Обсуждение статьи тематического каталога: Как настроить Cisco для работы основного и бэкапного каналов. (cisco backup route balance)Ссылка на текст статьи: http://www.opennet.ru/base/cisco/ip_sla.txt.html
Я бы еще порекомендовал посмотреть в сторону OER (Optimized Edge Routing)
как подобное реализовать на linux без написания своих скриптов?
А как быть если в cisco нет "ip sla"?
Поменять IOS.
Совсем уж глупый вопрос: а можно что-то аналогичное сделать на циске у которой один WAN-порт? т.е. я могу в свитч втыкнуть два прова и цискин ВАН и...
с помощью VLAN'ов раздели.
а если нужно, чтоб бэкапный канал (GPRS) поднимался только в случае отключения основного? и сигнал по нему проходил только с одного определенного хоста?
Для использования GPRS канала необходим GPRS-модем, на котором, по-моему, должны быть настройки, что только в случае необходимости (есть трафик) поднимается канал. В таком случае настраиваете SLA только на физический интерфейс, а в случае его падения используется маршрут по-умолчанию с большей метрикой
Если можно таже задача, только с двумя провайдерами BGP, full-view от обоих.
а что тоже? что-то я не совсем понимаю, что вы хотите сделать?
Имеется два канала от двух провайдеров, основной и резервный. Резервный канал должен работать только в случае падения основного. Сейчас на резервном провайдере просто neighbor shutdown, то есть переключаемся в ручную. Хотелось бы автоматизировать этот процесс.
используйте weight. с помощью pbr назначаем на маршруты приходящие от первого провайдера больший weight, в результате на сети, маршруты которых приходят от обоих провайдеров, трафик будет идти через маршрут с большим weight'ом. или я не совсем правильно понял задачу?
Это только для исходящего трафика сработает. А как быть с входящим трафиком ? prepends тут не помогут, так как по резервному каналу все равно получаю значительный объем трафика.
да, это фигня... можно попробовать sla настроить и редистрибьютить сети сначала в один провайдер, а потому редистрибьютить в другой, в случае падения канала. ну а больше я даже не знаю как... все в основном prepends'ами делают. а почему ими не получается?
а еще вариантик есть. какая сеть закреплена за твоей AS'кой? хочется знать маску
С помощью prepend, в лучшем случае получается распределение нагрузки, 10% трафика получаю через резервный канал. Этот трафик приходится оплачивать. У меня /22 маска сети. Можно разделить и основному прову анонсить две сети с /23 маской например. Но не уверен что это сработает.
ладно, с препендами закончим пока. есть вариант выполнить следующее:
анонсить эксплит маршруты (например с /24 маской) в первый провайдер, а общую сеть /22 во второй. тогда переключени будет самым быстрым.
а если больше препендов выставить? или там провайдер фильтрует? просто с препендами - это единственная возможность для того, чтобы выполнить это переключение с одного ИСП на другой.
есть путь не дистрибьютить маршруты на второй провайдер, а в случае падения начать дистрибьюцию, но сколько времени при этом займет конвергенция - трудно сказать :((
backup community спасет Вас.
У меня тоже самое.
>backup community спасет Вас.
>У меня тоже самое.простите, а на ссылку не наведете, как это работает и что это такое? очень интересно.
>>backup community спасет Вас.
>>У меня тоже самое.
>
>простите, а на ссылку не наведете, как это работает и что это
>такое? очень интересно.Удалось настроить с использованием BGP Conditional Advertisement Feature
http://www.cisco.com/warp/public/459/cond_adv.html
А как быть в случае с PAT? Ситуация - 2 провайдера, моя cisco, за ней серверы, на cisco настроен проброс определённых портов на сервера. Проблема в изменении параметров проброса при переключении между провами.
Проброс настроен так:
ip nat inside source list 100 interface FastEthernet0/1 overload
ip nat inside source static tcp 210.10.0.2 21 xx.xx.xx.xx 21 extendable
ip nat inside source static tcp 210.10.0.2 22 xx.xx.xx.xx 22 extendable
Подскажите если кто знает как это победить!
а как менятся параметры проброса?
вам провайдер выделяет IP 210.10.0.2, другой выделил другой IP...
настройте 4 статики. или я что-то не понял?!
<<А как быть в случае с PAT? Ситуация - 2 провайдера, моя cisco, за ней серверы, на cisco настроен проброс определённых портов на сервера. Проблема в изменении параметров проброса при переключении между провами.
Проброс настроен так:
ip nat inside source list 100 interface FastEthernet0/1 overload
ip nat inside source static tcp 210.10.0.2 21 xx.xx.xx.xx 21 extendable
ip nat inside source static tcp 210.10.0.2 22 xx.xx.xx.xx 22 extendable
Подскажите если кто знает как это победить!
>>в случае с пат всё очень просто, там проблема в обратном пакете :
1. просто работа того или другого (всё выше сказаное по переключению должно работать)
ip nat inside source static tcp х.х.х.х 25 х1.х1.х1.х1 25 route-map имямэпа1 extendable no-alias
ip nat inside source static tcp y.y.y.y 25 y1.y1.y1.y1 25 route-map имямэпа2 extendable no-alias
route map имямэпа1 permit 10
match interface имяфейса(x.x.x.x)route map имямэпа2 permit 10
match interface имяфейса(y.y.y.y)2. если нуна балансировка:
пункт 1 + :
подымаете service ещё на одном порту и полисироутингом рулите
если 2 прова, то надо вместо
ip nat inside source list 100 interface FastEthernet0/1 overload,
потому что одна команда перебивает другую.
Надо:
ip nat inside source route-map <route_map_prov1> interface FastEthernet0/1 overload
ip nat inside source route-map <route_map_prov2> interface FastEthernet0/1 overloadроут мапы уже приписываешь кого и как ты выпускаешь, но часто они одинаковые.
> А как быть в случае с PAT? Ситуация - 2 провайдера, моя
> cisco, за ней серверы, на cisco настроен проброс определённых портов на
> сервера. Проблема в изменении параметров проброса при переключении между провами.
> Проброс настроен так:
> ip nat inside source list 100 interface FastEthernet0/1 overload
> ip nat inside source static tcp 210.10.0.2 21 xx.xx.xx.xx 21 extendable
> ip nat inside source static tcp 210.10.0.2 22 xx.xx.xx.xx 22 extendable
> Подскажите если кто знает как это победить!
Вопрос первый: у меня Cisco 3640 с таким ИОСом: c3640-i-mz.124-16.bin.. Это не 12,4Т, но 12,4 же, первый вариант должен прокатывать... А вот "ip sla" нету? Вернее "ip sla monitor 1" можно ввести, но дальше затык (я думаю, что это просто не совсем то)... Как быть?Второй вопрос: Если первый пров через сериал, а второй через езернет - разницы нет? Как я понимаю source-ip - это ip интерфейса, который смотри в сторону прова?
Третий вопрос: первый айпи в строках проверки доступности - это любой хост в инете, который будет показателем доступности провайдера? просто у нас часто бывает, что пров доступен, а в середине маршрута - обломс... придется брать хост инета, а не шлюз прова, т.е. что-то типа www.ru [194.87.0.50]. Я правильно понимаю?
Заранее благодарен...
>Вопрос первый: у меня Cisco 3640 с таким ИОСом: c3640-i-mz.124-16.bin.. Это не
>12,4Т, но 12,4 же, первый вариант должен прокатывать... А вот "ip
>sla" нету? Вернее "ip sla monitor 1" можно ввести, но дальше
>затык (я думаю, что это просто не совсем то)... Как быть?"IP SLAs - ICMP Echo Operation" для вашей платформы есть в IOS'ах IP версии 12.3 и 12.3T. Может, конечно, в 12.4 он уже называется как-то по другому, :(( но врядли...
>
>
>Второй вопрос: Если первый пров через сериал, а второй через езернет -
>разницы нет? Как я понимаю source-ip - это ip интерфейса, который
>смотри в сторону прова?да. тут тип интерфейса не имеет значения.
>
>Третий вопрос: первый айпи в строках проверки доступности - это любой хост
>в инете, который будет показателем доступности провайдера? просто у нас часто
>бывает, что пров доступен, а в середине маршрута - обломс... придется
>брать хост инета, а не шлюз прова, т.е. что-то типа
>www.ru [194.87.0.50]. Я правильно понимаю?правильно вы все понимаете. только в этом случае, обязательно использование route-map'ов, чтобы пинги уходили с нужного интерфейса.
>
>Заранее благодарен...да не за что...
> "IP SLAs - ICMP Echo Operation" для вашей платформы есть в IOS'ах IP версии 12.3 и 12.3T. Может, конечно, в 12.4 он уже называется как-то по другому, :(( но врядли...Есть в моей, но там команда ip sla 1 не проходит, т.к. заменена на ip sla monitor 1... Остальное так же все...
Вопрос: Все ввел, пинги пошли, но почему-то пишет такую статистику:
Round trip time (RTT) Index 1
Latest RTT: 184 ms
Latest operation start time: .09:16:41.419 PST Fri Feb 8 2008
Latest operation return code: Over threshold
Number of successes: 0
Number of failures: 114
Operation time to live: ForeverЧто значит - Latest operation return code: Over threshold?
и как я понимаю - Number of successes: 0
Number of failures: 114
это значит ошибки... Но пинг то проходит - Latest RTT: 184 ms
или так и должно быть?
>
>Что значит - Latest operation return code: Over threshold?Разобрался :)
<<А как быть в случае с PAT? Ситуация - 2 провайдера, моя cisco, за ней серверы, на cisco настроен проброс определённых портов на сервера. Проблема в изменении параметров проброса при переключении между провами.
Проброс настроен так:
ip nat inside source list 100 interface FastEthernet0/1 overload
ip nat inside source static tcp 210.10.0.2 21 xx.xx.xx.xx 21 extendable
ip nat inside source static tcp 210.10.0.2 22 xx.xx.xx.xx 22 extendable
Подскажите если кто знает как это победить!
>>в случае с пат всё очень просто, там проблема в обратном пакете :
1. просто работа того или другого (всё выше сказаное по переключению должно работать)
ip nat inside source static tcp х.х.х.х 25 х1.х1.х1.х1 25 route-map имямэпа1 extendable no-alias
ip nat inside source static tcp y.y.y.y 25 y1.y1.y1.y1 25 route-map имямэпа2 extendable no-alias
route map имямэпа1 permit 10
match interface имяфейса(x.x.x.x)route map имямэпа2 permit 10
match interface имяфейса(y.y.y.y)
2. если нуна балансировка:
пункт 1 + :
подымаете service ещё на одном порту и полисироутингом рулите
Господа, а как быть если проблемы с каналом не от провайдера до вас, а у самого провайдера. Если сделать что бы проверялась связь от вас до маршрутизатора провайдера, то при пропадании канала у самого провайдера, маршрутизатор провайдера будет пинговаться а вот переключения не получиться потому как ответ от маршрутизатор провайдера приходит! Может целесообразнее ставить проверку пинга канала на внешние устройства например www.ru
вопрос: а как привязать PAT к двум или трём провайдерам? Ситуация такая что от каждого из провайдеров получаем статик дефолт маршрут. А задача получать инет на внутреннем интерфейсе с частной адресацией. используется cisco 2811 , на ней подняты сабинтерфейсы. на сабинтерфейсы на выход поставлено ip nat outside. на сабинт внутренний ip nat inside. ip nat inside source list X.X.X.X x.x.x.x а overload делать куда?
Товарищи а почему никто не пишет, что для того что бы заработал jitter надо что бы было ещё оборудование которое поддерживало бы эту технологию.
"Весьма важный момент: jitter тест возможен только между двумя устройствами Cisco поддерживающими IP SLA тесты. Вы не сможете запустить данный тест между маршрутизатором Cisco и, например, компьютером или маршрутизатором другого производителя."
потом в моей версии IOS нпример необходимо установить ещё и порт по которому конектиться! "Router(config-sla-monitor)# type jitter dest-ipaddr 172.29.139.134 dest-port 5000" что за порт здесь этого не написанно! но без него никак!
у меня проблема как у Ивана Жукова с той лишь разницей, что BGP поднять не реально.
и вообще оба провайдера не будут никак учавствовать в моей беде.проблема с2801 со sla на двух каналах от двух провайдеров.
на резервный канал кроме прочего трафика приходит Ipsec туннель. вот он и не поднимается, потому что первый же ответный пакет идет по дефолтовому маршруту в основной канал. статик на другой конец туннеля прописать не представляется возможным,т.е. там динамически выдаваемый Ip.
можно было бы добавить инфу о том, как при этом сделать nat. обычный nat в этом случае работать не будет, точнее, будет работать только на 1 ифейс, а в данном случае надо чтобы на оба. надо сделать ip nat inside source route-map бла-бла. Но в качестве идеи автор молодец.
вот все просто и понятно http://www.cisco.com/en/US/tech/tk364/technologies_configura...
Всем привет, меня интересует как/что сделать так чтобы впн мог передавать на выходе только данные, те которые меня интересуют, а все остальное отсеивал??Заранее спасибо!
> Всем привет, меня интересует как/что сделать так чтобы впн мог передавать на
> выходе только данные, те которые меня интересуют, а все остальное отсеивал??
> Заранее спасибо!Что ты имеешь в виду под словами "на выходе"? Все зависит от того, какую технологию ты используешь для построения VPN туннелей.
- Legacy IPSec
- IPsec using VTI
- DMVPN
- GETVPNKindly,
Vitalii
Здравствуйте, есть роутер:
Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9_NPE-M), Version 15.3(3)M2, RELEASE SOFTWARE (fc1)
ROM: System Bootstrap, Version 15.0(1r)M16, RELEASE SOFTWARE (fc1)
Не могу дать команду ip sla 1
Есть только варинты ip sla
key-chain
responder
server
Подскажите что делать, менять IOS? Если да, на какой?
Если кому интересно, решилось все заменой IOS на:
Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version 15.4(3)M2, RELEASE SOFTWARE (fc2) и активацией лицензии securityk9.
приветствую.
route-map 115 permit 10
match ip address 115
set ip next-hop verify-availability 80.91.170.13 10 track 1
set ip next-hop verify-availability 83.218.239.13 20 track 2
указывем в acl внутренних хостовaccess-list 115 permit ip host 192.168.0.15 any
access-list 115 permit ip host 192.168.10.2 any
access-list 115 permit ip host 192.168.0.161 any
И вешаемip policy route-map 115
Сделал.работает но так как ip компа и днс моей конторы находяться в разных подсетях,и как только я вешаю на внутренний интерфейс этот route-mapip провайдер меняется,но и dns перестают работать по отношению к моему компу
Как решит ьтакую проблему?
Привет, а как настроить sla tracking с IPsec VPN. То есть есть 2 датацентра (Primary & Backup) и весь трафик филиалов проходит через основной датацентр. Между DC и филиалами IPsec VPN. После настройки icmp sla, при подении основного DC default route переходит на Backup DC, сразу между филиалами и 2-ым DC поднимается VPN, и весь трафик идёт через backup DC. Но после того, как поднимается основной датацетр, трафик не идёт в его сторону (как я понял) и VPN не поднимается. Топология Hub and Spoke. Буду рад советам. Заранее спасибо.