NAT na 2 łaczach

Problemy związane z routingiem

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
kamilm12345
wannabe
wannabe
Posty: 76
Rejestracja: 15 sty 2013, 08:07
Lokalizacja: Toruń

NAT na 2 łaczach

#1

#1 Post autor: kamilm12345 » 30 lip 2013, 14:11

Witam wszystkich,

mam łącze DSL z 8 adresami i router Cisco, był ustawiony NAT, teraz jest drugie łącze z większą ilością adresów i to na tym drugim chciałbym uruchomić internet oraz NAT, ale to pierwsze fajnie jakby też działało. Czy można zrobić 2 NAT'y albo NAT na 2 interfejsach?

Awatar użytkownika
domin
wannabe
wannabe
Posty: 846
Rejestracja: 15 lip 2005, 20:04
Lokalizacja: Kraków
Kontakt:

#2

#2 Post autor: domin » 30 lip 2013, 14:22

W zależności jaki masz router możesz sobie zrobić PBR, PfR czy jedno łacze jako primary, a drugie jako backup.
.ılı..ılı.

kamilm12345
wannabe
wannabe
Posty: 76
Rejestracja: 15 sty 2013, 08:07
Lokalizacja: Toruń

#3

#3 Post autor: kamilm12345 » 30 lip 2013, 14:31

Router to Cisco 3925, ale czy wtedy będzie działał NAT na obydwu łączach jednocześnie? bo mam 2 różne pule które bym chciał zostawić.

Awatar użytkownika
vrankom
wannabe
wannabe
Posty: 1075
Rejestracja: 21 lis 2006, 10:27
Lokalizacja: Warsaw
Kontakt:

#4

#4 Post autor: vrankom » 30 lip 2013, 15:32

kamilm12345 pisze:Router to Cisco 3925, ale czy wtedy będzie działał NAT na obydwu łączach jednocześnie? bo mam 2 różne pule które bym chciał zostawić.
a masz licencje Data? bo bez tego PFRa sobie nie odpalisz ....
nie wiem czy przypadkiem PBR tez sie nie lapie w to ;)

/V.

kamilm12345
wannabe
wannabe
Posty: 76
Rejestracja: 15 sty 2013, 08:07
Lokalizacja: Toruń

#5

#5 Post autor: kamilm12345 » 30 lip 2013, 15:49

Spróbowałem PBR ale nic to nie dało:
ustawiłem to tak

Kod: Zaznacz cały

route-map SDM_RMAP_1 permit 1
 match ip address 101
 set interface GigabitEthernet0/0 GigabitEthernet0/1

ip route 0.0.0.0 0.0.0.0 aaa.a.a.aa
ip route 0.0.0.0 0.0.0.0 bbb.b.b.b 10

int gi0/0
ip address aaa.aa.aa.a aaa.aa.a.a
ip policy route-map SDM_RMAP_1

int gi0/1
ip address bbb.bbb.bbb.bb bbb.bbb.bb.bb
ip policy route-map SDM_RMAP_1
i internet działa poprzez int gi0/0 ale adresy bbb są nie osiągalne mimo że jest załączony int gi0/1 mogę pingować adres po drugiej stronie na tym łączu.

coś nie tak w tej konfiguracji?


\\EDIT: znaczniki

Kod: Zaznacz cały

gryglas
Ostatnio zmieniony 07 sie 2013, 09:40 przez kamilm12345, łącznie zmieniany 1 raz.

Awatar użytkownika
vrankom
wannabe
wannabe
Posty: 1075
Rejestracja: 21 lis 2006, 10:27
Lokalizacja: Warsaw
Kontakt:

#6

#6 Post autor: vrankom » 30 lip 2013, 19:37

generalnie wszystko masz zle, chcesz uzywac obu lacza na raz to zastosuj PFR
chcesz uzywac ich obu ale na sztywno definiujac co ma ktoredy isc plus jak lacze padnie to sie przelaczy to uzyj PBR, police podpinasz na interfejsie do LANu
musisz odpowiednio zdefiniowac tez route mapy podpiete pod nat zeby jedna lapala interesujacy ja ruch a odrzucala inny ktory ma isc drugim laczem etc
do tego ip sla zeby ci minitorowalo linki ale sla jest dopiero w licencji data ;p

mozesz np. zrobic tak

Kod: Zaznacz cały

interface FastEthernet0/0/0
 intefejs do LAN
 ip address XXX.XXX.XXX.XXX
 no ip redirects
 ip nat inside
 ip policy route-map Route_Map_XXX
 
route-map Route_Map_XXX permit 20
 match ip address ACL_PBR_catch_inet1
 set ip next-hop XXX.XXX.XXX.XXX
!
route-map Route_Map_Fa000_XXX permit 30
 match ip address ACL_PBR_catch_inet2
 set ip next-hop YYY.YYY.YYY.YYY
plus ip nat inside source na oba inety powinno teoretycznie zatrybic

/V.

lbromirs
CCIE
CCIE
Posty: 4062
Rejestracja: 30 lis 2006, 08:44

Re: NAT na 2 łaczach

#7

#7 Post autor: lbromirs » 30 lip 2013, 19:51

Najpierw odpal sobie dwa próbniki, które testować będą osiągalność domyślnej bramki przez oba Ethernety - ma on to do siebie, że stan łącza nie oznacza osiągalności bramki. Pod x.x.x.x i y.y.y.y wpisz bramki odpowiednio pierwszego i drugiego łącza, zakładam że pierwsze łącze masz zapięte do GE0/0, drugie do GE0/1 a sieć wewnętrzną to Vlan1.

Kod: Zaznacz cały

ip sla 1
 icmp-echo x.x.x.x source-interface gigabitethernet0/0 
 threshold 300
 frequency 5
ip sla schedule 1 life forever start-time now

ip sla 2
 icmp-echo y.y.y.y source-interface gigabitethernet0/1
 threshold 300
 frequency 5
ip sla schedule 2 life forever start-time now

! dodatkowa konfiguracja - sluszny komentarz JC:

track 1 ip sla 1
 delay down 15 up 15
!         
track 2 ip sla 2
 delay down 15 up 15
Teraz definiujesz NAT - o wyborze łącza decydować będzie routing (CEF), więc wszystko co trzeba zrobić, to skojarzyć pulę adresów z interfejsem:

Kod: Zaznacz cały

ip access-list extended acl-nat
 ! tu pula, której używasz w LANie
 permit ip 192.168.0.0 0.0.255.255 any

route-map nat-ge00 permit 10
 match ip address acl-nat
 match interface GigabitEthernet0/0

route-map nat-ge01 permit 10
 match ip address acl-nat
 match interface GigabitEthernet0/1

ip nat translation tcp-timeout 60
ip nat translation udp-timeout 15
ip nat inside source route-map nat-ge00 interface GigabitEthernet0/0 overload
ip nat inside source route-map nat-ge01 interface GigabitEthernet0/1 overload
Teraz pozostaje uporać się z routingiem w sposób zapewniający, że wpis zniknie gdy zniknie bramka (w L3):

Kod: Zaznacz cały

ip route 0.0.0.0 0.0.0.0 x.x.x.x track 1
ip route 0.0.0.0 0.0.0.0 y.y.y.y track 2
x.x.x.x i y.y.y.y to tak jak powyżej, domyślne bramki na obu łączach. CEF będzie rozkładał ruch per-sesja, dla pewności warto dodatkowo umieścić w konfiguracji:

Kod: Zaznacz cały

ip cef load-sharing algorithm include-ports source destination
Ostatnio zmieniony 31 lip 2013, 22:47 przez lbromirs, łącznie zmieniany 2 razy.

kamilm12345
wannabe
wannabe
Posty: 76
Rejestracja: 15 sty 2013, 08:07
Lokalizacja: Toruń

#8

#8 Post autor: kamilm12345 » 31 lip 2013, 08:33

Niestety nie posiadam licencji DATA, ale rozumiem że inaczej tego nie rozwiąże? więc dokupię tą licencje jeśli się nie mylę to kosztuje ona 1500 zł netto. Rozumiem że to co wstawił lbromirs to gotowy kod na moje rozwiązanie? oczywiście ustawić swoje adresy ip, pytam ponieważ nie miałem jeszcze z tym do czynienia.

JulietCharlie
wannabe
wannabe
Posty: 195
Rejestracja: 06 lut 2012, 01:31

#9

#9 Post autor: JulietCharlie » 31 lip 2013, 22:24

kamilm12345 pisze:Rozumiem że to co wstawił lbromirs to gotowy kod na moje rozwiązanie?.
Do PfRa potrzeba licencji data.

To co napisal Lukasz to niemal gotowiec, ktory powinien bez problemu zadzialac na ip base.

Brakuje drobnostek typu:
1) zdefiniowanie obiektow track 1 i 2,
2) drobne literowki w nazwach routemap,
3) kiedys uzycie tej samej acl-ki w roznych routemapach robilo problem, ale moze byla to kwestia starego IOSa,
4) dodanie "ip nat inside" i "ip nat outside" na odpowiednich interfejsach,
5) manipulujac default route mozesz probowac wplywac na rozwiazanie typu loadbalancing /// primary-backup
Shoot for the moon.
Even if you miss it you will land among the stars.

kamilm12345
wannabe
wannabe
Posty: 76
Rejestracja: 15 sty 2013, 08:07
Lokalizacja: Toruń

#10

#10 Post autor: kamilm12345 » 01 sie 2013, 09:23

Witam,

ustawiłem i działają 2 łącza, tylko z równoważeniem jest problem, ponieważ wychodzę tkj. jednym łączem a wracam drugim i zazwyczaj wykorzystuje to 2 gorsze łącze. To jest wynik sh track:

Kod: Zaznacz cały

Track 1
  IP SLA 1 state
  State is Up
    1 change, last change 00:47:51
  Delay up 15 secs, down 15 secs
  Latest operation return code: OK
  Latest RTT (millisecs) 4
  Tracked by:
    STATIC-IP-ROUTING 0
Track 2
  IP SLA 2 state
  State is Up
    2 changes, last change 00:34:06
  Delay up 15 secs, down 15 secs
  Latest operation return code: OK
  Latest RTT (millisecs) 1
  Tracked by:
    STATIC-IP-ROUTING 0
może przez to RTT jest wykorzystywane 2 łacze?

JulietCharlie
wannabe
wannabe
Posty: 195
Rejestracja: 06 lut 2012, 01:31

#11

#11 Post autor: JulietCharlie » 03 sie 2013, 01:23

kamilm12345 pisze:ustawiłem i działają 2 łącza, tylko z równoważeniem jest problem, ponieważ wychodzę tkj. jednym łączem a wracam drugim i zazwyczaj wykorzystuje to 2 gorsze łącze.
Jak sprawdziles ze wychodzisz jednym laczem a wraca drugim ?

Podaj:
Lacze A: Predkosc // Ilosc adresow IP
Lacze B: Predkosc // Ilosc adresow IP
Shoot for the moon.
Even if you miss it you will land among the stars.

lbromirs
CCIE
CCIE
Posty: 4062
Rejestracja: 30 lis 2006, 08:44

#12

#12 Post autor: lbromirs » 03 sie 2013, 04:44

Pokaż 'sh ip route 0.0.0.0' i 'sh ip cef 0.0.0.0/0 internal'. Pierwsza powinna pokazać dwie trasy, druga 'per-destination sharing' i dwie trasy przez oba interfejsy w trybie 'per-session' zakładając, że nie masz jakiegoś 'ip local policy route-map XXX' oraz że poprawnie skonfigurowałeś interfejsy/pule dla NATa.

kamilm12345
wannabe
wannabe
Posty: 76
Rejestracja: 15 sty 2013, 08:07
Lokalizacja: Toruń

#13

#13 Post autor: kamilm12345 » 05 sie 2013, 09:36

Łącze A: 100/100 Mb //32 IP
Łącze B: 10/1 Mb //8 IP

ip route 0.0.0.0:
Routing entry for 0.0.0.0/0, supernet
Known via "static", distance 1, metric 0, candidate default path
Routing Descriptor Blocks:
aaa.aaa.aaa.aaa
Route metric is 0, traffic share count is 1
* bbb.bbb.bbb.bbb
Route metric is 0, traffic share count is 1
sh ip cef 0.0.0.0/0 internal
0.0.0.0/0, epoch 0, RIB[S], refcount 5, per-destination sharing
sources: RIB, DRH
feature space:
NetFlow: Origin AS 0, Peer AS 0, Mask Bits 0
ifnums:
GigabitEthernet0/0(4): bbb.bbb.bbb.bbb
GigabitEthernet0/0/0(7): aaa.aaa.aaa.aaa
path 14F6A9C8, path list 0261DA54, share 0/1, type recursive, for IPv4
recursive via bbb.bbb.bbb.bbb[IPv4:Default], fib 14A498FC, 1 terminal fib, v4:Defau lt:bbb.bbb.bbb.bbb/32
path 14F6DF98, path list 02620A24, share 1/1, type adjacency prefix, for IPv 4
attached to GigabitEthernet0/0, adjacency IP adj out of GigabitEthernet0/0, addr bbb.bbb.bbb.bbb 019107C0
path 14F6AA38, path list 0261DA54, share 1/1, type recursive, for IPv4
recursive via aaa.aaa.aaa.aaa[IPv4:Default], fib 024320C4, 1 terminal fib, v4:De fault:aaa.aaa.aaa.aaa/32
path 14F6A958, path list 0261DA04, share 1/1, type adjacency prefix, for IPv 4
attached to GigabitEthernet0/0/0, adjacency IP adj out of GigabitEthernet0/0 /0, addr aaa.aaa.aaa.aaa ********
output chain:
loadinfo 13E56DE8, per-session, 2 choices, flags 0083, 5 locks
flags: Per-session, for-rx-IPv4, 2buckets
2 hash buckets
< 0 > IP adj out of GigabitEthernet0/0, addr bbb.bbb.bbb.bbb ********
< 1 > IP adj out of GigabitEthernet0/0/0, addr aaa.aaa.aaa.aaa ********
Subblocks:
None

JulietCharlie
wannabe
wannabe
Posty: 195
Rejestracja: 06 lut 2012, 01:31

#14

#14 Post autor: JulietCharlie » 05 sie 2013, 09:50

Łącze A: 100/100 Mb //32 IP
Łącze B: 10/1 Mb //8 IP
Loadbalancing na laczach tak od siebie odbiegajacych imho mija sie z celem.
Choc bys nie wiem jak kombinowal to zawsze straty na loadsharing bedziesz mial duzo wieksze niz z przypadku uzycia lacza B jako backup.
Zdecydowanie wybral bym opcje primary/backup.
Shoot for the moon.
Even if you miss it you will land among the stars.

kamilm12345
wannabe
wannabe
Posty: 76
Rejestracja: 15 sty 2013, 08:07
Lokalizacja: Toruń

#15

#15 Post autor: kamilm12345 » 05 sie 2013, 10:01

a jak ustawić primary/backup?

ODPOWIEDZ