Cisco 1841 + HWIC-4ESW - Два NAT (два провайдера)

Juniper/Cisco/Allied Telesis/D-Link/Zyxel
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Lehan
рядовой
Сообщения: 44
Зарегистрирован: 2008-05-29 12:55:10

Cisco 1841 + HWIC-4ESW - Два NAT (два провайдера)

Непрочитанное сообщение Lehan » 2012-02-09 10:42:56

ДД!
Помогите решить задачку.
Есть Cisco 1841 с модулем HWIC-4ESW.
Есть два провайдера по ethernet.
f0/0 - локальная сеть
f0/1 - провайдер 1 (IP 194... и 213...)
Vlan101 - провайдер 2 (физически в f0/0/3. IP 188...)

Сейчас все ходят через NAT (ISP1POOL) на первого провайдера (f0/1), кроме одной машины, у которой отдельный NAT (VEGA, IP 213..), но тоже через первого провайдера (f0/1).

Задача: запустить несколько машин на второй NAT (ISP2POOL) через второго провайдера (IP 188... VLAN101). В данном случае - 192.168.10.252 (access-list 103).

Проблема: NAT поднял, акцесс-листы прописал. Проброс портов сделал. Пакеты до 192.168.10.252 доходят. Но обратно идут маршрутом через первого провайдера. Ибо:

Код: Выделить всё

ip route 0.0.0.0 0.0.0.0 194.XX.46.161
Но если я сделаю так:

Код: Выделить всё

ip route 0.0.0.0 0.0.0.0 194.XX.46.161
ip route 0.0.0.0 0.0.0.0 188.XX.102.93
, то 192.168.10.252 будет работать как я хочу. Т.е. использовать NAT ISP2POOL и марштур будет выбираться нужный (через 188.XX). Но в этом случае остальные хосты локальной сети будет иметь странный маршрут, который зацикливается в самой cisco.

Если сделать так:

Код: Выделить всё

ip route 0.0.0.0 0.0.0.0 194.XX.46.161 10
ip route 0.0.0.0 0.0.0.0 188.XX.102.93 20
, то 192.168.10.252 будет пользоваться только первым маршрутом.

Как правильно прописать маршрутизацию?
Route-map не подходит, т.к. если я пропишу ip policy в f0/0, то отвалятся VLAN'ы типа f0/0.143, f0/0.145 и т.д.

Есть какие-нибудь варианты решения проблемы?

И как быть с "ip wccp web-cache redirect in"?

Конфиг:
ip cef
no ip domain lookup
ip domain name kurier.su
ip name-server 192.168.10.3
ip name-server 192.168.10.2
ip wccp web-cache redirect-list SQUID
multilink bundle-name authenticated
!
!
no spanning-tree vlan 101
no spanning-tree vlan 143
no spanning-tree vlan 145
no spanning-tree vlan 146
no spanning-tree vlan 147
no spanning-tree vlan 149
vtp mode transparent
!
vlan 11,101,143,145-146,149-150
!
policy-map GLOBAL_POLICY
class class-default
!
interface FastEthernet0/0
description LAN
ip address 192.168.10.254 255.255.252.0
ip access-group Outbound_S in
no ip redirects
no ip unreachables
ip wccp web-cache redirect in
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface FastEthernet0/0.143
description VLAN143
encapsulation dot1Q 143
ip address 192.168.143.1 255.255.255.0
no ip redirects
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
traffic-shape rate 1000000 8000 46080000 1000
no cdp enable
!
interface FastEthernet0/0.145
encapsulation dot1Q 145
ip address 192.168.145.1 255.255.255.0
no ip redirects
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
traffic-shape rate 1000000 8000 46080000 1000
no cdp enable
!
interface FastEthernet0/0.146
encapsulation dot1Q 146
ip address 192.168.146.1 255.255.255.0
no ip redirects
ip wccp web-cache redirect in
ip nat inside
ip virtual-reassembly
no cdp enable
!
interface FastEthernet0/0.149
encapsulation dot1Q 149
ip address 192.168.149.1 255.255.255.0
no ip redirects
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
traffic-shape rate 1000000 8000 46080000 1000
no cdp enable
!
interface FastEthernet0/0.150
encapsulation dot1Q 150
ip address 192.168.150.1 255.255.255.0
no ip redirects
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
no cdp enable
!
interface FastEthernet0/1
description WAN
ip address 213.XX.233.13 255.255.255.248 secondary
ip address 194.XX.46.162 255.255.255.252
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/0/0
!
interface FastEthernet0/0/1
!
interface FastEthernet0/0/2
!
interface FastEthernet0/0/3
switchport access vlan 101
!
interface Vlan1
no ip address
!
interface Vlan101
description WAN2
ip address 188.XX.102.94 255.255.255.252
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
!
ip forward-protocol nd
!
ip flow-export source FastEthernet0/0
ip flow-export version 5
ip flow-export destination 192.168.10.251 9996
!
no ip http server
ip http access-class 23
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat pool ISP1POOL 194.XX.46.162 194.XX.46.162 netmask 255.255.255.252
ip nat pool VEGA 213.XX.233.13 213.XX.233.13 netmask 255.255.255.248
ip nat pool ISP2POOL 188.XX.102.94 188.XX.102.94 netmask 255.255.255.252
ip nat inside source list 100 pool ISP1POOL overload
ip nat inside source list 102 pool VEGA overload
ip nat inside source list 103 pool ISP2POOL overload
ip nat inside source static tcp 192.168.10.252 21 188.XX.102.94 21 extendable
ip nat inside source static 192.168.10.252 188.XX.102.94
ip nat inside source static tcp 192.168.10.251 21 194.XX.46.162 21 extendable
ip nat inside source static 192.168.10.1 213.XX.233.13
ip route 0.0.0.0 0.0.0.0 194.XX.46.161
!
ip access-list standard SQUID
permit any
access-list 100 deny ip host 192.168.10.1 any
access-list 100 deny ip host 192.168.10.252 any
access-list 100 permit ip 192.168.145.0 0.0.0.255 any
access-list 100 permit ip 192.168.143.0 0.0.0.255 any
access-list 100 permit ip 192.168.147.0 0.0.0.255 any
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
access-list 100 permit ip 192.168.149.0 0.0.0.255 any
access-list 100 permit ip 192.168.150.0 0.0.0.255 any
access-list 102 permit ip host 192.168.10.5 any
access-list 102 permit ip host 192.168.10.1 any
access-list 103 permit ip host 192.168.10.252 any
Заранее благодарен.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Cisco 1841 + HWIC-4ESW - Два NAT (два провайдера)

Непрочитанное сообщение Alex Keda » 2012-03-21 16:23:25

картинку давайте
Убей их всех! Бог потом рассортирует...


Аватара пользователя
vintovkin
ВДВ
Сообщения: 1291
Зарегистрирован: 2007-05-11 9:39:11
Откуда: CSKA

Re: Cisco 1841 + HWIC-4ESW - Два NAT (два провайдера)

Непрочитанное сообщение vintovkin » 2012-04-30 21:18:28

управлять айпи трафиком и маршрутизировать его можно через PBR:
http://habrahabr.ru/post/101796/
JunOS kernel based on FreeBSD UNIX.