Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ   WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Ключевые слова: cisco, backup, route, balance,  (найти похожие документы)

From: fenix2 <fenix111@mail.ru.>
Newsgroups: email
Date: Mon, 24 Oct 2007 14:31:37 +0000 (UTC)
Subject: Как настроить Cisco для работы основного и бэкапного каналов.


ip sla или как сделать чтобы красиво работал основный\бэкапный каналы без BGP.


Итак, у нас есть маршрутизатор Cisco и 2 канала, основной и бэкапный. 

Мы хотим 

1. чтобы когда отваливался основной, работал бэкапный (и когда основной
поднялся, маршрут обратно переписывался на него)

2. чтобы нагрузка между ними балансировалась (и с PBR в том числе).
Опять же, при падении провайдера трафик не него не должен ходить.

Оба провайдера у нас через ethernet, и статический маршрут не исчезнет
при падении провайдера.

Настроим IP SLA для проверки доступности провайдеров
(пингуем наши дефолт-гейтвеи)

        ip sla 1
        icmp-echo 80.91.170.13 source-interface GigabitEthernet0/1  
        timeout 2000  
        frequency 3 
        ip sla schedule 1 life forever start-time now

        ip sla 2
        icmp-echo 83.218.239.13 source-interface GigabitEthernet0/2  
        timeout 2000  
        frequency 3 
        ip sla schedule 2 life forever start-time now

        track 1 rtr 1 reachability
        track 2 rtr 2 reachability


Метод icmp-echo не очень хорош, т.к. при пропадании одного icmp пакета,
что случается чаще чем я думал (можно глянуть коммандой show track), 
идёт переключение маршрута(об этом чуть позже). Лучше использовать, icmp-jitter 
(доступен с только с 12.4Т), тк. он пускает несколько пакетов.
Например:

        ip sla 1
          icmp-jitter 80.91.170.13 source-ip 80.91.170.14 num-packets 5
          timeout 2
          frequency 4
        ip sla schedule 2 life forever start-time now

        ip sla 2
          icmp-jitter 83.218.239.13 source-ip 83.218.239.14 num-packets 5
          timeout 2
          frequency 4
        ip sla schedule 2 life forever start-time now


И собственно добавим статические маршруты на провайдеров.

        ip route 0.0.0.0 0.0.0.0 80.91.170.13 50 track 1 (основной провайдер, AD 50)
        ip route 0.0.0.0 0.0.0.0 83.218.239.13 100 track 2 (бэкапный, AD 100)


Если нету ответа на эхо запрос от провайдера, статический маршрут
убирается.

При отсутствии AD (Administrative Distance) в ip route у статических маршрутов будет load blancing
(per destanation, при влючённом ip cef. Т.е. на один dst-ip всё поёдет через одного провайдера, на другой dst-ip через другого)

Добавим еще PolicyBasedRouting (если у нас не симметричные каналы, или мы хотим чтобы
некоторые внутренние хосты выходили через конкретного провайдера, а в
случае его падения через бэкапного). В route-map выставляется приоритет
на лучшего провайдера.

рисуем рoут мап

        route-map 115 permit 10
        match ip address 115
        set ip next-hop verify-availability 80.91.170.13 10 track 1
        set ip next-hop verify-availability 83.218.239.13 20 track 2


указывем в acl внутренних хостов

        access-list 115 permit ip host 192.168.0.15 any
        access-list 115 permit ip host 192.168.10.2 any
        access-list 115 permit ip host 192.168.0.161 any


И вешаем 

        ip policy route-map 115


На интерфейс который смотрит в локалку.

При такой конфигурации переход на живого провайдера происходит примерно
за время timeout в ip sla, т.е. 2 секунды.

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]   1.1, Zhenya, 03:20, 06/11/2007 [ответить] [смотреть все] +/– Я бы еще порекомендовал посмотреть в сторону OER (Optimized Edge Routing)   1.2, sasha, 11:03, 06/11/2007 [ответить] [смотреть все] +/– как подобное реализовать на linux без написания своих скриптов?   1.3, jey, 22:23, 06/11/2007 [ответить] [смотреть все] +/– А как быть если в cisco нет "ip sla"?     2.4, frep, 10:10, 07/11/2007 [^] [ответить] [смотреть все] [показать ветку] +/– Поменять IOS ... весь текст скрыт [показать] [показать ветку]   1.5, wesadex, 16:37, 13/11/2007 [ответить] [смотреть все]   +/– Совсем уж глупый вопрос: а можно что-то аналогичное сделать на циске у которой один WAN-порт? т.е. я могу в свитч втыкнуть два прова и цискин ВАН и...     2.6, crazycool, 19:02, 14/11/2007 [^] [ответить] [смотреть все] [показать ветку]   +/– с помощью VLAN ов раздели ... весь текст скрыт [показать] [показать ветку]   1.7, Ranger, 13:45, 16/11/2007 [ответить] [смотреть все]   +/– а если нужно, чтоб бэкапный канал (GPRS) поднимался только в случае отключения основного? и сигнал по нему проходил только с одного определенного хоста?     2.8, crazycool, 14:48, 19/11/2007 [^] [ответить] [смотреть все] [показать ветку]   +/– Для использования GPRS канала необходим GPRS-модем, на котором, по-моему, должны... весь текст скрыт [показать] [показать ветку]   1.9, Жуков Иван, 16:06, 22/11/2007 [ответить] [смотреть все]   +/– Если можно таже задача, только с двумя провайдерами BGP, full-view от обоих.     2.10, crazycool, 14:56, 23/11/2007 [^] [ответить] [смотреть все] [показать ветку]   +/– а что тоже что-то я не совсем понимаю, что вы хотите сделать ... весь текст скрыт [показать] [показать ветку]     3.11, Иван Жуков, 15:56, 28/11/2007 [^] [ответить] [смотреть все]   +/– Имеется два канала от двух провайдеров, основной и резервный Резервный канал до... весь текст скрыт [показать]     4.12, crazycool, 11:23, 05/12/2007 [^] [ответить] [смотреть все]   +/– используйте weight с помощью pbr назначаем на маршруты приходящие от первого пр... весь текст скрыт [показать]     5.13, Иван Жуков, 10:47, 06/12/2007 [^] [ответить] [смотреть все]   +/– Это только для исходящего трафика сработает А как быть с входящим трафиком pr... весь текст скрыт [показать]     6.14, crazycool, 16:07, 06/12/2007 [^] [ответить] [смотреть все]   +/– да, это фигня можно попробовать sla настроить и редистрибьютить сети сначала ... весь текст скрыт [показать]     7.15, crazycool, 16:14, 06/12/2007 [^] [ответить] [смотреть все]   +/– а еще вариантик есть какая сеть закреплена за твоей AS кой хочется знать маску... весь текст скрыт [показать]     8.16, Иван Жуков, 08:28, 07/12/2007 [^] [ответить] [смотреть все]   +/– С помощью prepend, в лучшем случае получается распределение нагрузки, 10 трафик... весь текст скрыт [показать]     9.17, crazycool, 11:27, 07/12/2007 [^] [ответить] [смотреть все]   +/– ладно, с препендами закончим пока есть вариант выполнить следующее анонсить эк... весь текст скрыт [показать]     10.22, iros, 10:28, 24/01/2008 [^] [ответить] [смотреть все]   +/– backup community спасет Вас У меня тоже самое ... весь текст скрыт [показать]     11.23, crazycool, 11:22, 24/01/2008 [^] [ответить] [смотреть все]   +/– простите, а на ссылку не наведете, как это работает и что это такое очень интер... весь текст скрыт [показать]     12.28, Иван Жуков, 13:32, 19/03/2008 [^] [ответить] [смотреть все]   +/– Удалось настроить с использованием BGP Conditional Advertisement Feature http ... весь текст скрыт [показать]     ....нить скрыта, показать (11) 1.18, LSA, 06:36, 18/12/2007 [ответить] [смотреть все]   +/– А как быть в случае с PAT? Ситуация - 2 провайдера, моя cisco, за ней серверы, на cisco настроен проброс определённых портов на сервера. Проблема в изменении параметров проброса при переключении между провами. Проброс настроен так: ip nat inside source list 100 interface FastEthernet0/1 overload ip nat inside source static tcp 210.10.0.2 21 xx.xx.xx.xx 21 extendable ip nat inside source static tcp 210.10.0.2 22 xx.xx.xx.xx 22 extendable Подскажите если кто знает как это победить!     2.19, crazycool, 10:51, 21/12/2007 [^] [ответить] [смотреть все] [показать ветку]   +/– а как менятся параметры проброса? вам провайдер выделяет IP 210.10.0.2, другой выделил другой IP... настройте 4 статики. или я что-то не понял?!   2.27, kir, 14:27, 10/02/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– А как быть в случае с PAT Ситуация - 2 провайдера, моя cisco, за ней серверы,... весь текст скрыт [показать] [показать ветку]   1.20, Dev, 22:55, 21/01/2008 [ответить] [смотреть все]   +/– Вопрос первый: у меня Cisco 3640 с таким ИОСом: c3640-i-mz.124-16.bin.. Это не 12,4Т, но 12,4 же, первый вариант должен прокатывать... А вот "ip sla" нету? Вернее "ip sla monitor 1" можно ввести, но дальше затык (я думаю, что это просто не совсем то)... Как быть? Второй вопрос: Если первый пров через сериал, а второй через езернет - разницы нет? Как я понимаю source-ip - это ip интерфейса, который смотри в сторону прова? Третий вопрос: первый айпи в строках проверки доступности - это любой хост в инете, который будет показателем доступности провайдера? просто у нас часто бывает, что пров доступен, а в середине маршрута - обломс... придется брать хост инета, а не шлюз прова, т.е. что-то типа  www.ru [194.87.0.50]. Я правильно понимаю? Заранее благодарен...     2.21, crazycool, 10:05, 22/01/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– IP SLAs - ICMP Echo Operation для вашей платформы есть в IOS ах IP версии 12 3... весь текст скрыт [показать] [показать ветку]     3.25, Dev, 07:24, 08/02/2008 [^] [ответить] [смотреть все]   +/– > "IP SLAs - ICMP Echo Operation" для вашей платформы есть в IOS'ах IP версии 12.3 и 12.3T. Может, конечно, в 12.4 он уже называется как-то по другому, :(( но врядли... Есть в моей, но там команда ip sla 1 не проходит, т.к. заменена на ip sla monitor 1... Остальное так же все... Вопрос: Все ввел, пинги пошли, но почему-то пишет такую статистику: Round trip time (RTT)   Index 1         Latest RTT: 184 ms Latest operation start time: .09:16:41.419 PST Fri Feb 8 2008 Latest operation return code: Over threshold Number of successes: 0 Number of failures: 114 Operation time to live: Forever Что значит - Latest operation return code: Over threshold? и как я понимаю -  Number of successes: 0                    Number of failures: 114 это значит ошибки... Но пинг то проходит - Latest RTT: 184 ms или так и должно быть?     4.26, Dev, 08:42, 08/02/2008 [^] [ответить] [смотреть все]   +/– > >Что значит - Latest operation return code: Over threshold? Разобрался :)   1.24, kir, 18:19, 06/02/2008 [ответить] [смотреть все]   +/– А как быть в случае с PAT Ситуация - 2 провайдера, моя cisco, за ней серверы,... весь текст скрыт [показать]     2.29, Max, 09:53, 01/08/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– Господа, а как быть если проблемы с каналом не от провайдера до вас, а у самого провайдера. Если сделать что бы проверялась связь от вас до маршрутизатора провайдера, то при пропадании канала у самого провайдера, маршрутизатор провайдера будет пинговаться а вот переключения не получиться потому как ответ  от маршрутизатор провайдера приходит! Может целесообразнее ставить проверку пинга канала на внешние устройства например www.ru   1.30, rincho, 17:44, 18/08/2008 [ответить] [смотреть все]   +/– вопрос: а как привязать PAT к двум или трём провайдерам? Ситуация такая что от каждого из провайдеров получаем статик дефолт маршрут. А задача получать инет на внутреннем интерфейсе с частной адресацией.  используется cisco 2811 , на ней подняты сабинтерфейсы. на сабинтерфейсы на выход поставлено ip nat outside. на сабинт внутренний ip nat inside. ip nat inside source list X.X.X.X x.x.x.x а overload делать куда?     2.31, Max, 17:53, 02/09/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– Товарищи а почему никто не пишет, что для того что бы заработал jitter надо что бы было ещё оборудование которое поддерживало бы эту технологию. "Весьма важный момент: jitter тест возможен только между двумя устройствами Cisco поддерживающими IP SLA тесты. Вы не сможете запустить данный тест между маршрутизатором Cisco и, например, компьютером или маршрутизатором другого производителя." потом в моей версии IOS нпример необходимо установить ещё и порт по которому конектиться! "Router(config-sla-monitor)# type jitter dest-ipaddr 172.29.139.134 dest-port 5000" что за порт здесь этого не написанно! но без него никак!   1.32, www_tank, 11:55, 22/12/2008 [ответить] [смотреть все]   +/– у меня проблема как у Ивана Жукова с той лишь разницей, что BGP поднять не реально. и вообще оба провайдера не будут никак учавствовать в моей беде. проблема с2801 со sla на двух каналах от двух провайдеров. на резервный канал кроме прочего трафика приходит Ipsec туннель. вот он и не поднимается, потому что первый же ответный пакет идет по дефолтовому маршруту в основной канал. статик на другой конец туннеля прописать не представляется возможным,т.е. там динамически выдаваемый Ip.   Ваш комментарий Имя:          E-Mail:       Заголовок: Текст:

АКЦИЯ! ПОДПИШИСЬ на журнал Linux Format до 31 января 2012 года и выиграй СУПЕРПРИЗ! Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи. Каждый, кто оформит подписку, получает бонус- объёмные наклейки на системный блок и подарки: с одним из первых выпусков журнала в 2012 году- диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате. Подробнее о проведении акции вы можете прочитать на странице сайта.