forum.opennet.ru

Составление сообщения

Исходное сообщение

"DMVPN+PBR"
Отправлено sergey_taurus, 06-Фев-09 07:54

Здравствуйте коллеги.
Есть 3745 роутер. Ранее на нем вполне нормально работал NAT и DMVPN когда был
всего один Инет канал с дефолтом в него.
Недавно подключили второй канал от другого ISP. Сделал на роутере PBR+IPSLA.
Перестал работать DMVPN. Туннели поднимаются, IEGRP на туннелях работает.
С самого роутера концы туннелей и удаленные сети через туннели пингуются.
Из локалки (за NATом) - нет. Не могу понять в чем напутал. Конфигурация ниже.
fa0/0.1 и fa0/0.2 - принимают каналы от провайдеров. fa0/1 - локалка.
ACL 101 и 102 - листинг юзеров для PBR+NAT (кому в какой канал ходить наружу).
Также настроен PRB локальный для роутинга трафика с самого роутера.
Маршруты все есть:
#sh ip rou eigrp
          172.16.0.0/24 is subnetted, 7 subnets
D 172.16.104.0 [90/297372416] via 172.16.100.4, 16:45:45, Tunnel1
D 172.16.106.0 [90/297372416] via 172.16.100.6, 16:08:26, Tunnel1
D 172.16.107.0 [90/297372416] via 172.16.100.7, 07:07:38, Tunnel1
D 172.16.102.0 [90/297372416] via 172.16.100.2, 10:30:50, Tunnel1
D 172.16.103.0 [90/297372416] via 172.16.100.3, 06:16:54, Tunnel1
Дебаг показывает вот такие странности:
IP: tableid=0, s=172.16.100.1 (local), d=x.x.x.x (FastEthernet0/0.1), routed via RIB
IP: s=172.16.100.1 (local), d=x.x.x.x (FastEthernet0/0.1), len 56, sending
Т.е. зачем-то ходят пакет от адреса туннеля на реальник интерфейса ISP1.
Возможно, проблема где-то здесь (в неправильной работе NAT).
Дебаг NAT 172.16.0.0\16 показывает такое:
NAT*: s=192.168.0.102->172.16.100.1, d=172.16.103.254 [17135]
Т.е. прямая трансляция на удаленные сети за туннелями проходит. Обратной трансляции в логах нет.
Сниф на Инет каналах не показывает, чтобы в них ошибочно отправлялись пакеты для 172.16.0.0\16
Т.е. вроде как пакеты корректно НАТятся и отправляются в туннели. Но не работает.
ISAKMP\IPSEC все нормально, peer'ы и sa установлены. С роутера все пингуется. С локалки нет.

Со всеми этими мудреными роутмапами для НАТ overload и static все раньше работало.
До момента подключения второго провайдера и настройки PBR.
AS нет, взять нереально (BGP провайдеры не дают).

В чем может быть дело? Заранее спасибо за ответы.

!
boot system flash:c3745-adventerprisek9-mz.124-12.bin
!
ip sla monitor 1
  type echo protocol ipIcmpEcho 213.180.204.8 source-interface FastEthernet0/0.1
  timeout 1000
  frequency 5
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
  type echo protocol ipIcmpEcho 213.180.204.8 source-interface FastEthernet0/0.2
  timeout 1000
  frequency 5
ip sla monitor schedule 2 life forever start-time now
!
track 1 rtr 1 reachability
!
track 2 rtr 2 reachability
!
interface Loopback0
  ip address 172.16.101.254 255.255.255.0
!
interface Tunnel1
  ip address 172.16.100.1 255.255.255.0
  no ip redirects
  ip nat outside
  ip nhrp map multicast dynamic
  ip nhrp network-id 1
  ip nhrp holdtime 60
  ip virtual-reassembly
  tunnel source FastEthernet0/0.1
  tunnel mode gre multipoint
  tunnel key 1
  tunnel protection ipsec profile VTI_IPSEC
!
interface FastEthernet0/0
  no ip address
  ip virtual-reassembly
!
interface FastEthernet0/0.1
  description ISP1_LINK
  encapsulation dot1Q 1111
  ip address x.x.x.x 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  no cdp enable
!
interface FastEthernet0/0.2
  description ISP2_LINK
  encapsulation dot1Q 2222
  ip address y.y.y.y 255.255.255.252
  ip nat outside
  ip virtual-reassembly
  no cdp enable
!
interface FastEthernet0/1
  ip address 192.168.0.254 255.255.255.0
    ip nat inside
  ip virtual-reassembly
  ip policy route-map RMAP_ISP_GW_SELECT
!
!
router eigrp 100
  passive-interface Loopback0
  network 172.16.100.0 0.0.0.255
  network 172.16.101.0 0.0.0.255
  no auto-summary
!
ip local policy route-map RMAP_LOCAL_ISP_GW_SELECT
!
ip nat inside source route-map RMAP_NAT_ISP1 interface FastEthernet0/0.1 overload
ip nat inside source route-map RMAP_NAT_ISP2 interface FastEthernet0/0.2 overload
ip nat inside source route-map RMAP_NAT_VPN interface Tunnel1 overload
ip nat inside source static 192.168.0.234 x.x.x.x route-map RMAP_NAT_ISP1_STAT
ip nat inside source static 192.168.0.123 172.16.101.123 route-map RMAP_NAT_VPN_STATIC
!
ip access-list extended ACL_NAT_INET
  permit ip host 255.255.255.255 any
  permit ip 192.168.0.0 0.0.255.255 any
ip access-list extended ACL_NAT_ISP1_STATIC
  permit ip host 255.255.255.255 any
  permit ip host 192.168.0.234 any
ip access-list extended ACL_NAT_ISP2_STATIC
  permit ip host 255.255.255.255 any
ip access-list extended ACL_NAT_VPN
  permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255
ip access-list extended ACL_NAT_VPN_STATIC
  permit ip host 192.168.0.123 any
ip access-list extended ACL_SLA_ISP1
  permit ip x.x.x.x 0.0.0.3 any
ip access-list extended ACL_SLA_ISP2
  permit ip y.y.y.y 0.0.0.3 any
!
access-list 101 permit ip host 255.255.255.255 any
access-list 101 permit ip host 192.168.0.234 any
...
access-list 102 permit ip host 192.168.0.101 any
...
!
route-map RMAP_ISP_GW_SELECT deny 5
  match ip address ACL_NAT_VPN
!
!
route-map RMAP_ISP_GW_SELECT permit 10
  match ip address ACL_NAT_ISP1_STATIC
  set ip next-hop x.x.x.1
!
route-map RMAP_ISP_GW_SELECT permit 20
  match ip address ACL_NAT_ISP2_STATIC
  set ip next-hop y.y.y.1
!
route-map RMAP_ISP_GW_SELECT permit 100
  match ip address 101
  set ip next-hop verify-availability x.x.x.1 10 track 1
  set ip next-hop verify-availability y.y.y.1 20 track 2
!
route-map RMAP_ISP_GW_SELECT permit 200
  match ip address 102
  set ip next-hop verify-availability y.y.y.1 10 track 2
  set ip next-hop verify-availability x.x.x.1 20 track 1
!
route-map RMAP_ISP_GW_SELECT deny 1000
  set interface Null0
!
route-map RMAP_LOCAL_ISP_GW_SELECT permit 10
  match ip address ACL_SLA_ISP1
  set ip default next-hop x.x.x.1
!
route-map RMAP_LOCAL_ISP_GW_SELECT permit 20
  match ip address ACL_SLA_ISP2
  set ip default next-hop y.y.y.1
!
route-map RMAP_NAT_VPN deny 10
  match ip address ACL_NAT_VPN_STATIC
!
route-map RMAP_NAT_VPN permit 20
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP2 deny 10
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP2 deny 20
  match ip address ACL_NAT_ISP2_STATIC
!
route-map RMAP_NAT_ISP2 permit 100
  match ip address ACL_NAT_INET
  match interface FastEthernet0/0.2
!
route-map RMAP_NAT_ISP1 deny 10
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP1 deny 20
  match ip address ACL_NAT_ISP1_STATIC
!
route-map RMAP_NAT_ISP1 permit 100
  match ip address ACL_NAT_INET
  match interface FastEthernet0/0.1
!
route-map RMAP_NAT_VPN_STATIC permit 10
  match ip address ACL_NAT_VPN
!
route-map RMAP_NAT_ISP2_STAT permit 10
  match ip address ACL_NAT_ISP2_STATIC
!
route-map RMAP_NAT_ISP1_STAT permit 10
  match ip address ACL_NAT_ISP1_STATIC

Исходное сообщение
"DMVPN+PBR" Отправлено sergey_taurus, 06-Фев-09 07:54
Здравствуйте коллеги. Есть 3745 роутер. Ранее на нем вполне нормально работал NAT и DMVPN когда был всего один Инет канал с дефолтом в него. Недавно подключили второй канал от другого ISP. Сделал на роутере PBR+IPSLA. Перестал работать DMVPN. Туннели поднимаются, IEGRP на туннелях работает. С самого роутера концы туннелей и удаленные сети через туннели пингуются. Из локалки (за NATом) - нет. Не могу понять в чем напутал. Конфигурация ниже. fa0/0.1 и fa0/0.2 - принимают каналы от провайдеров. fa0/1 - локалка. ACL 101 и 102 - листинг юзеров для PBR+NAT (кому в какой канал ходить наружу). Также настроен PRB локальный для роутинга трафика с самого роутера. Маршруты все есть: #sh ip rou eigrp 172.16.0.0/24 is subnetted, 7 subnets D 172.16.104.0 [90/297372416] via 172.16.100.4, 16:45:45, Tunnel1 D 172.16.106.0 [90/297372416] via 172.16.100.6, 16:08:26, Tunnel1 D 172.16.107.0 [90/297372416] via 172.16.100.7, 07:07:38, Tunnel1 D 172.16.102.0 [90/297372416] via 172.16.100.2, 10:30:50, Tunnel1 D 172.16.103.0 [90/297372416] via 172.16.100.3, 06:16:54, Tunnel1 Дебаг показывает вот такие странности: IP: tableid=0, s=172.16.100.1 (local), d=x.x.x.x (FastEthernet0/0.1), routed via RIB IP: s=172.16.100.1 (local), d=x.x.x.x (FastEthernet0/0.1), len 56, sending Т.е. зачем-то ходят пакет от адреса туннеля на реальник интерфейса ISP1. Возможно, проблема где-то здесь (в неправильной работе NAT). Дебаг NAT 172.16.0.0\16 показывает такое: NAT*: s=192.168.0.102->172.16.100.1, d=172.16.103.254 [17135] Т.е. прямая трансляция на удаленные сети за туннелями проходит. Обратной трансляции в логах нет. Сниф на Инет каналах не показывает, чтобы в них ошибочно отправлялись пакеты для 172.16.0.0\16 Т.е. вроде как пакеты корректно НАТятся и отправляются в туннели. Но не работает. ISAKMP\IPSEC все нормально, peer'ы и sa установлены. С роутера все пингуется. С локалки нет. Со всеми этими мудреными роутмапами для НАТ overload и static все раньше работало. До момента подключения второго провайдера и настройки PBR. AS нет, взять нереально (BGP провайдеры не дают). В чем может быть дело? Заранее спасибо за ответы. ! boot system flash:c3745-adventerprisek9-mz.124-12.bin ! ip sla monitor 1 type echo protocol ipIcmpEcho 213.180.204.8 source-interface FastEthernet0/0.1 timeout 1000 frequency 5 ip sla monitor schedule 1 life forever start-time now ip sla monitor 2 type echo protocol ipIcmpEcho 213.180.204.8 source-interface FastEthernet0/0.2 timeout 1000 frequency 5 ip sla monitor schedule 2 life forever start-time now ! track 1 rtr 1 reachability ! track 2 rtr 2 reachability ! interface Loopback0 ip address 172.16.101.254 255.255.255.0 ! interface Tunnel1 ip address 172.16.100.1 255.255.255.0 no ip redirects ip nat outside ip nhrp map multicast dynamic ip nhrp network-id 1 ip nhrp holdtime 60 ip virtual-reassembly tunnel source FastEthernet0/0.1 tunnel mode gre multipoint tunnel key 1 tunnel protection ipsec profile VTI_IPSEC ! interface FastEthernet0/0 no ip address ip virtual-reassembly ! interface FastEthernet0/0.1 description ISP1_LINK encapsulation dot1Q 1111 ip address x.x.x.x 255.255.255.252 ip nat outside ip virtual-reassembly no cdp enable ! interface FastEthernet0/0.2 description ISP2_LINK encapsulation dot1Q 2222 ip address y.y.y.y 255.255.255.252 ip nat outside ip virtual-reassembly no cdp enable ! interface FastEthernet0/1 ip address 192.168.0.254 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map RMAP_ISP_GW_SELECT ! ! router eigrp 100 passive-interface Loopback0 network 172.16.100.0 0.0.0.255 network 172.16.101.0 0.0.0.255 no auto-summary ! ip local policy route-map RMAP_LOCAL_ISP_GW_SELECT ! ip nat inside source route-map RMAP_NAT_ISP1 interface FastEthernet0/0.1 overload ip nat inside source route-map RMAP_NAT_ISP2 interface FastEthernet0/0.2 overload ip nat inside source route-map RMAP_NAT_VPN interface Tunnel1 overload ip nat inside source static 192.168.0.234 x.x.x.x route-map RMAP_NAT_ISP1_STAT ip nat inside source static 192.168.0.123 172.16.101.123 route-map RMAP_NAT_VPN_STATIC ! ip access-list extended ACL_NAT_INET permit ip host 255.255.255.255 any permit ip 192.168.0.0 0.0.255.255 any ip access-list extended ACL_NAT_ISP1_STATIC permit ip host 255.255.255.255 any permit ip host 192.168.0.234 any ip access-list extended ACL_NAT_ISP2_STATIC permit ip host 255.255.255.255 any ip access-list extended ACL_NAT_VPN permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 ip access-list extended ACL_NAT_VPN_STATIC permit ip host 192.168.0.123 any ip access-list extended ACL_SLA_ISP1 permit ip x.x.x.x 0.0.0.3 any ip access-list extended ACL_SLA_ISP2 permit ip y.y.y.y 0.0.0.3 any ! access-list 101 permit ip host 255.255.255.255 any access-list 101 permit ip host 192.168.0.234 any ... access-list 102 permit ip host 192.168.0.101 any ... ! route-map RMAP_ISP_GW_SELECT deny 5 match ip address ACL_NAT_VPN ! ! route-map RMAP_ISP_GW_SELECT permit 10 match ip address ACL_NAT_ISP1_STATIC set ip next-hop x.x.x.1 ! route-map RMAP_ISP_GW_SELECT permit 20 match ip address ACL_NAT_ISP2_STATIC set ip next-hop y.y.y.1 ! route-map RMAP_ISP_GW_SELECT permit 100 match ip address 101 set ip next-hop verify-availability x.x.x.1 10 track 1 set ip next-hop verify-availability y.y.y.1 20 track 2 ! route-map RMAP_ISP_GW_SELECT permit 200 match ip address 102 set ip next-hop verify-availability y.y.y.1 10 track 2 set ip next-hop verify-availability x.x.x.1 20 track 1 ! route-map RMAP_ISP_GW_SELECT deny 1000 set interface Null0 ! route-map RMAP_LOCAL_ISP_GW_SELECT permit 10 match ip address ACL_SLA_ISP1 set ip default next-hop x.x.x.1 ! route-map RMAP_LOCAL_ISP_GW_SELECT permit 20 match ip address ACL_SLA_ISP2 set ip default next-hop y.y.y.1 ! route-map RMAP_NAT_VPN deny 10 match ip address ACL_NAT_VPN_STATIC ! route-map RMAP_NAT_VPN permit 20 match ip address ACL_NAT_VPN ! route-map RMAP_NAT_ISP2 deny 10 match ip address ACL_NAT_VPN ! route-map RMAP_NAT_ISP2 deny 20 match ip address ACL_NAT_ISP2_STATIC ! route-map RMAP_NAT_ISP2 permit 100 match ip address ACL_NAT_INET match interface FastEthernet0/0.2 ! route-map RMAP_NAT_ISP1 deny 10 match ip address ACL_NAT_VPN ! route-map RMAP_NAT_ISP1 deny 20 match ip address ACL_NAT_ISP1_STATIC ! route-map RMAP_NAT_ISP1 permit 100 match ip address ACL_NAT_INET match interface FastEthernet0/0.1 ! route-map RMAP_NAT_VPN_STATIC permit 10 match ip address ACL_NAT_VPN ! route-map RMAP_NAT_ISP2_STAT permit 10 match ip address ACL_NAT_ISP2_STATIC ! route-map RMAP_NAT_ISP1_STAT permit 10 match ip address ACL_NAT_ISP1_STATIC

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Здравствуйте коллеги.

> Есть 3745 роутер. Ранее на нем вполне нормально работал NAT и DMVPN 
> когда был 
> всего один Инет канал с дефолтом в него.

> Недавно подключили второй канал от другого ISP. Сделал на роутере PBR+IPSLA.
> Перестал работать DMVPN. Туннели поднимаются, IEGRP на туннелях работает.
> С самого роутера концы туннелей и удаленные сети через туннели пингуются.
> Из локалки (за NATом) - нет. Не могу понять в чем напутал. 
> Конфигурация ниже.
> fa0/0.1 и fa0/0.2 - принимают каналы от провайдеров. fa0/1 - локалка.
> ACL 101 и 102 - листинг юзеров для PBR+NAT (кому в какой 
> канал ходить наружу).
> Также настроен PRB локальный для роутинга трафика с самого роутера.

> Маршруты все есть:

> #sh ip rou eigrp 
>           172.16.0.0/24 is 
> subnetted, 7 subnets 
> D 172.16.104.0 [90/297372416] via 172.16.100.4, 16:45:45, Tunnel1 
> D 172.16.106.0 [90/297372416] via 172.16.100.6, 16:08:26, Tunnel1 
> D 172.16.107.0 [90/297372416] via 172.16.100.7, 07:07:38, Tunnel1 
> D 172.16.102.0 [90/297372416] via 172.16.100.2, 10:30:50, Tunnel1 
> D 172.16.103.0 [90/297372416] via 172.16.100.3, 06:16:54, Tunnel1

> Дебаг показывает вот такие странности:

> IP: tableid=0, s=172.16.100.1 (local), d=x.x.x.x (FastEthernet0/0.1), routed via RIB 
 
> IP: s=172.16.100.1 (local), d=x.x.x.x (FastEthernet0/0.1), len 56, sending

> Т.е. зачем-то ходят пакет от адреса туннеля на реальник интерфейса ISP1.
> Возможно, проблема где-то здесь (в неправильной работе NAT).

> Дебаг NAT 172.16.0.0\16 показывает такое:

> NAT*: s=192.168.0.102->172.16.100.1, d=172.16.103.254 [17135]

> Т.е. прямая трансляция на удаленные сети за туннелями проходит. Обратной трансляции в 
> логах нет.
> Сниф на Инет каналах не показывает, чтобы в них ошибочно отправлялись пакеты 
> для 172.16.0.0\16 
> Т.е. вроде как пакеты корректно НАТятся и отправляются в туннели. Но не 
> работает.
> ISAKMP\IPSEC все нормально, peer'ы и sa установлены. С роутера все пингуется. С 
> локалки нет.

> Со всеми этими мудреными роутмапами для НАТ overload и static все раньше 
> работало.
> До момента подключения второго провайдера и настройки PBR.

> AS нет, взять нереально (BGP провайдеры не дают).

> В чем может быть дело? Заранее спасибо за ответы.

> !
> boot system flash:c3745-adventerprisek9-mz.124-12.bin 
> !
> ip sla monitor 1 
>   type echo protocol ipIcmpEcho 213.180.204.8 source-interface FastEthernet0/0.1 
>   timeout 1000 
>   frequency 5 
> ip sla monitor schedule 1 life forever start-time now 
> ip sla monitor 2 
>   type echo protocol ipIcmpEcho 213.180.204.8 source-interface FastEthernet0/0.2 
>   timeout 1000 
>   frequency 5 
> ip sla monitor schedule 2 life forever start-time now 
> !
> track 1 rtr 1 reachability 
> !
> track 2 rtr 2 reachability 
> !
> interface Loopback0 
>   ip address 172.16.101.254 255.255.255.0 
> !
> interface Tunnel1 
>   ip address 172.16.100.1 255.255.255.0 
>   no ip redirects 
>   ip nat outside 
>   ip nhrp map multicast dynamic 
>   ip nhrp network-id 1 
>   ip nhrp holdtime 60 
>   ip virtual-reassembly 
>   tunnel source FastEthernet0/0.1 
>   tunnel mode gre multipoint 
>   tunnel key 1 
>   tunnel protection ipsec profile VTI_IPSEC 
> !
> interface FastEthernet0/0 
>   no ip address 
>   ip virtual-reassembly 
> !
> interface FastEthernet0/0.1 
>   description ISP1_LINK 
>   encapsulation dot1Q 1111 
>   ip address x.x.x.x 255.255.255.252 
>   ip nat outside 
>   ip virtual-reassembly 
>   no cdp enable 
> !
> interface FastEthernet0/0.2 
>   description ISP2_LINK 
>   encapsulation dot1Q 2222 
>   ip address y.y.y.y 255.255.255.252 
>   ip nat outside 
>   ip virtual-reassembly 
>   no cdp enable 
> !
> interface FastEthernet0/1 
>   ip address 192.168.0.254 255.255.255.0 
>     ip nat inside 
>   ip virtual-reassembly 
>   ip policy route-map RMAP_ISP_GW_SELECT 
> !
> !
> router eigrp 100 
>   passive-interface Loopback0 
>   network 172.16.100.0 0.0.0.255 
>   network 172.16.101.0 0.0.0.255 
>   no auto-summary 
> !
> ip local policy route-map RMAP_LOCAL_ISP_GW_SELECT 
> !
> ip nat inside source route-map RMAP_NAT_ISP1 interface FastEthernet0/0.1 overload 
> ip nat inside source route-map RMAP_NAT_ISP2 interface FastEthernet0/0.2 overload 
> ip nat inside source route-map RMAP_NAT_VPN interface Tunnel1 overload 
> ip nat inside source static 192.168.0.234 x.x.x.x route-map RMAP_NAT_ISP1_STAT 
> ip nat inside source static 192.168.0.123 172.16.101.123 route-map RMAP_NAT_VPN_STATIC 
 
> !
> ip access-list extended ACL_NAT_INET 
>   permit ip host 255.255.255.255 any 
>   permit ip 192.168.0.0 0.0.255.255 any 
> ip access-list extended ACL_NAT_ISP1_STATIC 
>   permit ip host 255.255.255.255 any 
>   permit ip host 192.168.0.234 any 
> ip access-list extended ACL_NAT_ISP2_STATIC 
>   permit ip host 255.255.255.255 any 
> ip access-list extended ACL_NAT_VPN 
>   permit ip 192.168.0.0 0.0.255.255 172.16.0.0 0.0.255.255 
> ip access-list extended ACL_NAT_VPN_STATIC 
>   permit ip host 192.168.0.123 any 
> ip access-list extended ACL_SLA_ISP1 
>   permit ip x.x.x.x 0.0.0.3 any 
> ip access-list extended ACL_SLA_ISP2 
>   permit ip y.y.y.y 0.0.0.3 any 
> !
> access-list 101 permit ip host 255.255.255.255 any 
> access-list 101 permit ip host 192.168.0.234 any 
> ...
> access-list 102 permit ip host 192.168.0.101 any 
> ...
> !
> route-map RMAP_ISP_GW_SELECT deny 5 
>   match ip address ACL_NAT_VPN 
> !
> !
> route-map RMAP_ISP_GW_SELECT permit 10 
>   match ip address ACL_NAT_ISP1_STATIC 
>   set ip next-hop x.x.x.1 
> !
> route-map RMAP_ISP_GW_SELECT permit 20 
>   match ip address ACL_NAT_ISP2_STATIC 
>   set ip next-hop y.y.y.1 
> !
> route-map RMAP_ISP_GW_SELECT permit 100 
>   match ip address 101 
>   set ip next-hop verify-availability x.x.x.1 10 track 1 
>   set ip next-hop verify-availability y.y.y.1 20 track 2 
> !
> route-map RMAP_ISP_GW_SELECT permit 200 
>   match ip address 102 
>   set ip next-hop verify-availability y.y.y.1 10 track 2 
>   set ip next-hop verify-availability x.x.x.1 20 track 1 
> !
> route-map RMAP_ISP_GW_SELECT deny 1000 
>   set interface Null0 
> !
> route-map RMAP_LOCAL_ISP_GW_SELECT permit 10 
>   match ip address ACL_SLA_ISP1 
>   set ip default next-hop x.x.x.1 
> !
> route-map RMAP_LOCAL_ISP_GW_SELECT permit 20 
>   match ip address ACL_SLA_ISP2 
>   set ip default next-hop y.y.y.1 
> !
> route-map RMAP_NAT_VPN deny 10 
>   match ip address ACL_NAT_VPN_STATIC 
> !
> route-map RMAP_NAT_VPN permit 20 
>   match ip address ACL_NAT_VPN 
> !
> route-map RMAP_NAT_ISP2 deny 10 
>   match ip address ACL_NAT_VPN 
> !
> route-map RMAP_NAT_ISP2 deny 20 
>   match ip address ACL_NAT_ISP2_STATIC 
> !
> route-map RMAP_NAT_ISP2 permit 100 
>   match ip address ACL_NAT_INET 
>   match interface FastEthernet0/0.2 
> !
> route-map RMAP_NAT_ISP1 deny 10 
>   match ip address ACL_NAT_VPN 
> !
> route-map RMAP_NAT_ISP1 deny 20 
>   match ip address ACL_NAT_ISP1_STATIC 
> !
> route-map RMAP_NAT_ISP1 permit 100 
>   match ip address ACL_NAT_INET 
>   match interface FastEthernet0/0.1 
> !
> route-map RMAP_NAT_VPN_STATIC permit 10 
>   match ip address ACL_NAT_VPN 
> !
> route-map RMAP_NAT_ISP2_STAT permit 10 
>   match ip address ACL_NAT_ISP2_STATIC 
> !
> route-map RMAP_NAT_ISP1_STAT permit 10 
>   match ip address ACL_NAT_ISP1_STATIC

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру