 icmp-echo 80.91.170.13 source-interface GigabitEthernet0/1 timeout 2000 frequency 3 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo 83.218.239.13 source-interface GigabitEthernet0/2 timeout 2000 frequency 3 ip sla schedule 2 life forever start-time now track 1 rtr 1 reachability track 2 rtr 2 reachability Метод icmp-echo не очень хорош, т.к. при пропадании одного icmp пакета, что случается чаще чем я думал (можно глянуть коммандой show track), идёт переключение маршрута(об этом чуть позже). Лучше использовать, icmp-jitter (доступен с только с 12.4Т), тк. он пускает несколько пакетов. Например: ip sla 1 icmp-jitter 80.91.170.13 source-ip 80.91.170.14 num-packets 5 timeout 2 frequency 4 ip sla schedule 2 life forever start-time now ip sla 2 icmp-jitter 83.218.239.13 source-ip 83.218.239.14 num-packets 5 timeout 2 frequency 4 ip sla schedule 2 life forever start-time now И собственно добавим статические маршруты на провайдеров. ip route 0.0.0.0 0.0.0.0 80.91.170.13 50 track 1 (основной провайдер, AD 50) ip route 0.0.0.0 0.0.0.0 83.218.239.13 100 track 2 (бэкапный, AD 100) Если нету ответа на эхо запрос от провайдера, статический маршрут убирается. При отсутствии AD (Administrative Distance) в ip route у статических маршрутов будет load blancing (per destanation, при влючённом ip cef. Т.е. на один dst-ip всё поёдет через одного провайдера, на другой dst-ip через другого) Добавим еще PolicyBasedRouting (если у нас не симметричные каналы, или мы хотим чтобы некоторые внутренние хосты выходили через конкретного провайдера, а в случае его падения через бэкапного). В route-map выставляется приоритет на лучшего провайдера. рисуем рoут мап route-map 115 permit 10 match ip address 115 set ip next-hop verify-availability 80.91.170.13 10 track 1 set ip next-hop verify-availability 83.218.239.13 20 track 2 указывем в acl внутренних хостов access-list 115 permit ip host 192.168.0.15 any access-list 115 permit ip host 192.168.10.2 any access-list 115 permit ip host 192.168.0.161 any И вешаем ip policy route-map 115 На интерфейс который смотрит в локалку. При такой конфигурации переход на живого провайдера происходит примерно за время timeout в ip sla, т.е. 2 секунды.

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Zhenya (?), 03:20, 06/11/2007 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Я бы еще порекомендовал посмотреть в сторону OER (Optimized Edge Routing)
     
  • 1.2, sasha (??), 11:03, 06/11/2007 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    как подобное реализовать на linux без написания своих скриптов?
     
  • 1.3, jey (?), 22:23, 06/11/2007 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    А как быть если в cisco нет "ip sla"?
     
     
  • 2.4, frep (ok), 10:10, 07/11/2007 [^] [ответить]    [к модератору]
  • +/
    Поменять IOS.
     
  • 1.5, wesadex (??), 16:37, 13/11/2007 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Совсем уж глупый вопрос: а можно что-то аналогичное сделать на циске у которой один WAN-порт? т.е. я могу в свитч втыкнуть два прова и цискин ВАН и...
     
     
  • 2.6, crazycool (?), 19:02, 14/11/2007 [^] [ответить]    [к модератору]  
  • +/
    с помощью VLAN'ов раздели.
     
  • 1.7, Ranger (??), 13:45, 16/11/2007 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а если нужно, чтоб бэкапный канал (GPRS) поднимался только в случае отключения основного? и сигнал по нему проходил только с одного определенного хоста?
     
     
  • 2.8, crazycool (?), 14:48, 19/11/2007 [^] [ответить]    [к модератору]  
  • +/
    Для использования GPRS канала необходим GPRS-модем, на котором, по-моему, должны быть настройки, что только в случае необходимости (есть трафик) поднимается канал. В таком случае настраиваете SLA только на физический интерфейс, а в случае его падения используется маршрут по-умолчанию с большей метрикой
     
  • 1.9, Жуков Иван (?), 16:06, 22/11/2007 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Если можно таже задача, только с двумя провайдерами BGP, full-view от обоих.
     
     
  • 2.10, crazycool (?), 14:56, 23/11/2007 [^] [ответить]    [к модератору]  
  • +/
    а что тоже? что-то я не совсем понимаю, что вы хотите сделать?
     
