Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 23:01



Ответить на тему  [ Сообщений: 4 ] 
Нет пинга из локалки 
Автор Сообщение

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Доброго дня. Тема наверняка поднималась, но решения не видел. В gns3 простейшая лаба - имитация двух провайдеров. В случае падения основного переключаемся на резервного, все как обычно. Соответственно, маршрутизатор с тремя интерфейсами и три vpc. С маршрутизатора пинг на активного прова идет, с локалки нет. На железе эта же схема работает как надо, здесь же почему-то нет. Образ маршрутизатора IOSv 15.5.3 gns 1.3.0
Вот конфиг

vrf definition ISP1
!
address-family ipv4
route-replicate from vrf LAN unicast all
exit-address-family
!
vrf definition ISP2
!
address-family ipv4
route-replicate from vrf LAN unicast all
exit-address-family
!
vrf definition LAN
!
address-family ipv4
route-replicate from vrf ISP1 unicast all
route-replicate from vrf ISP2 unicast all
exit-address-family
!
object-group network NAT-DENY
!
object-group network NAT-PERMIT
10.10.9.0 255.255.255.0
!
track 10 ip sla 1 reachability
!
track 50 list boolean or
object 10
delay down 10 up 5
!
interface GigabitEthernet0/0
description ISP1
vrf forwarding ISP1
ip address 77.77.77.2 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/1
description ISP2
vrf forwarding ISP2
ip address 88.88.88.2 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/2
description LAN
vrf forwarding LAN
ip address 10.10.9.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex auto
speed auto
media-type rj45
!
ip nat inside source route-map ISP1-NAT interface GigabitEthernet0/0 vrf LAN overload
ip nat inside source route-map ISP2-NAT interface GigabitEthernet0/1 vrf LAN overload
ip route vrf ISP1 0.0.0.0 0.0.0.0 77.77.77.1 track 50
ip route vrf ISP2 0.0.0.0 0.0.0.0 88.88.88.1 10
!
ip access-list extended NAT
deny ip object-group NAT-DENY any
permit ip object-group NAT-PERMIT any
!
ip sla auto discovery
ip sla 10
icmp-echo 77.77.77.1 source-interface GigabitEthernet0/0
vrf ISP1
threshold 1000
timeout 1500
frequency 3
ip sla schedule 10 life forever start-time now
!
route-map ISP1-NAT permit 10
match ip address NAT
match interface GigabitEthernet0/0
!
route-map ISP2-NAT permit 10
match ip address NAT
match interface GigabitEthernet0/1
!
event manager applet ISP1_UP
event track 50 state up
action 10 cli command "enable"
action 20 cli command "clear ip nat translation *"
event manager applet ISP1_DOWN
event track 50 state down
action 10 cli command "enable"
action 20 cli command "clear ip nat translation *"


04 авг 2022, 09:39
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 548
Откуда: Msk
Не претендуя на экспертизу, но вот что хотелось бы заметить:

Maxische писал(а):
action 20 cli command "clear ip nat translation *"

1. В EEM нужно использовать "clear ip nat translation forced"
Да и в консоли. Т.к. "*" запрашивает подтверждение на удаление активных трансляций.
А forced - это * + Yes.

2. Про object-group:
Maxische писал(а):
ip access-list extended NAT
deny ip object-group NAT-DENY any
permit ip object-group NAT-PERMIT any

Как-то на форумах попадалось как народ жаловался, что это в IOS не работает. (В ASA работает.)
Т.е. синтаксически все Ок, все красиво, ... только не работает.
Причем не то, чтобы совсем не работает, а местами.
Т.е. типа в ACL на интерфейсах работает, а в route-map - нет, или наоборот.
И это "местами" разное в разных версиях IOS.
Может это уже и не актуально и наука с тех пор шагнула далеко вперед. А может ...
К тому же тут это вообще лишнее.

Код:
ip access-list extended NAT
deny ip any 10.0.0.0 0.255.255.255
permit ip 10.0.0.0 0.255.255.255 any

Этого будет достаточно на все (почти) случаи. Да и конфиг проще.
Т.е. то, что дошло до NAT, - должно NAT-иться. Ну, кроме внутреннего трафика.
NAT не нужно использовать как средство контроля доступа.
Для этого есть явно предназначенные средства - ACL и FW.

3. ip sla auto discovery
Вот это вам точно нужно?
Что вы там хотите auto надискаверить? И зачем?

https://www.cisco.com/c/en/us/td/docs/i ... _eng3.html

_________________
Knowledge is Power


10 авг 2022, 05:50
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Благодарю Вас за ответ, попробую поиграться с gns с учетом замечаний. Просто непонятно, всё то же самое работает на железке (2911), но не желает на симуляторе, а каждый раз обкатывать что-либо на железе не так удобно... Полагаю, что данное поведение связано с нюансами конкретной прошивки, но в симуляторе их выбор довольно ограничен, и фактически приходится использовать, что есть. Проверю - отпишусь )


10 авг 2022, 09:11
Профиль

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 155
Увы, не помогло. Думал, в gns затык, опробовал ту же конфигурацию в eve-ng - ровно то же самое. А именно - как включаю vrf, пропадает пинг из условной локалки. При этом, на железной циске работает. Мистика какая-то.


12 авг 2022, 12:11
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 4 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 67


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB