Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 18:19



Ответить на тему  [ Сообщений: 14 ] 
Что то не так с конфигом) 
Автор Сообщение

Зарегистрирован: 20 фев 2018, 10:32
Сообщения: 19
Всем привет.Дано: ХАБ1 с 2 isp и споки,один из которых 2 isp.Требуется сделать резервирование на хабе и на одном из спок. Решил попробовать сделать через tunnel route-via ,но что пошло не так))Приведу конфиги хаба с 2 isp и спока с 1 ISP. Спока с 2-мя ISP еще не делал. Проблема еще какая то с днс на хабе, т.к. когда подключаем провод 2-го провайдера,то инет вообще пропадает или же очень долго грузит.Вообщем нужна помощь новичку в этом деле)))
ХАБ:

aaa new-model
!
aaa authentication login default local
!
aaa session-id common
!

ip domain name psr.local
ip name-server 197.98.224.3
ip name-server 189.97.285.1
ip name-server 9.65.259.250
ip name-server 256.29.275.13
ip name-server 8.8.8.8
ip cef
no ipv6 cef
!
multilink bundle-name authenticated
!
!
cts logging verbose
!

no cdp run
!
crypto keyring DMVPN-2
local-address GigabitEthernet0/1
pre-shared-key address 0.0.0.0 0.0.0.0 key secret 5555
crypto keyring DMVPN-1
local-address GigabitEthernet0/0
pre-shared-key address 0.0.0.0 0.0.0.0 key secret 6666
!
crypto isakmp policy 10
authentication pre-share
group 2
crypto isakmp profile DMVPN-1
keyring DMVPN-1
match identity address 0.0.0.0
local-address GigabitEthernet0/0
crypto isakmp profile DMVPN-2
keyring DMVPN-2
match identity address 0.0.0.0
local-address GigabitEthernet0/1
!
!
crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac
mode tunnel
!
crypto ipsec profile DMVPN-1
set transform-set ESP-DES-MD5-HMAC
set isakmp-profile DMVPN-1
!
crypto ipsec profile DMVPN-2
set transform-set ESP-DES-MD5-HMAC
set isakmp-profile DMVPN-2
!
!
interface Tunnel1
bandwidth 1000
ip address 172.16.11.1 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
no ip split-horizon eigrp 1
ip nhrp map multicast dynamic
ip nhrp network-id 11
ip tcp adjust-mss 1360
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key 11
tunnel route-via GigabitEthernet0/0 mandatory
tunnel path-mtu-discovery
tunnel protection ipsec profile DMVPN-1
!
interface Tunnel2
bandwidth 1000
ip address 172.16.12.1 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
no ip split-horizon eigrp 1
ip nhrp map multicast dynamic
ip nhrp network-id 22
ip tcp adjust-mss 1360
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key 22
tunnel route-via GigabitEthernet0/1 mandatory
tunnel path-mtu-discovery
tunnel protection ipsec profile DMVPN-2
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
description ==ISP1==
ip address 200.200.200.200 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
description ==ISP2==
ip address 300.300.300.300 255.255.255.240
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
description LAN_MSC
ip address 192.168.50.3 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
!
router eigrp 1
network 172.0.0.0
network 192.168.0.0 0.0.255.255
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 10 interface GigabitEthernet0/0 overload
ip nat inside source list 11 interface GigabitEthernet0/1 overload
ip route 0.0.0.0 0.0.0.0 200.200.200.200
ip route 0.0.0.0 0.0.0.0 300.300.300.300
!
!
!
access-list 10 permit 192.168.50.0 0.0.0.255
access-list 11 permit 192.168.50.0 0.0.0.255






СПОК с 1-м ISP
aaa new-model
!
aaa authentication login default local
aaa authorization exec default local
!
aaa session-id common
clock timezone Moscow 3
!
dot11 syslog
no ip source-route
!
ip dhcp excluded-address 192.168.30.1 192.168.30.149
!
ip dhcp pool LAN
network 192.168.30.0 255.255.255.0
default-router 192.168.30.1
dns-server 192.168.30.1
lease 0 0 30
!
!
ip cef
no ip bootp server
ip domain name cisco.local
ip name-server 8.8.8.8
ip name-server 198.96.278.3
login block-for 180 attempts 5 within 120
login delay 10
no ipv6 cef
!
multilink bundle-name authenticated
!
!!
crypto keyring DMVPN-2
local-address FastEthernet4
pre-shared-key address 0.0.0.0 0.0.0.0 key secret 5555
crypto keyring DMVPN-1
local-address FastEthernet4
pre-shared-key address 0.0.0.0 0.0.0.0 key secret 6666
!
crypto isakmp policy 10
authentication pre-share
group 2
crypto isakmp profile DMVPN-1
keyring DMVPN-1
match identity address 0.0.0.0
local-address FastEthernet4
crypto isakmp profile DMVPN-2
keyring DMVPN-2
match identity address 0.0.0.0
local-address FastEthernet4
!
!
crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac
!
crypto ipsec profile DMVPN-1
set transform-set ESP-DES-MD5-HMAC
set isakmp-profile DMVPN-1
!
crypto ipsec profile DMVPN-2
set transform-set ESP-DES-MD5-HMAC
set isakmp-profile DMVPN-2
!
!
archive
log config
hidekeys
!
!
ip tcp synwait-time 10
ip ssh time-out 60
ip ssh authentication-retries 2
ip ssh version 2
!
!
!
interface Tunnel1
bandwidth 100
ip address 172.16.11.2 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
ip nhrp map 172.16.11.1 217.173.78.244
ip nhrp map multicast 217.173.78.244
ip nhrp network-id 1
ip nhrp nhs 172.16.11.1
ip tcp adjust-mss 1360
no ip split-horizon eigrp 1
tunnel source FastEthernet4
tunnel mode gre multipoint
tunnel key 11
tunnel route-via FastEthernet4 mandatory
tunnel path-mtu-discovery
tunnel protection ipsec profile DMVPN-1
!
interface Tunnel2
bandwidth 100
ip address 172.16.12.2 255.255.255.0
no ip redirects
ip mtu 1400
no ip next-hop-self eigrp 1
ip nhrp map 172.16.12.1 94.198.196.227
ip nhrp map multicast 94.198.196.227
ip nhrp network-id 2
ip nhrp nhs 172.16.12.1
ip tcp adjust-mss 1360
no ip split-horizon eigrp 1
tunnel source FastEthernet4
tunnel mode gre multipoint
tunnel key 22
tunnel route-via FastEthernet4 mandatory
tunnel path-mtu-discovery
tunnel protection ipsec profile DMVPN-2
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface FastEthernet4
ip address 250.205.250.245 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface Vlan1
ip address 192.168.30.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
router eigrp 1
network 172.0.0.0
network 192.168.0.0 0.0.255.255
auto-summary
eigrp stub connected summary
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 шлюз прова
ip http server
ip http access-class 25
ip http authentication local
no ip http secure-server
!
!
ip dns server
ip nat inside source list NAT interface FastEthernet4 overload
!
ip access-list extended NAT
permit ip 192.168.30.0 0.0.0.255 any


28 фев 2018, 12:12
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
У вас нет трекинга основного isp на живучесть, т.е. работают одновременно два isp.
Выносите резервного провайдера на хабе и споке в отдельный vrf.
tunnel route-via и local-address это костыли.
Далее изменить настройки резеврного облака
касаемо vrf примерно так:

Код:

vrf definition ISP2
 address-family ipv4
  route-replicate from vrf global unicast connected
 exit-address-family

crypto keyring KR-DMVPN vrf ISP2
  pre-shared-key address 0.0.0.0 0.0.0.0 key DMVPNXX

crypto isakmp profile IKP99
   keyring KR-DMVPN
   match identity address 0.0.0.0 ISP2

interface Tunnel200
 tunnel vrf ISP2
 tunnel protection ipsec profile CIP99

ip route vrf ISP2 0.0.0.0 0.0.0.0 X.X.X.X


Трек основного isp добавить всё-таки нужно. В примере evn rr для ната при отрубании основного isp. Всё остальное, кажется, не меняется.


28 фев 2018, 13:19
Профиль ICQ

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
_2e_ писал(а):
Код:

vrf definition ISP2
 address-family ipv4
  route-replicate from vrf global unicast connected
 exit-address-family

crypto keyring KR-DMVPN vrf ISP2
  pre-shared-key address 0.0.0.0 0.0.0.0 key DMVPNXX

crypto isakmp profile IKP99
   keyring KR-DMVPN
   match identity address 0.0.0.0 ISP2

interface Tunnel200
 tunnel vrf ISP2
 tunnel protection ipsec profile CIP99

ip route vrf ISP2 0.0.0.0 0.0.0.0 X.X.X.X


Очепятка?
crypto isakmp profile IKP99
tunnel protection ipsec profile CIP99


28 фев 2018, 13:24
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
AlexSashkaff писал(а):
_2e_ писал(а):
Код:

vrf definition ISP2
 address-family ipv4
  route-replicate from vrf global unicast connected
 exit-address-family

crypto keyring KR-DMVPN vrf ISP2
  pre-shared-key address 0.0.0.0 0.0.0.0 key DMVPNXX

crypto isakmp profile IKP99
   keyring KR-DMVPN
   match identity address 0.0.0.0 ISP2

interface Tunnel200
 tunnel vrf ISP2
 tunnel protection ipsec profile CIP99

ip route vrf ISP2 0.0.0.0 0.0.0.0 X.X.X.X


Очепятка?
crypto isakmp profile IKP99
tunnel protection ipsec profile CIP99


Нет, не опечатка. В примере и в конфиге ТС в isakmp profile добавится признак vrf. В ipsec profile изменений не будет:

Код:
crypto ipsec profile CIP99
 set transform-set ...
 set isakmp-profile IKP99


28 фев 2018, 13:46
Профиль ICQ

Зарегистрирован: 20 фев 2018, 10:32
Сообщения: 19
Мужики,переделал конфиг под vrf, гляньте плиз. Пока только хаба с 2-мя isp. Только теперь в интернет не могу выйти с него.
ХАБ:
aaa new-model
!
!
aaa authentication login default local
!
!
aaa session-id common
!
!
ip vrf ISP1-VRF
description VRF FOR ISP1
rd 1:1
!
ip vrf ISP2-VRF
description VRF FOR ISP2
rd 1:2
!
!
!
ip domain name psr.local
ip name-server 198.99.224.3
ip name-server 193.97.226.1
ip name-server 5.59.235.250
ip name-server 225.69.210.13
ip name-server 8.8.8.8
ip cef
!
crypto keyring ISP1_PSK vrf ISP1-VRF
pre-shared-key address 0.0.0.0 0.0.0.0 key
crypto keyring ISP2_PSK vrf ISP2-VRF
pre-shared-key address 0.0.0.0 0.0.0.0 key
!
crypto isakmp policy 10
hash md5
authentication pre-share
crypto isakmp key address 0.0.0.0
crypto isakmp keepalive 10 periodic
!
!
crypto ipsec transform-set TRANS_SET esp-3des esp-md5-hmac
mode tunnel
!
crypto ipsec profile IPSEC_PROF
set transform-set TRANS_SET
!
!
!
!
interface Tunnel1
bandwidth 1000
ip address 172.16.11.1 255.255.255.0
no ip redirects
ip mtu 1400
no ip split-horizon eigrp 10
ip nhrp authentication
ip nhrp map multicast dynamic
ip nhrp network-id 1
ip nhrp redirect
ip summary-address eigrp 10 0.0.0.0 0.0.0.0
ip tcp adjust-mss 1360
delay 1000
tunnel source GigabitEthernet0/0
tunnel mode gre multipoint
tunnel key
tunnel vrf ISP1-VRF
tunnel protection ipsec profile IPSEC_PROF shared
!
interface Tunnel2
bandwidth 1000
ip address 172.16.12.1 255.255.255.0
no ip redirects
ip mtu 1400
no ip split-horizon eigrp 10
ip nhrp authentication
ip nhrp map multicast dynamic
ip nhrp network-id 2
ip nhrp redirect
ip summary-address eigrp 10 0.0.0.0 0.0.0.0
ip tcp adjust-mss 1360
delay 1500
tunnel source GigabitEthernet0/1
tunnel mode gre multipoint
tunnel key
tunnel vrf ISP2-VRF
tunnel protection ipsec profile IPSEC_PROF shared
!
interface Embedded-Service-Engine0/0
no ip address
shutdown
!
interface GigabitEthernet0/0
ip vrf forwarding ISP1-VRF
ip address 218.173.78.249 255.255.255.248
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/1
ip vrf forwarding ISP2-VRF
ip address 95.198.196.229 255.255.255.240
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
description LAN_MSC
ip address 192.168.50.3 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
!
!
router eigrp 10
network 172.16.0.0
network 192.168.0.0 0.0.255.255
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip dns server
ip nat inside source list 10 interface GigabitEthernet0/0 vrf ISP1-VRF overload
ip nat inside source list 11 interface GigabitEthernet0/1 vrf ISP2-VRF overload
ip route vrf ISP2-VRF 0.0.0.0 0.0.0.0 шлюз
ip route vrf ISP1-VRF 0.0.0.0 0.0.0.0 шлюз

!
!
access-list 10 permit 192.168.50.0 0.0.0.255
access-list 11 permit 192.168.50.0 0.0.0.255


01 мар 2018, 14:36
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Ну дык ёпть.

...
route-replicate from vrf global unicast connected
...


01 мар 2018, 15:01
Профиль ICQ

Зарегистрирован: 20 фев 2018, 10:32
Сообщения: 19
_2e_ писал(а):
Ну дык ёпть.

...
route-replicate from vrf global unicast connected
...


Поясни плиз,это что/куда/откуда?))))))


01 мар 2018, 15:23
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
bard099 писал(а):
_2e_ писал(а):
Ну дык ёпть.

...
route-replicate from vrf global unicast connected
...


Поясни плиз,это что/куда/откуда?))))))


Это из первого ответа - ENV Route Replacate - там же коммент для чего это надо. Если у вас ios 15.4+ то это поможет, если нет - апгрейд. Если апгрейд невозможен - то MP-BGP.


01 мар 2018, 15:44
Профиль ICQ

Зарегистрирован: 20 фев 2018, 10:32
Сообщения: 19
_2e_ писал(а):
bard099 писал(а):
_2e_ писал(а):
Ну дык ёпть.

...
route-replicate from vrf global unicast connected
...


Поясни плиз,это что/куда/откуда?))))))


Это из первого ответа - ENV Route Replacate - там же коммент для чего это надо. Если у вас ios 15.4+ то это поможет, если нет - апгрейд. Если апгрейд невозможен - то MP-BGP.


Сделал для ISP1 и ISP2, в инет по прежнему не выходит


01 мар 2018, 15:52
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
Код:
ip nat inside source list 10 interface GigabitEthernet0/0 vrf ISP1-VRF overload
ip nat inside source list 11 interface GigabitEthernet0/1 vrf ISP2-VRF overload


Уберите тут vrf - он не нужен, у вас локалка не в vrf же.
А вот роут-мэп с указанием ACL и интерфейса прилепить надо.
Типа того:

Цитата:
ip nat inside source route-map ISP1-RM interface GigabitEthernet0/2 overload

route-map ISP1-RM permit 10
match ip address NAT
match interface GigabitEthernet0/2

ip access-list extended NAT
permit ip 192.168.55.0 0.0.0.255 any


01 мар 2018, 16:52
Профиль ICQ

Зарегистрирован: 20 фев 2018, 10:32
Сообщения: 19
_2e_ писал(а):
Код:
ip nat inside source list 10 interface GigabitEthernet0/0 vrf ISP1-VRF overload
ip nat inside source list 11 interface GigabitEthernet0/1 vrf ISP2-VRF overload


Уберите тут vrf - он не нужен, у вас локалка не в vrf же.
А вот роут-мэп с указанием ACL и интерфейса прилепить надо.
Типа того:

Цитата:
ip nat inside source route-map ISP1-RM interface GigabitEthernet0/2 overload

route-map ISP1-RM permit 10
match ip address NAT
match interface GigabitEthernet0/2

ip access-list extended NAT
permit ip 192.168.55.0 0.0.0.255 any



Т.е. мне надо создать 2-а route-map под acl 10 и 11 и соотв. повесить их на GI0/0 и GI0/1? Еще вопрос возник:надо ли мне в приведенном конфиге HUB в применении профайла указывать shared?


02 мар 2018, 08:42
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
bard099 писал(а):
_2e_ писал(а):
Код:
ip nat inside source list 10 interface GigabitEthernet0/0 vrf ISP1-VRF overload
ip nat inside source list 11 interface GigabitEthernet0/1 vrf ISP2-VRF overload


Уберите тут vrf - он не нужен, у вас локалка не в vrf же.
А вот роут-мэп с указанием ACL и интерфейса прилепить надо.
Типа того:

Цитата:
ip nat inside source route-map ISP1-RM interface GigabitEthernet0/2 overload

route-map ISP1-RM permit 10
match ip address NAT
match interface GigabitEthernet0/2

ip access-list extended NAT
permit ip 192.168.55.0 0.0.0.255 any



Т.е. мне надо создать 2-а route-map под acl 10 и 11 и соотв. повесить их на GI0/0 и GI0/1? Еще вопрос возник:надо ли мне в приведенном конфиге HUB в применении профайла указывать shared?


Да. Нет.


02 мар 2018, 10:20
Профиль ICQ

Зарегистрирован: 20 фев 2018, 10:32
Сообщения: 19
Все равно инет не работает.

ip nat inside source route-map ISP1-VRF interface GigabitEthernet0/0 overload
ip nat inside source route-map ISP2-VRF interface GigabitEthernet0/1 overload
ip route vrf ISP2-VRF 0.0.0.0 0.0.0.0 94.198.196.225
ip route vrf ISP1-VRF 0.0.0.0 0.0.0.0 217.173.78.241
!
ip access-list extended NAT
permit ip 192.168.50.0 0.0.0.255 any
ip access-list extended NAT2
permit ip 192.168.50.0 0.0.0.255 any
!
!
route-map ISP1-VRF permit 10
match ip address NAT
match interface GigabitEthernet0/0
!
route-map ISP2-VRF permit 11
match ip address NAT2
match interface GigabitEthernet0/1


02 мар 2018, 11:33
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 2067
Откуда: Волгоград
bard099 писал(а):
Все равно инет не работает.

ip nat inside source route-map ISP1-VRF interface GigabitEthernet0/0 overload
ip nat inside source route-map ISP2-VRF interface GigabitEthernet0/1 overload
ip route vrf ISP2-VRF 0.0.0.0 0.0.0.0 94.198.196.225
ip route vrf ISP1-VRF 0.0.0.0 0.0.0.0 217.173.78.241
!
ip access-list extended NAT
permit ip 192.168.50.0 0.0.0.255 any
ip access-list extended NAT2
permit ip 192.168.50.0 0.0.0.255 any
!
!
route-map ISP1-VRF permit 10
match ip address NAT
match interface GigabitEthernet0/0
!
route-map ISP2-VRF permit 11
match ip address NAT2
match interface GigabitEthernet0/1


Где настройки EVN RR? Где настройки интерфейсов с ip nat ... ?


02 мар 2018, 12:25
Профиль ICQ
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 14 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 43


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB