У нас есть цыска и 2 канала, основной и бэкапный.
Мы хотим
1. чтобы когда отваливался основной, работал бэкапный (и когда основной поднялся, маршрут обратно переписывался на него)
2. чтобы нагрузка между ними балансировалась (и с PBR в том числе). Опять же, при падении провайдера трафик не него не должен ходить.

Оба провайдера у нас через ethernet, и статический маршрут не исчезнет при падении провайдера.

Настроим IP SLA для проверки доступности провайдеров
(пингуем наши дефолт-гейтвеи)

ip sla 1
icmp-echo 80.91.170.13 source-interface GigabitEthernet0/1  
timeout 2000  
frequency 3
ip sla schedule 1 life forever start-time now

ip sla 2
icmp-echo 83.218.239.13 source-interface GigabitEthernet0/2  
timeout 2000  
frequency 3
ip sla schedule 2 life forever start-time now

track 1 rtr 1 reachability
track 2 rtr 2 reachability

Настроим локальный PBR чтобы эхо пакеты ходили только с интерфейса нужного провайдера
(в противном случае пинг может пойти через другой интерфейс)

ip access-list extended track1
permit icmp any host 80.91.170.13
ip access-list extended track2
permit icmp any host 83.218.239.13

route-map track permit 10
match ip address track1
set ip next-hop 80.91.170.113
set interface Null0
!
route-map track permit 20
match ip address track2
set ip next-hop 83.218.239.13
set interface Null0

ip local policy route-map track

Добавим статические маршруты на провайдеров.

ip route 0.0.0.0 0.0.0.0 80.91.170.13 track 1
ip route 0.0.0.0 0.0.0.0 83.218.239.13 track 2

Если нету ответа на эхо запрос от провайдера, статический маршрут убирается.
При отсутствии AD в ip route у статических маршрутов будет load blancing (per flow при влючённом ip cef)

Добавим еще PBR (если у нас не симметричные каналы, или мы хотим чтобы некоторые внутренние хосты выходили через конкретного провайдера, а в случае его падения через бэкапного). В route-map выставляется приоритет на лучшего провайдера.

route-map 115 permit 10
match ip address 115
set ip next-hop verify-availability 80.91.170.13 10 track 1
set ip next-hop verify-availability 83.218.239.13 20 track 2

access-list 115 permit ip host 192.168.0.15 any
access-list 115 permit ip host 192.168.10.2 any
access-list 115 permit ip host 192.168.0.161 any

И вешаем
ip policy route-map 115
На интерфейс который смотрит в локалку.

При такой конфигурации переход на живого провайдера происходит примерно за 2 секунды.

От такое от...

• ip sla или как сделать чтобы красиво работал основный\бэкапн...,teebot, 10:57 , 20-Июл-07
  • ip sla или как сделать чтобы красиво работал основный\бэкапн...,fenix2, 11:55 , 20-Июл-07
    • ip sla или как сделать чтобы красиво работал основный\бэкапн...,teebot, 13:31 , 20-Июл-07
      • ip sla или как сделать чтобы красиво работал основный\бэкапн...,teebot, 16:02 , 24-Июл-07
      • ip sla или как сделать чтобы красиво работал основный\бэкапн...,fenix2, 16:04 , 24-Июл-07
        • ip sla или как сделать чтобы красиво работал основный\бэкапн...,teebot, 16:31 , 24-Июл-07
          • ip sla или как сделать чтобы красиво работал основный\бэкапн...,fenix2, 00:53 , 25-Июл-07
• ip sla или как сделать чтобы красиво работал основный\бэкапн...,v0v0, 12:09 , 08-Окт-08

хотелось бы прояснить некоторые моменты

>2. чтобы нагрузка между ними балансировалась (и с PBR в том числе).
>Опять же, при падении провайдера трафик не него не должен ходить.
>

если у нас 2 разных провайдера соответственно 2 разных ИП и гетвея. не получится ли  такая штука, что при балансировке будет наблюдаться негативный эффект при посещении сайтов где реализован механизм сессий. Тоесть мы авторизировались на сайте с одним ИП, проходит балансировка нас перебрасывает на второй ИП и сайт нас уже не узнает. Такое 100% будет при per-packet балансировке, интересно как это работает при per-destination.

>[оверквотинг удален]
> match ip address track1
> set ip next-hop 80.91.170.113
> set interface Null0
>!
>route-map track permit 20
> match ip address track2
> set ip next-hop 83.218.239.13
> set interface Null0
>
>ip local policy route-map track

а зачем настраивать роут-мапы для того чтобы эхо пакеты ходили только с интерфейса нужного провайдера если мы настроили sla, source-interface GigabitEthernet0/1? Разве source-interface GigabitEthernet0/1 не гаратнирует что пинг уйдет через GigabitEthernet0/1 и ни через какой другой?

Прокомментируйте пожалуйста это.

Спасибо.

>если у нас 2 разных провайдера соответственно 2 разных ИП и гетвея.
>не получится ли  такая штука, что при балансировке будет наблюдаться
>негативный эффект при посещении сайтов где реализован механизм сессий. Тоесть мы
>авторизировались на сайте с одним ИП, проходит балансировка нас перебрасывает на
>второй ИП и сайт нас уже не узнает. Такое 100% будет
>при per-packet балансировке, интересно как это работает при per-destination.

Цыска пишет, что при Per-Destination, если у нас 2 одинаковых маршрута к сети, то к destination1 у нас всё пойдёт через 1 маршрут, а к destination2 через другой.
http://cisco.com/en/US/tech/tk365/technologies_tech_note0918...

>а зачем настраивать роут-мапы для того чтобы эхо пакеты ходили только с
>интерфейса нужного провайдера если мы настроили sla, source-interface GigabitEthernet0/1? Разве source-interface
>GigabitEthernet0/1 не гаратнирует что пинг уйдет через GigabitEthernet0/1 и ни через
>какой другой?

точно.
Эти роут мапы нужны если мы хотим пинговать какой то надёжный хост в интернете через провайдера, а не дефолт гейтвей.
это даст нам некую гарантию, что у провайдера всё ок...

>>а зачем настраивать роут-мапы для того чтобы эхо пакеты ходили только с
>>интерфейса нужного провайдера если мы настроили sla, source-interface GigabitEthernet0/1? Разве source-interface
>>GigabitEthernet0/1 не гаратнирует что пинг уйдет через GigabitEthernet0/1 и ни через
>>какой другой?
>
>точно.
>Эти роут мапы нужны если мы хотим пинговать какой то надёжный хост
>в интернете через провайдера, а не дефолт гейтвей.
>это даст нам некую гарантию, что у провайдера всё ок...

так дело в том что ты сам в своем посте написал
"Настроим IP SLA для проверки доступности провайдеров
(пингуем наши дефолт-гейтвеи)"

я не уверен но мне кажется что если указывать source-interface при настройке sla, то это и будет 100% гарантия что пакет уйдет через нужный интерфейс будь то пинг гетвея, будь то хост в интернете. Я могу ошибаться поэтому и попросил прокомментировать. Просто мне ближе к сердцу оптимальный минимализм, зачем писать лишние строки если без них все работает.

>я не уверен но мне кажется что если указывать source-interface при настройке
>sla, то это и будет 100% гарантия что пакет уйдет через
>нужный интерфейс будь то пинг гетвея, будь то хост в интернете.
>Я могу ошибаться поэтому и попросил прокомментировать. Просто мне ближе к
>сердцу оптимальный минимализм, зачем писать лишние строки если без них все
>работает.

вчера была возможнось проверить sla на деле.
значит был роутер, который имел доступ в интернет
один провайдер был физически отключен.
был вот такой sla

ip sla 2
icmp-echo IP_В_ИНТЕРНЕТЕ source-interface FastEthernet0/0.30
ip sla schedule 2 life forever start-time now

при всем при этом не смотря на то что роутер свободно мог пинговать любой ИП в интернете
sh track показывал что объект в дауне. как только подался интернет на FastEthernet0/0.30 объект показал статус ОК.

>[оверквотинг удален]
>так дело в том что ты сам в своем посте написал
>"Настроим IP SLA для проверки доступности провайдеров
>(пингуем наши дефолт-гейтвеи)"
>
>я не уверен но мне кажется что если указывать source-interface при настройке
>sla, то это и будет 100% гарантия что пакет уйдет через
>нужный интерфейс будь то пинг гетвея, будь то хост в интернете.
>Я могу ошибаться поэтому и попросил прокомментировать. Просто мне ближе к
>сердцу оптимальный минимализм, зачем писать лишние строки если без них все
>работает.

Если мы пигнуем дефотл гейтвей провайдера, то пинг уйдёт полюбому через нужный интерфейс, т.к. эта сетка directly connected, и ehternet интерфейс в даун не уйдёт (разве что пробемы с нашим железом, и даже в таком случае этот локальный PBR нам нужен)

>Если мы пигнуем дефотл гейтвей провайдера, то пинг уйдёт полюбому через нужный
>интерфейс, т.к. эта сетка directly connected, и ehternet интерфейс в даун
>не уйдёт (разве что пробемы с нашим железом, и даже в
>таком случае этот локальный PBR нам нужен)

речь шла о том нужно ли писать вот это:

>Настроим локальный PBR чтобы эхо пакеты ходили только с интерфейса нужного провайдера
>(в противном случае пинг может пойти через другой интерфейс)

если sla настроен icmp-echo 83.218.239.13 source-interface GigabitEthernet0/2
пакет, в любую точку мира в том числе и на дефаулт, при любом раскладе уйдет через GigabitEthernet0/2 интерфейс и ни через какой другой.

вот и получается что следующие строки лишние:
>[оверквотинг удален]
>route-map track permit 10
>match ip address track1
>set ip next-hop 80.91.170.113
>set interface Null0
>!
>route-map track permit 20
>match ip address track2
>set ip next-hop 83.218.239.13
>set interface Null0
>ip local policy route-map track

это мое ИМХО

>если sla настроен icmp-echo 83.218.239.13 source-interface GigabitEthernet0/2
>пакет, в любую точку мира в том числе и на дефаулт, при
>любом раскладе уйдет через GigabitEthernet0/2 интерфейс и ни через какой другой.

сорс интерфейс у нас полюбому будет g0/2, но если дефолт указан через допустим g0/1, то эхо запрос с айпишкой от g0/2 уйдёт через g0/1, так вроде? А мы хотим чтобы он не смотрел в таблицу маршрутизации (где дефолт на g0/1) а выплёвывался через g0/2.

>Оба провайдера у нас через ethernet, и статический маршрут не исчезнет при
>падении провайдера.

а если у меня один пров через ethernet, а другой через hwic-1adsl в 2811, тут как быть?