отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Выход в интернет через дополнительный канал.

Я новичок...           

Cisco pci 881 k9

Подскажите пожалуйста. Если к устройству подключены два канала интернет на интерфейсы

FastEthernet4 и vlan2. Локальная сеть 192.168.3.... В данный момент все компьютеры выходят в интернет через 

FastEthernet4. Можно ли сделать так чтобы, например, только один локальный компьютер (пусть будет 192.168.3.111) смог выходить всегда только через vlan2, а остальные продолжали по  FastEthernet4? Может можно создать отдельный access list и route-map, и повесить на vlan2? Но как тогда убрать этот аипи (192.168.3.111) из имеющихся настройках?

Building configuration...

Current configuration : 9905 bytes

!

! Last configuration change at 10:23:44 Moscow Wed Oct 2 2013 by denis

!

boot-start-marker

boot-end-marker

!

!

logging buffered 51200 warnings

enable secret 4 WIt8

enable password

!

aaa new-model

!

!

aaa authentication login default local

aaa authorization exec default local

!

!

aaa session-id common

memory-size iomem 10

clock timezone Moscow 3 0

!

crypto pki trustpoint TP-self-signed-2906724978

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-2906724978

revocation-check none

rsakeypair TP-self-signed-2906724978

!

!

crypto pki certificate chain TP-self-signed-2906724978

certificate self-signed 01

  3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030

            quit

!

!

ip flow-cache timeout active 1

ip domain name orto.ru

ip name-server 84.47.177.77

ip name-server 85.91.99.99

ip name-server 192.168.3.5

ip name-server 192.168.1.1

ip inspect name block_url http urlfilter alert on

ip urlfilter allow-mode on

ip urlfilter cache 0

ip urlfilter exclusive-domain deny .youtube.ru

ip urlfilter exclusive-domain deny .odnoklassniki.ru

ip urlfilter audit-trail

ip cef

no ipv6 cef

!

!

multilink bundle-name authenticated

license udi pid CISCO881-PCI-K9 sn FCZ1

license boot module c880-data level advipservices

!

!

!

!

crypto isakmp policy 1

encr 3des

authentication pre-share

group 2

crypto isakmp key EuV4GRgN6y address 84.47.169.67  

!

!

crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac

mode tunnel

!

!

!

crypto map SDM_CMAP_2 1 ipsec-isakmp

description Tunnel to84.47.169.67

set peer 84.47.169.67

set transform-set ESP-3DES-SHA1

match address 103

!

!

interface FastEthernet0

no ip address

!

interface FastEthernet1

no ip address

!

interface FastEthernet2

no ip address

!

interface FastEthernet3

description second_int

switchport access vlan 2

no ip address

!

interface FastEthernet4

description WAN$ETH-WAN$

ip address 84.47.*.* 255.255.255.248

ip nat outside

ip inspect block_url out

ip virtual-reassembly in

duplex auto

speed auto

crypto map SDM_CMAP_2

!

interface Vlan1

description local

ip address 192.168.3.3 255.255.255.0

ip access-group 105 in

ip flow ingress

ip flow egress

ip nat inside

ip virtual-reassembly in

ip tcp adjust-mss 1360

!

interface Vlan2

description second_int

ip address 84.47.*.* 255.255.255.248

ip nat outside

ip virtual-reassembly in

!

ip forward-protocol nd

ip http server

ip http access-class 23

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

!

ip flow-export version 5

ip flow-export destination 192.168.3.5 9996

!

ip dns server

ip nat inside source route-map SDM_RMAP_1 interface FastEthernet4 overload

ip route 0.0.0.0 0.0.0.0 84.47.156.233

!

access-list 1 remark INSIDE_IF=Vlan1

access-list 1 remark CCP_ACL Category=2

access-list 1 permit 192

access-list 23 permit 84.47

access-list 23 remark CCP_ACL Category=17

access-list 100 remark CCP_ACL Category=4

access-list 100 remark IPSec Rule

access-list 103 remark IPSec Rule

access-list 103 permit ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255

access-list 104 remark CCP_ACL Category=18

access-list 104 remark block_smtp

access-list 104 deny   tcp any any eq smtp

access-list 104 remark server1_smtp

access-list 104 permit tcp host 192.168.3.4 eq smtp any

access-list 104 remark block_server1

access-list 104 deny   tcp host 192.168.3.4 any

access-list 104 remark server1_2

access-list 104 deny   tcp any host 192.168.3.4

access-list 104 remark block_5.255.225.12

access-list 104 deny   tcp any host 5.255.225.12

access-list 104 remark IPSec Rule

access-list 104 deny   ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255

access-list 104 permit ip 192.168.3.0 0.0.0.255 any

no cdp run

!

!

route-map SDM_RMAP_1 permit 1

match ip address 104

match interface FastEthernet4

!

!


13 ОТВЕТ.

Выход в интернет через дополнитель

Добрый день!

Для решения вашей задачи необходим полии-роутинг (PBR).

Вешаете на интерфейс в сторону локалки service-policy, которая определяет next-hop для пакетов на основании ACL.

И делаете два правила NAT overload через оба интерфейса тоже с route-map'ами, что бы натировать каждым правилом тот трафик, кторый идёт через соответствующий интефейс.

Ну вообщем читайте классику для начала.

New Member

Re: Выход в интернет через дополните

Там написано, что создается access-list extended ..... В нем правила, как я понимаю (поправьте если не допонимаю), для тех локальных адресов которые за тем будут транслироваться через один или другой выход в инет..? А что будет с теми правилами что уже есть в access-list 104?

Re: Выход в интернет через дополните

Ну пусть те кто ходил через 104-тый ACL и дальше ходят.

А для тех, кого нужно направить через другой интерфейс - для них нужно новый ACL  написать.

Статья не описывает вашу ситуацию, но общие принципы там все изложены.

Если немного подумать, то всё решается, никаких новых фич и технологий, которые не рассматривались бы в статье нету.

New Member

Re: Выход в интернет через дополните

чтото не выходит. Сделал для теста конфиг:

!

interface FastEthernet0

description int_ROC

switchport access vlan 3

no ip address

!

interface FastEthernet4

description WAN$ETH-WAN$

ip address 84.47.1*.* 255.255.255.248

ip nat outside

ip inspect block_url out

ip virtual-reassembly in

duplex auto

speed auto

crypto map SDM_CMAP_2

!

interface Vlan1

description local

ip address 192.168.3.3 255.255.255.0

ip flow ingress

ip flow egress

ip nat inside

ip virtual-reassembly in

ip tcp adjust-mss 1360

!

interface Vlan3

description ROC

ip address 192.168.6.2 255.255.255.0

ip nat outside

ip nat enable

ip virtual-reassembly in

ip nat pool ROC 192.168.6.2 192.168.6.2 netmask 255.255.255.0

ip nat pool IMPEX 84.47.*.* 84.47.*.* netmask 255.255.255.248

!

!

ip nat inside source route-map ROC pool ROC overload

ip nat inside source route-map SDM_RMAP_1 pool IMPEX overload

ip route 0.0.0.0 0.0.0.0 84.47.156.233

ip route 0.0.0.0 0.0.0.0 192.168.6.1

!

!

access-list 104 deny   tcp host 192.168.3.114 any

access-list 104 deny   ip 192.168.3.0 0.0.0.255 169.254.0.0 0.0.255.255

access-list 104 permit ip 192.168.3.0 0.0.0.255 any

access-list 106 permit tcp host 192.168.3.114 any

!

route-map ROC permit 1

match ip address 106

match interface Vlan3

set ip next-hop 192.168.6.1

!

route-map SDM_RMAP_1 permit 1

match ip address 104

match interface FastEthernet4

set ip next-hop 84.47.156.233

------------------------------------------------

192.168.3.114 - это тестовый комп. Для него нужно сделать выход только через vlan3

При конфиге, что выше. Инет отваливается у всех. А 192.168.3.114 идет нормально в инет по маршруту через vlan3.

Re: Выход в интернет через дополните

0) Я сам когда-та решал практически такую же задачу, дык вот я бы Вам посоветовал "тестовый комп" вынести в отдельный vlan и за отдельный L3 интерфейс. ИМХО так проще и однозначней, хотя это и не обязательно.

1) На interface Vlan3 нужно убрать  ip nat enable  -  он там ни к месту.

2) Вы не так используете route-map.

Точнее тут получилась смесь булдьдога с носорогом.

Вам нужно два route-map - один вешается на локальный интерфейс командой ip policy route-map, и на основании SRC IP (match ip address 106\104) задаёт next-hop, т.е. Вы тем самым маршрутизируете пакет не на основе таблицы маршрутизации, а жёстко по своим правилам. (если воспользоваться советом и пункта 0, то  таких route-map будет два - для каждого локального vlan свой.)

Второй route-map применяется уже в правилах натирования и на основании  next-hop (match interface Vlan3), т.е. на основани того, КУДА пакет уже смаршрутизирован, определяет в какой пул натировать.

Т.к. первого route-map у Вас нет, то как маршрутизируется трафик ?

По статическим маршрутам.

А у Вас их два и они равнозначные, следовательно работает балансировка.

Прохождение трафика в таком случае непрогрнозируемо.

Удачным оно будет только в том случае, если пакет балансировкой смаршрутизировался как раз в тот интерфейс, что вам надо, в этом случае он будет и сNATирован куда надо, а если он смаршрутизировался "не туда", то и натирования вообще не произойдёт и он в чистом виде улетит в интернет, где и будет уничтожен первым же роутером провайдера.

Ну вообщем конфиг у вас НЕ рабочий.

Ещё одна попытка - не получится, напишу вам конфиг, но будет эффективней, если Вы сами до этого дойдёте - Вам же потом проще будет сопровождать и диагностировать эту схему.

Удачи!

New Member

Re: Выход в интернет через дополните

а если все таки с одним внутренним vlan'ом

то можно создать две карты, например с одним и тем же именем?

route-map SDM_RMAP_1 permit 10

match ip address 104

match interface FastEthernet4

set ip next-hop 84.47.156.233

!

route-map SDM_RMAP_1 permit 20

match ip address 106

match interface vlan3

set ip next-hop 192.168.6.1

и на vlan1 повесить ip policy route-map SDM_RMAP_1, vlan1 будет использовать обе карты?

Re: Выход в интернет через дополните

1) В полисе-мапе, которую вы вешаете на LAN-интерфейс вам в принципе не нужна строчка match interface

Я выше описывал, что она делает, вдумайтесь хорошенько, что и на каком этапе вы проверяете.

2) Предположение на счёт одной полиси-мапы с разными sequence-number (10 и 20) в целом абсолютно верное, именно так и нужно, но вот на счёт синтаксиса я не уверен - нужно проверять (а для этого надо стенд собирать, даже в GNS - это лень ). Но ход мыслей абсолютно верный, и синтаксис на вскидку тоже.

New Member

Re: Выход в интернет через дополните

Денис, вопрос резервирования вас действительно не интересует, судя по постановке задачи?

К сожалению, на данном оборудовании одновременно резервирования и балансировки на статике по источнику  вы не добьетесь, придется выбирать то, что нужнее. Так что, возможно, не стоит вам вообще сейчас что-то настраивать, т.к. резерв кажется полезнее для бизнеса. Либо можно попробовать придумать конфигурацию на скриптах, но стабильность работы системы в таком случае снижается, на мой взгляд.

Re: Выход в интернет через дополните

Денис, я когда-то решал эту задачу на 2821 - тогда вопрос резевирования тоже стоял, но решался без проблем с помощью IP SLA и трэкинга. Есть ли этот функционал под 881 и под Вашим конкретным софтом это вопрос - надо смотреть. Если актуально, то озвучте для начала версию софта и имеющиеся лицензии.

New Member

Re: Выход в интернет через дополните

Я знаю что резервный канал нужнее. Но сеичас цель решить задачу без резервирования.

Вроде как, говорят, устройство "гибкое" по настройкам

-------------------------------------------------

Device#   PID                   SN

-------------------------------------------------

*0        CISCO881-PCI-K9       FC

License Information for 'c880-data'

    License Level: advipservices   Type: Permanent

    Next reboot license Level: advipservices

Cisco IOS Software, C880 Software (C880DATA-UNIVERSALK9-M), Version 15.2(4)M2,

RELEASE SOFTWARE (fc2)

Cisco 881 (MPC8300) processor (revision 1.0) with 236544K/25600K bytes of memory

.

Processor board ID FCZ1712C2P2

5 FastEthernet interfaces

1 Virtual Private Network (VPN) Module

256K bytes of non-volatile configuration memory.

125440K bytes of ATA CompactFlash (Read/Write)

Re: Выход в интернет через дополните

Ну лицензия advipservices - это отлично.

Я посмотрел в Cisco Feature Navigator - да, у вас есть функционал IP SLA, так что я думаю проблем не будет.

Ну вы сами можете проверить - попробуйте указать в route-map следующее:

set ip next-hop verify-reachability {GateISPX} {sequence#} track {track#}

Если он принимает такую команду, то значит всё нормально.

Собственно я сейчас обратился к ресурсу, на который направил вас с самого начала (сам давно не перечитывал), а там вообщем-то всё расписано же, и даже по вашей ситуации.

New Member

Re: Выход в интернет через дополните

set ip next-hop verify-reachability ....................

не принемает, маркер на verify-reachability ставит.

Re: Выход в интернет через дополните

Возможно предварительно нужно создать эти самые SLA-пробы и трэкинги.

А какие вообще есть продолжения у данной команды, выполните в режиме конфигурирования route-map:

set ip next-hop ? [Enter]

Возможно имеет смысл посмотреть продолжения данной команды ещё на уровень глубже, или более.

640
Просмотры
0
Полезный материал
13
Ответы