https://217.65.3.21/openforum/vsluhforumID6/1175.html Уже долго пробую настроить, но не получается. Курю гугл....<br>Расскажите как это правильно делать?<br>Есть 3 провайдера, соответственно есть 3 субинтерфейса: gi0/0.40, gi0/0.55, gi0/0.77.<br>Сеть пользователей за субинтерфейсом gi0/1.1.<br>Надо сделать так, чтобы пакеты соответствующие acl40 шли через интерфейс gi0/0.40, соответствующие acl55 - шли на gi0/0.55, а всё остальное шло на gi0/0.77.<br>Да, всё при отправке должно НАТиться.<br><br>Либо ткните носом туда, где это понятно расписано.<br>Заранее благодарен!)<br> https://217.65.3.21/openforum/vsluhforumID6/1175.html#11 Thu, 16 Jan 2014 05:29:01 GMT [поскипано]<br> <br>&gt;[оверквотинг удален]<br>&gt; - один канал основной, второй резервный, реализуется с помощью ip sla и <br>&gt; track <br>&gt; - один канал основной, воторой для всяких туннелей (если есть такая необходимость <br>&gt; вообще) <br>&gt; - один канал основной, второй для доступа к определенным северам, статическая маршрутизация <br>&gt; - несколько каналов равнозначны и наргузка делится поровну (с помощью CEF), ip <br>&gt; sla и track используются для отсекания неработающих <br>&gt; - почти также как предыдущий вариант, только с использованием BGP. Для этого <br>&gt; нужно содействие операторов как минимум. Ну и тоже не для начинающих. <br>&gt; Вот ИМХО и все варианты.<br><br>Спасибо!<br>Направления видны...<br>В итоге хочется использовать BGP, для надёжности. Реализовать в пределах циски, опять же для надёжности...<br>Буду копать дальше :)<br><br>Господа, всем ответившим - спасибо и удачи.<br>ТС<br> https://217.65.3.21/openforum/vsluhforumID6/1175.html#10 Thu, 16 Jan 2014 04:28:01 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; Забыл прописать: <br>&gt;&gt;&gt; ip nat inside source list LAN_INET_OUT interface gi0/0.77 overload <br>&gt;&gt; а где НАТ для остальных провайдеров?<br>&gt;&gt; и в этих НАТах нужно будет тоже роут-мап использовать <br>&gt;&gt;&gt; И всё заработало!<br>&gt;&gt;&gt; Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или <br>&gt;&gt;&gt; я создал себе какие-то проблемы в будущем?<br>&gt;&gt; Зависит от толщины канала. У тебя process-switched это все будет, и при <br>&gt;&gt; более-менее серьезной наргузке все умрет.<br>&gt; А как лучше сделать, чтобы при серьёзной нагрузке всё оставалось живо?<br><br>Это вечная проблема цисководов - одна локалка и куча интернетов. Проще всего решается Линуксом или Бсдёй.<br>Если хочется на циске, то придется перекроить сеть, чтобы разные группы пользователей были в разных сегментах (суть VLAN), и у этих сегментов были свои, отдельные шлюзы в интернет. Для этого нужен не один роутер, а несколько. Еще есть вариант попилить роутер на виртуальные с помощью VRF, если IOS поддерживает, но это тоже приключение не для н https://217.65.3.21/openforum/vsluhforumID6/1175.html#9 Thu, 16 Jan 2014 04:06:26 GMT &gt;&gt; Сам нашёл ошибку :) <br>&gt;&gt; Забыл прописать: <br>&gt;&gt; ip nat inside source list LAN_INET_OUT interface gi0/0.77 overload <br>&gt; а где НАТ для остальных провайдеров?<br>&gt; и в этих НАТах нужно будет тоже роут-мап использовать <br>&gt;&gt; И всё заработало!<br>&gt;&gt; Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или <br>&gt;&gt; я создал себе какие-то проблемы в будущем?<br>&gt; Зависит от толщины канала. У тебя process-switched это все будет, и при <br>&gt; более-менее серьезной наргузке все умрет.<br><br>А как лучше сделать, чтобы при серьёзной нагрузке всё оставалось живо?<br><br> https://217.65.3.21/openforum/vsluhforumID6/1175.html#8 Thu, 16 Jan 2014 04:04:19 GMT &gt; Сам нашёл ошибку :) <br>&gt; Забыл прописать: <br>&gt; ip nat inside source list LAN_INET_OUT interface gi0/0.77 overload <br><br>а где НАТ для остальных провайдеров?<br>и в этих НАТах нужно будет тоже роут-мап использовать<br><br>&gt; И всё заработало!<br>&gt; Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или <br>&gt; я создал себе какие-то проблемы в будущем?<br><br>Зависит от толщины канала. У тебя process-switched это все будет, и при более-менее серьезной наргузке все умрет.<br> https://217.65.3.21/openforum/vsluhforumID6/1175.html#7 Tue, 14 Jan 2014 10:22:28 GMT &gt;[оверквотинг удален]<br>&gt; end <br>&gt; conf t <br>&gt; int gi0/1.1 <br>&gt; ip policy route-map DIFFERENT_ROUTE <br>&gt; end <br>&gt; ЗЫ Я создал 40 правило так как вроде бы по <br>&gt; умолчанию в route-map запрещено. Поэтому чтобы не резать остальной трафик, который <br>&gt; не закрывается теми acl которые ты создал, создаем правило по умолчанию, <br>&gt; которое ничего не делает с трафиком, а просто его разрешает.<br>&gt; Вроде так. Не тестировал, возможны опечатки.<br><br>Интересно на счет 40-го правила... Это реально работает или вы сами придумали? ))<br>Если оно просто разрешает, то куда трафик все-таки идет? По дефолтному маршруту или как?<br> https://217.65.3.21/openforum/vsluhforumID6/1175.html#6 Mon, 13 Jan 2014 03:15:49 GMT Сам нашёл ошибку :)<br>Забыл прописать: <br>ip nat inside source list LAN_INET_OUT interface gi0/0.77 overload<br><br>LAN_INET_OUT - acl для локальных адресов к любому хосту Инета.<br><br>И всё заработало!<br><br>Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или я создал себе какие-то проблемы в будущем?<br> https://217.65.3.21/openforum/vsluhforumID6/1175.html#5 Mon, 13 Jan 2014 02:52:04 GMT Всё-таки не работает у меня route-map.<br><br>Решил начать с нуля. Сбросил конфигурацию.<br>Создал субинтерфейсы к провайдерам: gi0/0.40, gi0/0.55, gi0/0.77 и gi0/1.1 в локалку.<br>Шлюзы провайдеров каждый в отдельности пингуется, если пропишу шлюз по умолчанию на любого из провайдеров - роутинг через него работает.<br>Но как только прописал route-map - не работает ничего!<br>Наверняка что-то неправильно делаю, знать бы что именно...<br>Вот конфиг:<br>!<br>version 12.4<br>service timestamps debug datetime msec<br>service timestamps log datetime msec<br>service password-encryption<br>!<br>hostname main-gw<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>logging message-counter syslog<br>!<br>aaa new-model<br>!<br>!<br>aaa authentication login default local<br>aaa authorization exec default local <br>!<br>!<br>aaa session-id common<br>clock timezone NOVST 7<br>!<br>dot11 syslog<br>ip source-route<br>ip cef<br>!<br>!<br>!<br>!<br>ip domain name xxxxxx.ru<br>ip name-server 8.8.8.8<br>ip name-server 8.8.4.4<br>no ipv6 cef<br>!<br>multilink bundle-name authenticated<br>!<br>!<br>!<br>!<br>!<br>voice-card 0 https://217.65.3.21/openforum/vsluhforumID6/1175.html#4 Fri, 10 Jan 2014 09:07:15 GMT &gt;&gt;set interface - не есть хорошо, если это не dialer interface <br>&gt; за подробностями почему - в гугл <br>&gt; здесь скорее всего провайдеры подключены по схеме IP Mask Gateway <br>&gt; set ip default next-hop надо использовать <br>&gt; и достаточно нужный трафик роут-мапом отправлять на двух провайдеров <br>&gt; а на Gateway третьего прописать маршрут по умолчанию <br>&gt; ну и не забыть повесить роут-мап на gi0/1.1 <br><br>Спасибо господа за ответы - буду пробовать.<br>Я делал так как у Нубби описано, за исключением последнего правила &#8470;40. А интерфейс прописывал как советует бен Бецалель - через set ip default next-hop.<br>Может дело в последнем правиле?<br><br>Что получится - узнаем.<br><br><br> https://217.65.3.21/openforum/vsluhforumID6/1175.html#3 Fri, 10 Jan 2014 08:01:02 GMT &gt;set interface - не есть хорошо, если это не dialer interface<br><br>за подробностями почему - в гугл<br><br>здесь скорее всего провайдеры подключены по схеме IP Mask Gateway<br><br>set ip default next-hop надо использовать<br>и достаточно нужный трафик роут-мапом отправлять на двух провайдеров<br>а на Gateway третьего прописать маршрут по умолчанию<br><br>ну и не забыть повесить роут-мап на gi0/1.1<br>