Добрый день, обитателям форума.

Сразу прошу не кидать в меня тапками и отправлять в гугл. Гуглить умею и подобные темы на форуме находил, но ответов для себя полностью не нашел (тупенький я, видимо). По этому прошу помощи в следующем вопросе:

Есть 1 маршрутизатор Cisco 2911 с IOS (C2900-UNIVERSALK9-M), Version 15.1(4)M4, RELEASE SOFTWARE (fc1) Лицензии только базовые.

Есть 2 канала от разных провайдеров. Если прописывать NAT на один, то всё работает (ничего удивительного).
Пробую ввести второй статический NAT - не дает (тоже, в принципе, ожидаемо).
Пробовал пустить через IP SLA следующую нагугленную конфигурацию:

ip access-list extended echo_check
permit icmp any host 8.8.8.8 echo
permit icmp any host 213.180.193.11 echo
permit icmp any host 94.100.180.200 echo

route-map echo_rm permit 10
match ip address echo_check
set ip next-hop 217.114.177.41

ip local policy route-map echo_rm
frequency 15
request-data-size 32
ip sla 1
icmp-echo 8.8.8.8 source-ip хх.хх.хх.х1

ip sla schedule 1 life forever start-time now

ip sla 2
icmp-echo 213.180.193.11 source-ip хх.хх.хх.х1
frequency 15
request-data-size 32
ip sla schedule 2 life forever start-time now

ip sla 3
icmp-echo 94.100.180.200 source-ip хх.хх.хх.х1
frequency 15
request-data-size 32
ip sla schedule 3 life forever start-time now

track 1 ip sla 1 reachability
delay down 30 up 30

track 2 ip sla 2 reachability
delay down 30 up 30

track 3 ip sla 3 reachability
delay down 30 up 30

track 4 list boolean or
object 1
object 2
object 3

ip route 8.8.8.8 255.255.255.255 хх.хх.хх.хх
ip route 213.180.193.11 255.255.255.255 хх.хх.хх.хх
ip route 94.100.180.200 255.255.255.255 хх.хх.хх.хх
ip route 0.0.0.0 0.0.0.0 217.114.177.41 track 4
ip route 0.0.0.0 0.0.0.0 37.79.252.93 100

route-map Tele+ permit 10
match ip address NAT
match interface f0/0/1

route-map RTK permit 10
match ip address NAT
match interface f0/1/1

ip nat inside source route-map Tele+ interfacef0/0/1 overload
ip nat inside source route-map RTK interfacef0/1/1 overload

event manager applet Link
event track 4 state any
action 10 wait 10
action 15 cli command "enable"
action 20 cli command "clear ip nat translation *"

хх.хх.хх.хх - GW основного провайдера
хх.хх.хх.х1 - мой IP от основого провайдера

Когда убираю все, что касается статического NAT и вписываю конфиг выше - получаю дырку от бублика. Пинг ходит, маршруты есть... а в локалке интернета нет.

ip nat outside и ip nat inside прописаны там, где и должны быть.


Так же натыкался на информацию, что все эти конфиги применяются, но не отрабатывают без лицензии datak9. Так ли это?

Для начала обновите софт на текущий и включите лицензии они здесь RTU, и конфиг предоставьте, а то не хватает логических частей...

В каком смысле "на текущий"? На последнюю версию? Если да, то последняя, которую нашел, 15.7-3.M. Но не уверен, что в ней RTU лицензии.

RTU на всех ветках работает

Ок. понял. Значит обновляюсь на 15.7 и приложу конфиг.

а в чем, собственно, вопрос то?
что вы хотите получить в итоге? чтобы одновременно работало через двух провайдеров или при падении одного переключалось на второй?

В идеале и резервирование и балансировку. Но пока не получаю ничего. Может проблема в обычных настройках NAT inside/outside, хотя как без них работать будет не представляю.

так а конфиг то в итоге где?

К сожалению, циска находится в работе, и я не могу экспериментировать с ней как хочу Завтра с утра только смогу её обновить на 15.7-3 с активацией лицензий, и сразу выложу конфиг.

не знал, что для показа конфига необходимо выводить ее из работы. Ну да ладно.

Тихонечко...
А то щя случайно проболтаемся про то что можно тестовую лабу собрать и там проверить

есть свои сложности

собсно вот конфиг

!
! No configuration change since last restart
!
version 15.7
service timestamps debug datetime msec
service timestamps log datetime
service password-encryption
!
hostname GW-2
!
boot-start-marker
boot system flash:c2900-universalk9-mz.SPA.157-3.M.bin
boot-end-marker
!
!
enable secret 4 TUSecaMQVOEFXkqTWjRu6UIyd6LZ6J5hNhJZvxeq5S2
!
aaa new-model
!
!
!
!
!
!
!
aaa session-id common
clock timezone UTC 5 0
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!


!
!
!
!
ip domain name domain_name
ip name-server 10.3.5.201
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
!
!
!
!
!
crypto pki trustpoint TP-self-signed-2022597359
enrollment selfsigned
subject-name cn=IOS-Self-Signed-Certificate-2022597359
revocation-check none
rsakeypair TP-self-signed-2022597359
!
!
crypto pki certificate chain TP-self-signed-2022597359
voice-card 0
!
!
!
!
!
!
!
!
license udi pid CISCO2911/K9 sn JTV1804TCB8
license accept end user agreement
license boot module c2900 technology-package securityk9
license boot module c2900 technology-package uck9
license boot module c2900 technology-package datak9
!
!
username r-adm privilege 15 secret 4 ERGTX.e2FhvLbGgeEN2F9rqQUUDsrBcLlZtPGOLkrUI
!
redundancy
!
!
!
!
!
!
!
!
!
!
!
bridge irb
!
!
!
!
interface Loopback0
no ip address
shutdown
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description LAN_B-TelePlus-LAN_N
ip address 192.168.0.2 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip address 10.255.3.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1.31
description Switches
encapsulation dot1Q 31
ip address 10.3.1.1 255.255.255.0
!
interface GigabitEthernet0/1.32
encapsulation dot1Q 32
ip address 10.3.2.1 255.255.255.0
!
interface GigabitEthernet0/1.33
encapsulation dot1Q 33
ip address 10.3.3.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/1.35
encapsulation dot1Q 35
ip address 10.3.5.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/1.327
encapsulation dot1Q 327
bridge-group 3
!
interface GigabitEthernet0/2
description LAN_P
ip address 10.255.2.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/2.21
description Switches
encapsulation dot1Q 21
ip address 10.2.1.1 255.255.255.0
!
interface GigabitEthernet0/2.22
encapsulation dot1Q 22
ip address 10.2.2.1 255.255.255.0
!
interface GigabitEthernet0/2.23
encapsulation dot1Q 23
ip address 10.2.3.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
!
interface GigabitEthernet0/2.327
encapsulation dot1Q 327
bridge-group 3
!
interface FastEthernet0/0/0
description LAN_B_RTC_LAN_N
ip address 172.16.0.2 255.255.255.248
ip ospf network point-to-point
duplex auto
speed auto
!
interface FastEthernet0/0/1
description Tele+
bandwidth 50000
ip address xx.xx.xx.xx 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface FastEthernet0/1/0
description TP-Link
ip address 172.27.27.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1/1
description RTK
ip address yy.yy.yy.yy 255.255.255.252
duplex auto
speed auto
!
interface BVI3
no ip address
!
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip dns server
!
ip nat inside source route-map Tele+ interfacef0/0/1 overload
ip nat inside source route-map RTK interfacef0/1/1 overload
!
event manager applet Link
event track 4 state any
action 10 wait 10
action 15 cli command "enable"
action 20 cli command "clear ip nat translation *"
!
ip route 8.8.8.8 255.255.255.255 xx.xx.xx.x1
ip route 213.180.193.11 255.255.255.255 xx.xx.xx.x1
ip route 94.100.180.200 255.255.255.255 xx.xx.xx.x1
ip route 0.0.0.0 0.0.0.0 xx.xx.xx.x1 track 4
ip route 0.0.0.0 0.0.0.0 yy.yy.yy.y1 100
ip route 10.1.0.0 255.255.0.0 172.16.0.1
ip route 172.26.26.0 255.255.255.0 172.16.0.1
ip route 192.168.0.0 255.255.255.0 172.16.0.1
ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
ip ssh client algorithm encryption aes128-ctr aes192-ctr aes256-ctr
!
ip access-list extended NAT
permit ip 10.2.0.0 0.0.255.255 any
permit ip 10.3.0.0 0.0.255.255 any
deny ip any any
!
ip access-list extended echo_check
permit icmp any host 8.8.8.8 echo
permit icmp any host 213.180.193.11 echo
permit icmp any host 94.100.180.200 echo
!
route-map echo_rm permit 10
match ip address echo_check
set ip next-hop xx.xx.xx.x1
!
route-map Tele+ permit 10
match ip address NAT
match interface f0/0/1
!
route-map RTK permit 10
match ip address NAT
match interface f0/1/1
!
ip local policy route-map echo_rm
frequency 15
request-data-size 32
ip sla 1
icmp-echo 8.8.8.8 source-ip xx.xx.xx.xx
!
ip sla schedule 1 life forever start-time now
!
ip sla 2
icmp-echo 213.180.193.11 source-ip xx.xx.xx.xx
frequency 15
request-data-size 32
ip sla schedule 2 life forever start-time now
!
ip sla 3
icmp-echo 94.100.180.200 source-ip xx.xx.xx.xx
frequency 15
request-data-size 32
ip sla schedule 3 life forever start-time now
!
track 1 ip sla 1 reachability
delay down 30 up 30
!
track 2 ip sla 2 reachability
delay down 30 up 30
!
track 3 ip sla 3 reachability
delay down 30 up 30
!
track 4 list boolean or
object 1
object 2
object 3
ipv6 ioam timestamp
!
!
!
!
!
control-plane
!
bridge 3 domain 3
bridge 3 priority 0
bridge 3 protocol ieee
bridge 3 route ip
!
!
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!
!
!
!
!
!
!
gatekeeper
shutdown
!
!
vstack
!
line con 0
password 7 133D3A332414527D723438
line aux 0
exec-timeout 0 0
no activation-character
no editing
transport input telnet
transport output none
escape-character NONE
stopbits 1
line 2
no activation-character
no exec
transport preferred none
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
line vty 0 4
exec-timeout 30 0
password 7 023E297A241E5976155E19
logging synchronous
transport input ssh
line vty 5 1114
exec-timeout 30 0
password 7 023E297A241E5976155E19
logging synchronous
transport input ssh
!
scheduler allocate 20000 1000
ntp source FastEthernet0/1/0
ntp master 2
ntp update-calendar
ntp server time.google.com
ntp server time.windows.com
!
end

а ведь хорошая идея ) и как я про такой вариант забыл >.< а хотя собсно как... никогда не делал, вот и забыл

на RT у вас же нет ip nat outside. И с какой сети вы пытаетесь в инет выйти?

Упс, действительно. Исправлю. Выйти нужно 10.3.3.0/24; 10.3.5.0/24; 10.2.3.0/24

Я так понимаю, что весь конфиг, кроме nat outside должен работать? Тогда почему ж он не работает?

У Вас каша в голове и в конфиге
http://xgu.ru/wiki/%D0%A0%D0%B5%D0%B7%D0%B5%D1%80%D0%B2%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5_%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82-%D0%BA%D0%B0%D0%BD%D0%B0%D0%BB%D0%BE%D0%B2_%D0%B1%D0%B5%D0%B7_%D0%B8%D1%81%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D1%8F_BGP
Читаем, на лабе пробуем, потом применяем в продашене.

Согласен, каши много. Собственно нашел я где я накосячил, спасибо за статью. Такой небольшой вопросик, я правильно понимаю, чтобы была балансировка, кроме резервирования, нужно убрать метрику. Но тогда ip sla становятся бессмысленны?

А что собрались балансировать?
Чем смотрите нагрузку на каналы?

Видимо речь об ip cef / sharing.

Балансировать хотелось бы оба внешних канала, если работают оба.

Да, похоже, что именно cef мне и нужен. Пойду читать. Спасибо за наводку.