URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 19789
[ Назад ]

Исходное сообщение
"CISCO 1811 и настройка PBR"

Отправлено cobold , 12-Окт-09 14:28 
Всем доброго времени суток.

Есть CISCO 1811, два интернет-провайдера и локальная сеть регионального офиса, соединенная с локальной сетью головного офиса GRE каналом. Необходимо настроить отказоустойчивое соединение офиса с интернетом и, соответственно, с головным офисом.
Использовал PBR, конфигурацию CISCO привожу ниже, однако никак не могу понять где ошибся, переключение каналов не работает...

IP 194.67.17.5 - некий хост, по которому проверяется состояние канала
XX.XX.XX.54 и YY.YY.YY.74 - внешние адреса CISCO от разных провайдеров
XX.XX.XX.73 и YY.YY.YY.49 - шлюзы по умолчанию тоже разных провайдеров
AA.AA.AA.254 и BB.BB.BB.190 - конечные точки GRE тунеля на стороне головного офиса

ip sla 1
  icmp-jitter 194.67.17.5 source-ip XX.XX.XX.54 num-packets 5
  timeout 500
  frequency 5
ip sla schedule 1 life forever start-time now

ip sla 2
  icmp-jitter 194.67.17.5 source-ip YY.YY.YY.74 num-packets 5
  timeout 500
  frequency 5
ip sla schedule 2 life forever start-time now

track 1 rtr 1 reachability

track 2 rtr 2 reachability

interface Tunnel1
  ip address 10.10.52.6 255.255.255.252
  tunnel source XX.XX.XX.74
  tunnel destination AA.AA.AA.254

interface Tunnel0
  ip address 10.10.52.2 255.255.255.252
  tunnel source YY.YY.YY.54
  tunnel destination BB.BB.BB.190

interface FastEthernet0
  ip address XX.XX.XX.74 255.255.255.252
  ip nat outside

interface FastEthernet1
  ip address YY.YY.YY.54 255.255.255.240
  ip nat outside

interface Vlan2
  ip address 192.168.52.254 255.255.255.0
  ip nat inside

ip route 0.0.0.0 0.0.0.0 YY.YY.YY.49 50 track 1
ip route 172.16.0.0 255.255.0.0 Tunnel0 50 track 1
ip route 192.168.0.0 255.255.0.0 Tunnel0 50 track 1
ip route 0.0.0.0 0.0.0.0 XX.XX.XX.73 100 track 2
ip route 172.16.0.0 255.255.0.0 Tunnel1 100 track 2
ip route 192.168.0.0 255.255.0.0 Tunnel1 100 track 2
ip route 192.168.52.0 255.255.255.0 Vlan2

ip nat inside source route-map ISP1 interface FastEthernet0 overload
ip nat inside source route-map ISP2 interface FastEthernet1 overload

ip access-list standard LOCAL-NET
  permit 192.168.52.0 0.0.0.255

route-map ISP1 permit 10
  match ip address LOCAL-NET
  match interface FastEthernet0

route-map ISP2 permit 10
  match ip address LOCAL-NET
  match interface FastEthernet1


Оба track'а после старта переходят в down, как я понимаю из-за того, что нет маршрутов по умолчанию.

-----------------
cisco#show track
Track 1
    Response Time Reporter 1 reachability
    Reachability is Down
        3 changes, last change 00:10:18
    Latest operation return code: Timeout
    Tracked by:
        STATIC-IP-ROUTING 0
Track 2
    Response Time Reporter 2 reachability
    Reachability is Down
        3 changes, last change 00:07:33
    Latest operation return code: Timeout
    Tracked by:
        STATIC-IP-ROUTING 0


cisco#show ip route

Gateway of last resort is not set

          195.122.228.0/28 is subnetted, 1 subnets
C 195.122.228.48 is directly connected, FastEthernet1
C 192.168.52.0/24 is directly connected, Vlan2
-------------

Как решить проблему в этом случае? Заранее всем спасибо.


Содержание

Сообщения в этом обсуждении
"CISCO 1811 и настройка PBR"
Отправлено jinn , 12-Окт-09 15:17 
В ip sla 1 и ip sla 2 надо пинговать различные машины.
Если пользовать gw провайдера, то будет выглядеть так:

ip sla 1
  icmp-jitter xx.xx.xx.49 source-ip XX.XX.XX.54 num-packets 5
  timeout 500
  frequency 5
ip sla schedule 1 life forever start-time now

ip sla 2
  icmp-jitter yy.yy.yy.73 source-ip YY.YY.YY.74 num-packets 5
  timeout 500
  frequency 5
ip sla schedule 2 life forever start-time now

ip access-list extended PingISP_A
permit icmp host XX.XX.XX.54 host XX.XX.XX.49
ip access-list extended PingISP_B
permit icmp host YY.YY.YY.74 host YY.YY.YY.73

route-map LocalPolicy permit 10
match ip address PingISP_A
set interface FastEthernet1
set ip next-hop XX.XX.XX.49
!
route-map LocalPolicy permit 20
match ip address PingISP_B
set interface FastEthernet0
set ip next-hop YY.YY.YY.73

ip local policy route-map LocalPolicy


"CISCO 1811 и настройка PBR"
Отправлено cobold , 12-Окт-09 16:03 
>В ip sla 1 и ip sla 2 надо пинговать различные машины.
>
>Если пользовать gw провайдера, то будет выглядеть так:
>

Пинговать GW провайдера мне не совсем подходит, т.к. один из них при неуплате за услуги отключает только Интернет, а не отключает локальную сеть, вход через которую идет через тот же GW. А пинговать необходимо именно GW провайдеров?

>ip access-list extended PingISP_A
>ip access-list extended PingISP_B

Не совсем понял назначение этих ACL...

Проблема в том, что у меня не поднимаются на CISCO дефолтовые маршруты, т.к. они не определены изначально, а должны назначаться в зависимости от живого канала.


"CISCO 1811 и настройка PBR"
Отправлено jinn , 12-Окт-09 20:39 
>>В ip sla 1 и ip sla 2 надо пинговать различные машины.
>>
>>Если пользовать gw провайдера, то будет выглядеть так:
>>
>
>Пинговать GW провайдера мне не совсем подходит, т.к. один из них при
>неуплате за услуги отключает только Интернет, а не отключает локальную сеть,
>вход через которую идет через тот же GW. А пинговать необходимо
>именно GW провайдеров?

нет, можно пинговать что угодно
>
>>ip access-list extended PingISP_A
>>ip access-list extended PingISP_B
>
>Не совсем понял назначение этих ACL...
>

ети ACL для LocalPolicy - она определяет куда отправлять пакеты с самого рутера,
когда нет маршрута, попроще говоря.

>Проблема в том, что у меня не поднимаются на CISCO дефолтовые маршруты,
>т.к. они не определены изначально, а должны назначаться в зависимости от
>живого канала.

для етого и нужни LocalPolicy


"CISCO 1811 и настройка PBR"
Отправлено Myxa , 13-Окт-09 09:21 
еще так навеяло: a собственно туннели работают? сети 10.10.52.x видите?

"CISCO 1811 и настройка PBR"
Отправлено cobold , 13-Окт-09 10:54 
>еще так навеяло: a собственно туннели работают? сети 10.10.52.x видите?

нет, не вижу, маршруты вообще ни поднимаются...


"CISCO 1811 и настройка PBR"
Отправлено cobold , 13-Окт-09 10:56 
спасибо за отклик и разъяснения, настрою в ближайшее время (в офисе сотрудники работают) и отпишусь о результатах



"CISCO 1811 и настройка PBR"
Отправлено smorozov , 27-Окт-09 09:23 
>спасибо за отклик и разъяснения, настрою в ближайшее время (в офисе сотрудники
>работают) и отпишусь о результатах

А если не сложно, можно показать итоговый конфиг. Спасибо.


"CISCO 1811 и настройка PBR"
Отправлено cobold , 31-Окт-09 20:26 
>>спасибо за отклик и разъяснения, настрою в ближайшее время (в офисе сотрудники
>>работают) и отпишусь о результатах
>
>А если не сложно, можно показать итоговый конфиг. Спасибо.

Извиняюсь за задержку с ответом, ниже итоговая конфигурация.

----- BEGIN CONFIGURATION -----

ip sla 1
icmp-jitter zzz.zzz.zzz.2 source-ip yyy.yyy.yyy.54 num-packets 5
timeout 500
frequency 5
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-jitter zzz.zzz.zzz.2 source-ip xxx.xxx.xxx.74 num-packets 5
timeout 500
frequency 5
ip sla schedule 2 life forever start-time now

track 1 rtr 1 reachability

track 2 rtr 2 reachability

interface FastEthernet0
ip address xxx.xxx.xxx.74 255.255.255.252
ip nat outside

interface FastEthernet1
ip address yyy.yyy.yyy.54 255.255.255.240
ip nat outside

interface Vlan2
ip address 192.168.52.254 255.255.255.0
ip nat inside

ip local policy route-map PING-POLICY

ip route 0.0.0.0 0.0.0.0 yyy.yyy.yyy.49 50 track 1
ip route 0.0.0.0 0.0.0.0 xxx.xxx.xxx.73 100 track 2
ip route 192.168.52.0 255.255.255.0 Vlan2

ip nat inside source route-map ISP1 interface FastEthernet0 overload
ip nat inside source route-map ISP2 interface FastEthernet1 overload

ip access-list extended PING1
permit icmp host xxx.xxx.xxx.74 host zzz.zzz.zzz.2
ip access-list extended PING2
permit icmp host yyy.yyy.yyy.54 host zzz.zzz.zzz.2

access-list 1 permit 192.168.52.0 0.0.0.255

route-map ISP1 permit 10
match ip address 1
match interface FastEthernet0

route-map ISP1 permit 10
match ip address 1
match interface FastEthernet1

route-map PING-POLICY permit 10
match ip address PING2
set interface FastEthernet1
set ip next-hop yyy.yyy.yyy.49

route-map PING-POLICY permit 20
match ip address PING1
set interface FastEthernet0
set ip next-hop xxx.xxx.xxx.73

----- END CONFIGURATION -----

Данные в конфигурации:
xxx.xxx.xxx.74 - внешний IP cisco от провайдера X
xxx.xxx.xxx.73 - default gateway для cisco от провайдера X
yyy.yyy.yyy.54 - внешний IP cisco от провайдера Y
yyy.yyy.yyy.49 - default gateway для cisco от провайдера Y
zzz.zzz.zzz.2 - IP хоста в Интернете, по которому проверяется сосотояние канала
192.168.52.0/24 - внутренняя сеть офиса

С такими настройками всё работает, если необходимы какие-либо разъяснения - пишите, отвечу. И постараюсь без задержки :)


"CISCO 1811 и настройка PBR"
Отправлено areon , 22-Апр-10 10:16 
Народ помогите решить проблему. Есть два провайдера у обоих реальные IP один по Ethernet второй через (резервный) ADSl. Сначала настроил icmp-echo, все заработало. Но из-за частых переключений решил настроить icmp-jitter, на основном провайдере все заработало, но на резервном провайдера трекинг подниматься не хочет.
в source-ip указал IP выданные провайдером.
вот кусочки конфига

track 1 ip sla 100 reachability
delay down 5 up 5
!
track 2 ip sla 200 reachability
delay down 5 up 5

interface FastEthernet0/2/0
description MAXNET
ip address *.*.*.41 255.255.255.192
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface Vlan1
ip address 192.168.0.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip tcp adjust-mss 1452
!
interface Dialer0
ip address negotiated
ip mtu 1492
ip nat outside
ip virtual-reassembly
encapsulation ppp
dialer pool 1
dialer-group 1
no cdp enable
ppp authentication chap callin
ppp chap hostname *****-39dml1
ppp chap password 7 03560E53525A77
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 217.15.192.1 50 name main_ISP track 1
ip route 0.0.0.0 0.0.0.0 Dialer0 100 name reserv_ISP track 2
ip route 62.148.128.1 255.255.255.255 Dialer0 name DNSDOMOLINK_isp_reserv
ip route 195.112.96.34 255.255.255.255 217.15.192.1 name DNSMAXNET_isp_main
ip http server
ip http secure-server
!
!
ip nat inside source route-map ISP_main interface FastEthernet0/2/0 overload
ip nat inside source route-map ISP_reserv interface Dialer0 overload
!
ip sla 100
icmp-jitter 195.112.96.34 source-ip *.*.*.41 num-packets 5
timeout 10000
threshold 10000
frequency 30
ip sla schedule 100 life forever start-time now
ip sla 200
icmp-jitter 62.148.128.1 source-ip *.*.*.170 num-packets 5
timeout 10000
threshold 10000
frequency 30
ip sla schedule 200 life forever start-time now
access-list 100 deny   ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 permit ip 192.168.0.0 0.0.0.255 any
access-list 101 permit ip 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
dialer-list 1 protocol ip permit

route-map ISP_reserv permit 10
match ip address 100
match interface Dialer0
!
route-map ISP_main permit 10
match ip address 100
match interface FastEthernet0/2/0

event manager applet clear_nat
event track 1 state any
action 0.9 cli command "enable"
action 1.0 cli command "clear ip nat translation *"
action 2.0 cli command "clear ip nat translation forced"

Track 1
  IP SLA 100 reachability
  Reachability is Up
    3 changes, last change 01:08:20
  Delay up 5 secs, down 5 secs
  Latest operation return code: OK
  Latest RTT (millisecs) 1
  Tracked by:
    STATIC-IP-ROUTING 0
    EEM applet clear_nat
Track 2
  IP SLA 200 reachability
  Reachability is Down
    1 change, last change 01:15:34
  Delay up 5 secs, down 5 secs
  Latest operation return code: Timeout
  Tracked by:
    STATIC-IP-ROUTING 0


IP SLAs Infrastructure Engine-II
Entry number: 100
Owner:
Tag:
Type of operation to perform: icmp-jitter
Target address/Source address: 195.112.96.34/*.*.*.41
Operation timeout (milliseconds): 10000
Packet Interval (milliseconds)/Number of packets: 20/5
Type Of Service parameters: 0x0
Vrf Name:
Schedule:
   Operation frequency (seconds): 30  (not considered if randomly scheduled)
   Next Scheduled Start Time: Start Time already passed
   Group Scheduled : FALSE
   Randomly Scheduled : FALSE
   Life (seconds): Forever
   Entry Ageout (seconds): never
   Recurring (Starting Everyday): FALSE
   Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 10000 (not considered if react RTT is configured)
Distribution Statistics:
   Number of statistic hours kept: 2
   Number of statistic distribution buckets kept: 1
   Statistic distribution interval (milliseconds): 20
Enhanced History:

Entry number: 200
Owner:
Tag:
Type of operation to perform: icmp-jitter
Target address/Source address: 62.148.128.1/*.*.*.170
Operation timeout (milliseconds): 10000
Packet Interval (milliseconds)/Number of packets: 20/5
Type Of Service parameters: 0x0
Vrf Name:
Schedule:
   Operation frequency (seconds): 30  (not considered if randomly scheduled)
   Next Scheduled Start Time: Start Time already passed
   Group Scheduled : FALSE
   Randomly Scheduled : FALSE
   Life (seconds): Forever
   Entry Ageout (seconds): never
   Recurring (Starting Everyday): FALSE
   Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 10000 (not considered if react RTT is configured)
Distribution Statistics:
   Number of statistic hours kept: 2
   Number of statistic distribution buckets kept: 1
   Statistic distribution interval (milliseconds): 20
Enhanced History:

Заранее спасибо


"CISCO 1811 и настройка PBR"
Отправлено cobold , 15-Окт-09 12:46 
jinn, спасибо за помощь! всё заработало!

"CISCO 1811 и настройка PBR"
Отправлено mmm , 29-Окт-09 18:22 
>jinn, спасибо за помощь! всё заработало!

а куда итоговый конфиг делся?


"CISCO 1811 и настройка PBR"
Отправлено alex.krav , 01-Ноя-09 12:44 
А где сброс трансляций при переключении каналов?

"CISCO 1811 и настройка PBR"
Отправлено cobold , 01-Ноя-09 15:53 
>А где сброс трансляций при переключении каналов?

В моем случае это не критично.


"CISCO 1811 и настройка PBR"
Отправлено sergeyf , 02-Ноя-09 10:29 
>>А где сброс трансляций при переключении каналов?
>
>В моем случае это не критично.

где конфига?


"CISCO 1811 и настройка PBR"
Отправлено sergeyf , 03-Ноя-09 10:37 
спасибо за конфиг,
я переделал его под свои нужды. Задача такая:
необходимо 1 маршрут проходить через 1 провайдер а все другие маршруты (дефолт) через 2 провайдер. Ну естессно когда есть связь, если пропадает хоть на одном то идет переключение на другой провайдер.
Однако трак не поднимается и дает таймаут. Переключение между 1 и 2 траком работает без проблем а вот 3 и 4 ый отвечающие за дефолт маршруты не пашут.

usm#sh track
Track 1
  Response Time Reporter 1 reachability
  Reachability is Down
    1 change, last change 02:29:09
  Latest operation return code: Timeout
  Tracked by:
    STATIC-IP-ROUTING 0
Track 2
  Response Time Reporter 2 reachability
  Reachability is Up
    10 changes, last change 00:05:58
  Latest operation return code: OK
  Latest RTT (millisecs) 45
  Tracked by:
    STATIC-IP-ROUTING 0
Track 3
  Response Time Reporter 3 reachability
  Reachability is Down
    2 changes, last change 00:15:43
  Latest operation return code: Timeout
  Tracked by:
    STATIC-IP-ROUTING 0
Track 4
  Response Time Reporter 4 reachability
  Reachability is Down
    2 changes, last change 00:15:44
  Latest operation return code: Timeout
  Tracked by:
    STATIC-IP-ROUTING 0


вот конфиг:


track 1 rtr 1 reachability
track 2 rtr 2 reachability
track 3 rtr 3 reachability
track 4 rtr 4 reachability


ip sla 1
icmp-jitter ZZ.ZZ.ZZ.39 source-ip YY.YY.YY.26 num-packets 5
timeout 500
frequency 5
ip sla schedule 1 life forever start-time now

ip sla 2
icmp-jitter ZZ.ZZ.ZZ.39 source-ip XX.XX.XX.227 num-packets 5
timeout 500
frequency 5
ip sla schedule 2 life forever start-time now

ip sla 3
icmp-jitter ZZ.ZZ.ZZ.42 source-ip YY.YY.YY.26 num-packets 5
timeout 500
frequency 5
ip sla schedule 3 life forever start-time now

ip sla 4
icmp-jitter ZZ.ZZ.ZZ.42 source-ip XX.XX.XX.227 num-packets 5
timeout 500
frequency 5
ip sla schedule 4 life forever start-time now


ip local policy route-map PING_POLICY

ip route FF.FF.FF.0 255.255.224.0 YY.YY.YY.254 50 track 1
ip route 0.0.0.0 0.0.0.0 YY.YY.YY.254 50 track 3

ip route FF.FF.FF.0 255.255.224.0 XX.XX.XX.225 100 track 2
ip route 0.0.0.0 0.0.0.0 XX.XX.XX.225 100 track 4


ip nat inside source route-map ISP1 interface FastEthernet0 overload
ip nat inside source route-map ISP2 interface FastEthernet1 overload
ip nat inside source route-map ISP3 interface FastEthernet0 overload
ip nat inside source route-map ISP4 interface FastEthernet1 overload


ip access-list extended PING1
permit icmp host XX.XX.XX.227 host ZZ.ZZ.ZZ.39
ip access-list extended PING2
permit icmp host YY.YY.YY.26 host ZZ.ZZ.ZZ.39
ip access-list extended PING3
permit icmp host XX.XX.XX.227 host ZZ.ZZ.ZZ.42
ip access-list extended PING4
permit icmp host YY.YY.YY.26 host ZZ.ZZ.ZZ.42

access-list 1 permit 172.22.31.0 0.0.0.255


route-map PING_POLICY permit 10
match ip address PING2
set interface FastEthernet1
set ip next-hop YY.YY.YY.254

route-map PING_POLICY permit 20
match ip address PING1
set interface FastEthernet0
set ip next-hop XX.XX.XX.225

route-map PING_POLICY permit 30
match ip address PING4
set interface FastEthernet1
set ip next-hop YY.YY.YY.254

route-map PING_POLICY permit 40
match ip address PING3
set interface FastEthernet0
set ip next-hop XX.XX.XX.225


route-map ISP2 permit 10
match ip address 1
match interface Dialer0

route-map ISP1 permit 10
match ip address 1
match interface FastEthernet0

route-map ISP3 permit 10
match ip address 1
match interface Dialer0

route-map ISP4 permit 10
match ip address 1
match interface FastEthernet0


YY.26 первый айпи
YY.254 айпи первого гейтвея
XX.225 второй айпи
XX.227 айпи второго гейтвея
zz.9 пинг проверка 1 пути
zz.42 пинг проверка 2 пути


"CISCO 1811 и настройка PBR"
Отправлено cobold , 03-Ноя-09 12:32 
зачем нужен 3-ий и 4-ый track?

может попробовать так

-----
ip route FF.FF.FF.0 255.255.224.0 YY.YY.YY.254 50 track 1
ip route 0.0.0.0 0.0.0.0 YY.YY.YY.254 50 track 1

ip route FF.FF.FF.0 255.255.224.0 XX.XX.XX.225 100 track 2
ip route 0.0.0.0 0.0.0.0 XX.XX.XX.225 100 track 2
-----

или я не совсем понял вашу задачу...


"CISCO 1811 и настройка PBR"
Отправлено sergeyf , 03-Ноя-09 12:43 
>[оверквотинг удален]
>
>-----
>ip route FF.FF.FF.0 255.255.224.0 YY.YY.YY.254 50 track 1
>ip route 0.0.0.0 0.0.0.0 YY.YY.YY.254 50 track 1
>
>ip route FF.FF.FF.0 255.255.224.0 XX.XX.XX.225 100 track 2
>ip route 0.0.0.0 0.0.0.0 XX.XX.XX.225 100 track 2
>-----
>
>или я не совсем понял вашу задачу...

так мне надо через fastehternet0 пускать в весь инет, а через fastethernet1 только по 1 маршруту. Другими словами одновременно 2 провайдера должны использоваться.


"CISCO 1811 и настройка PBR"
Отправлено sergeyf , 03-Ноя-09 14:18 
>[оверквотинг удален]
>
>-----
>ip route FF.FF.FF.0 255.255.224.0 YY.YY.YY.254 50 track 1
>ip route 0.0.0.0 0.0.0.0 YY.YY.YY.254 50 track 1
>
>ip route FF.FF.FF.0 255.255.224.0 XX.XX.XX.225 100 track 2
>ip route 0.0.0.0 0.0.0.0 XX.XX.XX.225 100 track 2
>-----
>
>или я не совсем понял вашу задачу...

Проблема решена во таким образом )))

ip route FF.FF.FF.0 255.255.224.0 YY.YY.YY.254 50 track 1
ip route 0.0.0.0 0.0.0.0 YY.YY.YY.254 100 track 1

ip route FF.FF.FF.0 255.255.224.0 XX.XX.XX.225 100 track 2
ip route 0.0.0.0 0.0.0.0 XX.XX.XX.225 50 track 2

т.е. 50 поменял на 100 все случаи отрабатываются.
Всем спасибо!


"CISCO 1811 и настройка PBR"
Отправлено sergeyf , 07-Ноя-09 12:07 
SOS с маршрутки пингуются все адреса включая FF.FF.FF.0 255.255.224.0 через нужный интерфейс.

Однако с локалки

в случаях когда
1. на обеих интерфейсах связь есть:
со внутренней подсетки (LAN) видятся только дефлот маршруты а FF.FF.FF.0 255.255.224.0 не видны!

2. когда трак 1 есть а трак 2 нет то нифига не видно

3. когда трак 1 нет а трак 2 есть то все есть

т.е. какие то траблы с трак путями через 1.

ip route таблица в норме во всех состояниях.

причем с маршрутки все пингуется и проблем нет в любых состояниях.
на обоих интерфейсах ip nat outside стоит.