URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1175
[ Назад ]

Исходное сообщение
"Cisco 3825 - не могу настроить route-map"

Отправлено star117 , 09-Янв-14 08:47 
Уже долго пробую настроить, но не получается. Курю гугл....
Расскажите как это правильно делать?
Есть 3 провайдера, соответственно есть 3 субинтерфейса: gi0/0.40, gi0/0.55, gi0/0.77.
Сеть пользователей за субинтерфейсом gi0/1.1.
Надо сделать так, чтобы пакеты соответствующие acl40 шли через интерфейс gi0/0.40, соответствующие acl55 - шли на gi0/0.55, а всё остальное шло на gi0/0.77.
Да, всё при отправке должно НАТиться.

Либо ткните носом туда, где это понятно расписано.
Заранее благодарен!)


Содержание

Сообщения в этом обсуждении
"Cisco 3825 - не могу настроить route-map"
Отправлено Нубби , 10-Янв-14 09:42 
> Да, всё при отправке должно НАТиться.
> Либо ткните носом туда, где это понятно расписано.
> Заранее благодарен!)

Привет!
http://www.cisco.com/en/US/docs/ios/12_2/iproute/command/ref...

Я так понимаю, что соответствующие acl уже созданы.
Кроме того у тебя также
int gi0/1.1
ip nat inside

int gi 0/0.40
ip nat outside

int gi 0/0.55
ip nat outside

int gi 0/0.77
ip nat outside

Далее создаешь роут-мап. Это просто тн policy based routing.
Например тут http://blog.pluralsight.com/pbr-policy-based-routing
или тут http://www.cisco.com/en/US/docs/ios/12_2/qos/configuration/g...
или тут http://subnets.ru/blog/?p=479

Что это значит - ты создаешь тн правила маршрутизаци (маршрутную карту), согласно которой будет осуществляться маршрутизация.


Попробуй например так:

conf t

route-map DIFFERENT_ROUTE permit 10
match ip address acl acl40
set interface gi0/0.40

route-map DIFFERENT_ROUTE permit 20
match ip address acl acl55
set interface gi0/0.55

route-map DIFFERENT_ROUTE permit 30
match ip address acl acl77
set interface gi0/0.77

route-map DIFFERENT_ROUTE permit 40

end
conf t
int gi0/1.1
ip policy route-map DIFFERENT_ROUTE


end


ЗЫ Я  создал  40 правило так как вроде бы по умолчанию в route-map запрещено. Поэтому чтобы не резать остальной трафик, который не закрывается теми acl которые ты создал, создаем правило по умолчанию, которое ничего не делает с трафиком, а просто его разрешает.

Вроде так. Не тестировал, возможны опечатки.


"Cisco 3825 - не могу настроить route-map"
Отправлено Нубби , 10-Янв-14 09:48 
поправка
conf t

route-map DIFFERENT_ROUTE permit 10
match ip address acl40
set interface gi0/0.40

route-map DIFFERENT_ROUTE permit 20
match ip address acl55
set interface gi0/0.55

route-map DIFFERENT_ROUTE permit 30
match ip address acl77
set interface gi0/0.77

route-map DIFFERENT_ROUTE permit 40


"Cisco 3825 - не могу настроить route-map"
Отправлено бен Бецалель , 10-Янв-14 12:01 
>set interface  - не есть хорошо, если это не dialer interface

за подробностями почему - в гугл

здесь скорее всего провайдеры подключены по схеме IP Mask Gateway

set ip default next-hop надо использовать
и достаточно нужный трафик роут-мапом отправлять на двух провайдеров
а на Gateway третьего прописать маршрут по умолчанию

ну и не забыть повесить роут-мап на gi0/1.1


"Cisco 3825 - не могу настроить route-map"
Отправлено star117 , 10-Янв-14 13:07 
>>set interface  - не есть хорошо, если это не dialer interface
> за подробностями почему - в гугл
> здесь скорее всего провайдеры подключены по схеме IP Mask Gateway
> set ip default next-hop надо использовать
> и достаточно нужный трафик роут-мапом отправлять на двух провайдеров
> а на Gateway третьего прописать маршрут по умолчанию
> ну и не забыть повесить роут-мап на gi0/1.1

Спасибо господа за ответы - буду пробовать.
Я делал так как у Нубби описано, за исключением последнего правила №40. А интерфейс прописывал как советует бен Бецалель - через set ip default next-hop.
Может дело в последнем правиле?

Что получится - узнаем.



"Cisco 3825 - не могу настроить route-map"
Отправлено merko , 14-Янв-14 14:22 
>[оверквотинг удален]
> end
> conf t
> int gi0/1.1
> ip policy route-map DIFFERENT_ROUTE
> end
> ЗЫ Я  создал  40 правило так как вроде бы по
> умолчанию в route-map запрещено. Поэтому чтобы не резать остальной трафик, который
> не закрывается теми acl которые ты создал, создаем правило по умолчанию,
> которое ничего не делает с трафиком, а просто его разрешает.
> Вроде так. Не тестировал, возможны опечатки.

Интересно на счет 40-го правила... Это реально работает или вы сами придумали? ))
Если оно просто разрешает, то куда трафик все-таки идет? По дефолтному маршруту или как?


"Cisco 3825 - не могу настроить route-map"
Отправлено star117 , 13-Янв-14 06:52 
Всё-таки не работает у меня route-map.

Решил начать с нуля. Сбросил конфигурацию.
Создал субинтерфейсы к провайдерам: gi0/0.40, gi0/0.55, gi0/0.77 и gi0/1.1 в локалку.
Шлюзы провайдеров каждый в отдельности пингуется, если пропишу шлюз по умолчанию на любого из провайдеров - роутинг через него работает.
Но как только прописал route-map - не работает ничего!
Наверняка что-то неправильно делаю, знать бы что именно...
Вот конфиг:
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname main-gw
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
aaa new-model
!
!
aaa authentication login default local
aaa authorization exec default local
!
!
aaa session-id common
clock timezone NOVST 7
!
dot11 syslog
ip source-route
ip cef
!
!
!
!
ip domain name xxxxxx.ru
ip name-server 8.8.8.8
ip name-server 8.8.4.4
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
voice-card 0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
username xxx privilege 15 secret 5 ___________________________________
archive
log config
  hidekeys
!
!
!
!
!
ip ssh version 2
!
!
!
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/0.40
description ISP40
encapsulation dot1Q 40
ip address 40.40.40.18 255.255.255.0
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/0.55
description ISP55
encapsulation dot1Q 55
ip address 55.55.55.190 255.255.255.252
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/0.77
description ISP77
encapsulation dot1Q 77
ip address 77.77.77.147 255.255.255.0
ip nat outside
ip virtual-reassembly
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.1
description LAN
encapsulation dot1Q 1 native
ip address 10.10.10.2 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map INET_OUT
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
!
ip access-list extended TO_ISP40
permit ip 10.10.10.0 0.0.0.255 40.40.40.0 0.0.3.255
ip access-list extended TO_ISP55
permit ip 10.10.10.0 0.0.0.255 55.55.55.0 0.0.0.255
!
!
!
!
!
route-map INET_OUT permit 10
match ip address TO_ISP40
set ip default next-hop 40.40.40.1
!
route-map INET_OUT permit 20
match ip address TO_ISP55
set ip default next-hop 55.55.55.189
!
route-map INET_OUT permit 30
set ip default next-hop 77.77.77.1
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
privilege level 15
transport input ssh
transport output telnet ssh
line vty 5 15
privilege level 15
transport input ssh
transport output telnet ssh
!
scheduler allocate 20000 1000
end


"Cisco 3825 - не могу настроить route-map"
Отправлено star117 , 13-Янв-14 07:15 
Сам нашёл ошибку :)
Забыл прописать:
ip nat inside source list LAN_INET_OUT interface gi0/0.77 overload

LAN_INET_OUT - acl для локальных адресов к любому хосту Инета.

И всё заработало!

Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или я создал себе какие-то проблемы в будущем?


"Cisco 3825 - не могу настроить route-map"
Отправлено ShyLion , 16-Янв-14 08:04 
> Сам нашёл ошибку :)
> Забыл прописать:
> ip nat inside source list LAN_INET_OUT interface gi0/0.77 overload

а где НАТ для остальных провайдеров?
и в этих НАТах нужно будет тоже роут-мап использовать

> И всё заработало!
> Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или
> я создал себе какие-то проблемы в будущем?

Зависит от толщины канала. У тебя process-switched это все будет, и при более-менее серьезной наргузке все умрет.


"Cisco 3825 - не могу настроить route-map"
Отправлено star117 , 16-Янв-14 08:06 
>> Сам нашёл ошибку :)
>> Забыл прописать:
>> ip nat inside source list LAN_INET_OUT interface gi0/0.77 overload
> а где НАТ для остальных провайдеров?
> и в этих НАТах нужно будет тоже роут-мап использовать
>> И всё заработало!
>> Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или
>> я создал себе какие-то проблемы в будущем?
> Зависит от толщины канала. У тебя process-switched это все будет, и при
> более-менее серьезной наргузке все умрет.

А как лучше сделать, чтобы при серьёзной нагрузке всё оставалось живо?


"Cisco 3825 - не могу настроить route-map"
Отправлено ShyLion , 16-Янв-14 08:28 
>[оверквотинг удален]
>>> Забыл прописать:
>>> ip nat inside source list LAN_INET_OUT interface gi0/0.77 overload
>> а где НАТ для остальных провайдеров?
>> и в этих НАТах нужно будет тоже роут-мап использовать
>>> И всё заработало!
>>> Господа, посмотрите, есть ли замечания по данному конфигу? Всё ли верно, или
>>> я создал себе какие-то проблемы в будущем?
>> Зависит от толщины канала. У тебя process-switched это все будет, и при
>> более-менее серьезной наргузке все умрет.
> А как лучше сделать, чтобы при серьёзной нагрузке всё оставалось живо?

Это вечная проблема цисководов - одна локалка и куча интернетов. Проще всего решается Линуксом или Бсдёй.
Если хочется на циске, то придется перекроить сеть, чтобы разные группы пользователей были в разных сегментах (суть VLAN), и у этих сегментов были свои, отдельные шлюзы в интернет. Для этого нужен не один роутер, а несколько. Еще есть вариант попилить роутер на виртуальные с помощью VRF, если IOS поддерживает, но это тоже приключение не для начинающего.
Другие варианты связаны с пересмотром своих пожеланий:
- один канал основной, второй резервный, реализуется с помощью ip sla и track
- один канал основной, воторой для всяких туннелей (если есть такая необходимость вообще)
- один канал основной, второй для доступа к определенным северам, статическая маршрутизация
- несколько каналов равнозначны и наргузка делится поровну (с помощью CEF), ip sla и track используются для отсекания неработающих
- почти также как предыдущий вариант, только с использованием BGP. Для этого нужно содействие операторов как минимум. Ну и тоже не для начинающих.

Вот ИМХО и все варианты.


"Cisco 3825 - не могу настроить route-map"
Отправлено star117 , 16-Янв-14 09:29 
[поскипано]

>[оверквотинг удален]
> - один канал основной, второй резервный, реализуется с помощью ip sla и
> track
> - один канал основной, воторой для всяких туннелей (если есть такая необходимость
> вообще)
> - один канал основной, второй для доступа к определенным северам, статическая маршрутизация
> - несколько каналов равнозначны и наргузка делится поровну (с помощью CEF), ip
> sla и track используются для отсекания неработающих
> - почти также как предыдущий вариант, только с использованием BGP. Для этого
> нужно содействие операторов как минимум. Ну и тоже не для начинающих.
> Вот ИМХО и все варианты.

Спасибо!
Направления видны...
В итоге хочется использовать BGP, для надёжности. Реализовать в пределах циски, опять же для надёжности...
Буду копать дальше :)

Господа, всем ответившим - спасибо и удачи.
ТС