|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
Несколько провайдеров, NAT, без балансировки
Автор |
Сообщение |
vevilz
Зарегистрирован: 25 июн 2018, 09:32 Сообщения: 11
|
Добрый день. Вопрос следующего плана, есть несколько провайдеров, каждый предоставляет блок /29, есть несколько внутренних подсетей разного диапазона, задача в следующем, NAT'ить необходимую подсеть через отдельный ip разных провайдеров (прим. 10.0.0.0/24 -> 100.0.0.1 (isp a), 10.0.1.0/24 -> 100.0.0.2 (isp a), 10.0.2.0/24 -> 101.0.0.1 (isp b)), на каждого провайдера создал vlan, в котором прописал через secondary принадлежащие ему адреса. Самостоятельно знаю как делать через PBR, но тут упёрся в то что на интерфейсе более одного адреса.
Прошу подсказать в какую сторону искать, заранее спасибо. Version 15.2(4)M11
Если я что то либо не уточнил, поправьте пожалуйста.
|
25 июн 2018, 12:07 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
зачем прописывать secondary адреса, а не просто в nat указывать нужные адреса?
|
25 июн 2018, 12:13 |
|
|
vevilz
Зарегистрирован: 25 июн 2018, 09:32 Сообщения: 11
|
crash писал(а): зачем прописывать secondary адреса, а не просто в nat указывать нужные адреса? Т.е. на интерфейсе я указываю один адрес, а в трансляции нужный из выданных провайдерами адресов? Если так, то я забыл сделать уточнение, почти на все внешние адреса есть port forwarding.
|
25 июн 2018, 12:20 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
vevilz писал(а): Если так, то я забыл сделать уточнение, почти на все внешние адреса есть port forwarding. и?
|
25 июн 2018, 12:22 |
|
|
vevilz
Зарегистрирован: 25 июн 2018, 09:32 Сообщения: 11
|
crash писал(а): vevilz писал(а): Если так, то я забыл сделать уточнение, почти на все внешние адреса есть port forwarding. и? Поправьте меня если я не прав Код: interface GigabitEthernet0/1.389 description =====# isp 1#===== inet encapsulation dot1Q 389 ip address 176.x.x.3 255.255.255.248 secondary ip address 176.x.x.4 255.255.255.248 secondary ip address 176.x.x.5 255.255.255.248 secondary ip address 176.x.x.6 255.255.255.248 secondary ip address 176.x.x.2 255.255.255.248 no ip redirects no ip unreachables no ip proxy-arp ip nat outside Сейчас работаем через одного провайдера и на каждый адрес задано правило трансляции ip nat pool nat_srv1 176.x.x.2 176.x.x.2 netmask 255.255.255.248 ip nat inside source list nat_srv1 pool nat_srv1 overload ip access-list extended nat_srv1 permit ip host 10.0.0.1 any deny ip any any Таким образом я выпускаю нужный мне хост из подсети в интернет и далее проброс портов ip nat inside source static tcp 10.0.0.1 100 176.x.x.2 100 extendable Хостов может быть несколько. Не совсем понимаю как будет виден во вне IP из диапазона без его указания на интерфейсе?
|
25 июн 2018, 12:35 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
то есть вы прописываете секондари и потом еще pool создаете. Зачем это делать? vevilz писал(а): Не совсем понимаю как будет виден во вне IP из диапазона без его указания на интерфейсе? так же как и с указанием. Виден он будет отлично. А если бы у вас 200-300 адресов было, тоже все в секондари писать?
|
25 июн 2018, 13:07 |
|
|
vevilz
Зарегистрирован: 25 июн 2018, 09:32 Сообщения: 11
|
Решил задачу с с использованием VRF, вдруг кому нужно. Создаём виртуальные маршрутизаторы и указываем кто с кем обменивается маршрутами Код: ip vrf ISP1 rd 65000:1 route-target export 65000:1 route-target import 65000:101
ip vrf ISP1 rd 65000:2 route-target export 65000:2 route-target import 65000:102
ip vrf LAN1 rd 65000:101 route-target export 65000:101 route-target import 65000:102 route-target import 65000:1
ip vrf LAN2 rd 65000:102 route-target export 65000:102 route-target import 65000:101 route-target import 65000:2 И так далее, исходя из количества провайдеров и внутренних подсетей Далее привязал виртуальные маршрутизаторы к интерфейсам Код: interface GigabitEthernet0/1 description ISP1 ip vrf forwarding ISP1 ip address 100.100.2.6 255.255.255.248 secondary ip address 100.100.2.5 255.255.255.248 secondary ip address 100.100.2.4 255.255.255.248 secondary ip address 100.100.2.3 255.255.255.248 secondary ip address 100.100.2.2 255.255.255.248 ip nat outside
interface GigabitEthernet0/2 description ISP2 ip vrf forwarding ISP2 ip address 200.100.2.6 255.255.255.248 secondary ip address 200.100.2.5 255.255.255.248 secondary ip address 200.100.2.4 255.255.255.248 secondary ip address 200.100.2.3 255.255.255.248 secondary ip address 200.100.2.2 255.255.255.248 ip nat outside
interface GigabitEthernet0/3.101 description lan1 encapsulation dot1Q 101 ip vrf forwarding lan1 ip address 10.0.1.254 255.255.255.0 ip nat inside
interface GigabitEthernet0/3.102 description lan2 encapsulation dot1Q 102 ip vrf forwarding lan1 ip address 10.0.2.254 255.255.255.0 ip nat inside Прописал маршруты по умолчанию для каждого провайдера Код: ip route vrf ISP1 0.0.0.0 0.0.0.0 100.100.2.1 ip route vrf ISP2 0.0.0.0 0.0.0.0 200.100.2.1 BGP Код: router bgp 65000 bgp log-neighbor-changes ! address-family ipv4 vrf LAN1 redistribute connected exit-address-family ! address-family ipv4 vrf LAN2 redistribute connected exit-address-family ! address-family ipv4 vrf ISP1 redistribute connected redistribute static default-information originate ! address-family ipv4 vrf ISP2 redistribute connected redistribute static default-information originate exit-address-family Маршрут по умолчанию попадает согласно конфигурации импорта/экспорта Настройка NAT мало чем не отличается от конфигурации без VRF, нужно только указать принадлежность виртуальному маршрутизатору Прим. Код: ip nat inside source list list1 pool pool1 vrf LAN1 overload Тоже самое и для проброса портов Прим. Код: ip nat inside source static tcp 10.0.1.200 80 200.100.2.6 80 vrf LAN1 extendable Не претендую на оригинальность и правильность конфига, думаю может помочь как пища для решения задачи.
|
29 июн 2018, 11:22 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Спасибо за конфиг. Ну Вы уж более полный выложили, с реализацией отказоустойчивости
|
03 июл 2018, 08:51 |
|
|
vevilz
Зарегистрирован: 25 июн 2018, 09:32 Сообщения: 11
|
AlexSashkaff писал(а): Спасибо за конфиг. Ну Вы уж более полный выложили, с реализацией отказоустойчивости Отказоустойчивости как таковой не реализовано, точнее она идёт уже на избыточности конечных точек, в данной ситуации как пример 2 smtp relay на разных провайдерах. Есть ещё конечно dmvpn и несколько десятков подсетей для пользователей на другом роутере, который стоит за этим, но это уже выходит за рамки данной конфигурации.
|
05 июл 2018, 19:52 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 9 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: Google [Bot] и гости: 49 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|