Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 10:13



Ответить на тему  [ Сообщений: 9 ] 
Несколько провайдеров, NAT, без балансировки 
Автор Сообщение

Зарегистрирован: 25 июн 2018, 09:32
Сообщения: 11
Добрый день.
Вопрос следующего плана, есть несколько провайдеров, каждый предоставляет блок /29, есть несколько внутренних подсетей разного диапазона, задача в следующем, NAT'ить необходимую подсеть через отдельный ip разных провайдеров (прим. 10.0.0.0/24 -> 100.0.0.1 (isp a), 10.0.1.0/24 -> 100.0.0.2 (isp a), 10.0.2.0/24 -> 101.0.0.1 (isp b)), на каждого провайдера создал vlan, в котором прописал через secondary принадлежащие ему адреса.
Самостоятельно знаю как делать через PBR, но тут упёрся в то что на интерфейсе более одного адреса.

Прошу подсказать в какую сторону искать, заранее спасибо.
Version 15.2(4)M11

Если я что то либо не уточнил, поправьте пожалуйста.


25 июн 2018, 12:07
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
зачем прописывать secondary адреса, а не просто в nat указывать нужные адреса?


25 июн 2018, 12:13
Профиль

Зарегистрирован: 25 июн 2018, 09:32
Сообщения: 11
crash писал(а):
зачем прописывать secondary адреса, а не просто в nat указывать нужные адреса?


Т.е. на интерфейсе я указываю один адрес, а в трансляции нужный из выданных провайдерами адресов?
Если так, то я забыл сделать уточнение, почти на все внешние адреса есть port forwarding.


25 июн 2018, 12:20
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
vevilz писал(а):
Если так, то я забыл сделать уточнение, почти на все внешние адреса есть port forwarding.
и?


25 июн 2018, 12:22
Профиль

Зарегистрирован: 25 июн 2018, 09:32
Сообщения: 11
crash писал(а):
vevilz писал(а):
Если так, то я забыл сделать уточнение, почти на все внешние адреса есть port forwarding.
и?


Поправьте меня если я не прав

Код:
interface GigabitEthernet0/1.389
 description =====# isp 1#===== inet
 encapsulation dot1Q 389
 ip address 176.x.x.3 255.255.255.248 secondary
 ip address 176.x.x.4 255.255.255.248 secondary
 ip address 176.x.x.5 255.255.255.248 secondary
 ip address 176.x.x.6 255.255.255.248 secondary
 ip address 176.x.x.2 255.255.255.248
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat outside


Сейчас работаем через одного провайдера и на каждый адрес задано правило трансляции
ip nat pool nat_srv1 176.x.x.2 176.x.x.2 netmask 255.255.255.248
ip nat inside source list nat_srv1 pool nat_srv1 overload
ip access-list extended nat_srv1
permit ip host 10.0.0.1 any
deny ip any any
Таким образом я выпускаю нужный мне хост из подсети в интернет и далее проброс портов
ip nat inside source static tcp 10.0.0.1 100 176.x.x.2 100 extendable

Хостов может быть несколько.

Не совсем понимаю как будет виден во вне IP из диапазона без его указания на интерфейсе?


25 июн 2018, 12:35
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
то есть вы прописываете секондари и потом еще pool создаете. Зачем это делать?
vevilz писал(а):
Не совсем понимаю как будет виден во вне IP из диапазона без его указания на интерфейсе?
так же как и с указанием. Виден он будет отлично. А если бы у вас 200-300 адресов было, тоже все в секондари писать?


25 июн 2018, 13:07
Профиль

Зарегистрирован: 25 июн 2018, 09:32
Сообщения: 11
Решил задачу с с использованием VRF, вдруг кому нужно.

Создаём виртуальные маршрутизаторы и указываем кто с кем обменивается маршрутами
Код:
ip vrf ISP1
 rd 65000:1
 route-target export 65000:1
 route-target import 65000:101

ip vrf ISP1
 rd 65000:2
 route-target export 65000:2
 route-target import 65000:102

ip vrf LAN1
 rd 65000:101
 route-target export 65000:101
 route-target import 65000:102
 route-target import 65000:1

ip vrf LAN2
 rd 65000:102
 route-target export 65000:102
 route-target import 65000:101
 route-target import 65000:2


И так далее, исходя из количества провайдеров и внутренних подсетей

Далее привязал виртуальные маршрутизаторы к интерфейсам
Код:
interface GigabitEthernet0/1
 description ISP1
 ip vrf forwarding ISP1
 ip address 100.100.2.6 255.255.255.248 secondary
 ip address 100.100.2.5 255.255.255.248 secondary
 ip address 100.100.2.4 255.255.255.248 secondary
 ip address 100.100.2.3 255.255.255.248 secondary
 ip address 100.100.2.2 255.255.255.248
 ip nat outside

interface GigabitEthernet0/2
 description ISP2
 ip vrf forwarding ISP2
 ip address 200.100.2.6 255.255.255.248 secondary
 ip address 200.100.2.5 255.255.255.248 secondary
 ip address 200.100.2.4 255.255.255.248 secondary
 ip address 200.100.2.3 255.255.255.248 secondary
 ip address 200.100.2.2 255.255.255.248
 ip nat outside

interface GigabitEthernet0/3.101
 description lan1
 encapsulation dot1Q 101
 ip vrf forwarding lan1
 ip address 10.0.1.254 255.255.255.0
 ip nat inside

interface GigabitEthernet0/3.102
 description lan2
 encapsulation dot1Q 102
 ip vrf forwarding lan1
 ip address 10.0.2.254 255.255.255.0
 ip nat inside


Прописал маршруты по умолчанию для каждого провайдера
Код:
ip route vrf ISP1 0.0.0.0 0.0.0.0 100.100.2.1
ip route vrf ISP2 0.0.0.0 0.0.0.0 200.100.2.1


BGP
Код:
router bgp 65000
 bgp log-neighbor-changes
 !
 address-family ipv4 vrf LAN1
  redistribute connected
 exit-address-family
 !
 address-family ipv4 vrf LAN2
  redistribute connected
 exit-address-family
!
 address-family ipv4 vrf ISP1
  redistribute connected
  redistribute static
  default-information originate
!
 address-family ipv4 vrf ISP2
  redistribute connected
  redistribute static
  default-information originate
 exit-address-family


Маршрут по умолчанию попадает согласно конфигурации импорта/экспорта

Настройка NAT мало чем не отличается от конфигурации без VRF, нужно только указать принадлежность виртуальному маршрутизатору
Прим.
Код:
ip nat inside source list list1 pool pool1 vrf LAN1 overload


Тоже самое и для проброса портов
Прим.
Код:
ip nat inside source static tcp 10.0.1.200 80 200.100.2.6 80 vrf LAN1 extendable


Не претендую на оригинальность и правильность конфига, думаю может помочь как пища для решения задачи.


29 июн 2018, 11:22
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Спасибо за конфиг.
Ну Вы уж более полный выложили, с реализацией отказоустойчивости :)


03 июл 2018, 08:51
Профиль

Зарегистрирован: 25 июн 2018, 09:32
Сообщения: 11
AlexSashkaff писал(а):
Спасибо за конфиг.
Ну Вы уж более полный выложили, с реализацией отказоустойчивости :)


Отказоустойчивости как таковой не реализовано, точнее она идёт уже на избыточности конечных точек, в данной ситуации как пример 2 smtp relay на разных провайдерах.
Есть ещё конечно dmvpn и несколько десятков подсетей для пользователей на другом роутере, который стоит за этим, но это уже выходит за рамки данной конфигурации.


05 июл 2018, 19:52
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 9 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 56


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB