forum.opennet.ru

Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Одновременно использовать два канала интернет, motok (ok), 02-Окт-13, (0) [смотреть все]

Если просто - все по одному, один по второму то для ната первого канала запрет, McS555 (ok), 12:50 , 02-Окт-13, (1) //

Последний вопрос, а если я еще один ip route пропишу для второго выхода в инет, , motok (ok), 13:05 , 02-Окт-13, (2) //

метрику только поставь например 10 20 , McS555 (ok), 13:24 , 02-Окт-13, (3) //

что, прямо без PBR поймет, что этот адрес надо маршрутизировать в другой интерфе, elk_killa (ok), 13:34 , 02-Окт-13, (4)

PBR и IP Sla разные вещи Я когда то поднимал резервный канал средствами IpSla , motok (ok), 13:50 , 02-Окт-13, (5)

разные конечно, ipsla дает возможность гасить поднимать маршрут по событию, а PB, elk_killa (ok), 14:28 , 02-Окт-13, (8)

да не будет ступил хотя icmp бегать будут, McS555 (ok), 14:10 , 02-Окт-13, (7)

Добрый день, я бы сделал NAT с route-map и уже там указывал бы next-hop , QRSa (ok), 14:09 , 02-Окт-13, (6) //

Т е добавляю новый ip route с метрикой в основном акцес листе запретить дост, motok (ok), 14:28 , 02-Окт-13, (9) //

Идея в том, чтобы создать правила NAT с использованием route-map что-то типа ht, QRSa (ok), 14:33 , 02-Окт-13, (10) //

Вообщем с таким конфигом не прокатило ip для теста взял 192 168 3 114ip flow-, motok (ok), 15:41 , 02-Окт-13, (11)

Почитайте пожалуйста статью https supportforums cisco com docs DOC-5061, QRSa (ok), 17:28 , 02-Окт-13, (12)

Можно их по разным врф ам распихать , VolanD (ok), 09:20 , 03-Окт-13, (13)

Сообщения [Сортировка по времени | RSS]

6. "NAT: route-map" +/–

Сообщение от QRSa (ok), 02-Окт-13, 14:09

> Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных
> канала для выхода в интернет?
> Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего
> один ip адрес из локалки выходил в интернет по другому, дополнительному
> каналу. А по первому выход был перекрыт.
Добрый день, я бы сделал NAT с route-map (и уже там указывал бы next-hop).

Ответить | Правка | Наверх | Cообщить модератору

9. "NAT: route-map" +/–

Сообщение от motok (ok), 02-Окт-13, 14:28

>> Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных
>> канала для выхода в интернет?
>> Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего
>> один ip адрес из локалки выходил в интернет по другому, дополнительному
>> каналу. А по первому выход был перекрыт.
> Добрый день, я бы сделал NAT с route-map (и уже там указывал
> бы next-hop).
Т.е.
добавляю новый ip route с метрикой ...
в основном акцес листе запретить доступ этому аипи.
создать дополнительный лист, внести туда этот аипи.
создать доп роут мап (для основного канала уже есть)для этого листа.
прописываем next-hop .....
вешаем мап на интерфейс второго выхода в инет.
Этого хватит?

Ответить | Правка | Наверх | Cообщить модератору

10. "NAT: route-map" +/–

Сообщение от QRSa (ok), 02-Окт-13, 14:33

> добавляю новый ip route с метрикой ...
> в основном акцес листе запретить доступ этому аипи.
> создать дополнительный лист, внести туда этот аипи.
> создать доп роут мап (для основного канала уже есть)для этого листа.
> прописываем next-hop .....
> вешаем мап на интерфейс второго выхода в инет.
> Этого хватит?
Идея в том, чтобы создать правила NAT с использованием route-map (что-то типа http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec..., только с добавлением next-hop, хотя next-hop можно реализовать с помощью PBR).

Ответить | Правка | Наверх | Cообщить модератору

11. "NAT: route-map" +/–

Сообщение от motok (ok), 02-Окт-13, 15:41

>> добавляю новый ip route с метрикой ...
>> в основном акцес листе запретить доступ этому аипи.
>> создать дополнительный лист, внести туда этот аипи.
>> создать доп роут мап (для основного канала уже есть)для этого листа.
>> прописываем next-hop .....
>> вешаем мап на интерфейс второго выхода в инет.
>> Этого хватит?
> Идея в том, чтобы создать правила NAT с использованием route-map (что-то типа
> http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec...,
> только с добавлением next-hop, хотя next-hop можно реализовать с помощью PBR).
Вообщем с таким конфигом не прокатило... ip для теста взял 192.168.3.114
ip flow-cache timeout active 1
ip domain name orto.ru
ip name-server 84.47.177.77
ip name-server 85.91.99.99
ip name-server 192.168.3.5
ip name-server 192.168.6.1
ip inspect name block_url http urlfilter alert on
ip urlfilter allow-mode on
ip urlfilter cache 0
ip urlfilter exclusive-domain deny .youtube.ru
ip urlfilter audit-trail
ip cef
no ipv6 cef
!
!
policy-map global_policy
!
!
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key
!
!
crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac
mode tunnel
!
!
!
crypto map SDM_CMAP_2 1 ipsec-isakmp
description Tunnel to84.47.
set peer 84.47.
set transform-set ESP-3DES-SHA1
match address 103
!
!
!
!
!
interface FastEthernet0
description int_ROC
switchport access vlan 3
no ip address
!
interface FastEthernet1
no ip address
!
interface FastEthernet2
no ip address
!
interface FastEthernet3
description second_int
switchport access vlan 2
no ip address
!
interface FastEthernet4
description WAN$ETH-WAN$
ip address 84.47.** 255.255.255.248
ip nat outside
ip inspect block_url out
ip virtual-reassembly in
duplex auto
speed auto
crypto map SDM_CMAP_2
!
interface Vlan1
description local
ip address 192.168.3.3 255.255.255.0
ip access-group 105 in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1360
!
interface Vlan2
description second_int
ip address 192.168.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
shutdown
!
interface Vlan3
description ROC
ip address 192.168.6.2 255.255.255.0
ip nat outside
ip virtual-reassembly in

ip forward-protocol nd
!
ip flow-export version 5
ip flow-export destination 192.168.3.5 9996
!
ip dns server
ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload
ip nat inside source route-map vlan3 interface Vlan3 overload
ip route 0.0.0.0 0.0.0.0 84.47.156.233
ip route 0.0.0.0 0.0.0.0 192.168.6.1 10
!
access-list 104 remark CCP_ACL Category=18
access-list 104 permit tcp any host 195.34.32.101 eq smtp
access-list 104 remark block_smtp
access-list 104 deny   tcp any any eq smtp
access-list 104 remark test
access-list 104 deny   ip host 192.168.3.114 any
access-list 104 remark block_5.255.225.12
access-list 104 deny   tcp any host 5.255.225.12
access-list 104 remark IPSec Rule
access-list 104 deny   ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255
access-list 104 permit ip 192.168.3.0 0.0.0.255 any
access-list 106 permit ip host 192.168.3.114 any
no cdp run
!
route-map vlan3 permit 1
match ip address 106
match interface Vlan3
set ip next-hop 192.168.6.1
!
route-map SDM_RMAP_1 permit 1
match ip address 104
match interface FastEthernet4
set ip next-hop 84.47.156.233

Ответить | Правка | Наверх | Cообщить модератору

12. "NAT: route-map" +/–

Сообщение от QRSa (ok), 02-Окт-13, 17:28

Почитайте пожалуйста статью https://supportforums.cisco.com/docs/DOC-5061

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

6. "NAT: route-map"	+/–
Сообщение от QRSa (ok), 02-Окт-13, 14:09
> Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных > канала для выхода в интернет? > Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего > один ip адрес из локалки выходил в интернет по другому, дополнительному > каналу. А по первому выход был перекрыт. Добрый день, я бы сделал NAT с route-map (и уже там указывал бы next-hop).
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "NAT: route-map"	+/–
	Сообщение от motok (ok), 02-Окт-13, 14:28
	>> Добрый день. Есть cisco 881 pci k9. Возможно ли организовать два постоянных >> канала для выхода в интернет? >> Сеичас весь офис выходит в инет по одному каналу, нужно чтоб всего >> один ip адрес из локалки выходил в интернет по другому, дополнительному >> каналу. А по первому выход был перекрыт. > Добрый день, я бы сделал NAT с route-map (и уже там указывал > бы next-hop). Т.е. добавляю новый ip route с метрикой ... в основном акцес листе запретить доступ этому аипи. создать дополнительный лист, внести туда этот аипи. создать доп роут мап (для основного канала уже есть)для этого листа. прописываем next-hop ..... вешаем мап на интерфейс второго выхода в инет. Этого хватит?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "NAT: route-map"	+/–
	Сообщение от QRSa (ok), 02-Окт-13, 14:33
	> добавляю новый ip route с метрикой ... > в основном акцес листе запретить доступ этому аипи. > создать дополнительный лист, внести туда этот аипи. > создать доп роут мап (для основного канала уже есть)для этого листа. > прописываем next-hop ..... > вешаем мап на интерфейс второго выхода в инет. > Этого хватит? Идея в том, чтобы создать правила NAT с использованием route-map (что-то типа http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec..., только с добавлением next-hop, хотя next-hop можно реализовать с помощью PBR).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "NAT: route-map"	+/–
	Сообщение от motok (ok), 02-Окт-13, 15:41
	>> добавляю новый ip route с метрикой ... >> в основном акцес листе запретить доступ этому аипи. >> создать дополнительный лист, внести туда этот аипи. >> создать доп роут мап (для основного канала уже есть)для этого листа. >> прописываем next-hop ..... >> вешаем мап на интерфейс второго выхода в инет. >> Этого хватит? > Идея в том, чтобы создать правила NAT с использованием route-map (что-то типа > http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tec..., > только с добавлением next-hop, хотя next-hop можно реализовать с помощью PBR). Вообщем с таким конфигом не прокатило... ip для теста взял 192.168.3.114 ip flow-cache timeout active 1 ip domain name orto.ru ip name-server 84.47.177.77 ip name-server 85.91.99.99 ip name-server 192.168.3.5 ip name-server 192.168.6.1 ip inspect name block_url http urlfilter alert on ip urlfilter allow-mode on ip urlfilter cache 0 ip urlfilter exclusive-domain deny .youtube.ru ip urlfilter audit-trail ip cef no ipv6 cef ! ! policy-map global_policy ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key ! ! crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac mode tunnel ! ! ! crypto map SDM_CMAP_2 1 ipsec-isakmp description Tunnel to84.47. set peer 84.47. set transform-set ESP-3DES-SHA1 match address 103 ! ! ! ! ! interface FastEthernet0 description int_ROC switchport access vlan 3 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 description second_int switchport access vlan 2 no ip address ! interface FastEthernet4 description WAN$ETH-WAN$ ip address 84.47.** 255.255.255.248 ip nat outside ip inspect block_url out ip virtual-reassembly in duplex auto speed auto crypto map SDM_CMAP_2 ! interface Vlan1 description local ip address 192.168.3.3 255.255.255.0 ip access-group 105 in ip flow ingress ip flow egress ip nat inside ip virtual-reassembly in ip tcp adjust-mss 1360 ! interface Vlan2 description second_int ip address 192.168.1.2 255.255.255.0 ip nat outside ip virtual-reassembly in shutdown ! interface Vlan3 description ROC ip address 192.168.6.2 255.255.255.0 ip nat outside ip virtual-reassembly in ip forward-protocol nd ! ip flow-export version 5 ip flow-export destination 192.168.3.5 9996 ! ip dns server ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload ip nat inside source route-map vlan3 interface Vlan3 overload ip route 0.0.0.0 0.0.0.0 84.47.156.233 ip route 0.0.0.0 0.0.0.0 192.168.6.1 10 ! access-list 104 remark CCP_ACL Category=18 access-list 104 permit tcp any host 195.34.32.101 eq smtp access-list 104 remark block_smtp access-list 104 deny tcp any any eq smtp access-list 104 remark test access-list 104 deny ip host 192.168.3.114 any access-list 104 remark block_5.255.225.12 access-list 104 deny tcp any host 5.255.225.12 access-list 104 remark IPSec Rule access-list 104 deny ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255 access-list 104 permit ip 192.168.3.0 0.0.0.255 any access-list 106 permit ip host 192.168.3.114 any no cdp run ! route-map vlan3 permit 1 match ip address 106 match interface Vlan3 set ip next-hop 192.168.6.1 ! route-map SDM_RMAP_1 permit 1 match ip address 104 match interface FastEthernet4 set ip next-hop 84.47.156.233
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "NAT: route-map"	+/–
	Сообщение от QRSa (ok), 02-Окт-13, 17:28
	Почитайте пожалуйста статью https://supportforums.cisco.com/docs/DOC-5061
	Ответить \| Правка \| Наверх \| Cообщить модератору