     
  • 3.11, Иван Жуков (?), 15:56, 28/11/2007 [^] [ответить]    [к модератору]  
  • +/
    Имеется два канала от двух провайдеров, основной и резервный. Резервный канал должен работать только в случае падения основного. Сейчас на резервном провайдере просто neighbor shutdown, то есть переключаемся в ручную. Хотелось бы автоматизировать этот процесс.
     
     
  • 4.12, crazycool (?), 11:23, 05/12/2007 [^] [ответить]    [к модератору]  
  • +/
    используйте weight. с помощью pbr назначаем на маршруты приходящие от первого провайдера больший weight, в результате на сети, маршруты которых приходят от обоих провайдеров, трафик будет идти через маршрут с большим weight'ом. или я не совсем правильно понял задачу?
     
     
  • 5.13, Иван Жуков (?), 10:47, 06/12/2007 [^] [ответить]    [к модератору]  
  • +/
    Это только для исходящего трафика сработает. А как быть с входящим трафиком ? prepends тут не помогут, так как по резервному каналу все равно получаю значительный объем трафика.
     
     
  • 6.14, crazycool (?), 16:07, 06/12/2007 [^] [ответить]    [к модератору]  
  • +/
    да, это фигня... можно попробовать sla настроить и редистрибьютить сети сначала в один провайдер, а потому редистрибьютить в другой, в случае падения канала. ну а больше я даже не знаю как... все в основном prepends'ами делают. а почему ими не получается?
     
     
  • 7.15, crazycool (?), 16:14, 06/12/2007 [^] [ответить]    [к модератору]  
  • +/
    а еще вариантик есть. какая сеть закреплена за твоей AS'кой? хочется знать маску

     
     
  • 8.16, Иван Жуков (?), 08:28, 07/12/2007 [^] [ответить]    [к модератору]  
  • +/
    С помощью prepend, в лучшем случае получается распределение нагрузки, 10% трафика получаю через резервный канал. Этот трафик приходится оплачивать. У меня /22 маска сети. Можно разделить и основному прову анонсить две сети с /23 маской например. Но не уверен что это сработает.
     
     
  • 9.17, crazycool (?), 11:27, 07/12/2007 [^] [ответить]    [к модератору]  
  • +/
    ладно, с препендами закончим пока. есть вариант выполнить следующее:
    анонсить эксплит маршруты (например с /24 маской) в первый провайдер, а общую сеть /22 во второй. тогда переключени будет самым быстрым.
    а если больше препендов выставить? или там провайдер фильтрует? просто с препендами - это единственная возможность для того, чтобы выполнить это переключение с одного ИСП на другой.
    есть путь не дистрибьютить маршруты на второй провайдер, а в случае падения начать дистрибьюцию, но сколько времени при этом займет конвергенция - трудно сказать :((
     
     
  • 10.22, iros (ok), 10:28, 24/01/2008 [^] [ответить]    [к модератору]  
  • +/
    backup community спасет Вас.
    У меня тоже самое.
     
     
  • 11.23, crazycool (?), 11:22, 24/01/2008 [^] [ответить]    [к модератору]  
  • +/
    >backup community спасет Вас.
    >У меня тоже самое.

    простите, а на ссылку не наведете, как это работает и что это такое? очень интересно.

     
     
  • 12.28, Иван Жуков (?), 13:32, 19/03/2008 [^] [ответить]    [к модератору]  
  • +/
    >>backup community спасет Вас.
    >>У меня тоже самое.
    >
    >простите, а на ссылку не наведете, как это работает и что это
    >такое? очень интересно.

    Удалось настроить с использованием BGP Conditional Advertisement Feature
    http://www.cisco.com/warp/public/459/cond_adv.html

     
  • 1.18, LSA (?), 06:36, 18/12/2007 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как быть в случае с PAT? Ситуация - 2 провайдера, моя cisco, за ней серверы, на cisco настроен проброс определённых портов на сервера. Проблема в изменении параметров проброса при переключении между провами.
    Проброс настроен так:
    ip nat inside source list 100 interface FastEthernet0/1 overload
    ip nat inside source static tcp 210.10.0.2 21 xx.xx.xx.xx 21 extendable
    ip nat inside source static tcp 210.10.0.2 22 xx.xx.xx.xx 22 extendable
    Подскажите если кто знает как это победить!
     
     
  • 2.19, crazycool (?), 10:51, 21/12/2007 [^] [ответить]    [к модератору]  
  • +/
    а как менятся параметры проброса?
    вам провайдер выделяет IP 210.10.0.2, другой выделил другой IP...
    настройте 4 статики. или я что-то не понял?!
     
  • 2.27, kir (??), 14:27, 10/02/2008 [^] [ответить]    [к модератору]  
  • +/
    <<А как быть в случае с PAT? Ситуация - 2 провайдера, моя cisco, за ней серверы, на cisco настроен проброс определённых портов на сервера. Проблема в изменении параметров проброса при переключении между провами.
    Проброс настроен так:
    ip nat inside source list 100 interface FastEthernet0/1 overload
    ip nat inside source static tcp 210.10.0.2 21 xx.xx.xx.xx 21 extendable
    ip nat inside source static tcp 210.10.0.2 22 xx.xx.xx.xx 22 extendable
    Подскажите если кто знает как это победить!
    >>

    в случае с пат всё очень просто, там проблема в обратном пакете :

    1. просто работа того или другого (всё выше сказаное по переключению должно работать)

    ip nat inside source static tcp х.х.х.х 25 х1.х1.х1.х1 25 route-map имямэпа1 extendable no-alias
    ip nat inside source static tcp y.y.y.y 25 y1.y1.y1.y1 25 route-map имямэпа2 extendable no-alias


    route map имямэпа1 permit 10
    match interface имяфейса(x.x.x.x)

    route map имямэпа2 permit 10
    match interface имяфейса(y.y.y.y)

    2. если нуна балансировка:
    пункт 1 + :
    подымаете service ещё на одном порту и полисироутингом рулите

     
  • 2.37, Tpoxa (?), 11:22, 07/05/2013 [^] [ответить]    [к модератору]  
  • +/
    если 2 прова, то надо вместо
    ip nat inside source list 100 interface FastEthernet0/1 overload,
    потому что одна команда перебивает другую.
    Надо:
    ip nat inside source route-map <route_map_prov1> interface FastEthernet0/1 overload
    ip nat inside source route-map <route_map_prov2> interface FastEthernet0/1 overload

    роут мапы уже приписываешь кого и как ты выпускаешь, но часто они одинаковые.

    > А как быть в случае с PAT? Ситуация - 2 провайдера, моя
    > cisco, за ней серверы, на cisco настроен проброс определённых портов на
    > сервера. Проблема в изменении параметров проброса при переключении между провами.
    > Проброс настроен так:
    > ip nat inside source list 100 interface FastEthernet0/1 overload
    > ip nat inside source static tcp 210.10.0.2 21 xx.xx.xx.xx 21 extendable
    > ip nat inside source static tcp 210.10.0.2 22 xx.xx.xx.xx 22 extendable
    > Подскажите если кто знает как это победить!

     
  • 1.20, Dev (?), 22:55, 21/01/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Вопрос первый: у меня Cisco 3640 с таким ИОСом: c3640-i-mz.124-16.bin.. Это не 12,4Т, но 12,4 же, первый вариант должен прокатывать... А вот "ip sla" нету? Вернее "ip sla monitor 1" можно ввести, но дальше затык (я думаю, что это просто не совсем то)... Как быть?

    Второй вопрос: Если первый пров через сериал, а второй через езернет - разницы нет? Как я понимаю source-ip - это ip интерфейса, который смотри в сторону прова?

    Третий вопрос: первый айпи в строках проверки доступности - это любой хост в инете, который будет показателем доступности провайдера? просто у нас часто бывает, что пров доступен, а в середине маршрута - обломс... придется брать хост инета, а не шлюз прова, т.е. что-то типа  www.ru [194.87.0.50]. Я правильно понимаю?

    Заранее благодарен...

     
     
  • 2.21, crazycool (?), 10:05, 22/01/2008 [^] [ответить]    [к модератору]  
  • +/
    >Вопрос первый: у меня Cisco 3640 с таким ИОСом: c3640-i-mz.124-16.bin.. Это не
    >12,4Т, но 12,4 же, первый вариант должен прокатывать... А вот "ip
    >sla" нету? Вернее "ip sla monitor 1" можно ввести, но дальше
    >затык (я думаю, что это просто не совсем то)... Как быть?

