| 0
- 02.04.2014 - 12:13
| Есть: 2901, 2 канала в интернет на каждом маска 29. Дефолт роут на канал 1. канал 1 - GigabitEthernet0/0.2 х.х.х.214/29 DG х.х.х.209 (этот DG прописан) канал 2 - GigabitEthernet0/0.3 х.х.х.194/29 DG х.х.х.193(этот DG используется только для PBR) Статика настроенная на канал 1 - работает, проблем нет. ip nat inside source static 192.168.100.212 х.х.х.213 Надо: часть серверов пускать через канал 1, часть через канал 2. Так же надо сервера выпускать в интернет через статик нат, что на первом канала, что на втором. Конечная и основная задача 192.168.100.220 выпускать СТАТИКОЙ через х.х.х.195 Что сделал: Собственно сами роутмапы Код: route-map max permit 20 match ip address max set ip next-hop х.х.х.193 ! route-map local_pbr permit 10 match ip address local_pbr set ip next-hop х.х.х.193 Код: ip access-list extended local_pbr permit ip х.х.х.192 0.0.0.7 any permit ip any х.х.х.192 0.0.0.7 ip access-list extended max permit ip host 192.168.100.220 any Код: interface GigabitEthernet0/0.100 description ---=== encapsulation dot1Q 100 ip address 192.168.100.254 255.255.255.0 ip nat inside ip virtual-reassembly in ip policy route-map max Код: ip local policy route-map local_pbr Код: ip nat inside source static 192.168.100.220 х.х.х.195 Код: ip route 0.0.0.0 0.0.0.0 х.х.х.209 Код: route-map maxima, permit, sequence 20
Match clauses:
ip address (access-lists): maxima
Set clauses:
ip next-hop x.x.x.193
Policy routing matches: 38795 packets, 3189782 bytes
route-map local_pbr, permit, sequence 10
Match clauses:
ip address (access-lists): local_pbr
Set clauses:
ip next-hop x.x.x.193
Policy routing matches: 876 packets, 78766 bytes Проблема Пинг с 100.220 не идет по второму каналу, трасировка обрывается на рутере. Извечный вопрос, что делать, куда копать ?     | | |||
| 1
- 02.04.2014 - 12:33
|
Дебаг делал так Код: access-list 9 permit 192.168.100.220 Код: deb ip pack 9 Код: Apr 2 09:06:41.339: IP: s=192.168.100.220 (GigabitEthernet0/0.100), d=8.8.8.8, len 71, input feature, Stateful Inspection(4), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=192.168.100.220 (GigabitEthernet0/0.100), d=8.8.8.8, len 71, input feature, Virtual Fragment Reassembly(24), rtype 0,forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=192.168.100.220 (GigabitEthernet0/0.100), d=8.8.8.8, len 71, input feature, Virtual Fragment Reassembly After IPSec Decryption(38), rtype 0, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=192.168.100.220 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, input feature, Policy Routing(68), rtype 2, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=192.168.100.220 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, input feature, MCI Check(73), rtype 2, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=x.x.x.195 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, output feature, Post-routing NAT Outside(23), rtype 2, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=x.x.x.195 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, output feature, Stateful Inspection(25), rtype 2, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=x.x.x.195 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, output feature, NAT ALG proxy(51), rtype 2, forus FALSE, sendself FALSE, mtu 0, fwdchk FALSE Apr 2 09:06:41.339: IP: s=x.x.x.195 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), g=x.x.x.193, len 71, forward Apr 2 09:06:41.339: IP: s=x.x.x.195 (GigabitEthernet0/0.100), d=8.8.8.8 (GigabitEthernet0/0.3), len 71, sending full packet All possible debugging has been turned off | | |||
| 2
- 02.04.2014 - 13:49
|
ну так ведь первый канал это х.х.х.209? используй динимическую маршрутизацию. можно задействовать различные vrf для различных провов. | | |||
| 3
- 02.04.2014 - 13:56
|
2 первый канал это дефолт, и там со статикой проблем нет. А динамику тут для чего поднятЬ ? для врф ? | | |||
| 4
- 02.04.2014 - 14:13
|
раз первый канал это дефолт, то с какого пакеты будут идти через второй канал? динамику настроить для того чтобы не морочиться. 2901 используется как точка выхода или на неё терминируются удалённые офисы? | | |||
| 5
- 02.04.2014 - 14:20
|
5 Цитата:
Цитата:
Цитата:
| | |||
| 6
- 02.04.2014 - 15:23
|
Я ненавижу ютк :( эти П не маршрутизировали адрес 195 :( 3 дня убил на них. Вопрос закрыт, конфиг верен. | | |||
| Модератор 7
- 02.04.2014 - 16:40
|
Там есть файлы которые мешают, надо так сделать: delete startup-config delete flash:// erase flash write erase reload И должно всё заработать. | | |||
| 8
- 02.04.2014 - 16:54
| Вы наверное ошиблись форумом, учеников НЕДОпетросянов тут нет. | | |||
| 9
- 03.04.2014 - 15:54
|
можно по умничать немного ? : 1. вашу задачу правильней реализовывать через pbr применяемый для ната (аля ip nat inside source route-map бла ббла бла, погуглите сами). 2. local_pbr нужно рисовать с 2мя шлюзами (каждой сетки свой шлюз, увеличивая "секиунс"). 3. PBR лучше смотреть через deb ip icmp | | |||
| 10
- 04.04.2014 - 00:22
| Не хотел писать, но раз обсуждение продолжается... Я как-то делал с использованием route-map (кажется) в ip nat. Там получалось проматчить исходящий интерфейс и в зависимости от этого натить в нужный адрес. Тогда всё управление сводилось к указанию next-hop (точнее к добавлению в нужный акцесс-лист. | | |||
| 11
- 04.04.2014 - 08:56
|
9 отчасти верно, это правильно былоб при условии ТОЛЬКО выхода в инет с этим адресом, у меня же еще есть и статика В инсайд. 10 см выше. | |
Интернет-форум Краснодарского края и Краснодара |
