Проблема стара как мир и сегодня мы ее решим :) Дано: 2 провайдера (ISP1 и ISP2), внутренняя сеть и роутер между ними.
Задача: настроить один основной (ISP1) и один резервный канал (ISP2), при падении первого он будет переключаться на второй, а при повышении первого - обратно.
UPD: Обновил, добавил ip sla, пояснений пока нет.
Будем исходить из того, что наши свитчи тоже от Cisco :) и сначала настроим 3 Влана:
Влан 10 – внутренняя сеть
Влан 12 — ISP1
Влан 14 — ISP2 C2970#vlan data
C2970(vlan)#vlan 10 name OurNet
VLAN 10 added:
Name: OurNet
C2970(vlan)#vlan 12 name ISP1
VLAN 12 added:
Name: ISP1
C2970(vlan)#vlan 14 name ISP2
VLAN 13 added:
Name: ISP2
C2970-Servers(vlan)#exit
APPLY completed.
Exiting.
C2970#
Порт номер 1 принадлежит Влану 12 -ISP1, порт 2 принадлежит Влану 14 (ISP2), третий транковый порт - для роутера, остальные порты принадлежат Влану 10 - нашей внутренней сети.
interface FastEthernet0/1
description -=I=- ISP1 -=I=-
switchport access vlan 12
switchport mode access
no cdp enable
interface FastEthernet0/2
description -=I=- ISP2 -=I=-
switchport access vlan 14
switchport mode access
no cdp enable
interface FastEthernet0/3
description -=I=- RTR -=I=-
switchport mode trunk
no mdix auto
interface FastEthernet0/4
switchport access vlan 10
switchport mode access
no cdp enable
.
interface FastEthernet0/24
switchport access vlan 10
switchport mode access
no cdp enable
С коммутацией разобрались, перейдем к нашему роутеру, в качестве примера я взял Cisco 2811 с iOS c2800nm-adventerprisek9_ivs-mz.124-24.T1.bin (хотя на другом роутере с другой iOS он будет работать)
Настроим интерфейсы: interface FastEthernet0/0
no ip address
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0.12
description -=I=- Internet over ISP1 -=I=-
encapsulation dot1Q 12
ip address 164.122.12.9 255.255.255.248
ip access-group ACL_INET_OUT_ISP1 out
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface FastEthernet0/0.14
description -=I=- Internet over ISP2 -=I=-
encapsulation dot1Q 14
ip address 122.164.8.17 255.255.255.248
ip access-group ACL_INET_OUT_ISP2 out
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
!
interface FastEthernet0/1.10
description to -=I=- LAN -=I=-
encapsulation dot1Q 10
ip address 10.10.10.200 255.255.255.0
ip nat inside
ip virtual-reassembly
no cdp enable
Настроим пулы для NAT: ip nat pool ISP1-PUBLIC-IP 164.122.12.9 164.122.12.9 netmask 255.255.255.248
ip nat pool ISP2-PUBLIC-IP 122.164.8.17 122.164.8.17 netmask 255.255.255.248
Списки доступа (ACL):
ACL для интерфейсов, чтобы никто не прорвался :) ip access-list extended ACL_INET_OUT_ISP1
deny ip any 10.0.0.0 0.255.255.255 log-input
deny ip any 172.16.0.0 0.15.255.255 log-input
deny ip any 192.168.0.0 0.0.255.255 log-input
permit ip host 164.122.12.9 any
deny ip any any log-input
ip access-list extended ACL_INET_OUT_ISP2
deny ip any 10.0.0.0 0.255.255.255 log-input
deny ip any 172.16.0.0 0.15.255.255 log-input
deny ip any 192.168.0.0 0.0.255.255 log-input
permit ip host 122.164.8.17 any
deny ip any any log-input
ACL для тех, кто онлайн: ip access-list extended ACL_NAT-INET_OUT_ISP1
remark /--------------------------------------
remark Black Hole RFC 1918
remark --------------------------------------/
deny ip any 10.0.0.0 0.255.255.255 log-input
deny ip any 172.16.0.0 0.15.255.255 log-input
deny ip any 192.168.0.0 0.0.255.255 log-input
remark /--------------------------------------
remark SMTP For Exchange
remark --------------------------------------/
permit tcp host 10.10.10.254 any eq smtp
deny tcp any any eq smtp log-input
remark /--------------------------------------
remark WSUS
remark --------------------------------------/
permit ip host 10.10.10.251 any
remark /--------------------------------------
remark Full Aceess for Odmins
remark --------------------------------------/
permit ip host 10.10.10.10 any
remark /--------------------------------------
remark Access for Exchange
remark --------------------------------------/
permit ip host 10.10.10.254 any
remark /--------------------------------------
remark Deny SMTP for TI (gate)
remark --------------------------------------/
deny tcp host 10.10.10.249 eq smtp any log-input
remark /--------------------------------------
remark Access to Internet for TI (gate)
remark --------------------------------------/
permit ip host 10.10.10.249 any
remark /--------------------------------------
remark Self
remark --------------------------------------/
permit ip host 164.122.12.9 any
remark /--------------------------------------
remark Deny All
remark --------------------------------------/
deny ip any any log-input
ip access-list extended ACL_NAT-INET_OUT_ISP2
remark /--------------------------------------
remark Black Hole RFC 1918
remark --------------------------------------/
deny ip any 10.0.0.0 0.255.255.255 log-input
deny ip any 172.16.0.0 0.15.255.255 log-input
deny ip any 192.168.0.0 0.0.255.255 log-input
remark /--------------------------------------
remark SMTP For Exchange
remark --------------------------------------/
permit tcp host 10.10.10.254 any eq smtp
deny tcp any any eq smtp log-input
remark /--------------------------------------
remark WSUS
remark --------------------------------------/
permit ip host 10.10.10.251 any
remark /--------------------------------------
remark Full Aceess for Odmins
remark --------------------------------------/
permit ip host 10.10.10.10 any
remark /--------------------------------------
remark Access for Exchange
remark --------------------------------------/
permit ip host 10.10.10.254 any
remark /--------------------------------------
remark Deny SMTP for TI (gate)
remark --------------------------------------/
deny tcp host 10.10.10.249 eq smtp any log-input
remark /--------------------------------------
remark Access to Internet for TI (gate)
remark --------------------------------------/
permit ip host 10.10.10.249 any
remark /--------------------------------------
remark Self
remark --------------------------------------/
permit ip host 122.164.8.17 any
remark /--------------------------------------
remark Deny All
remark --------------------------------------/
deny ip any any log-input
Карта маршрута: route-map NAT-TO-ISP1 permit 10
description -= Routing/NAT to ISP1, outgoing traffic =-
match ip address ACL_NAT-INET_OUT_ISP1
match interface FastEthernet0/0.12
!
route-map NAT-TO-ISP2 permit 10
description -= Routing/NAT to ISP2, outgoing traffic =-
match ip address ACL_NAT-INET_OUT_ISP2
match interface FastEthernet0/0.14
А теперь самое интересное — отслеживание: track 100 list boolean and
object 101
object 102
object 103
объект 104 delay down 2 up 3
!
track 101 interface FastEthernet0/0.12 line-protocol
delay down 2 up 5
!
track 102 interface FastEthernet0/1 line-protocol
delay down 2 up 5
!
track 103 ip route 164.122.12.9 255.255.255.248 reachability
delay down 2 up 5
!
трек 104 ip sla 104
задержка вниз 2 вверх 5 !
track 200 list boolean and
object 201
object 202
object 203
объект 204 delay down 2 up 3
!
track 201 interface FastEthernet0/0.14 line-protocol
delay down 2 up 5
!
track 202 interface FastEthernet0/1 line-protocol
delay down 2 up 5
!
track 203 ip route 122.164.8.17 255.255.255.248 reachability
delay down 2 up 5
!
трек 204 ip sla 204
задержка вниз 2 вверх 5
и маршруты: ip route 0.0.0.0 0.0.0.0 164.122.12.9 10 tag 100 name -=[ISP1]=- track 100
ip route 0.0.0.0 0.0.0.0 122.164.8.17 20 tag 200 name -=[ISP2]=- track 200
а теперь что мы собственно используем для проверки доступности наших шлюзов:
айпи 104
icmp-echo 164.122.12.9 исходный интерфейс FastEthernet0/0.12
размер запроса-данных 1
тайм-аут 700
порог 600
частота 30
ip sla расписание 104 жизнь навсегда время начала сейчас
айпи 204
icmp-echo 122.164.8.17 исходный интерфейс FastEthernet0/0.14
размер запроса-данных 1
тайм-аут 700
порог 600
частота 30
ip sla расписание 204 жизнь навсегда время начала сейчас
Теги: #cisco #cisco #отработка отказа #Chulan
-
Как Мы Поймали Ux-Дизайнера На Живца
19 Oct, 24 -
Слякоть 2018. Предварительный День
19 Oct, 24 -
Используете Ли Вы Устройства Hp Webos?
19 Oct, 24 -
Про Google Снимут Фильм
19 Oct, 24
