Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 00:16



Ответить на тему  [ Сообщений: 35 ]  На страницу 1, 2  След.
Помогите с конфигом на 2 провайдера. 
Автор Сообщение

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
Пытаюсь прикрутить второго провайдера.

Часть конфига которая щупает живость провайдеров

bridge irb

interface GigabitEthernet0/0
description "ISP_MAIN"
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
media-type rj45
no mop enabled
bridge-group 1
!
interface GigabitEthernet0/1
description "ISP_BACK"
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
duplex auto
speed auto
media-type rj45
no mop enabled
bridge-group 2

interface BVI1
ip address 100.100.100.240 255.255.255.0
!
interface BVI2
ip address 200.200.200.240 255.255.255.0

ip route 8.8.8.8 255.255.255.255 100.100.100.254
ip route 8.8.8.8 255.255.255.255 200.200.200.254

ip sla 9
icmp-echo 8.8.8.8 source-interface BVI1
threshold 1000
timeout 1000
frequency 5
ip sla schedule 9 life forever start-time now

ip sla 10
icmp-echo 8.8.8.8 source-interface BVI2
threshold 1000
timeout 1000
frequency 5
ip sla schedule 10 life forever start-time now

route-map echo permit 10
match ip address 101
set ip next-hop 100.100.100.254


ip local policy route-map echo

access-list 101 permit icmp any host 8.8.8.8 echo

bridge 1 protocol ieee
bridge 1 route ip
bridge 2 protocol ieee
bridge 2 route ip

Собственно вроде все работает (может где не все скопипастил) -- вопрос вот в чем при отваливании основного провайдера все равно через интерфейс смотрящий на него принудительно запускается тест icmp-echo 8.8.8.8 , а вот для бэкап канала такой тест не проходит ибо есть всего один route-map echo с set ip next-hop 100.100.100.254

Как сделать что бы и бэкап канал все время тестился с помощью icmp-echo 8.8.8.8

Может сделать еще route-map echo permit 20 ?? или

route-map echo permit 10
match ip address 101
set ip next-hop 100.100.100.254 200.200.200.254


Заранее благодарен за помощь.


02 авг 2017, 23:51
Профиль

Зарегистрирован: 10 окт 2012, 09:51
Сообщения: 2679
может правильней будет тестировать разные ip адреса


03 авг 2017, 03:07
Профиль

Зарегистрирован: 02 дек 2013, 08:31
Сообщения: 82
При настройках:
route-map echo permit 10
match ip address 101
set ip next-hop 100.100.100.254

ip local policy route-map echo

access-list 101 permit icmp any host 8.8.8.8 echo

У вас следующие настройки работать не будут:
ip route 8.8.8.8 255.255.255.255 100.100.100.254
ip route 8.8.8.8 255.255.255.255 200.200.200.254

Так как route-map в данном случае отработает раньше глобальной таблицы маршрутизации. Можно пинговать разные адреса, а лучше сделать track boolean.

По настройке можете почитать тут:
http://xgu.ru/wiki/%D0%A0%D0%B5%D0%B7%D ... %D1%8F_BGP


Последний раз редактировалось spryabov 03 авг 2017, 08:44, всего редактировалось 1 раз.



03 авг 2017, 08:35
Профиль ICQ

Зарегистрирован: 02 дек 2013, 08:31
Сообщения: 82
При желании можно еще сделать Easy Virtual Network (EVN) или VRF-Lite. :D

Небольшое обсуждение тут http://anticisco.ru/forum/viewtopic.php?f=2&t=8870


03 авг 2017, 08:43
Профиль ICQ

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
spryabov писал(а):
При настройках:
route-map echo permit 10
match ip address 101
set ip next-hop 100.100.100.254

ip local policy route-map echo

access-list 101 permit icmp any host 8.8.8.8 echo

У вас данные настройки работать не будут:
ip route 8.8.8.8 255.255.255.255 100.100.100.254
ip route 8.8.8.8 255.255.255.255 200.200.200.254

Так как route-map в данном случае отработает раньше глобальной таблицы маршрутизации. Можно пинговать разные адреса, а лучше сделать track boolean.

По настройке можете почитать тут:
http://xgu.ru/wiki/%D0%A0%D0%B5%D0%B7%D ... %D1%8F_BGP



track boolean есть -- просто было лень писать , пингуются 6 разных ресурсов, соответственно track list boolean OR
Ясно что ip local policy route-map echo для трафффика из маршрутизатора, но для этого полиси есть route-map echo permit 10, а в нем только один set ip next-hop 100.100.100.254, как указать тоже самое только для 200.200.200.254


"У вас данные настройки работать не будут:
ip route 8.8.8.8 255.255.255.255 100.100.100.254
ip route 8.8.8.8 255.255.255.255 200.200.200.254" -- почему работать не будут???


03 авг 2017, 08:46
Профиль

Зарегистрирован: 02 дек 2013, 08:31
Сообщения: 82
Потому что уже есть route-map echo permit 10.

Как вариант можно переделать на разные адреса:

route-map echo permit 10
match ip address 101
set ip next-hop 100.100.100.254

route-map echo permit 20
match ip address 102
set ip next-hop 200.200.200.254

ip local policy route-map echo

access-list 101 permit icmp any host 8.8.8.8 echo
access-list 102 permit icmp any host 8.8.4.4 echo


Но при вышеуказанных настройках ip route 8.8.8.8 255.255.255.255 100.100.100.254 и ip route 8.8.8.8 255.255.255.255 200.200.200.254 тоже отрабатывать не будут.


03 авг 2017, 08:53
Профиль ICQ

Зарегистрирован: 02 дек 2013, 08:31
Сообщения: 82
Еще, наверно, не лишним будет добавить:

route-map echo permit 30

Для того что бы разрешить остальной локальный трафик маршрутизатора. Но нужно проверить.


03 авг 2017, 08:57
Профиль ICQ

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
[quote="spryabov"]При настройках:
route-map echo permit 10
match ip address 101
set ip next-hop 100.100.100.254

ip local policy route-map echo

access-list 101 permit icmp any host 8.8.8.8 echo

У вас следующие настройки работать не будут:
ip route 8.8.8.8 255.255.255.255 100.100.100.254
ip route 8.8.8.8 255.255.255.255 200.200.200.254

Так как route-map в данном случае отработает раньше глобальной таблицы маршрутизации. Можно пинговать разные адреса, а лучше сделать track boolean.

Все , догнал о чем вы. То есть могу убрать ip route 8.8.8.8 255.255.255.255 100.100.100.254 и ip route 8.8.8.8 255.255.255.255 200.200.200.254 поскольку это только для мониторинга канала?


03 авг 2017, 09:05
Профиль

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
spryabov писал(а):
Потому что уже есть route-map echo permit 10.

Как вариант можно переделать на разные адреса:

route-map echo permit 10
match ip address 101
set ip next-hop 100.100.100.254

route-map echo permit 20
match ip address 102
set ip next-hop 200.200.200.254

ip local policy route-map echo

access-list 101 permit icmp any host 8.8.8.8 echo
access-list 102 permit icmp any host 8.8.4.4 echo


Но при вышеуказанных настройках ip route 8.8.8.8 255.255.255.255 100.100.100.254 и ip route 8.8.8.8 255.255.255.255 200.200.200.254 тоже отрабатывать не будут.


Я делал такую конструкцию. Не идет пинг через 200.200.200.254

Строчки ip route 8.8.8.8 255.255.255.255 100.100.100.254 и ip route 8.8.8.8 255.255.255.255 200.200.200.254 уберу из конфига, просто такую конструкцию подсмотрел на одном форуме, но там топик-стартер путано конфиг выкладывал -- где то были такие маршруты, где то нет.


03 авг 2017, 09:16
Профиль

Зарегистрирован: 02 дек 2013, 08:31
Сообщения: 82
Эти настройки, естественно, меняли:
ip sla 9
icmp-echo 8.8.8.8 source-interface BVI1
threshold 1000
timeout 1000
frequency 5
ip sla schedule 9 life forever start-time now

ip sla 10
icmp-echo 8.8.4.4 source-interface BVI2
threshold 1000
timeout 1000
frequency 5
ip sla schedule 10 life forever start-time now


03 авг 2017, 09:34
Профиль ICQ

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
spryabov писал(а):
Эти настройки, естественно, меняли:
ip sla 9
icmp-echo 8.8.8.8 source-interface BVI1
threshold 1000
timeout 1000
frequency 5
ip sla schedule 9 life forever start-time now

ip sla 10
icmp-echo 8.8.4.4 source-interface BVI2
threshold 1000
timeout 1000
frequency 5
ip sla schedule 10 life forever start-time now


Конечно. И acl делал 101 и 102, в общем, как по настройке с сайта , что выше указали. Причем интернет соединение есть -- хосты в инет выходят, а вот пинг нет. Я думал может из за того что всегда отрабатывается при живом main isp rout map permit 10 и до 20 просто не доходит. А если в одном роут мэпе указать два разных next-hop это поможет?


03 авг 2017, 09:51
Профиль

Зарегистрирован: 02 дек 2013, 08:31
Сообщения: 82
Попробуйте сделать без ip local policy route-map echo


03 авг 2017, 10:14
Профиль ICQ

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
spryabov писал(а):
Попробуйте сделать без ip local policy route-map echo


Попробую, но тогда все пойдет по маршруту ip route 0.0.0.0 0.0.0.0 а это не хорошо. И если убрать ip local policy route-map echo, то к чему прикрутить сам route-map echo ??


03 авг 2017, 10:50
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Типа выдрано с работающего конфига
Код:
track 10 ip sla 1 reachability
!
track 20 ip sla 2 reachability
!
track 30 ip sla 3 reachability
!
track 100 list boolean or
 object 10
 object 20
 object 30
 delay down 10 up 5
!
track 110 ip sla 11 reachability
!
track 120 ip sla 12 reachability
!
track 130 ip sla 13 reachability
!
track 200 list boolean or
 object 110
 object 120
 object 130
 delay down 10 up 5

ip access-list extended SLA1_ACL
 permit icmp host IP_GW_ISP1 host 8.8.8.8
 permit icmp host IP_GW_ISP1 host 8.8.4.4
 permit icmp host IP_GW_ISP1 host 193.193.193.100
ip access-list extended SLA2_ACL
 permit icmp host IP_GW_ISP2 host 8.8.8.8
 permit icmp host IP_GW_ISP2 host 8.8.4.4
 permit icmp host IP_GW_ISP2 host 193.193.193.100

ip sla auto discovery
ip sla 1
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/1
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 1 life forever start-time now
ip sla 2
 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/1
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 2 life forever start-time now
ip sla 3
 icmp-echo 193.193.193.100 source-interface GigabitEthernet0/1
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 3 life forever start-time now
ip sla 11
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/2.614
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 11 life forever start-time now
ip sla 12
 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/2.614
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 12 life forever start-time now
ip sla 13
 icmp-echo 193.193.193.100 source-interface GigabitEthernet0/2.614
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 13 life forever start-time now


route-map PBR_SLA permit 10
 match ip address SLA1_ACL
 set ip next-hop IP_GW_ISP1
!
route-map PBR_SLA permit 20
 match ip address SLA2_ACL
 set ip next-hop IP_GW_ISP2

ip local policy route-map PBR_SLA


03 авг 2017, 13:15
Профиль

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
AlexSashkaff писал(а):
Типа выдрано с работающего конфига
Код:
track 10 ip sla 1 reachability
!
track 20 ip sla 2 reachability
!
track 30 ip sla 3 reachability
!
track 100 list boolean or
 object 10
 object 20
 object 30
 delay down 10 up 5
!
track 110 ip sla 11 reachability
!
track 120 ip sla 12 reachability
!
track 130 ip sla 13 reachability
!
track 200 list boolean or
 object 110
 object 120
 object 130
 delay down 10 up 5

ip access-list extended SLA1_ACL
 permit icmp host IP_GW_ISP1 host 8.8.8.8
 permit icmp host IP_GW_ISP1 host 8.8.4.4
 permit icmp host IP_GW_ISP1 host 193.193.193.100
ip access-list extended SLA2_ACL
 permit icmp host IP_GW_ISP2 host 8.8.8.8
 permit icmp host IP_GW_ISP2 host 8.8.4.4
 permit icmp host IP_GW_ISP2 host 193.193.193.100

ip sla auto discovery
ip sla 1
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/1
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 1 life forever start-time now
ip sla 2
 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/1
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 2 life forever start-time now
ip sla 3
 icmp-echo 193.193.193.100 source-interface GigabitEthernet0/1
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 3 life forever start-time now
ip sla 11
 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/2.614
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 11 life forever start-time now
ip sla 12
 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/2.614
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 12 life forever start-time now
ip sla 13
 icmp-echo 193.193.193.100 source-interface GigabitEthernet0/2.614
 threshold 1000
 timeout 1500
 frequency 3
ip sla schedule 13 life forever start-time now


route-map PBR_SLA permit 10
 match ip address SLA1_ACL
 set ip next-hop IP_GW_ISP1
!
route-map PBR_SLA permit 20
 match ip address SLA2_ACL
 set ip next-hop IP_GW_ISP2

ip local policy route-map PBR_SLA


Спасибо за кусок конфига. Очень похожее делал. Единственный вопрос

route-map PBR_SLA permit 10
match ip address SLA1_ACL
set ip next-hop IP_GW_ISP1
!
route-map PBR_SLA permit 20
match ip address SLA2_ACL
set ip next-hop IP_GW_ISP2

ip local policy route-map PBR_SLA

Разве route-map PBR_SLA permit 20 всегда отрабатывается? Вроде читал что сначала отрабатываются младшие пермиты, если условие не выполняется, то происходит переход к следующему пермиту.


03 авг 2017, 13:24
Профиль

Зарегистрирован: 02 дек 2013, 08:31
Сообщения: 82
route-map PBR_SLA permit 10
match ip address SLA1_ACL
set ip next-hop IP_GW_ISP1
!
route-map PBR_SLA permit 20
match ip address SLA2_ACL
set ip next-hop IP_GW_ISP2

ip local policy route-map PBR_SLA

Условия для route-map разные.


03 авг 2017, 13:31
Профиль ICQ

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
R_KING писал(а):
Разве route-map PBR_SLA permit 20 всегда отрабатывается? Вроде читал что сначала отрабатываются младшие пермиты, если условие не выполняется, то происходит переход к следующему пермиту.

А как Вы или Циска будет знать о том что второй канал в состоянии UP? или глюк NAT ?


03 авг 2017, 13:43
Профиль

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
spryabov писал(а):
route-map PBR_SLA permit 10
match ip address SLA1_ACL
set ip next-hop IP_GW_ISP1
!
route-map PBR_SLA permit 20
match ip address SLA2_ACL
set ip next-hop IP_GW_ISP2

ip local policy route-map PBR_SLA

Условия для route-map разные.


Вот, примерно вспомнил. Я тогда сделал два одинаковых route-map с одинаковым названием, но разным пермитом. Спасибо, сегодня буду копать конфиг!


03 авг 2017, 13:48
Профиль

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
spryabov писал(а):
route-map PBR_SLA permit 10
match ip address SLA1_ACL
set ip next-hop IP_GW_ISP1
!
route-map PBR_SLA permit 20
match ip address SLA2_ACL
set ip next-hop IP_GW_ISP2

ip local policy route-map PBR_SLA

Условия для route-map разные.


Не заработала у меня эта конструкция, но как только удаляю route-map ххх permit 10, сразу появляются пинги от route-map ххх permit 20


04 авг 2017, 08:42
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
R_KING писал(а):
spryabov писал(а):
route-map PBR_SLA permit 10
match ip address SLA1_ACL
set ip next-hop IP_GW_ISP1
!
route-map PBR_SLA permit 20
match ip address SLA2_ACL
set ip next-hop IP_GW_ISP2

ip local policy route-map PBR_SLA

Условия для route-map разные.


Не заработала у меня эта конструкция, но как только удаляю route-map ххх permit 10, сразу появляются пинги от route-map ххх permit 20


Что то мы путаем.
Конструкцию которую я привел, она проверяет живучисть каналов. Не более того.
Отслеживать трекинг можно через терминал или консоль.

Код:
ip local policy route-map XXXXXL

регулирует трафик который генерирует сам роутер

Хождение трафика, при падении одного из каналов, это уже вторая и отдельная часть "марлезонского балета", там есть много решений.
и тогда надо policy применять на тот интерфейс с которого "сыпется" трафик.

Спасибо.


04 авг 2017, 09:09
Профиль

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
AlexSashkaff писал(а):
R_KING писал(а):
spryabov писал(а):
route-map PBR_SLA permit 10
match ip address SLA1_ACL
set ip next-hop IP_GW_ISP1
!
route-map PBR_SLA permit 20
match ip address SLA2_ACL
set ip next-hop IP_GW_ISP2

ip local policy route-map PBR_SLA

Условия для route-map разные.


Не заработала у меня эта конструкция, но как только удаляю route-map ххх permit 10, сразу появляются пинги от route-map ххх permit 20



Что то мы путаем.
Конструкцию которую я привел, она проверяет живучисть каналов. Не более того.
Отслеживать трекинг можно через терминал или консоль.

Код:
ip local policy route-map XXXXXL

регулирует трафик который генерирует сам роутер

Хождение трафика, при падении одного из каналов, это уже вторая и отдельная часть "марлезонского балета", там есть много решений.
и тогда надо policy применять на тот интерфейс с которого "сыпется" трафик.

Спасибо.


Все верно -- из роутера на два порта одновременно нужно слать icmp для для проверки живучести провайдеров. На основании живучести канала через ЕЕМ происходит переключение пары портов с одной bridge-group на другую. Все работает, НО нет никакого механизма говорящего о живучести BACKUP канала. Вчера поправил конфиг -- в IP SLA удачный тест только для BVI 1. И запрос на живучесть каналов должен идти в обход ip route 0.0.0.0 0.0.0.0 x.x.x.x


04 авг 2017, 09:25
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
R_KING писал(а):
Все верно -- из роутера на два порта одновременно нужно слать icmp для для проверки живучести провайдеров. На основании живучести канала через ЕЕМ происходит переключение пары портов с одной bridge-group на другую. Все работает, НО нет никакого механизма говорящего о живучести BACKUP канала. Вчера поправил конфиг -- в IP SLA удачный тест только для BVI 1. И запрос на живучесть каналов должен идти в обход ip route 0.0.0.0 0.0.0.0 x.x.x.x


Почему в обход???
У Вас две ip route 0.0.0.0 0.0.0.0 x.x.x.x И 0.0.0.0 0.0.0.0 Y.Y.Y.Y
каждый канал бежит по своим шлюзам, которые прописаны у Вас в настройках (роутмап)в разделе next-hope


04 авг 2017, 11:11
Профиль

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
AlexSashkaff писал(а):
R_KING писал(а):
Все верно -- из роутера на два порта одновременно нужно слать icmp для для проверки живучести провайдеров. На основании живучести канала через ЕЕМ происходит переключение пары портов с одной bridge-group на другую. Все работает, НО нет никакого механизма говорящего о живучести BACKUP канала. Вчера поправил конфиг -- в IP SLA удачный тест только для BVI 1. И запрос на живучесть каналов должен идти в обход ip route 0.0.0.0 0.0.0.0 x.x.x.x


Почему в обход???
У Вас две ip route 0.0.0.0 0.0.0.0 x.x.x.x И 0.0.0.0 0.0.0.0 Y.Y.Y.Y
каждый канал бежит по своим шлюзам, которые прописаны у Вас в настройках (роутмап)в разделе next-hope


Все очень непросто -- ip route 0.0.0.0 0.0.0.0 x.x.x.x И 0.0.0.0 0.0.0.0 Y.Y.Y.Y у меня служат для переключения маршрутов между основным сервером и вспомогательным серверами. То есть в теории, да и почти на практике, у меня происходит резервирование каналов провайдера и резервирование серверов. А запускать тест используя ip route 0.0.0.0 0.0.0.0 x.x.x.x И 0.0.0.0 0.0.0.0 Y.Y.Y.Y у для оценки живости провайдера не корректно, поскольку при падении маршрутизации на сервере отработает тест о неисправности канала. И роут мапы у меня разные, одни для очистки NAT нужное при переключении с одного ip route 0.0.0.0 0.0.0.0 на другой , другие мне нужны для оценки живости прова. По этому я в роут мэпах для пестирования прова указываю или IP или шлюз на прова через ближайший интерфейс смотрящий на прова.

То есть всего возможно 4 подключения к провайдеру -- main_isp -- main_server, mail_isp -- BACKUP_server, backup_ISP -- mail_server, backup_isp -- backup_server. Теоретически всегда 100% рабочая конструкция.

Как-то так.


04 авг 2017, 11:26
Профиль

Зарегистрирован: 05 фев 2013, 17:02
Сообщения: 678
Я так понимаю из-за нестандартности решения никто не подкинет решение.


05 авг 2017, 17:01
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 671
Вам написал рабочий конфиг.
Оно работает.
Судя из ваших постов, у Вас накручен NAT, в нем есть траблы (сам с с таким сталкиваюсь когда прикручиваю мониторинг каналов)
Мой путь такой: Вытираю конфиг, и начинаю с мониторинга. По шагам. С проверкой. Долго, но надежно.
ИМХО.


05 авг 2017, 17:37
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 35 ]  На страницу 1, 2  След.

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 47


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB