Автор |
Сообщение |
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
Пытаюсь прикрутить второго провайдера.
Часть конфига которая щупает живость провайдеров
bridge irb
interface GigabitEthernet0/0 description "ISP_MAIN" no ip address no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto media-type rj45 no mop enabled bridge-group 1 ! interface GigabitEthernet0/1 description "ISP_BACK" no ip address no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto media-type rj45 no mop enabled bridge-group 2
interface BVI1 ip address 100.100.100.240 255.255.255.0 ! interface BVI2 ip address 200.200.200.240 255.255.255.0
ip route 8.8.8.8 255.255.255.255 100.100.100.254 ip route 8.8.8.8 255.255.255.255 200.200.200.254
ip sla 9 icmp-echo 8.8.8.8 source-interface BVI1 threshold 1000 timeout 1000 frequency 5 ip sla schedule 9 life forever start-time now
ip sla 10 icmp-echo 8.8.8.8 source-interface BVI2 threshold 1000 timeout 1000 frequency 5 ip sla schedule 10 life forever start-time now
route-map echo permit 10 match ip address 101 set ip next-hop 100.100.100.254
ip local policy route-map echo
access-list 101 permit icmp any host 8.8.8.8 echo
bridge 1 protocol ieee bridge 1 route ip bridge 2 protocol ieee bridge 2 route ip
Собственно вроде все работает (может где не все скопипастил) -- вопрос вот в чем при отваливании основного провайдера все равно через интерфейс смотрящий на него принудительно запускается тест icmp-echo 8.8.8.8 , а вот для бэкап канала такой тест не проходит ибо есть всего один route-map echo с set ip next-hop 100.100.100.254
Как сделать что бы и бэкап канал все время тестился с помощью icmp-echo 8.8.8.8
Может сделать еще route-map echo permit 20 ?? или
route-map echo permit 10 match ip address 101 set ip next-hop 100.100.100.254 200.200.200.254
Заранее благодарен за помощь.
|
02 авг 2017, 23:51 |
|
|
crash
Зарегистрирован: 10 окт 2012, 09:51 Сообщения: 2679
|
может правильней будет тестировать разные ip адреса
|
03 авг 2017, 03:07 |
|
|
spryabov
Зарегистрирован: 02 дек 2013, 08:31 Сообщения: 82
|
При настройках: route-map echo permit 10 match ip address 101 set ip next-hop 100.100.100.254 ip local policy route-map echo access-list 101 permit icmp any host 8.8.8.8 echo У вас следующие настройки работать не будут: ip route 8.8.8.8 255.255.255.255 100.100.100.254 ip route 8.8.8.8 255.255.255.255 200.200.200.254 Так как route-map в данном случае отработает раньше глобальной таблицы маршрутизации. Можно пинговать разные адреса, а лучше сделать track boolean. По настройке можете почитать тут: http://xgu.ru/wiki/%D0%A0%D0%B5%D0%B7%D ... %D1%8F_BGP
Последний раз редактировалось spryabov 03 авг 2017, 08:44, всего редактировалось 1 раз.
|
03 авг 2017, 08:35 |
|
|
spryabov
Зарегистрирован: 02 дек 2013, 08:31 Сообщения: 82
|
При желании можно еще сделать Easy Virtual Network (EVN) или VRF-Lite. Небольшое обсуждение тут http://anticisco.ru/forum/viewtopic.php?f=2&t=8870
|
03 авг 2017, 08:43 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
spryabov писал(а): При настройках: route-map echo permit 10 match ip address 101 set ip next-hop 100.100.100.254 ip local policy route-map echo access-list 101 permit icmp any host 8.8.8.8 echo У вас данные настройки работать не будут: ip route 8.8.8.8 255.255.255.255 100.100.100.254 ip route 8.8.8.8 255.255.255.255 200.200.200.254 Так как route-map в данном случае отработает раньше глобальной таблицы маршрутизации. Можно пинговать разные адреса, а лучше сделать track boolean. По настройке можете почитать тут: http://xgu.ru/wiki/%D0%A0%D0%B5%D0%B7%D ... %D1%8F_BGPtrack boolean есть -- просто было лень писать , пингуются 6 разных ресурсов, соответственно track list boolean OR Ясно что ip local policy route-map echo для трафффика из маршрутизатора, но для этого полиси есть route-map echo permit 10, а в нем только один set ip next-hop 100.100.100.254, как указать тоже самое только для 200.200.200.254 "У вас данные настройки работать не будут: ip route 8.8.8.8 255.255.255.255 100.100.100.254 ip route 8.8.8.8 255.255.255.255 200.200.200.254" -- почему работать не будут???
|
03 авг 2017, 08:46 |
|
|
spryabov
Зарегистрирован: 02 дек 2013, 08:31 Сообщения: 82
|
Потому что уже есть route-map echo permit 10.
Как вариант можно переделать на разные адреса:
route-map echo permit 10 match ip address 101 set ip next-hop 100.100.100.254
route-map echo permit 20 match ip address 102 set ip next-hop 200.200.200.254
ip local policy route-map echo
access-list 101 permit icmp any host 8.8.8.8 echo access-list 102 permit icmp any host 8.8.4.4 echo
Но при вышеуказанных настройках ip route 8.8.8.8 255.255.255.255 100.100.100.254 и ip route 8.8.8.8 255.255.255.255 200.200.200.254 тоже отрабатывать не будут.
|
03 авг 2017, 08:53 |
|
|
spryabov
Зарегистрирован: 02 дек 2013, 08:31 Сообщения: 82
|
Еще, наверно, не лишним будет добавить:
route-map echo permit 30
Для того что бы разрешить остальной локальный трафик маршрутизатора. Но нужно проверить.
|
03 авг 2017, 08:57 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
[quote="spryabov"]При настройках: route-map echo permit 10 match ip address 101 set ip next-hop 100.100.100.254
ip local policy route-map echo
access-list 101 permit icmp any host 8.8.8.8 echo
У вас следующие настройки работать не будут: ip route 8.8.8.8 255.255.255.255 100.100.100.254 ip route 8.8.8.8 255.255.255.255 200.200.200.254
Так как route-map в данном случае отработает раньше глобальной таблицы маршрутизации. Можно пинговать разные адреса, а лучше сделать track boolean.
Все , догнал о чем вы. То есть могу убрать ip route 8.8.8.8 255.255.255.255 100.100.100.254 и ip route 8.8.8.8 255.255.255.255 200.200.200.254 поскольку это только для мониторинга канала?
|
03 авг 2017, 09:05 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
spryabov писал(а): Потому что уже есть route-map echo permit 10.
Как вариант можно переделать на разные адреса:
route-map echo permit 10 match ip address 101 set ip next-hop 100.100.100.254
route-map echo permit 20 match ip address 102 set ip next-hop 200.200.200.254
ip local policy route-map echo
access-list 101 permit icmp any host 8.8.8.8 echo access-list 102 permit icmp any host 8.8.4.4 echo
Но при вышеуказанных настройках ip route 8.8.8.8 255.255.255.255 100.100.100.254 и ip route 8.8.8.8 255.255.255.255 200.200.200.254 тоже отрабатывать не будут. Я делал такую конструкцию. Не идет пинг через 200.200.200.254 Строчки ip route 8.8.8.8 255.255.255.255 100.100.100.254 и ip route 8.8.8.8 255.255.255.255 200.200.200.254 уберу из конфига, просто такую конструкцию подсмотрел на одном форуме, но там топик-стартер путано конфиг выкладывал -- где то были такие маршруты, где то нет.
|
03 авг 2017, 09:16 |
|
|
spryabov
Зарегистрирован: 02 дек 2013, 08:31 Сообщения: 82
|
Эти настройки, естественно, меняли: ip sla 9 icmp-echo 8.8.8.8 source-interface BVI1 threshold 1000 timeout 1000 frequency 5 ip sla schedule 9 life forever start-time now
ip sla 10 icmp-echo 8.8.4.4 source-interface BVI2 threshold 1000 timeout 1000 frequency 5 ip sla schedule 10 life forever start-time now
|
03 авг 2017, 09:34 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
spryabov писал(а): Эти настройки, естественно, меняли: ip sla 9 icmp-echo 8.8.8.8 source-interface BVI1 threshold 1000 timeout 1000 frequency 5 ip sla schedule 9 life forever start-time now
ip sla 10 icmp-echo 8.8.4.4 source-interface BVI2 threshold 1000 timeout 1000 frequency 5 ip sla schedule 10 life forever start-time now Конечно. И acl делал 101 и 102, в общем, как по настройке с сайта , что выше указали. Причем интернет соединение есть -- хосты в инет выходят, а вот пинг нет. Я думал может из за того что всегда отрабатывается при живом main isp rout map permit 10 и до 20 просто не доходит. А если в одном роут мэпе указать два разных next-hop это поможет?
|
03 авг 2017, 09:51 |
|
|
spryabov
Зарегистрирован: 02 дек 2013, 08:31 Сообщения: 82
|
Попробуйте сделать без ip local policy route-map echo
|
03 авг 2017, 10:14 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
spryabov писал(а): Попробуйте сделать без ip local policy route-map echo Попробую, но тогда все пойдет по маршруту ip route 0.0.0.0 0.0.0.0 а это не хорошо. И если убрать ip local policy route-map echo, то к чему прикрутить сам route-map echo ??
|
03 авг 2017, 10:50 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Типа выдрано с работающего конфига Код: track 10 ip sla 1 reachability ! track 20 ip sla 2 reachability ! track 30 ip sla 3 reachability ! track 100 list boolean or object 10 object 20 object 30 delay down 10 up 5 ! track 110 ip sla 11 reachability ! track 120 ip sla 12 reachability ! track 130 ip sla 13 reachability ! track 200 list boolean or object 110 object 120 object 130 delay down 10 up 5
ip access-list extended SLA1_ACL permit icmp host IP_GW_ISP1 host 8.8.8.8 permit icmp host IP_GW_ISP1 host 8.8.4.4 permit icmp host IP_GW_ISP1 host 193.193.193.100 ip access-list extended SLA2_ACL permit icmp host IP_GW_ISP2 host 8.8.8.8 permit icmp host IP_GW_ISP2 host 8.8.4.4 permit icmp host IP_GW_ISP2 host 193.193.193.100
ip sla auto discovery ip sla 1 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/1 threshold 1000 timeout 1500 frequency 3 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/1 threshold 1000 timeout 1500 frequency 3 ip sla schedule 2 life forever start-time now ip sla 3 icmp-echo 193.193.193.100 source-interface GigabitEthernet0/1 threshold 1000 timeout 1500 frequency 3 ip sla schedule 3 life forever start-time now ip sla 11 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/2.614 threshold 1000 timeout 1500 frequency 3 ip sla schedule 11 life forever start-time now ip sla 12 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/2.614 threshold 1000 timeout 1500 frequency 3 ip sla schedule 12 life forever start-time now ip sla 13 icmp-echo 193.193.193.100 source-interface GigabitEthernet0/2.614 threshold 1000 timeout 1500 frequency 3 ip sla schedule 13 life forever start-time now
route-map PBR_SLA permit 10 match ip address SLA1_ACL set ip next-hop IP_GW_ISP1 ! route-map PBR_SLA permit 20 match ip address SLA2_ACL set ip next-hop IP_GW_ISP2
ip local policy route-map PBR_SLA
|
03 авг 2017, 13:15 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
AlexSashkaff писал(а): Типа выдрано с работающего конфига Код: track 10 ip sla 1 reachability ! track 20 ip sla 2 reachability ! track 30 ip sla 3 reachability ! track 100 list boolean or object 10 object 20 object 30 delay down 10 up 5 ! track 110 ip sla 11 reachability ! track 120 ip sla 12 reachability ! track 130 ip sla 13 reachability ! track 200 list boolean or object 110 object 120 object 130 delay down 10 up 5
ip access-list extended SLA1_ACL permit icmp host IP_GW_ISP1 host 8.8.8.8 permit icmp host IP_GW_ISP1 host 8.8.4.4 permit icmp host IP_GW_ISP1 host 193.193.193.100 ip access-list extended SLA2_ACL permit icmp host IP_GW_ISP2 host 8.8.8.8 permit icmp host IP_GW_ISP2 host 8.8.4.4 permit icmp host IP_GW_ISP2 host 193.193.193.100
ip sla auto discovery ip sla 1 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/1 threshold 1000 timeout 1500 frequency 3 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/1 threshold 1000 timeout 1500 frequency 3 ip sla schedule 2 life forever start-time now ip sla 3 icmp-echo 193.193.193.100 source-interface GigabitEthernet0/1 threshold 1000 timeout 1500 frequency 3 ip sla schedule 3 life forever start-time now ip sla 11 icmp-echo 8.8.8.8 source-interface GigabitEthernet0/2.614 threshold 1000 timeout 1500 frequency 3 ip sla schedule 11 life forever start-time now ip sla 12 icmp-echo 8.8.4.4 source-interface GigabitEthernet0/2.614 threshold 1000 timeout 1500 frequency 3 ip sla schedule 12 life forever start-time now ip sla 13 icmp-echo 193.193.193.100 source-interface GigabitEthernet0/2.614 threshold 1000 timeout 1500 frequency 3 ip sla schedule 13 life forever start-time now
route-map PBR_SLA permit 10 match ip address SLA1_ACL set ip next-hop IP_GW_ISP1 ! route-map PBR_SLA permit 20 match ip address SLA2_ACL set ip next-hop IP_GW_ISP2
ip local policy route-map PBR_SLA
Спасибо за кусок конфига. Очень похожее делал. Единственный вопрос route-map PBR_SLA permit 10 match ip address SLA1_ACL set ip next-hop IP_GW_ISP1 ! route-map PBR_SLA permit 20 match ip address SLA2_ACL set ip next-hop IP_GW_ISP2 ip local policy route-map PBR_SLA Разве route-map PBR_SLA permit 20 всегда отрабатывается? Вроде читал что сначала отрабатываются младшие пермиты, если условие не выполняется, то происходит переход к следующему пермиту.
|
03 авг 2017, 13:24 |
|
|
spryabov
Зарегистрирован: 02 дек 2013, 08:31 Сообщения: 82
|
route-map PBR_SLA permit 10 match ip address SLA1_ACL set ip next-hop IP_GW_ISP1 ! route-map PBR_SLA permit 20 match ip address SLA2_ACL set ip next-hop IP_GW_ISP2
ip local policy route-map PBR_SLA
Условия для route-map разные.
|
03 авг 2017, 13:31 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
R_KING писал(а): Разве route-map PBR_SLA permit 20 всегда отрабатывается? Вроде читал что сначала отрабатываются младшие пермиты, если условие не выполняется, то происходит переход к следующему пермиту. А как Вы или Циска будет знать о том что второй канал в состоянии UP? или глюк NAT ?
|
03 авг 2017, 13:43 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
spryabov писал(а): route-map PBR_SLA permit 10 match ip address SLA1_ACL set ip next-hop IP_GW_ISP1 ! route-map PBR_SLA permit 20 match ip address SLA2_ACL set ip next-hop IP_GW_ISP2
ip local policy route-map PBR_SLA
Условия для route-map разные. Вот, примерно вспомнил. Я тогда сделал два одинаковых route-map с одинаковым названием, но разным пермитом. Спасибо, сегодня буду копать конфиг!
|
03 авг 2017, 13:48 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
spryabov писал(а): route-map PBR_SLA permit 10 match ip address SLA1_ACL set ip next-hop IP_GW_ISP1 ! route-map PBR_SLA permit 20 match ip address SLA2_ACL set ip next-hop IP_GW_ISP2
ip local policy route-map PBR_SLA
Условия для route-map разные. Не заработала у меня эта конструкция, но как только удаляю route-map ххх permit 10, сразу появляются пинги от route-map ххх permit 20
|
04 авг 2017, 08:42 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
R_KING писал(а): spryabov писал(а): route-map PBR_SLA permit 10 match ip address SLA1_ACL set ip next-hop IP_GW_ISP1 ! route-map PBR_SLA permit 20 match ip address SLA2_ACL set ip next-hop IP_GW_ISP2
ip local policy route-map PBR_SLA
Условия для route-map разные. Не заработала у меня эта конструкция, но как только удаляю route-map ххх permit 10, сразу появляются пинги от route-map ххх permit 20 Что то мы путаем. Конструкцию которую я привел, она проверяет живучисть каналов. Не более того. Отслеживать трекинг можно через терминал или консоль. Код: ip local policy route-map XXXXXL регулирует трафик который генерирует сам роутерХождение трафика, при падении одного из каналов, это уже вторая и отдельная часть "марлезонского балета", там есть много решений. и тогда надо policy применять на тот интерфейс с которого "сыпется" трафик. Спасибо.
|
04 авг 2017, 09:09 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
AlexSashkaff писал(а): R_KING писал(а): spryabov писал(а): route-map PBR_SLA permit 10 match ip address SLA1_ACL set ip next-hop IP_GW_ISP1 ! route-map PBR_SLA permit 20 match ip address SLA2_ACL set ip next-hop IP_GW_ISP2
ip local policy route-map PBR_SLA
Условия для route-map разные. Не заработала у меня эта конструкция, но как только удаляю route-map ххх permit 10, сразу появляются пинги от route-map ххх permit 20 Что то мы путаем. Конструкцию которую я привел, она проверяет живучисть каналов. Не более того. Отслеживать трекинг можно через терминал или консоль. Код: ip local policy route-map XXXXXL регулирует трафик который генерирует сам роутерХождение трафика, при падении одного из каналов, это уже вторая и отдельная часть "марлезонского балета", там есть много решений. и тогда надо policy применять на тот интерфейс с которого "сыпется" трафик. Спасибо. Все верно -- из роутера на два порта одновременно нужно слать icmp для для проверки живучести провайдеров. На основании живучести канала через ЕЕМ происходит переключение пары портов с одной bridge-group на другую. Все работает, НО нет никакого механизма говорящего о живучести BACKUP канала. Вчера поправил конфиг -- в IP SLA удачный тест только для BVI 1. И запрос на живучесть каналов должен идти в обход ip route 0.0.0.0 0.0.0.0 x.x.x.x
|
04 авг 2017, 09:25 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
R_KING писал(а): Все верно -- из роутера на два порта одновременно нужно слать icmp для для проверки живучести провайдеров. На основании живучести канала через ЕЕМ происходит переключение пары портов с одной bridge-group на другую. Все работает, НО нет никакого механизма говорящего о живучести BACKUP канала. Вчера поправил конфиг -- в IP SLA удачный тест только для BVI 1. И запрос на живучесть каналов должен идти в обход ip route 0.0.0.0 0.0.0.0 x.x.x.x Почему в обход??? У Вас две ip route 0.0.0.0 0.0.0.0 x.x.x.x И 0.0.0.0 0.0.0.0 Y.Y.Y.Y каждый канал бежит по своим шлюзам, которые прописаны у Вас в настройках (роутмап)в разделе next-hope
|
04 авг 2017, 11:11 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
AlexSashkaff писал(а): R_KING писал(а): Все верно -- из роутера на два порта одновременно нужно слать icmp для для проверки живучести провайдеров. На основании живучести канала через ЕЕМ происходит переключение пары портов с одной bridge-group на другую. Все работает, НО нет никакого механизма говорящего о живучести BACKUP канала. Вчера поправил конфиг -- в IP SLA удачный тест только для BVI 1. И запрос на живучесть каналов должен идти в обход ip route 0.0.0.0 0.0.0.0 x.x.x.x Почему в обход??? У Вас две ip route 0.0.0.0 0.0.0.0 x.x.x.x И 0.0.0.0 0.0.0.0 Y.Y.Y.Y каждый канал бежит по своим шлюзам, которые прописаны у Вас в настройках (роутмап)в разделе next-hope Все очень непросто -- ip route 0.0.0.0 0.0.0.0 x.x.x.x И 0.0.0.0 0.0.0.0 Y.Y.Y.Y у меня служат для переключения маршрутов между основным сервером и вспомогательным серверами. То есть в теории, да и почти на практике, у меня происходит резервирование каналов провайдера и резервирование серверов. А запускать тест используя ip route 0.0.0.0 0.0.0.0 x.x.x.x И 0.0.0.0 0.0.0.0 Y.Y.Y.Y у для оценки живости провайдера не корректно, поскольку при падении маршрутизации на сервере отработает тест о неисправности канала. И роут мапы у меня разные, одни для очистки NAT нужное при переключении с одного ip route 0.0.0.0 0.0.0.0 на другой , другие мне нужны для оценки живости прова. По этому я в роут мэпах для пестирования прова указываю или IP или шлюз на прова через ближайший интерфейс смотрящий на прова. То есть всего возможно 4 подключения к провайдеру -- main_isp -- main_server, mail_isp -- BACKUP_server, backup_ISP -- mail_server, backup_isp -- backup_server. Теоретически всегда 100% рабочая конструкция. Как-то так.
|
04 авг 2017, 11:26 |
|
|
R_KING
Зарегистрирован: 05 фев 2013, 17:02 Сообщения: 678
|
Я так понимаю из-за нестандартности решения никто не подкинет решение.
|
05 авг 2017, 17:01 |
|
|
AlexSashkaff
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 671
|
Вам написал рабочий конфиг. Оно работает. Судя из ваших постов, у Вас накручен NAT, в нем есть траблы (сам с с таким сталкиваюсь когда прикручиваю мониторинг каналов) Мой путь такой: Вытираю конфиг, и начинаю с мониторинга. По шагам. С проверкой. Долго, но надежно. ИМХО.
|
05 авг 2017, 17:37 |
|
|