Load balancing na Frame-Relay + Nat, jak zrobić?

Problemy z pozostałymi technologiami (SDH, IronPort, WAAS itp.)
Wiadomość
Autor
Sivy
fresh
fresh
Posty: 8
Rejestracja: 21 paź 2005, 14:58

Load balancing na Frame-Relay + Nat, jak zrobić?

#1

#1 Post autor: Sivy »

Od Polpaku idą 2 łącza chyba 2Mbit Frame-Relay. Router to Cisco z serii 2600 z domontowaną kartą z 2 portami szeregowymi.
Komputery w wewn. sieci mają adresy 192.168.0.x
Czy możecie mi napisać tutaj najprostszą konfigurację routera tak aby działał NAT na kompy wewnątrz sieci i żeby był load-balancing na tych 2 łączach idących do Polpaka?
Do tej pory przy pomocy książek udało mi się skonfigurować to tak że wszystko działa ale tylko korzystając z 1 łącza szeregowego, a ja chcę żeby korzystało z obu naraz i w przypadku awarii jednego żeby nie traciło się łączności.
Szukałem wszedzie na necie i w kilku książkach jak to zrobić ale NIC nie było!! Napisali tylko jak zrobić NAT na 1 łączu i to mi działa.
Sprawa jest pilna więc prosiłbym o jakąś odpowiedź.

Awatar użytkownika
slomek
inner circle
inner circle
Posty: 479
Rejestracja: 16 mar 2005, 10:40

#2

#2 Post autor: slomek »

A nie lepiej wykupic z Polapka/TPSA zarzadzane CPE i zostawić to fachowcom. :twisted:

Awatar użytkownika
frontier
wannabe
wannabe
Posty: 1861
Rejestracja: 16 lis 2004, 13:55
Lokalizacja: Edinburgh

#3

#3 Post autor: frontier »

slomek pisze:A nie lepiej wykupic z Polapka/TPSA zarzadzane CPE i zostawić to fachowcom. :twisted:
Slomek nie wiedzialem ze pracujesz w TPSA :)

rafio
member
member
Posty: 17
Rejestracja: 03 paź 2005, 21:11

route-maps

#4

#4 Post autor: rafio »

sproboj zastosowac nat razem route-map. w ten sposob mozesz ustawic, ze czesc ruchu bedzie wychodzic jednym laczem, a czesc drugim (od ciebie zalezy jakie ruch ktoredy) i bedzie tlumaczona na inny adres zewnetrzny (inside global znaczy sie) a wlasciwie to bedzie PAT
jak to zrobic znajdziesz tutuj

http://forum.cisco.com/eforum/servlet/N ... bv2b2.SJ1A

mozesz rowniez samemu przeszukac forum.cisco.com na nat with route-maps

punkt wyjscia: http://www.cisco.com/en/US/tech/tk648/t ... 3fca.shtml

nie jestem jednak pewien, jak taka konfiguracja sie zachowa gdy jeden interface bedzie down.
Typowa backup configuracja bylaby z floating default static routes

mam nadzieje ze troche pomoglem :)

Sivy
fresh
fresh
Posty: 8
Rejestracja: 21 paź 2005, 14:58

#5

#5 Post autor: Sivy »

slomek - wszystko można kupić/zamówić jak się ma kasę, jak się nie ma to trzeba to robić samemu

rafio - z rutowaniem statycznym to bym sobie poradził, jednak jeśli zrobię tak jak piszesz to w przypadku awarii jednego łącza część kompów nie będzie miała łączności.

Widzę że jest to ciężki problem ale nie wierzę żeby nikt na tym forum nie wiedział jak takie coś zrobić, chociaż na stronach cisco też tego nie ma, może oni też nie wiedzą? :)

Awatar użytkownika
slomek
inner circle
inner circle
Posty: 479
Rejestracja: 16 mar 2005, 10:40

#6

#6 Post autor: slomek »

frontier pisze:
Slomek nie wiedzialem ze pracujesz w TPSA :)
Hey przeciez nie napisalem, ze pracuje w TPSA :) , tylko jesli ma łącza po FR z Polpaka to może wykupić zarzadzane przez Polpak CPE z odpowiednim SLA i sprawa utrzymania i konfiguracji zajmować się bedą ludzie z TPSA.
Przy okazji Sivy czasem oplaca się zapłacić więcej i mieć pewność poprawności działania sieci i odpowiednio szybkiej reakcji na awarie przy monitoringu. I kolejna sprawa jest to ze podales za malo danych, a to forum to nie jest dobra wróżka, na którym jestesmy w stanie domyslic sie czy masz ebgp z popem, czy kazdy fr podlaczony jest do innego routera uslugowego itp. Uważam tez, że forum nie jest od przygotowywania knfiguracji na zyczenie kazdego kto tu sie dopiero co rejestruje i juz bez zadnego wlasnego zaangazowania oczekuje gotowca gotowego do wklejenia na router. Chyba chodzi bardziej o cele edukacyjne i poglądowe

rafio
member
member
Posty: 17
Rejestracja: 03 paź 2005, 21:11

#7

#7 Post autor: rafio »

to prawda ze syvy nie podal zbyt wielu danych, ale troche mozna sie dymyslic :D
jesli sa dwa lacza do polpalku z jednego routera do jednego, albo nawet dwoch routerow to nadmiarowosc jest raczej kiepska. ale jesli sa to dwa poloczenia do jednego routera polpak to moglbys zapytac czy moga skonfigurowac cos takiego jak mulilink frame relay

http://www.cisco.com/en/US/products/sw/ ... 87cbf.html

niestety nie wiem czy polak pozwoli na taka konfiguracje, czy jest taka opcja

problem ze static floating route jest taki ze dziala tylko gdy interface jest down a jesli router padnie po stronie polpaku a nie modem, to raczej interface nie bedzie down.

najlepsze wyjscie to BGP (multihoming to a single provider) w Internet Routing Architectures Halabiego, ale to juz wyzsza szkola jazdy troche

:D

chetnie zobacze opinie innych bo forum najlepiej nadaje sie do wymiany doswiadczen :)

Awatar użytkownika
em_er
wannabe
wannabe
Posty: 692
Rejestracja: 21 sty 2005, 22:29

#8

#8 Post autor: em_er »

hehe w koncu przekonales sie do forum?:)

Paulus
CCIE
CCIE
Posty: 241
Rejestracja: 04 cze 2005, 18:23

#9

#9 Post autor: Paulus »

Dostałeś numer prywatnego AS'a od Polpaka ? W jaki sposób masz nawiązane z nimi połączenie ?
Na jednym routerze nie da rady bez BGP.
Na dwóch (łącza do ISP na osobnych routerach) można by to zrobić przy użyciu floating static routes (routery NATują wszystko, ale w normalnych warunkach do każdego dochodzi połowa ruchu, jeden padnie - cały ruch do drugiego (rozumiem że jeżeli padnie interfejs ip nat outside to NAT przestaje działać - tyle że to FR, padnie go tylko awaria FR switcha)). Nic innego nie przychodzi mi do głowy.


Slomek czy mógłbyś rozwinąć skróty CPE i SLA ? Nie orientuję się.
Ostatnio zmieniony 21 paź 2005, 20:07 przez Paulus, łącznie zmieniany 1 raz.

Sivy
fresh
fresh
Posty: 8
Rejestracja: 21 paź 2005, 14:58

#10

#10 Post autor: Sivy »

tylko jesli ma łącza po FR z Polpaka to może wykupić zarzadzane przez Polpak CPE z odpowiednim SLA i sprawa utrzymania i konfiguracji zajmować się bedą ludzie z TPSA.
Przy okazji Sivy czasem oplaca się zapłacić więcej i mieć pewność poprawności działania sieci i odpowiednio szybkiej reakcji na awarie przy monitoringu
Skonfigurować to mam ja i nikt mi za to nie zapłaci, ma działać i to jest jedyny wymóg
Uważam tez, że forum nie jest od przygotowywania knfiguracji na zyczenie kazdego kto tu sie dopiero co rejestruje i juz bez zadnego wlasnego zaangazowania oczekuje gotowca gotowego do wklejenia na router. Chyba chodzi bardziej o cele edukacyjne i poglądowe
Jak pisałem wcześniej już się sporo naszukałem po książkach i nigdzie nie było opisu jak to zrobić.
Są to 2 łącza od polpaku idące obok siebie, nawet tymi samymi studzienkami, idzie to od jednego dostawcy. Load-balancing działał na tym łaczu bo przyszedł fachmen na testy, przyniósł identyczny router i wszystko ładnie śmigało, spakował się i poszedł sobie, więc to da się zrobić.

Poniżej wklejam aktualny konfig który działa ale tylko na 1 porcie serial, nie mam pojęcia co zrobić żeby wykorzystywał 2 porty serialowe z load-balancingiem, zapewne jest to jakaś drobnostka.
w opisie przyjęto przykładowe adresy:
router brzegowy TP 1: x.x.x.1
router klienta: x.x.x.2
router brzegowy TP 2: x.x.x.3
router klienta: x.x.x.4
publiczne adresy IP klienta przyznane przez TP: x.x.x.10- x.x.x.14


!
version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname xxxx
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxxxxxx
!
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
no aaa new-model
ip subnet-zero
no ip source-route
no ip cef
!
!
!
!
no ip bootp server
no ip domain lookup
ip reflexive-list timeout 120
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
ip address x.x.x.10 255.255.255.0
ip access-group 2000 in
ip access-group 2000 out
no ip unreachables
ip nat inside
speed auto
half-duplex
no cdp enable
no mop enabled
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
no cdp enable
!
interface Serial0/0/0
no ip address
encapsulation frame-relay IETF
logging event subif-link-status
logging event dlci-status-change
no fair-queue
frame-relay lmi-type ansi
!
interface Serial0/0/0.1 point-to-point
ip address x.x.x.2 255.255.255.252
ip access-group filtr_wej0 in
ip access-group filtr_wyj0 out
no ip unreachables
ip nat outside
no cdp enable
frame-relay interface-dlci 99 IETF
!
interface Serial0/0/1
no ip address
encapsulation frame-relay IETF
logging event subif-link-status
logging event dlci-status-change
no fair-queue
frame-relay lmi-type ansi
!
interface Serial0/0/1.1 point-to-point
ip address x.x.x.4 255.255.255.252
ip access-group filtr_wej0 in
ip access-group filtr_wyj0 out
no ip unreachables
ip nat outside
no cdp enable
frame-relay interface-dlci 99 IETF
!
router rip
version 2
redistribute connected
passive-interface Serial0/0/0.1
passive-interface Serial0/0/1.1
network x.x.x.0
no auto-summary
!
ip classless
ip route 0.0.0.0 0.0.0.0 Serial0/0/1.1
//tu wstawiałem ip route 0.0.0.0 0.0.0.0 Serial0/0/0.1 i cała łączność umierała
no ip http server
ip nat translation timeout 800
ip nat translation tcp-timeout 800
ip nat translation udp-timeout 200
ip nat translation dns-timeout 30
ip nat inside source list 10 interface Serial0/0/1.1 overload //czy tak ma być?
ip nat inside source list 11 interface Serial0/0/0.1 overload //czy tu też dobrze?
!
ip access-list extended filtr_wej0
permit tcp host x.x.x.x any //awaryjny dostęp z zewnątrz
permit tcp any gt 1024 any gt 1024
evaluate moje-pakiety0
ip access-list extended filtr_wyj0
permit udp any any eq domain reflect moje-pakiety0
permit tcp any any eq domain reflect moje-pakiety0
permit tcp any any eq www reflect moje-pakiety0
permit tcp any any eq ftp-data reflect moje-pakiety0
permit tcp any any eq ftp reflect moje-pakiety0
permit tcp any any eq telnet reflect moje-pakiety0
permit tcp any any eq smtp reflect moje-pakiety0
permit tcp any any eq pop3 reflect moje-pakiety0
permit tcp any any eq nntp reflect moje-pakiety0
permit tcp any any eq 443 reflect moje-pakiety0
permit tcp any any eq 1024 reflect moje-pakiety0
permit tcp any any eq 8080 reflect moje-pakiety0
permit icmp any any reflect moje-pakiety0
deny udp any any
deny tcp any any
!
access-list 2 permit x.x.x.1
access-list 2 permit x.x.x.3
access-list 2 permit 130.67.150.159 //wewnętrzna sieć
access-list 2 permit 130.67.150.162 //wewnętrzna sieć
access-list 10 permit 130.67.150.0 0.0.0.255 //wewnętrzna sieć
access-list 11 permit 130.67.150.0 0.0.0.255 //wewnętrzna sieć
access-list 199 deny tcp any eq 445 any
access-list 199 deny tcp any any eq 445
access-list 199 permit ip any any
access-list 2000 deny udp any any eq netbios-dgm
access-list 2000 deny udp any any eq netbios-ns
access-list 2000 deny udp any any eq netbios-ss
access-list 2000 permit ip any any
no cdp run
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
password 7 xxxxxxxxxxxxxxxxxxxxxxxxx
login
!
end
Ostatnio zmieniony 21 paź 2005, 20:10 przez Sivy, łącznie zmieniany 1 raz.

Awatar użytkownika
voytar
wannabe
wannabe
Posty: 325
Rejestracja: 02 sie 2004, 11:27
Lokalizacja: Gliwice

#11

#11 Post autor: voytar »

Paulus pisze:Slomek czy mógłbyś rozwinąć skróty CPE i SLA ? Nie orientuję się.
http://www.tp.pl/biznes/transmisja_danych/SLA/
http://www.tp.pl/biznes/transmisja_dany ... adzeniami/
:)

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

#12

#12 Post autor: gangrena »

Pierwsze co przychodzi mi na myśl to zastosowanie EIGRP zamiast RIPv2. W EIGRP jest load sharing domyślnie do 4 równorzędnych tras. Wówczas router nie powinien się burzyć jak mu wpiszesz tą drugą trasę w świat.
Z tym, że przy load sharing powinno się włączyć CEF, co by procek nie jęczał.

rafio
member
member
Posty: 17
Rejestracja: 03 paź 2005, 21:11

#13

#13 Post autor: rafio »

jesli tak to multilink frame relay bylby idealnym rozwiazaniem

czytales juz?

Awatar użytkownika
gangrena
CCIE/CCDE
CCIE/CCDE
Posty: 2349
Rejestracja: 08 mar 2004, 12:17
Lokalizacja: Wawa

#14

#14 Post autor: gangrena »

Tak na marginesie, to lepiej też, żeby router sprawdzał aclkę "filtr_wyj0" nie na dwóch serialach jako "out", tylko na ethernecie jako "in".

Nie zalecane jest stosowanie jednocześnie ACL in i out na tym samym interfejsie. :roll:

Sivy
fresh
fresh
Posty: 8
Rejestracja: 21 paź 2005, 14:58

#15

#15 Post autor: Sivy »

Żeby użyć EIGRP to on musi być obsługiwany na ruterze TP po drugiej stronie? Czyli jak go właczę to będzie sobie działał odrazu czy trzeba do TP dzwonić żeby coś u siebie pozmieniali? Tu nie musi być koniecznie RIP ale dałem go dlatego że nie wiedziałem czy inne protokoły zadziałają

poczytałem o multilinku na stronie cisco i wygląda ciekawie ale:
- jako encapsulation jest MFR1 a nie IETF, czy to zadziała?
- wpisuje się tylko jeden ip dla interfejsu MFR1 i nie podaje się ip dla serialów, to jak to ma działać?

i ostatnie, czy to jest poprawne i czy tak można robić:
ip nat inside source list 10 interface Serial0/0/1.1 overload
ip nat inside source list 11 interface Serial0/0/0.1 overload

load balancing 50/50 ponoć włącza się tak:
ip route 0.0.0.0 0.0.0.0 Serial0/0/1.1
ip route 0.0.0.0 0.0.0.0 Serial0/0/0.1
tyle że po tym cała łączność siadała

ODPOWIEDZ