NAT na 2 łaczach
-
- wannabe
- Posty: 76
- Rejestracja: 15 sty 2013, 08:07
- Lokalizacja: Toruń
NAT na 2 łaczach
Witam wszystkich,
mam łącze DSL z 8 adresami i router Cisco, był ustawiony NAT, teraz jest drugie łącze z większą ilością adresów i to na tym drugim chciałbym uruchomić internet oraz NAT, ale to pierwsze fajnie jakby też działało. Czy można zrobić 2 NAT'y albo NAT na 2 interfejsach?
mam łącze DSL z 8 adresami i router Cisco, był ustawiony NAT, teraz jest drugie łącze z większą ilością adresów i to na tym drugim chciałbym uruchomić internet oraz NAT, ale to pierwsze fajnie jakby też działało. Czy można zrobić 2 NAT'y albo NAT na 2 interfejsach?
-
- wannabe
- Posty: 76
- Rejestracja: 15 sty 2013, 08:07
- Lokalizacja: Toruń
-
- wannabe
- Posty: 76
- Rejestracja: 15 sty 2013, 08:07
- Lokalizacja: Toruń
Spróbowałem PBR ale nic to nie dało:
ustawiłem to tak
i internet działa poprzez int gi0/0 ale adresy bbb są nie osiągalne mimo że jest załączony int gi0/1 mogę pingować adres po drugiej stronie na tym łączu.
coś nie tak w tej konfiguracji?
\\EDIT: znaczniki
ustawiłem to tak
Kod: Zaznacz cały
route-map SDM_RMAP_1 permit 1
match ip address 101
set interface GigabitEthernet0/0 GigabitEthernet0/1
ip route 0.0.0.0 0.0.0.0 aaa.a.a.aa
ip route 0.0.0.0 0.0.0.0 bbb.b.b.b 10
int gi0/0
ip address aaa.aa.aa.a aaa.aa.a.a
ip policy route-map SDM_RMAP_1
int gi0/1
ip address bbb.bbb.bbb.bb bbb.bbb.bb.bb
ip policy route-map SDM_RMAP_1
coś nie tak w tej konfiguracji?
\\EDIT: znaczniki
Kod: Zaznacz cały
gryglas
Ostatnio zmieniony 07 sie 2013, 09:40 przez kamilm12345, łącznie zmieniany 1 raz.
generalnie wszystko masz zle, chcesz uzywac obu lacza na raz to zastosuj PFR
chcesz uzywac ich obu ale na sztywno definiujac co ma ktoredy isc plus jak lacze padnie to sie przelaczy to uzyj PBR, police podpinasz na interfejsie do LANu
musisz odpowiednio zdefiniowac tez route mapy podpiete pod nat zeby jedna lapala interesujacy ja ruch a odrzucala inny ktory ma isc drugim laczem etc
do tego ip sla zeby ci minitorowalo linki ale sla jest dopiero w licencji data ;p
mozesz np. zrobic tak
plus ip nat inside source na oba inety powinno teoretycznie zatrybic
/V.
chcesz uzywac ich obu ale na sztywno definiujac co ma ktoredy isc plus jak lacze padnie to sie przelaczy to uzyj PBR, police podpinasz na interfejsie do LANu
musisz odpowiednio zdefiniowac tez route mapy podpiete pod nat zeby jedna lapala interesujacy ja ruch a odrzucala inny ktory ma isc drugim laczem etc
do tego ip sla zeby ci minitorowalo linki ale sla jest dopiero w licencji data ;p
mozesz np. zrobic tak
Kod: Zaznacz cały
interface FastEthernet0/0/0
intefejs do LAN
ip address XXX.XXX.XXX.XXX
no ip redirects
ip nat inside
ip policy route-map Route_Map_XXX
route-map Route_Map_XXX permit 20
match ip address ACL_PBR_catch_inet1
set ip next-hop XXX.XXX.XXX.XXX
!
route-map Route_Map_Fa000_XXX permit 30
match ip address ACL_PBR_catch_inet2
set ip next-hop YYY.YYY.YYY.YYY
/V.
Re: NAT na 2 łaczach
Najpierw odpal sobie dwa próbniki, które testować będą osiągalność domyślnej bramki przez oba Ethernety - ma on to do siebie, że stan łącza nie oznacza osiągalności bramki. Pod x.x.x.x i y.y.y.y wpisz bramki odpowiednio pierwszego i drugiego łącza, zakładam że pierwsze łącze masz zapięte do GE0/0, drugie do GE0/1 a sieć wewnętrzną to Vlan1.
Teraz definiujesz NAT - o wyborze łącza decydować będzie routing (CEF), więc wszystko co trzeba zrobić, to skojarzyć pulę adresów z interfejsem:
Teraz pozostaje uporać się z routingiem w sposób zapewniający, że wpis zniknie gdy zniknie bramka (w L3):
x.x.x.x i y.y.y.y to tak jak powyżej, domyślne bramki na obu łączach. CEF będzie rozkładał ruch per-sesja, dla pewności warto dodatkowo umieścić w konfiguracji:
Kod: Zaznacz cały
ip sla 1
icmp-echo x.x.x.x source-interface gigabitethernet0/0
threshold 300
frequency 5
ip sla schedule 1 life forever start-time now
ip sla 2
icmp-echo y.y.y.y source-interface gigabitethernet0/1
threshold 300
frequency 5
ip sla schedule 2 life forever start-time now
! dodatkowa konfiguracja - sluszny komentarz JC:
track 1 ip sla 1
delay down 15 up 15
!
track 2 ip sla 2
delay down 15 up 15
Kod: Zaznacz cały
ip access-list extended acl-nat
! tu pula, której używasz w LANie
permit ip 192.168.0.0 0.0.255.255 any
route-map nat-ge00 permit 10
match ip address acl-nat
match interface GigabitEthernet0/0
route-map nat-ge01 permit 10
match ip address acl-nat
match interface GigabitEthernet0/1
ip nat translation tcp-timeout 60
ip nat translation udp-timeout 15
ip nat inside source route-map nat-ge00 interface GigabitEthernet0/0 overload
ip nat inside source route-map nat-ge01 interface GigabitEthernet0/1 overload
Kod: Zaznacz cały
ip route 0.0.0.0 0.0.0.0 x.x.x.x track 1
ip route 0.0.0.0 0.0.0.0 y.y.y.y track 2
Kod: Zaznacz cały
ip cef load-sharing algorithm include-ports source destination
Ostatnio zmieniony 31 lip 2013, 22:47 przez lbromirs, łącznie zmieniany 2 razy.
-
- wannabe
- Posty: 76
- Rejestracja: 15 sty 2013, 08:07
- Lokalizacja: Toruń
Niestety nie posiadam licencji DATA, ale rozumiem że inaczej tego nie rozwiąże? więc dokupię tą licencje jeśli się nie mylę to kosztuje ona 1500 zł netto. Rozumiem że to co wstawił lbromirs to gotowy kod na moje rozwiązanie? oczywiście ustawić swoje adresy ip, pytam ponieważ nie miałem jeszcze z tym do czynienia.
-
- wannabe
- Posty: 195
- Rejestracja: 06 lut 2012, 01:31
Do PfRa potrzeba licencji data.kamilm12345 pisze:Rozumiem że to co wstawił lbromirs to gotowy kod na moje rozwiązanie?.
To co napisal Lukasz to niemal gotowiec, ktory powinien bez problemu zadzialac na ip base.
Brakuje drobnostek typu:
1) zdefiniowanie obiektow track 1 i 2,
2) drobne literowki w nazwach routemap,
3) kiedys uzycie tej samej acl-ki w roznych routemapach robilo problem, ale moze byla to kwestia starego IOSa,
4) dodanie "ip nat inside" i "ip nat outside" na odpowiednich interfejsach,
5) manipulujac default route mozesz probowac wplywac na rozwiazanie typu loadbalancing /// primary-backup
Shoot for the moon.
Even if you miss it you will land among the stars.
Even if you miss it you will land among the stars.
-
- wannabe
- Posty: 76
- Rejestracja: 15 sty 2013, 08:07
- Lokalizacja: Toruń
Witam,
ustawiłem i działają 2 łącza, tylko z równoważeniem jest problem, ponieważ wychodzę tkj. jednym łączem a wracam drugim i zazwyczaj wykorzystuje to 2 gorsze łącze. To jest wynik sh track:
może przez to RTT jest wykorzystywane 2 łacze?
ustawiłem i działają 2 łącza, tylko z równoważeniem jest problem, ponieważ wychodzę tkj. jednym łączem a wracam drugim i zazwyczaj wykorzystuje to 2 gorsze łącze. To jest wynik sh track:
Kod: Zaznacz cały
Track 1
IP SLA 1 state
State is Up
1 change, last change 00:47:51
Delay up 15 secs, down 15 secs
Latest operation return code: OK
Latest RTT (millisecs) 4
Tracked by:
STATIC-IP-ROUTING 0
Track 2
IP SLA 2 state
State is Up
2 changes, last change 00:34:06
Delay up 15 secs, down 15 secs
Latest operation return code: OK
Latest RTT (millisecs) 1
Tracked by:
STATIC-IP-ROUTING 0
-
- wannabe
- Posty: 195
- Rejestracja: 06 lut 2012, 01:31
Jak sprawdziles ze wychodzisz jednym laczem a wraca drugim ?kamilm12345 pisze:ustawiłem i działają 2 łącza, tylko z równoważeniem jest problem, ponieważ wychodzę tkj. jednym łączem a wracam drugim i zazwyczaj wykorzystuje to 2 gorsze łącze.
Podaj:
Lacze A: Predkosc // Ilosc adresow IP
Lacze B: Predkosc // Ilosc adresow IP
Shoot for the moon.
Even if you miss it you will land among the stars.
Even if you miss it you will land among the stars.
Pokaż 'sh ip route 0.0.0.0' i 'sh ip cef 0.0.0.0/0 internal'. Pierwsza powinna pokazać dwie trasy, druga 'per-destination sharing' i dwie trasy przez oba interfejsy w trybie 'per-session' zakładając, że nie masz jakiegoś 'ip local policy route-map XXX' oraz że poprawnie skonfigurowałeś interfejsy/pule dla NATa.
-
- wannabe
- Posty: 76
- Rejestracja: 15 sty 2013, 08:07
- Lokalizacja: Toruń
Łącze A: 100/100 Mb //32 IP
Łącze B: 10/1 Mb //8 IP
ip route 0.0.0.0:
Łącze B: 10/1 Mb //8 IP
ip route 0.0.0.0:
sh ip cef 0.0.0.0/0 internalRouting entry for 0.0.0.0/0, supernet
Known via "static", distance 1, metric 0, candidate default path
Routing Descriptor Blocks:
aaa.aaa.aaa.aaa
Route metric is 0, traffic share count is 1
* bbb.bbb.bbb.bbb
Route metric is 0, traffic share count is 1
0.0.0.0/0, epoch 0, RIB[S], refcount 5, per-destination sharing
sources: RIB, DRH
feature space:
NetFlow: Origin AS 0, Peer AS 0, Mask Bits 0
ifnums:
GigabitEthernet0/0(4): bbb.bbb.bbb.bbb
GigabitEthernet0/0/0(7): aaa.aaa.aaa.aaa
path 14F6A9C8, path list 0261DA54, share 0/1, type recursive, for IPv4
recursive via bbb.bbb.bbb.bbb[IPv4:Default], fib 14A498FC, 1 terminal fib, v4:Defau lt:bbb.bbb.bbb.bbb/32
path 14F6DF98, path list 02620A24, share 1/1, type adjacency prefix, for IPv 4
attached to GigabitEthernet0/0, adjacency IP adj out of GigabitEthernet0/0, addr bbb.bbb.bbb.bbb 019107C0
path 14F6AA38, path list 0261DA54, share 1/1, type recursive, for IPv4
recursive via aaa.aaa.aaa.aaa[IPv4:Default], fib 024320C4, 1 terminal fib, v4:De fault:aaa.aaa.aaa.aaa/32
path 14F6A958, path list 0261DA04, share 1/1, type adjacency prefix, for IPv 4
attached to GigabitEthernet0/0/0, adjacency IP adj out of GigabitEthernet0/0 /0, addr aaa.aaa.aaa.aaa ********
output chain:
loadinfo 13E56DE8, per-session, 2 choices, flags 0083, 5 locks
flags: Per-session, for-rx-IPv4, 2buckets
2 hash buckets
< 0 > IP adj out of GigabitEthernet0/0, addr bbb.bbb.bbb.bbb ********
< 1 > IP adj out of GigabitEthernet0/0/0, addr aaa.aaa.aaa.aaa ********
Subblocks:
None
-
- wannabe
- Posty: 195
- Rejestracja: 06 lut 2012, 01:31
Loadbalancing na laczach tak od siebie odbiegajacych imho mija sie z celem.Łącze A: 100/100 Mb //32 IP
Łącze B: 10/1 Mb //8 IP
Choc bys nie wiem jak kombinowal to zawsze straty na loadsharing bedziesz mial duzo wieksze niz z przypadku uzycia lacza B jako backup.
Zdecydowanie wybral bym opcje primary/backup.
Shoot for the moon.
Even if you miss it you will land among the stars.
Even if you miss it you will land among the stars.
-
- wannabe
- Posty: 76
- Rejestracja: 15 sty 2013, 08:07
- Lokalizacja: Toruń