    "IP SLAs - ICMP Echo Operation" для вашей платформы есть в IOS'ах IP версии 12.3 и 12.3T. Может, конечно, в 12.4 он уже называется как-то по другому, :(( но врядли...
    >
    >
    >Второй вопрос: Если первый пров через сериал, а второй через езернет -
    >разницы нет? Как я понимаю source-ip - это ip интерфейса, который
    >смотри в сторону прова?

    да. тут тип интерфейса не имеет значения.
    >
    >Третий вопрос: первый айпи в строках проверки доступности - это любой хост
    >в инете, который будет показателем доступности провайдера? просто у нас часто
    >бывает, что пров доступен, а в середине маршрута - обломс... придется
    >брать хост инета, а не шлюз прова, т.е. что-то типа  
    >www.ru [194.87.0.50]. Я правильно понимаю?

    правильно вы все понимаете. только в этом случае, обязательно использование route-map'ов, чтобы пинги уходили с нужного интерфейса.
    >
    >Заранее благодарен...

    да не за что...

     
     
  • 3.25, Dev (?), 07:24, 08/02/2008 [^] [ответить]    [к модератору]  
  • +/
    > "IP SLAs - ICMP Echo Operation" для вашей платформы есть в IOS'ах IP версии 12.3 и 12.3T. Может, конечно, в 12.4 он уже называется как-то по другому, :(( но врядли...

    Есть в моей, но там команда ip sla 1 не проходит, т.к. заменена на ip sla monitor 1... Остальное так же все...

    Вопрос: Все ввел, пинги пошли, но почему-то пишет такую статистику:

    Round trip time (RTT)   Index 1
            Latest RTT: 184 ms
    Latest operation start time: .09:16:41.419 PST Fri Feb 8 2008
    Latest operation return code: Over threshold
    Number of successes: 0
    Number of failures: 114
    Operation time to live: Forever

    Что значит - Latest operation return code: Over threshold?
    и как я понимаю -  Number of successes: 0
                       Number of failures: 114
    это значит ошибки... Но пинг то проходит - Latest RTT: 184 ms
    или так и должно быть?

     
     
  • 4.26, Dev (ok), 08:42, 08/02/2008 [^] [ответить]    [к модератору]  
  • +/
    >
    >Что значит - Latest operation return code: Over threshold?

    Разобрался :)


     
  • 1.24, kir (??), 18:19, 06/02/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    <<А как быть в случае с PAT? Ситуация - 2 провайдера, моя cisco, за ней серверы, на cisco настроен проброс определённых портов на сервера. Проблема в изменении параметров проброса при переключении между провами.
    Проброс настроен так:
    ip nat inside source list 100 interface FastEthernet0/1 overload
    ip nat inside source static tcp 210.10.0.2 21 xx.xx.xx.xx 21 extendable
    ip nat inside source static tcp 210.10.0.2 22 xx.xx.xx.xx 22 extendable
    Подскажите если кто знает как это победить!
    >>

    в случае с пат всё очень просто, там проблема в обратном пакете :

    1. просто работа того или другого (всё выше сказаное по переключению должно работать)

    ip nat inside source static tcp х.х.х.х 25 х1.х1.х1.х1 25 route-map имямэпа1 extendable no-alias
    ip nat inside source static tcp y.y.y.y 25 y1.y1.y1.y1 25 route-map имямэпа2 extendable no-alias


    route map имямэпа1 permit 10
    match interface имяфейса(x.x.x.x)

    route map имямэпа2 permit 10
    match interface имяфейса(y.y.y.y)

    2. если нуна балансировка:
    пункт 1 + :
    подымаете service ещё на одном порту и полисироутингом рулите

     
     
  • 2.29, Max (??), 09:53, 01/08/2008 [^] [ответить]    [к модератору]  
  • +/
    Господа, а как быть если проблемы с каналом не от провайдера до вас, а у самого провайдера. Если сделать что бы проверялась связь от вас до маршрутизатора провайдера, то при пропадании канала у самого провайдера, маршрутизатор провайдера будет пинговаться а вот переключения не получиться потому как ответ  от маршрутизатор провайдера приходит! Может целесообразнее ставить проверку пинга канала на внешние устройства например www.ru
     
  • 1.30, rincho (?), 17:44, 18/08/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вопрос: а как привязать PAT к двум или трём провайдерам? Ситуация такая что от каждого из провайдеров получаем статик дефолт маршрут. А задача получать инет на внутреннем интерфейсе с частной адресацией.  используется cisco 2811 , на ней подняты сабинтерфейсы. на сабинтерфейсы на выход поставлено ip nat outside. на сабинт внутренний ip nat inside. ip nat inside source list X.X.X.X x.x.x.x а overload делать куда?
     
     
  • 2.31, Max (??), 17:53, 02/09/2008 [^] [ответить]    [к модератору]  
  • +/
    Товарищи а почему никто не пишет, что для того что бы заработал jitter надо что бы было ещё оборудование которое поддерживало бы эту технологию.
    "Весьма важный момент: jitter тест возможен только между двумя устройствами Cisco поддерживающими IP SLA тесты. Вы не сможете запустить данный тест между маршрутизатором Cisco и, например, компьютером или маршрутизатором другого производителя."
    потом в моей версии IOS нпример необходимо установить ещё и порт по которому конектиться! "Router(config-sla-monitor)# type jitter dest-ipaddr 172.29.139.134 dest-port 5000" что за порт здесь этого не написанно! но без него никак!

     
  • 1.32, www_tank (ok), 11:55, 22/12/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    у меня проблема как у Ивана Жукова с той лишь разницей, что BGP поднять не реально.
    и вообще оба провайдера не будут никак учавствовать в моей беде.

    проблема с2801 со sla на двух каналах от двух провайдеров.
    на резервный канал кроме прочего трафика приходит Ipsec туннель. вот он и не поднимается, потому что первый же ответный пакет идет по дефолтовому маршруту в основной канал. статик на другой конец туннеля прописать не представляется возможным,т.е. там динамически выдаваемый Ip.

     
  • 1.33, tpoxa (?), 17:33, 24/12/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    можно было бы добавить инфу о том, как при этом сделать nat. обычный nat в этом случае работать не будет, точнее, будет работать только на 1 ифейс, а в данном случае надо чтобы на оба. надо сделать ip nat inside source route-map бла-бла. Но в качестве идеи автор молодец.
     
  • 1.34, tpoxa (?), 17:41, 24/12/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вот все просто и понятно http://www.cisco.com/en/US/tech/tk364/technologies_configuration_example09186
     
  • 1.35, костя (??), 19:16, 29/04/2013 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Всем привет, меня интересует как/что сделать так чтобы впн мог передавать на выходе только данные, те которые меня интересуют, а все остальное отсеивал??

    Заранее спасибо!


     
     
  • 2.36, crazycool (?), 19:28, 05/05/2013 [^] [ответить]    [к модератору]  
  • +/
    > Всем привет, меня интересует как/что сделать так чтобы впн мог передавать на
    > выходе только данные, те которые меня интересуют, а все остальное отсеивал??
    > Заранее спасибо!

    Что ты имеешь в виду под словами "на выходе"? Все зависит от того, какую технологию ты используешь для построения VPN туннелей.
    - Legacy IPSec
    - IPsec using VTI
    - DMVPN
    - GETVPN

    Kindly,
    Vitalii


     
  • 1.38, subbotin (?), 17:24, 18/06/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Здравствуйте, есть роутер:
    Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9_NPE-M), Version 15.3(3)M2, RELEASE SOFTWARE (fc1)
    ROM: System Bootstrap, Version 15.0(1r)M16, RELEASE SOFTWARE (fc1)
    Не могу дать команду ip sla 1
    Есть только варинты ip sla
    key-chain
    responder
    server
    Подскажите что делать, менять IOS? Если да, на какой?
     
     
  • 2.39, subbotin (?), 16:50, 26/06/2015 [^] [ответить]    [к модератору]  
  • +/
    Если кому интересно, решилось все заменой IOS на:
    Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.4(3)M2, RELEASE SOFTWARE (fc2) и активацией лицензии securityk9.
     
  • 1.40, Konstantin (??), 15:15, 28/03/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    приветствую.
    route-map 115 permit 10
            match ip address 115
            set ip next-hop verify-availability 80.91.170.13 10 track 1
            set ip next-hop verify-availability 83.218.239.13 20 track 2


    указывем в acl внутренних хостов

            access-list 115 permit ip host 192.168.0.15 any
            access-list 115 permit ip host 192.168.10.2 any
            access-list 115 permit ip host 192.168.0.161 any


    И вешаем

            ip policy route-map 115
    Сделал.работает но так как ip компа и днс моей конторы находяться в разных подсетях,и как только я вешаю на внутренний интерфейс этот route-map

    ip провайдер меняется,но и dns перестают работать по отношению к моему компу
    Как решит ьтакую проблему?

     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:




      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor