Автор |
Сообщение |
bard099
Зарегистрирован: 20 фев 2018, 10:32 Сообщения: 19
|
Всем привет.Дано: ХАБ1 с 2 isp и споки,один из которых 2 isp.Требуется сделать резервирование на хабе и на одном из спок. Решил попробовать сделать через tunnel route-via ,но что пошло не так))Приведу конфиги хаба с 2 isp и спока с 1 ISP. Спока с 2-мя ISP еще не делал. Проблема еще какая то с днс на хабе, т.к. когда подключаем провод 2-го провайдера,то инет вообще пропадает или же очень долго грузит.Вообщем нужна помощь новичку в этом деле))) ХАБ:
aaa new-model ! aaa authentication login default local ! aaa session-id common !
ip domain name psr.local ip name-server 197.98.224.3 ip name-server 189.97.285.1 ip name-server 9.65.259.250 ip name-server 256.29.275.13 ip name-server 8.8.8.8 ip cef no ipv6 cef ! multilink bundle-name authenticated ! ! cts logging verbose !
no cdp run ! crypto keyring DMVPN-2 local-address GigabitEthernet0/1 pre-shared-key address 0.0.0.0 0.0.0.0 key secret 5555 crypto keyring DMVPN-1 local-address GigabitEthernet0/0 pre-shared-key address 0.0.0.0 0.0.0.0 key secret 6666 ! crypto isakmp policy 10 authentication pre-share group 2 crypto isakmp profile DMVPN-1 keyring DMVPN-1 match identity address 0.0.0.0 local-address GigabitEthernet0/0 crypto isakmp profile DMVPN-2 keyring DMVPN-2 match identity address 0.0.0.0 local-address GigabitEthernet0/1 ! ! crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac mode tunnel ! crypto ipsec profile DMVPN-1 set transform-set ESP-DES-MD5-HMAC set isakmp-profile DMVPN-1 ! crypto ipsec profile DMVPN-2 set transform-set ESP-DES-MD5-HMAC set isakmp-profile DMVPN-2 ! ! interface Tunnel1 bandwidth 1000 ip address 172.16.11.1 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 1 no ip split-horizon eigrp 1 ip nhrp map multicast dynamic ip nhrp network-id 11 ip tcp adjust-mss 1360 tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel key 11 tunnel route-via GigabitEthernet0/0 mandatory tunnel path-mtu-discovery tunnel protection ipsec profile DMVPN-1 ! interface Tunnel2 bandwidth 1000 ip address 172.16.12.1 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 1 no ip split-horizon eigrp 1 ip nhrp map multicast dynamic ip nhrp network-id 22 ip tcp adjust-mss 1360 tunnel source GigabitEthernet0/1 tunnel mode gre multipoint tunnel key 22 tunnel route-via GigabitEthernet0/1 mandatory tunnel path-mtu-discovery tunnel protection ipsec profile DMVPN-2 ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 description ==ISP1== ip address 200.200.200.200 255.255.255.248 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 description ==ISP2== ip address 300.300.300.300 255.255.255.240 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/2 description LAN_MSC ip address 192.168.50.3 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! ! router eigrp 1 network 172.0.0.0 network 192.168.0.0 0.0.255.255 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip dns server ip nat inside source list 10 interface GigabitEthernet0/0 overload ip nat inside source list 11 interface GigabitEthernet0/1 overload ip route 0.0.0.0 0.0.0.0 200.200.200.200 ip route 0.0.0.0 0.0.0.0 300.300.300.300 ! ! ! access-list 10 permit 192.168.50.0 0.0.0.255 access-list 11 permit 192.168.50.0 0.0.0.255
СПОК с 1-м ISP aaa new-model ! aaa authentication login default local aaa authorization exec default local ! aaa session-id common clock timezone Moscow 3 ! dot11 syslog no ip source-route ! ip dhcp excluded-address 192.168.30.1 192.168.30.149 ! ip dhcp pool LAN network 192.168.30.0 255.255.255.0 default-router 192.168.30.1 dns-server 192.168.30.1 lease 0 0 30 ! ! ip cef no ip bootp server ip domain name cisco.local ip name-server 8.8.8.8 ip name-server 198.96.278.3 login block-for 180 attempts 5 within 120 login delay 10 no ipv6 cef ! multilink bundle-name authenticated ! !! crypto keyring DMVPN-2 local-address FastEthernet4 pre-shared-key address 0.0.0.0 0.0.0.0 key secret 5555 crypto keyring DMVPN-1 local-address FastEthernet4 pre-shared-key address 0.0.0.0 0.0.0.0 key secret 6666 ! crypto isakmp policy 10 authentication pre-share group 2 crypto isakmp profile DMVPN-1 keyring DMVPN-1 match identity address 0.0.0.0 local-address FastEthernet4 crypto isakmp profile DMVPN-2 keyring DMVPN-2 match identity address 0.0.0.0 local-address FastEthernet4 ! ! crypto ipsec transform-set cm-transformset-1 esp-des esp-md5-hmac crypto ipsec transform-set ESP-DES-MD5-HMAC esp-des esp-md5-hmac ! crypto ipsec profile DMVPN-1 set transform-set ESP-DES-MD5-HMAC set isakmp-profile DMVPN-1 ! crypto ipsec profile DMVPN-2 set transform-set ESP-DES-MD5-HMAC set isakmp-profile DMVPN-2 ! ! archive log config hidekeys ! ! ip tcp synwait-time 10 ip ssh time-out 60 ip ssh authentication-retries 2 ip ssh version 2 ! ! ! interface Tunnel1 bandwidth 100 ip address 172.16.11.2 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 1 ip nhrp map 172.16.11.1 217.173.78.244 ip nhrp map multicast 217.173.78.244 ip nhrp network-id 1 ip nhrp nhs 172.16.11.1 ip tcp adjust-mss 1360 no ip split-horizon eigrp 1 tunnel source FastEthernet4 tunnel mode gre multipoint tunnel key 11 tunnel route-via FastEthernet4 mandatory tunnel path-mtu-discovery tunnel protection ipsec profile DMVPN-1 ! interface Tunnel2 bandwidth 100 ip address 172.16.12.2 255.255.255.0 no ip redirects ip mtu 1400 no ip next-hop-self eigrp 1 ip nhrp map 172.16.12.1 94.198.196.227 ip nhrp map multicast 94.198.196.227 ip nhrp network-id 2 ip nhrp nhs 172.16.12.1 ip tcp adjust-mss 1360 no ip split-horizon eigrp 1 tunnel source FastEthernet4 tunnel mode gre multipoint tunnel key 22 tunnel route-via FastEthernet4 mandatory tunnel path-mtu-discovery tunnel protection ipsec profile DMVPN-2 ! interface FastEthernet0 ! interface FastEthernet1 ! interface FastEthernet2 ! interface FastEthernet3 ! interface FastEthernet4 ip address 250.205.250.245 255.255.255.248 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly duplex auto speed auto no cdp enable ! interface Vlan1 ip address 192.168.30.1 255.255.255.0 ip nat inside ip virtual-reassembly ! router eigrp 1 network 172.0.0.0 network 192.168.0.0 0.0.255.255 auto-summary eigrp stub connected summary ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 шлюз прова ip http server ip http access-class 25 ip http authentication local no ip http secure-server ! ! ip dns server ip nat inside source list NAT interface FastEthernet4 overload ! ip access-list extended NAT permit ip 192.168.30.0 0.0.0.255 any
|
28 фев 2018, 12:12 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
У вас нет трекинга основного isp на живучесть, т.е. работают одновременно два isp. Выносите резервного провайдера на хабе и споке в отдельный vrf. tunnel route-via и local-address это костыли. Далее изменить настройки резеврного облака касаемо vrf примерно так: Код: vrf definition ISP2 address-family ipv4 route-replicate from vrf global unicast connected exit-address-family
crypto keyring KR-DMVPN vrf ISP2 pre-shared-key address 0.0.0.0 0.0.0.0 key DMVPNXX
crypto isakmp profile IKP99 keyring KR-DMVPN match identity address 0.0.0.0 ISP2
interface Tunnel200 tunnel vrf ISP2 tunnel protection ipsec profile CIP99
ip route vrf ISP2 0.0.0.0 0.0.0.0 X.X.X.X
Трек основного isp добавить всё-таки нужно. В примере evn rr для ната при отрубании основного isp. Всё остальное, кажется, не меняется.
|
28 фев 2018, 13:19 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
_2e_ писал(а): Код: vrf definition ISP2 address-family ipv4 route-replicate from vrf global unicast connected exit-address-family
crypto keyring KR-DMVPN vrf ISP2 pre-shared-key address 0.0.0.0 0.0.0.0 key DMVPNXX
crypto isakmp profile IKP99 keyring KR-DMVPN match identity address 0.0.0.0 ISP2
interface Tunnel200 tunnel vrf ISP2 tunnel protection ipsec profile CIP99
ip route vrf ISP2 0.0.0.0 0.0.0.0 X.X.X.X
Очепятка? crypto isakmp profile IKP99 tunnel protection ipsec profile CIP99
|
28 фев 2018, 13:24 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
AlexSashkaff писал(а): _2e_ писал(а): Код: vrf definition ISP2 address-family ipv4 route-replicate from vrf global unicast connected exit-address-family
crypto keyring KR-DMVPN vrf ISP2 pre-shared-key address 0.0.0.0 0.0.0.0 key DMVPNXX
crypto isakmp profile IKP99 keyring KR-DMVPN match identity address 0.0.0.0 ISP2
interface Tunnel200 tunnel vrf ISP2 tunnel protection ipsec profile CIP99
ip route vrf ISP2 0.0.0.0 0.0.0.0 X.X.X.X
Очепятка? crypto isakmp profile IKP99 tunnel protection ipsec profile CIP99 Нет, не опечатка. В примере и в конфиге ТС в isakmp profile добавится признак vrf. В ipsec profile изменений не будет: Код: crypto ipsec profile CIP99 set transform-set ... set isakmp-profile IKP99
|
28 фев 2018, 13:46 |
|
|
bard099
Зарегистрирован: 20 фев 2018, 10:32 Сообщения: 19
|
Мужики,переделал конфиг под vrf, гляньте плиз. Пока только хаба с 2-мя isp. Только теперь в интернет не могу выйти с него. ХАБ: aaa new-model ! ! aaa authentication login default local ! ! aaa session-id common ! ! ip vrf ISP1-VRF description VRF FOR ISP1 rd 1:1 ! ip vrf ISP2-VRF description VRF FOR ISP2 rd 1:2 ! ! ! ip domain name psr.local ip name-server 198.99.224.3 ip name-server 193.97.226.1 ip name-server 5.59.235.250 ip name-server 225.69.210.13 ip name-server 8.8.8.8 ip cef ! crypto keyring ISP1_PSK vrf ISP1-VRF pre-shared-key address 0.0.0.0 0.0.0.0 key crypto keyring ISP2_PSK vrf ISP2-VRF pre-shared-key address 0.0.0.0 0.0.0.0 key ! crypto isakmp policy 10 hash md5 authentication pre-share crypto isakmp key address 0.0.0.0 crypto isakmp keepalive 10 periodic ! ! crypto ipsec transform-set TRANS_SET esp-3des esp-md5-hmac mode tunnel ! crypto ipsec profile IPSEC_PROF set transform-set TRANS_SET ! ! ! ! interface Tunnel1 bandwidth 1000 ip address 172.16.11.1 255.255.255.0 no ip redirects ip mtu 1400 no ip split-horizon eigrp 10 ip nhrp authentication ip nhrp map multicast dynamic ip nhrp network-id 1 ip nhrp redirect ip summary-address eigrp 10 0.0.0.0 0.0.0.0 ip tcp adjust-mss 1360 delay 1000 tunnel source GigabitEthernet0/0 tunnel mode gre multipoint tunnel key tunnel vrf ISP1-VRF tunnel protection ipsec profile IPSEC_PROF shared ! interface Tunnel2 bandwidth 1000 ip address 172.16.12.1 255.255.255.0 no ip redirects ip mtu 1400 no ip split-horizon eigrp 10 ip nhrp authentication ip nhrp map multicast dynamic ip nhrp network-id 2 ip nhrp redirect ip summary-address eigrp 10 0.0.0.0 0.0.0.0 ip tcp adjust-mss 1360 delay 1500 tunnel source GigabitEthernet0/1 tunnel mode gre multipoint tunnel key tunnel vrf ISP2-VRF tunnel protection ipsec profile IPSEC_PROF shared ! interface Embedded-Service-Engine0/0 no ip address shutdown ! interface GigabitEthernet0/0 ip vrf forwarding ISP1-VRF ip address 218.173.78.249 255.255.255.248 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/1 ip vrf forwarding ISP2-VRF ip address 95.198.196.229 255.255.255.240 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface GigabitEthernet0/2 description LAN_MSC ip address 192.168.50.3 255.255.255.0 ip nat inside ip virtual-reassembly in duplex auto speed auto ! ! router eigrp 10 network 172.16.0.0 network 192.168.0.0 0.0.255.255 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip dns server ip nat inside source list 10 interface GigabitEthernet0/0 vrf ISP1-VRF overload ip nat inside source list 11 interface GigabitEthernet0/1 vrf ISP2-VRF overload ip route vrf ISP2-VRF 0.0.0.0 0.0.0.0 шлюз ip route vrf ISP1-VRF 0.0.0.0 0.0.0.0 шлюз
! ! access-list 10 permit 192.168.50.0 0.0.0.255 access-list 11 permit 192.168.50.0 0.0.0.255
|
01 мар 2018, 14:36 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Ну дык ёпть.
... route-replicate from vrf global unicast connected ...
|
01 мар 2018, 15:01 |
|
|
bard099
Зарегистрирован: 20 фев 2018, 10:32 Сообщения: 19
|
_2e_ писал(а): Ну дык ёпть.
... route-replicate from vrf global unicast connected ... Поясни плиз,это что/куда/откуда?))))))
|
01 мар 2018, 15:23 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
bard099 писал(а): _2e_ писал(а): Ну дык ёпть.
... route-replicate from vrf global unicast connected ... Поясни плиз,это что/куда/откуда?)))))) Это из первого ответа - ENV Route Replacate - там же коммент для чего это надо. Если у вас ios 15.4+ то это поможет, если нет - апгрейд. Если апгрейд невозможен - то MP-BGP.
|
01 мар 2018, 15:44 |
|
|
bard099
Зарегистрирован: 20 фев 2018, 10:32 Сообщения: 19
|
_2e_ писал(а): bard099 писал(а): _2e_ писал(а): Ну дык ёпть.
... route-replicate from vrf global unicast connected ... Поясни плиз,это что/куда/откуда?)))))) Это из первого ответа - ENV Route Replacate - там же коммент для чего это надо. Если у вас ios 15.4+ то это поможет, если нет - апгрейд. Если апгрейд невозможен - то MP-BGP. Сделал для ISP1 и ISP2, в инет по прежнему не выходит
|
01 мар 2018, 15:52 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
Код: ip nat inside source list 10 interface GigabitEthernet0/0 vrf ISP1-VRF overload ip nat inside source list 11 interface GigabitEthernet0/1 vrf ISP2-VRF overload
Уберите тут vrf - он не нужен, у вас локалка не в vrf же. А вот роут-мэп с указанием ACL и интерфейса прилепить надо. Типа того: Цитата: ip nat inside source route-map ISP1-RM interface GigabitEthernet0/2 overload
route-map ISP1-RM permit 10 match ip address NAT match interface GigabitEthernet0/2
ip access-list extended NAT permit ip 192.168.55.0 0.0.0.255 any
|
01 мар 2018, 16:52 |
|
|
bard099
Зарегистрирован: 20 фев 2018, 10:32 Сообщения: 19
|
_2e_ писал(а): Код: ip nat inside source list 10 interface GigabitEthernet0/0 vrf ISP1-VRF overload ip nat inside source list 11 interface GigabitEthernet0/1 vrf ISP2-VRF overload
Уберите тут vrf - он не нужен, у вас локалка не в vrf же. А вот роут-мэп с указанием ACL и интерфейса прилепить надо. Типа того: Цитата: ip nat inside source route-map ISP1-RM interface GigabitEthernet0/2 overload
route-map ISP1-RM permit 10 match ip address NAT match interface GigabitEthernet0/2
ip access-list extended NAT permit ip 192.168.55.0 0.0.0.255 any
Т.е. мне надо создать 2-а route-map под acl 10 и 11 и соотв. повесить их на GI0/0 и GI0/1? Еще вопрос возник:надо ли мне в приведенном конфиге HUB в применении профайла указывать shared?
|
02 мар 2018, 08:42 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
bard099 писал(а): _2e_ писал(а): Код: ip nat inside source list 10 interface GigabitEthernet0/0 vrf ISP1-VRF overload ip nat inside source list 11 interface GigabitEthernet0/1 vrf ISP2-VRF overload
Уберите тут vrf - он не нужен, у вас локалка не в vrf же. А вот роут-мэп с указанием ACL и интерфейса прилепить надо. Типа того: Цитата: ip nat inside source route-map ISP1-RM interface GigabitEthernet0/2 overload
route-map ISP1-RM permit 10 match ip address NAT match interface GigabitEthernet0/2
ip access-list extended NAT permit ip 192.168.55.0 0.0.0.255 any
Т.е. мне надо создать 2-а route-map под acl 10 и 11 и соотв. повесить их на GI0/0 и GI0/1? Еще вопрос возник:надо ли мне в приведенном конфиге HUB в применении профайла указывать shared? Да. Нет.
|
02 мар 2018, 10:20 |
|
|
bard099
Зарегистрирован: 20 фев 2018, 10:32 Сообщения: 19
|
Все равно инет не работает.
ip nat inside source route-map ISP1-VRF interface GigabitEthernet0/0 overload ip nat inside source route-map ISP2-VRF interface GigabitEthernet0/1 overload ip route vrf ISP2-VRF 0.0.0.0 0.0.0.0 94.198.196.225 ip route vrf ISP1-VRF 0.0.0.0 0.0.0.0 217.173.78.241 ! ip access-list extended NAT permit ip 192.168.50.0 0.0.0.255 any ip access-list extended NAT2 permit ip 192.168.50.0 0.0.0.255 any ! ! route-map ISP1-VRF permit 10 match ip address NAT match interface GigabitEthernet0/0 ! route-map ISP2-VRF permit 11 match ip address NAT2 match interface GigabitEthernet0/1
|
02 мар 2018, 11:33 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
bard099 писал(а): Все равно инет не работает.
ip nat inside source route-map ISP1-VRF interface GigabitEthernet0/0 overload ip nat inside source route-map ISP2-VRF interface GigabitEthernet0/1 overload ip route vrf ISP2-VRF 0.0.0.0 0.0.0.0 94.198.196.225 ip route vrf ISP1-VRF 0.0.0.0 0.0.0.0 217.173.78.241 ! ip access-list extended NAT permit ip 192.168.50.0 0.0.0.255 any ip access-list extended NAT2 permit ip 192.168.50.0 0.0.0.255 any ! ! route-map ISP1-VRF permit 10 match ip address NAT match interface GigabitEthernet0/0 ! route-map ISP2-VRF permit 11 match ip address NAT2 match interface GigabitEthernet0/1 Где настройки EVN RR? Где настройки интерфейсов с ip nat ... ?
|
02 мар 2018, 12:25 |
|
|