форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"NAT на 2 канала - что я делаю не так :)"

Сообщение от Stan (??) on 21-Янв-08, 20:43

Доброго времени суток, коллеги! Настраиваю на любимой кошке резервный интернет-канал. Версия IOS - 12.4(15)T1 Пользовался маном, найденным по адресу http://msgibnev.livejournal.com/4947.html Все делаю по ману, но встает вопрос - как быть с НАТом? Циска замечательно переключает маршрут по умолчанию в зависимости от поднятия основного канала, но на настройку НАТ это никоим образом не влияет. А что толку с маршрута, если пакеты получают кривой в контексте данного маршрута source-адрес? Пошел курить циско.ком, и накурил-таки похожий ман, где НАТ настраивался по routing-map. Попробовал - все работает замечательно, пакеты натятся как положено. За одним большим и важным исключением. К примеру, запускаем ping xxx.xxx.xxx.xxx -t на тестовой машине, подключенной к циске. На циске пишем debug ip nat. Видим, как пакеты натятся и уходят наружу. Отключаем физически основной канал от циски. Через 5 секунд срабатывает трекинг и переключает маршрут. Пинги, тем не менее, натятся по прежнему (получают старый source-адрес).Запускаем на тестовой машине, например, веб-браузер. Работает, сабака, пакеты натятся по резервному каналу! Запускаем mstsc - пакеты снова идут как положено!!! А пинги продолжают натится по-старому... Делаем на циске clear ip nat tra * - и о чудо, пинги наконец-то начинают преобразовываться так как надо... А теперь внимание вопрос! Как заставить циску при срабатывании трэка делать очистку таблицы преобразований НАТ? :) Заранее благодарю за ответы!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "NAT на 2 канала - что я делаю не так :)"

Сообщение от CrAzOiD (ok) on 21-Янв-08, 21:42

>[оверквотинг удален] >срабатывает трекинг и переключает маршрут. Пинги, тем не менее, натятся по >прежнему (получают старый source-адрес).Запускаем на тестовой машине, например, веб-браузер. Работает, сабака, >пакеты натятся по резервному каналу! Запускаем mstsc - пакеты снова идут >как положено!!! А пинги продолжают натится по-старому... >Делаем на циске clear ip nat tra * - и о чудо, >пинги наконец-то начинают преобразовываться так как надо... >А теперь внимание вопрос! Как заставить циску при срабатывании трэка делать очистку >таблицы преобразований НАТ? :) > >Заранее благодарю за ответы! нужен 12.4T 2ISP#sh run Building configuration... Current configuration : 3194 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname 2ISP ! boot-start-marker boot-end-marker ! ! no aaa new-model memory-size iomem 5 ip cef ! ! ! ! ip vrf ISP1   rd 65000:1 ! ip vrf ISP2   rd 65000:2 ! ! multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! archive   log config     hidekeys ! ! ! track 1 rtr 1 ! track 2 rtr 2 ! ! ! ! interface Loopback11   ip address 192.168.254.1 255.255.255.255 ! interface Loopback12   ip address 192.168.254.2 255.255.255.255 ! interface Loopback21   ip address 192.168.254.3 255.255.255.255 ! interface Loopback22   ip address 192.168.254.4 255.255.255.255 ! interface Tunnel11   ip address 192.168.254.9 255.255.255.252   ip mtu 1500   ip flow ingress   tunnel source Loopback11   tunnel destination 192.168.254.2 ! interface Tunnel12   ip vrf forwarding ISP1   ip address 192.168.254.10 255.255.255.252   ip mtu 1500   ip nat inside   ip virtual-reassembly   tunnel source Loopback12   tunnel destination 192.168.254.1 ! interface Tunnel21   ip address 192.168.254.13 255.255.255.252   ip mtu 1500   ip flow ingress   tunnel source Loopback21   tunnel destination 192.168.254.4 ! interface Tunnel22   ip vrf forwarding ISP2   ip address 192.168.254.14 255.255.255.252   ip mtu 1500   ip nat inside   ip virtual-reassembly   tunnel source Loopback22   tunnel destination 192.168.254.3 ! interface FastEthernet0/0   description ### INET ###   no ip address   duplex auto   speed auto ! interface FastEthernet0/0.11   description ### ISP1 ###   encapsulation dot1Q 11   ip vrf forwarding ISP1   ip address 201.0.0.1 255.255.255.252   ip nat outside   ip virtual-reassembly ! interface FastEthernet0/0.12   description ### ISP2 ###   encapsulation dot1Q 12   ip vrf forwarding ISP2   ip address 202.0.0.1 255.255.255.252   ip nat outside   ip virtual-reassembly ! interface FastEthernet0/1   description ### LAN ###   ip address 192.168.255.254 255.255.255.0   ip flow ingress   ip tcp adjust-mss 1450   duplex auto   speed auto ! router ospf 11 vrf ISP1   log-adjacency-changes   network 192.168.254.8 0.0.0.3 area 0   default-information originate ! router ospf 21 vrf ISP2   log-adjacency-changes   network 192.168.254.12 0.0.0.3 area 0   default-information originate ! router ospf 1   log-adjacency-changes   passive-interface FastEthernet0/1   network 192.168.254.8 0.0.0.3 area 0   network 192.168.254.12 0.0.0.3 area 0   network 192.168.255.0 0.0.0.255 area 0 ! ip route vrf ISP1 0.0.0.0 0.0.0.0 201.0.0.2 name ISP1 track 1 ip route vrf ISP2 0.0.0.0 0.0.0.0 202.0.0.2 name ISP2 track 2 ! ! ip http server no ip http secure-server ip nat inside source list NAT interface FastEthernet0/0.11 vrf ISP1 overload ip nat inside source list NAT interface FastEthernet0/0.12 vrf ISP2 overload ! ip access-list standard NAT   permit 192.168.255.0 0.0.0.255 ! ip sla 1   icmp-echo 201.0.0.2 source-ip 201.0.0.1   vrf ISP1 ip sla schedule 1 life forever start-time now ip sla 2   icmp-echo 202.0.0.2 source-ip 202.0.0.1   vrf ISP2 ip sla schedule 2 life forever start-time now ! ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0   logging synchronous   transport preferred none line aux 0 line vty 0 4   login ! ! end 2ISP# sh ip ro 2ISP# sh ip route Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP               D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area               N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2               E1 - OSPF external type 1, E2 - OSPF external type 2               i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2               ia - IS-IS inter area, * - candidate default, U - per-user static route               o - ODR, P - periodic downloaded static route Gateway of last resort is 192.168.254.14 to network 0.0.0.0 C 192.168.255.0/24 is directly connected, FastEthernet0/1           192.168.254.0/24 is variably subnetted, 6 subnets, 2 masks C 192.168.254.4/32 is directly connected, Loopback22 C 192.168.254.2/32 is directly connected, Loopback12 C 192.168.254.3/32 is directly connected, Loopback21 C 192.168.254.1/32 is directly connected, Loopback11 C 192.168.254.12/30 is directly connected, Tunnel21 C 192.168.254.8/30 is directly connected, Tunnel11 O*E2 0.0.0.0/0 [110/1] via 192.168.254.14, 00:16:12, Tunnel21                               [110/1] via 192.168.254.10, 00:13:12, Tunnel11 © ВОЛКА

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "NAT на 2 канала - что я делаю не так :)"
	Сообщение от Stan (??) on 21-Янв-08, 21:49
	>[оверквотинг удален] >C 192.168.254.1/32 is directly connected, Loopback11 >C 192.168.254.12/30 is directly connected, Tunnel21 >C 192.168.254.8/30 is directly connected, Tunnel11 >O*E2 0.0.0.0/0 [110/1] via 192.168.254.14, 00:16:12, Tunnel21 >             >           >       [110/1] via 192.168.254.10, 00:13:12, >Tunnel11 > >© ВОЛКА Спасибо! Но у меня практически такой же конфиг, по части НАТа. У Вас тоже непрерывный пинг не будет сбрасываться по таймауту. У меня нормально переключаются маршруты. И нат работает нормально. Но хотелось бы обнулять таблицу ната после изменения маршрута!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "NAT на 2 канала - что я делаю не так :)"
	Сообщение от CrAzOiD (ok) on 21-Янв-08, 22:21
	читайте внимательнее конфиг "можно делать обычную схему... но те, кто ее делали, жаловались на некорректную работу NAT, когда падал один из каналов. пока clear ip nat tr * не сделать. собственно vrf нужны для изоляции NAT таблиц. + кто-то жаловался на некорректную работу egress netflow. " (с)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "NAT на 2 канала - что я делаю не так :)"
	Сообщение от Stan (??) on 22-Янв-08, 01:29
	>читайте внимательнее конфиг > Спасибо Вам огромное! Каюсь, был невнимателен. Ушел курить цыцко.ком насчет vrf :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "NAT на 2 канала - что я делаю не так :)"
	Сообщение от Stan (??) on 22-Янв-08, 19:14
	>читайте внимательнее конфиг > Возник еще один вопрос! В конфиге сделано 2 сабинтерфейса, потому что инет подходит к одному fastEthernet порту. У меня же к двум физическим портам подходят 2 канала... метод конфигурирования такой же - только создается по одному сабинтерфейсу на каждый интерфейс?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "NAT на 2 канала - что я делаю не так :)"
	Сообщение от CrAzOiD (ok) on 22-Янв-08, 23:52
	>>читайте внимательнее конфиг >> > >Возник еще один вопрос! В конфиге сделано 2 сабинтерфейса, потому что инет >подходит к одному fastEthernet порту. У меня же к двум физическим >портам подходят 2 канала... метод конфигурирования такой же - только создается >по одному сабинтерфейсу на каждый интерфейс? если физических интерфейсов хватает, то не надо создавать сабинтерфейсы
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]