The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не работает маршрутизация для клиентов"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Не работает маршрутизация для клиентов"  +/
Сообщение от star117 email(ok) on 02-Апр-14, 13:13 
Сразу скажу что тема шире чем в заголовке.
Есть Cisco3825, на ней 3 субинтерфейса к провайдерам. Есть своя AS(PA). Успешно настроено BGP-соседство с 2 провайдерами по fullview.
Тут бы жить и радоваться, но вот с клиентского компьютера маршрутизация в Инет не идёт, хотя с роутера - без вопросов.
Клиентская маршрутизация настроена через PBR, ранее без AS, работала без нареканий.

Главный вопрос - что не так настроено? Вот конфиг:

!
! Last configuration change at 15:49:57 NOVST Wed Apr 2 2014 by xxxx
! NVRAM config last updated at 15:49:59 NOVST Wed Apr 2 2014 by xxxx
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec localtime show-timezone
service password-encryption
!
hostname main-gw
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
aaa new-model
!
!
!
aaa session-id common
clock calendar-valid
!
dot11 syslog
ip source-route
ip cef
!
!
!
!
ip domain name xxxxx.ru
ip name-server 8.8.8.8
ip name-server 8.8.4.4
login on-failure log
login on-success log
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
voice-card 0
!
!
!
username xxxx privilege 15 secret 5 qqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqqq
archive
log config
!
!
!
!
!
ip ssh version 2
!
!
!
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/0.40
description notmy_AS
encapsulation dot1Q 40
ip address 40.40.40.14 255.255.252.0
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/0.55
description ISP1
encapsulation dot1Q 55
ip address 55.55.55.146 255.255.255.252 secondary
ip address 55.55.55.162 255.255.255.252
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/0.60
description ISP2
encapsulation dot1Q 60
ip address 60.60.60.70 255.255.255.252
no ip redirects
no ip unreachables
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/0.77
description ISP3
encapsulation dot1Q 77
ip address 77.77.77.147 255.255.255.0
ip nat outside
ip virtual-reassembly
no cdp enable
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1.1
description LAN
encapsulation dot1Q 1 native
ip address 10.11.12.120 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface GigabitEthernet0/1.25
description AS_DMZ
encapsulation dot1Q 25
ip address 25.25.25..1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
no cdp enable
!
router bgp 65432
bgp router-id 25.25.25.1
bgp log-neighbor-changes
neighbor 55.55.55.145 remote-as 64321
neighbor 55.55.55.145 description ISP1_fullview
neighbor 55.55.55.161 remote-as 64321
neighbor 55.55.55.161 description ISP1
neighbor 60.60.60.69 remote-as 62109
neighbor 60.60.60.69 description ISP2
!
address-family ipv4
  neighbor 55.55.55.145 activate
  neighbor 55.55.55.145 next-hop-self
  neighbor 55.55.55.145 soft-reconfiguration inbound
  neighbor 55.55.55.145 prefix-list BGP_ADVERT out
  neighbor 55.55.55.161 activate
  neighbor 55.55.55.161 next-hop-self
  neighbor 55.55.55.161 soft-reconfiguration inbound
  neighbor 55.55.55.161 prefix-list BGP_ADVERT out
  neighbor 60.60.60.69 activate
  neighbor 60.60.60.69 next-hop-self
  neighbor 60.60.60.69 soft-reconfiguration inbound
  neighbor 60.60.60.69 prefix-list BGP_ADVERT out
  no auto-summary
  no synchronization
  network 25.25.25.0 mask 255.255.255.0
exit-address-family
!
ip local pool VPN_POOL 10.11.12.101 10.11.12.110
ip forward-protocol nd
ip route 10.11.12.0 255.255.255.0 Null0
no ip http server
no ip http secure-server
!
!
ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/1.25 overload
!
ip access-list extended LAN_TO_INET
permit ip 10.11.12.0 0.0.0.255 any
ip access-list extended port22dis
deny   tcp any host 25.25.25.1 eq 22
deny   tcp any host 40.40.40.14 eq 22
deny   tcp any host 55.55.55.162 eq 22
deny   tcp any host 60.60.60.70 eq 22
deny   tcp any host 77.77.77.147 eq 22
permit ip any any
!
!
ip prefix-list BGP_ADVERT seq 10 permit 25.25.25.0/24
ip radius source-interface GigabitEthernet0/1.1
logging trap debugging
logging 10.11.12.127
!
!
!
!
route-map OURNET_TO_INTERNET permit 10
match ip address LAN_TO_INET
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
exec-timeout 20 0
privilege level 15
logging synchronous
transport input ssh
scheduler allocate 20000 1000
end

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не работает маршрутизация для клиентов"  +/
Сообщение от Virtual77 email(ok) on 02-Апр-14, 17:50 
>[оверквотинг удален]
> !
> line con 0
> line aux 0
> line vty 0 4
>  exec-timeout 20 0
>  privilege level 15
>  logging synchronous
>  transport input ssh
> scheduler allocate 20000 1000
> end

ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/1.25 overload
это точно правильно прописано?
какой-то заплёт с натированием, посмотри тут:
http://www.cisco.com/c/en/us/support/docs/ip/network-address...


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Не работает маршрутизация для клиентов"  +/
Сообщение от Apple on 03-Апр-14, 13:25 
А для чего у вас используется этот маршрут?

ip route 10.11.12.0 255.255.255.0 Null0

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Не работает маршрутизация для клиентов"  +/
Сообщение от star117 email(ok) on 03-Апр-14, 19:46 
> А для чего у вас используется этот маршрут?
> ip route 10.11.12.0 255.255.255.0 Null0

Хороший вопрос.
Это я списал с чужого конфига. Вроде бы объявляет мою сеть, типа так надо для работы с АС.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Не работает маршрутизация для клиентов"  +/
Сообщение от ShyLion (ok) on 04-Апр-14, 06:41 
>> А для чего у вас используется этот маршрут?
>> ip route 10.11.12.0 255.255.255.0 Null0
> Хороший вопрос.
> Это я списал с чужого конфига. Вроде бы объявляет мою сеть, типа
> так надо для работы с АС.

Вы по BGP приватную сеть анонсите?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Не работает маршрутизация для клиентов"  +/
Сообщение от ShyLion (ok) on 04-Апр-14, 06:44 
>>> А для чего у вас используется этот маршрут?
>>> ip route 10.11.12.0 255.255.255.0 Null0
>> Хороший вопрос.
>> Это я списал с чужого конфига. Вроде бы объявляет мою сеть, типа
>> так надо для работы с АС.
> Вы по BGP приватную сеть анонсите?

а, у вас приватный AS.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Не работает маршрутизация для клиентов"  +/
Сообщение от star117 email(ok) on 04-Апр-14, 07:35 
>>>> А для чего у вас используется этот маршрут?
>>>> ip route 10.11.12.0 255.255.255.0 Null0
>>> Хороший вопрос.
>>> Это я списал с чужого конфига. Вроде бы объявляет мою сеть, типа
>>> так надо для работы с АС.
>> Вы по BGP приватную сеть анонсите?
> а, у вас приватный AS.

Нет, AS у на не приватная.
Просто IP и ASN изменены перед публикацией на форуме.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Не работает маршрутизация для клиентов"  +/
Сообщение от ShyLion (ok) on 04-Апр-14, 07:58 
>>>>> А для чего у вас используется этот маршрут?
>>>>> ip route 10.11.12.0 255.255.255.0 Null0
>>>> Хороший вопрос.
>>>> Это я списал с чужого конфига. Вроде бы объявляет мою сеть, типа
>>>> так надо для работы с АС.
>>> Вы по BGP приватную сеть анонсите?
>> а, у вас приватный AS.
> Нет, AS у на не приватная.
> Просто IP и ASN изменены перед публикацией на форуме.

Понятно. В следующий раз меняй так, чтоб было понятно что не приватное. типа 123.123.123.0 и 123456. :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

6. "Не работает маршрутизация для клиентов"  +/
Сообщение от ShyLion (ok) on 04-Апр-14, 06:52 
https://www.opennet.ru/openforum/vsluhforumID6/1295.html#7
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Не работает маршрутизация для клиентов"  +/
Сообщение от star117 email(ok) on 04-Апр-14, 07:36 
> https://www.opennet.ru/openforum/vsluhforumID6/1295.html#7

Эта тема также создана мной. Тот же вопрос, заданный по-другому.
Ответы пока не помогают.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Не работает маршрутизация для клиентов"  +/
Сообщение от Денис (??) on 05-Апр-14, 12:28 
> Клиентская маршрутизация настроена через PBR

в приведённом конфиге PBR нет. Или я не так понял вашу топологию.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Не работает маршрутизация для клиентов"  +/
Сообщение от star117 email(ok) on 05-Апр-14, 13:17 
>> Клиентская маршрутизация настроена через PBR
> в приведённом конфиге PBR нет. Или я не так понял вашу топологию.

Возможно я сам неправильно понимаю PBR?
Я понял PBR так: прописано правило для NAT (ip nat inside ...) в котором указан нужный мне route-map.
Раньше, когда было просто подключение к 2 провайдерам PBR работал. В route-map'е были правила типа match ip ... set next-hop default ... и разный трафик ходил через разных провайдеров.

Моё понимание неверно?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Не работает маршрутизация для клиентов"  +/
Сообщение от Денис (??) on 05-Апр-14, 19:15 
>>> Клиентская маршрутизация настроена через PBR
>> в приведённом конфиге PBR нет. Или я не так понял вашу топологию.
> Возможно я сам неправильно понимаю PBR?
> Я понял PBR так: прописано правило для NAT (ip nat inside ...)
> в котором указан нужный мне route-map.

это просто использование route-map применительно к NAT.

> Раньше, когда было просто подключение к 2 провайдерам PBR работал. В route-map'е
> были правила типа match ip ... set next-hop default ... и
> разный трафик ходил через разных провайдеров.
> Моё понимание неверно?

Просто написать route map ещё недостаточно. Сама PBR активируется командой "ip policy", прописанной на интерфейсе. В приведённом конфиге её нет. Потому я и говорю, что в конфиге из вашего изначального сообщения PBR нет.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Не работает маршрутизация для клиентов"  +/
Сообщение от Денис (??) on 05-Апр-14, 19:38 
попробуйте явно указать, через какой интерфейс клиентам "лезть" в Интернет:

route-map OURNET_TO_INTERNET permit 10
match ip address LAN_TO_INET
set interface GigabitEthernet0/1.25

Interface GigabitEthernet0/1.25
ip policy OURNET_TO_INTERNET

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Не работает маршрутизация для клиентов"  +/
Сообщение от Денис (??) on 05-Апр-14, 20:29 
> попробуйте явно указать, через какой интерфейс клиентам "лезть" в Интернет:
> route-map OURNET_TO_INTERNET permit 10
> match ip address LAN_TO_INET
> set interface GigabitEthernet0/1.25

или лучше set ip next-hop <IP-АдресОператора>

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Не работает маршрутизация для клиентов"  +/
Сообщение от star117 email(ok) on 06-Апр-14, 15:13 
>> попробуйте явно указать, через какой интерфейс клиентам "лезть" в Интернет:
>> route-map OURNET_TO_INTERNET permit 10
>> match ip address LAN_TO_INET
>> set interface GigabitEthernet0/1.25
> или лучше set ip next-hop <IP-АдресОператора>

Спасибо, Денис! Посты прям в тему.
С последним только не получится. У меня поднят BGP+AS, то есть предсказать через какого провайдера должен пойти трафик я не могу.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Не работает маршрутизация для клиентов"  +/
Сообщение от Денис (??) on 06-Апр-14, 15:59 
> С последним только не получится. У меня поднят BGP+AS, то есть предсказать
> через какого провайдера должен пойти трафик я не могу.

тогда попробуйте следующее:
ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.55 overload
ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.60 overload
ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.77 overload

ну и не забывайте про "show ip nat translation" и прочие полезные команды

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Не работает маршрутизация для клиентов"  +/
Сообщение от star117 email(ok) on 06-Апр-14, 18:38 
>> С последним только не получится. У меня поднят BGP+AS, то есть предсказать
>> через какого провайдера должен пойти трафик я не могу.
> тогда попробуйте следующее:
> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.55 overload
> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.60 overload
> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.77 overload
> ну и не забывайте про "show ip nat translation" и прочие полезные
> команды

Спасибо, буду пробовать :)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Не работает маршрутизация для клиентов"  +/
Сообщение от star117 email(ok) on 07-Апр-14, 06:15 
>>> С последним только не получится. У меня поднят BGP+AS, то есть предсказать
>>> через какого провайдера должен пойти трафик я не могу.
>> тогда попробуйте следующее:
>> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.55 overload
>> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.60 overload
>> ip nat inside source route-map OURNET_TO_INTERNET interface GigabitEthernet0/0.77 overload
>> ну и не забывайте про "show ip nat translation" и прочие полезные
>> команды
> Спасибо, буду пробовать :)

Не работает. Правило ip nat ... overload может быть только одно.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

20. "Не работает маршрутизация для клиентов"  +/
Сообщение от ShyLion (ok) on 08-Апр-14, 08:11 
> Спасибо, буду пробовать :)

Не парься, тебе это не нужно.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Не работает маршрутизация для клиентов"  +/
Сообщение от ShyLion (ok) on 08-Апр-14, 08:09 
Камрад. Ему это не надо. Ему не надо натить с адресов-линков с провайдерами. У него свой PI блок. Как что сделать я уже отписал в другой теме, через пулы.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру