|
cisco, PBR, static nat = не взлетает :( [b]Есть[/b]: 2901, 2 канала в интернет на каждом маска 29. Дефолт роут на канал 1. канал 1 - GigabitEthernet0/0.2 х.х.х.214/29 DG х.х.х.209 (этот DG прописан) канал 2 - GigabitEthernet0/0.3 х.х.х.194/29 DG х.х.х.193(этот DG используется только для PBR) Статика настроенная на канал 1 - работает, проблем нет. ip nat inside source static 192.168.100.212 х.х.х.213 [b]Надо[/b]: часть серверов пускать через канал 1, часть через канал 2. Так же надо сервера выпускать в интернет через статик нат, что на первом канала, что на втором. Конечная и основная задача 192.168.100.220 выпускать СТАТИКОЙ через х.х.х.195 [b]Что сделал[/b]: Собственно сами роутмапы [code] route-map max permit 20 match ip address max set ip next-hop х.х.х.193 ! route-map local_pbr permit 10 match ip address local_pbr set ip next-hop х.х.х.193 [/code] Акцесс-листы для них [code] ip access-list extended local_pbr permit ip х.х.х.192 0.0.0.7 any permit ip any х.х.х.192 0.0.0.7 ip access-list extended max permit ip host 192.168.100.220 any [/code] Соответственно на интерфейсах привязал полиси мап [code] interface GigabitEthernet0/0.100 description ---=== encapsulation dot1Q 100 ip address 192.168.100.254 255.255.255.0 ip nat inside ip virtual-reassembly in ip policy route-map max [/code] Так же сделал локал полиси [code] ip local policy route-map local_pbr [/code] Сама статика [code] ip nat inside source static 192.168.100.220 х.х.х.195 [/code] Дефолт [code] ip route 0.0.0.0 0.0.0.0 х.х.х.209 [/code] Вывод sh route-m [code] route-map maxima, permit, sequence 20 Match clauses: ip address (access-lists): maxima Set clauses: ip next-hop x.x.x.193 Policy routing matches: 38795 packets, 3189782 bytes route-map local_pbr, permit, sequence 10 Match clauses: ip address (access-lists): local_pbr Set clauses: ip next-hop x.x.x.193 Policy routing matches: 876 packets, 78766 bytes [/code] Шлюзом у всех кто в инсайде стоит 192.168.100.254 [b]Проблема[/b] Пинг с 100.220 не идет по второму каналу, трасировка обрывается на рутере. Извечный вопрос, что делать, куда копать ? |
Дебаг делал так [code] access-list 9 permit 192.168.100.220 [/code] и так [code] deb ip pack 9 [/code] и получил [code] Apr 2 09:06:41.339: IP: s=192.168.100.220 (GigabitEthernet0/0.100), d=8.8.8.8, len 71, input feature, Stateful Inspection(4), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=192.168.100.220 (GigabitEthernet0/0.100), d=8.8.8.8, len 71, input feature, Virtual Fragment Reassembly(24), rtype 0,forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=192.168.100.220 (GigabitEthernet0/0.100), d=8.8.8.8, len 71, input feature, Virtual Fragment Reassembly After IPSec Decryption(38), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=192.168.100.220 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, input feature, Policy Routing(68), rtype 2, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=192.168.100.220 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, input feature, MCI Check(73), rtype 2, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=x.x.x.195 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, output feature, Post-routing NAT Outside(23), rtype 2, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=x.x.x.195 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, output feature, Stateful Inspection(25), rtype 2, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=x.x.x.195 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, output feature, NAT ALG proxy(51), rtype 2, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=x.x.x.195 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), g=x.x.x.193, len 71, forward Apr 2 09:06:41.339: IP: s=x.x.x.195 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, sending full packet All possible debugging has been turned off [/code] |
ну так ведь первый канал это х.х.х.209? используй динимическую маршрутизацию. можно задействовать различные vrf для различных провов. |
2 первый канал это дефолт, и там со статикой проблем нет. А динамику тут для чего поднятЬ ? для врф ? |
раз первый канал это дефолт, то с какого пакеты будут идти через второй канал? динамику настроить для того чтобы не морочиться. 2901 используется как точка выхода или на неё терминируются удалённые офисы? |
5 [quote=midnightmoon;34745371]то с какого пакеты будут идти через второй канал?[/quote] Для этого есть PBR. [quote=midnightmoon;34745371]динамику настроить для того чтобы не морочиться. [/quote] Какую, и куда ? [quote=midnightmoon;34745371] 2901 используется как точка выхода или на неё терминируются удалённые офисы? [/quote] офисы нет, но терминируется впн, натиться sip, .... |
Я ненавижу ютк :( эти П не маршрутизировали адрес 195 :( 3 дня убил на них. Вопрос закрыт, конфиг верен. |
Там есть файлы которые мешают, надо так сделать: delete startup-config delete flash:// erase flash write erase reload И должно всё заработать. |
Вы наверное ошиблись форумом, учеников НЕДОпетросянов тут нет. |
можно по умничать немного ? : 1. вашу задачу правильней реализовывать через pbr применяемый для ната (аля ip nat inside source route-map бла ббла бла, погуглите сами). 2. local_pbr нужно рисовать с 2мя шлюзами (каждой сетки свой шлюз, увеличивая "секиунс"). 3. PBR лучше смотреть через deb ip icmp |
Не хотел писать, но раз обсуждение продолжается... Я как-то делал с использованием route-map (кажется) в ip nat. Там получалось проматчить исходящий интерфейс и в зависимости от этого натить в нужный адрес. Тогда всё управление сводилось к указанию next-hop (точнее к добавлению в нужный акцесс-лист. |
9 отчасти верно, это правильно былоб при условии ТОЛЬКО выхода в инет с этим адресом, у меня же еще есть и статика В инсайд. 10 см выше. |
| Текущее время: 07:54. Часовой пояс GMT +3. |