Двойной WAN [независимый] на ISRC1111, подключенный к коммутатору 3850; нет Интернета

Cristian Matei

Привет, Моя первоначальная конфигурация содержит все необходимые настройки (удаляя ненужное из вашей опубликованной конфигурации и добавляя необходимое), а вторая конфигурация представляет собой только дельту, которая должна быть применена к первоначальной (на основе ваших дополнительных требований, а также некоторых опечаток с моей стороны). Маршрутная карта с именем «PBR» применяется к вашему интерфейсу LAN / Vlan 100, см. мою первоначальную конфигурацию (есть одна маршрутная карта PBR с двумя последовательными записями, вы не можете применять две разные маршрутные карты PBR к одному и тому же интерфейсу). interface Vlan100 no ip policy route-map PBR_REDIRECT_ISP2 ip policy route-map PBR Карта маршрутов PBR имеет уникальные и разные NH для каждого типа трафика, чтобы соответствовать вашим требованиям, как показано в моей конфигурации delta: route-map PBR permit 10 match ip address ISP1 set ip next-hop verify-availability 75.160.240.27 10 track 10 no set ip next-hop 100.64.0.1
route-map PBR permit 20 match ip address ISP2 no set ip next-hop verify-availability 100.64.0.1 20 track 20 set ip next-hop 75.160.240.27 Спасибо, Кристиан.

TheGoob

Здравствуйте Хорошо, похоже, я добился успеха. Какая поездка. Возможно, я упустил некоторые вещи, которые нужно доработать, но пока все работает. Единственное «серьезное» изменение заключалось в том, что я не хотел использовать только NAT порта, а хотел, чтобы все сети были связаны с соответствующими IP-адресами WAN. !
flow record CUSTOM_RECORD match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match interface input collect counter bytes long collect counter packets long collect timestamp sys-uptime first collect timestamp sys-uptime last
!
!
flow exporter CUSTOM_EXPORTER destination 192.168.2.181 source Vlan100 transport udp 2055
!
!
flow monitor CUSTOM_MONITOR exporter CUSTOM_EXPORTER record CUSTOM_RECORD
!
parameter-map type inspect PRM_TCP_UDP_ICMP icmp idle-time 30 tcp idle-time 30 tcp finwait-time 30 tcp window-scale-enforcement loose tcp max-incomplete host 10 block-time 0
!
vlan 100 name INSIDE_VLAN
!
!
track 10 ip sla 10 reachability
!
track 20 ip sla 20 reachability
!
class-map type inspect match-all CM_UDP_ISP1_TO_INSIDE match access-group name UDP_ISP1_TO_INSIDE match protocol udp
class-map type inspect match-all CM_TCP_ISP1_TO_INSIDE match access-group name TCP_ISP1_TO_INSIDE match protocol tcp
class-map type inspect match-all CM_TCP_ISP2_TO_INSIDE match access-group name TCP_ISP2_TO_INSIDE match protocol tcp
class-map type inspect match-any CM_TCP_UDP_ICMP match protocol tcp match protocol udp match protocol icmp
!
policy-map type inspect PM_ISP2_TO_INSIDE class type inspect CM_TCP_ISP2_TO_INSIDE inspect PRM_TCP_UDP_ICMP class class-default drop log
policy-map type inspect PM_ISP1_TO_INSIDE class type inspect CM_TCP_ISP1_TO_INSIDE inspect PRM_TCP_UDP_ICMP class type inspect CM_UDP_ISP1_TO_INSIDE inspect PRM_TCP_UDP_ICMP class class-default drop log
policy-map type inspect PM_INSIDE_TO_ISP1 class type inspect CM_TCP_UDP_ICMP inspect PRM_TCP_UDP_ICMP class class-default drop log
policy-map type inspect PM_INSIDE_TO_ISP2 class type inspect CM_TCP_UDP_ICMP inspect PRM_TCP_UDP_ICMP class class-default drop log
!
!
zone security INSIDE
zone security ISP1
zone security ISP2
zone-pair security INSIDE_TO_ISP1 source INSIDE destination ISP1 service-policy type inspect PM_INSIDE_TO_ISP1
zone-pair security INSIDE_TO_ISP2 source INSIDE destination ISP2 service-policy type inspect PM_INSIDE_TO_ISP2
zone-pair security ISP1_TO_INSIDE source ISP1 destination INSIDE service-policy type inspect PM_ISP1_TO_INSIDE
zone-pair security ISP2_TO_INSIDE source ISP2 destination INSIDE service-policy type inspect PM_ISP2_TO_INSIDE
! interface GigabitEthernet0/0/0 description WAN_ISP1_PPPoE no ip address no ip redirects no ip unreachables no ip proxy-arp ip tcp adjust-mss 1412 negotiation auto pppoe enable group global pppoe-client dial-pool-number 1
!
interface GigabitEthernet0/0/1 description WAN_ISP2_STATIC ip address 100.122.91.181 255.192.0.0 ip nat outside zone-member security ISP2 negotiation auto
!
interface GigabitEthernet0/1/0 switchport access vlan 100 switchport mode access
!
interface Vlan100 description Link_to_3850_Switch_SVI ip flow monitor CUSTOM_MONITOR input ip flow monitor CUSTOM_MONITOR output ip address 10.0.8.2 255.255.255.252 ip nat inside zone-member security INSIDE ip policy route-map PBR
!
interface Dialer1 mtu 1492 ip address negotiated no ip redirects ip mtu 1460 ip nat outside zone-member security ISP1 encapsulation ppp ip tcp adjust-mss 1412 dialer pool 1 dialer idle-timeout 0 dialer persistent ppp mtu adaptive ppp authentication pap chap callin ppp chap hostname [name] ppp chap password 0 [pass] ppp pap sent-username [name] password 0 [pass] ppp ipcp route default
!
ip forward-protocol nd
ip forward-protocol udp
ip tftp source-interface GigabitEthernet0/0/0
ip http server
ip http authentication local
ip http secure-server
ip http client source-interface GigabitEthernet0/1/1
!
ip nat translation tcp-timeout 30
ip nat translation udp-timeout 30
ip nat translation finrst-timeout 30
ip nat translation syn-timeout 30
ip nat translation dns-timeout 30
ip nat translation routemap-entry-timeout 30
ip nat translation icmp-timeout 30
ip nat pool P_VLAN2 207.108.121.180 207.108.121.180 netmask 255.255.255.252
ip nat pool P_VLAN3 207.108.121.181 207.108.121.181 netmask 255.255.255.252
ip nat pool P_VLAN4 207.108.121.179 207.108.121.179 netmask 255.255.255.252
ip nat pool P_VLAN5 207.108.121.178 207.108.121.178 netmask 255.255.255.252
ip nat pool P_VLAN6 207.108.121.182 207.108.121.182 netmask 255.255.255.252
ip nat pool P_VLAN7 207.108.121.177 207.108.121.177 netmask 255.255.255.252
ip nat inside source static tcp 192.168.7.55 77 100.122.91.181 77 extendable
ip nat inside source static tcp 192.168.2.181 31578 100.122.91.181 31578 extendable
ip nat inside source static tcp 192.168.1.180 25 207.108.121.180 25 extendable
ip nat inside source static tcp 192.168.1.180 80 207.108.121.180 80 extendable
ip nat inside source static tcp 192.168.1.180 993 207.108.121.180 993 extendable
ip nat inside source static tcp 192.168.1.180 2280 207.108.121.180 2280 extendable
ip nat inside source static tcp 192.168.2.181 80 207.108.121.181 80 extendable
ip nat inside source static tcp 192.168.2.181 443 207.108.121.181 443 extendable
ip nat inside source static udp 192.168.2.181 51820 207.108.121.181 51820 extendable
ip nat inside source list NAT_ACL_VLAN2 pool P_VLAN2 overload
ip nat inside source list NAT_ACL_VLAN3 pool P_VLAN3 overload
ip nat inside source list NAT_ACL_VLAN4 pool P_VLAN4 overload
ip nat inside source list NAT_ACL_VLAN5 pool P_VLAN5 overload
ip nat inside source list NAT_ACL_VLAN6 pool P_VLAN6 overload
ip nat inside source list NAT_ACL_VLAN7 pool P_VLAN7 overload
ip nat inside source list NAT_ACL_VLAN8 interface GigabitEthernet0/0/1 overload
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 100.64.0.1
ip route 1.1.1.1 255.255.255.255 GigabitEthernet0/0/1 100.64.0.1
ip route 8.8.8.8 255.255.255.255 Dialer1
ip route 192.168.1.0 255.255.255.0 10.0.8.1
ip route 192.168.2.0 255.255.255.0 10.0.8.1
ip route 192.168.3.0 255.255.255.0 10.0.8.1
ip route 192.168.4.0 255.255.255.0 10.0.8.1
ip route 192.168.5.0 255.255.255.0 10.0.8.1
ip route 192.168.6.0 255.255.255.0 10.0.8.1
ip route 192.168.7.0 255.255.255.0 10.0.8.1
ip route 192.168.8.0 255.255.255.0 10.0.8.1
ip route vrf management 0.0.0.0 0.0.0.0 192.168.5.1
ip ssh bulk-mode 131072
!
ip access-list standard NAT_ACL_VLAN2 10 permit 192.168.1.0 0.0.0.255
ip access-list standard NAT_ACL_VLAN3 10 permit 192.168.2.0 0.0.0.255
ip access-list standard NAT_ACL_VLAN4 10 permit 192.168.3.0 0.0.0.255
ip access-list standard NAT_ACL_VLAN5 10 permit 192.168.4.0 0.0.0.255
ip access-list standard NAT_ACL_VLAN6 10 permit 192.168.5.0 0.0.0.255
ip access-list standard NAT_ACL_VLAN7 10 permit 192.168.6.0 0.0.0.255
ip access-list standard NAT_ACL_VLAN8 10 permit 192.168.7.0 0.0.0.255
!
ip access-list extended ISP1 10 permit ip 192.168.1.0 0.0.0.255 any 20 permit ip 192.168.2.0 0.0.0.255 any 30 permit ip 192.168.3.0 0.0.0.255 any 40 permit ip 192.168.4.0 0.0.0.255 any 50 permit ip 192.168.5.0 0.0.0.255 any 60 permit ip 192.168.6.0 0.0.0.255 any
ip access-list extended ISP2 70 permit ip 192.168.7.0 0.0.0.255 any
ip access-list extended TCP_ISP1_TO_INSIDE 10 permit tcp any host 192.168.1.180 eq smtp 20 permit tcp any host 192.168.1.180 eq www 30 permit tcp any host 192.168.1.180 eq 993 40 permit tcp any host 192.168.1.180 eq 2280 50 permit tcp any host 192.168.1.181 eq www 60 permit tcp any host 192.168.1.181 eq 443
ip access-list extended TCP_ISP2_TO_INSIDE 10 permit tcp any host 192.168.7.55 eq 77 20 permit tcp any host 192.168.2.181 eq 31578
ip access-list extended UDP_ISP1_TO_INSIDE 10 permit udp any host 192.168.1.181 eq 51820
ip sla 10 icmp-echo 8.8.8.8 source-interface Dialer1 threshold 1000 timeout 1000 frequency 3
ip sla schedule 10 life forever start-time now
ip sla 20 icmp-echo 1.1.1.1 source-interface GigabitEthernet0/0/1 threshold 1000 timeout 1000 frequency 3
ip sla schedule 20 life forever start-time now
logging host 192.168.2.181 transport udp port 6514
ip access-list standard 10 10 permit 10.0.8.0 0.0.0.255
route-map PBR permit 10 description Route subnets 192.168.1.0-6.0 out ISP1 match ip address ISP1 set interface Dialer1
!
route-map PBR permit 20 description Route subnet 192.168.7.0 out ISP2 match ip address ISP2 set ip next-hop 100.64.0.1
!
route-map PBR permit 30 description Fallback to normal routing for all other traffic set ip default next-hop 10.0.8.1
!
route-map NAT_ISP1 permit 10 match ip address ISP1
!
route-map NAT_ISP2 permit 10 match ip address NAT_ACL_VLAN8
!
snmp-server community YourCommunityString RO
snmp-server host 192.168.2.181 version 2c YourCommunityString !

balaji.bandi

зачем нам здесь нужна VRF? BB
=====Preenayamo Vasudevam=====
***** Оценить все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

TheGoob

По правде говоря, я не знаю... Как я уже сказал, я перепробовал разные конфигурации, искал разные примеры и т. д. Я просто видел, что мне нужны vrf, разные таблицы маршрутизации и т. д., чтобы иметь два ISP одновременно и независимо друг от друга.

balaji.bandi

Не усложняйте административные задачи, если вы можете решить проблему в стандартной конфигурации. Пример руководства: https://www.balajibandi.com/?p=1982 Примечание: если вам не нравится VLAN-to-VLAN, используйте вместо него ACL. BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

TheGoob

Я все еще выполняю «переключение на резервный канал», хотя не хочу этого? Я имею в виду, что vlan 1-6 никогда не должен использовать ISP2, только ISP1, а vlan 7 должен использовать ISP2, но никогда ISP1.
Я просто не понимаю, как использовать это для реализации того, что я хочу.

balaji.bandi

Это рекомендация: не переключайте EEM Script, чтобы они попадали к любому ISP в качестве пункта назначения. BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

Cristian Matei

Здравствуйте, В вашем случае VRF добавляет ненужную сложность, поэтому просто удалите его полностью и разместите все в GRT / глобальной таблице маршрутизации. Кроме того, маршруты по умолчанию больше не нужны, однако вы можете оставить их там, это не принесет вреда. Применяемые вами ACL на входе в WAN-соединения будут блокировать обратный интернет-трафик, и хотя есть варианты исправить это, лучше использовать брандмауэр на основе зон; кроме того, ACL ваших WAN-соединений, похоже, не привязаны в представленной конфигурации (у вас есть некоторые ACL, примененные к WAN-соединениям, в то время как конфигурация показывает другие ACL, которые должны были быть применены к WAN-соединениям). Вот конфигурация, которая должна решить вашу проблему, с некоторыми улучшениями: ip routing ! --- 1. Configure VLANs ---
vlan 1-8, 100 name VLAN_100_TRANSIT_TO_ISR ! --- 2. Configure SVI Default Gateways ---
interface Vlan 1 ip address 192.168.1.1 255.255.255.0 no shutdown interface Vlan 2 ip address 192.168.2.1 255.255.255.0 no shutdown interface Vlan 3 ip address 192.168.3.1 255.255.255.0 no shutdown interface Vlan 4 ip address 192.168.4.1 255.255.255.0 no shutdown interface Vlan 5 ip address 192.168.5.1 255.255.255.0 no shutdown interface Vlan 6 ip address 192.168.6.1 255.255.255.0 no shutdown interface Vlan 7 ip address 192.168.7.1 255.255.255.0 no shutdown interface Vlan 8 ip address 192.168.8.1 255.255.255.0 no shutdown ! --- 3. Configure Link VLAN between 3850 and ISRC1111 ---
interface Vlan 100 ip address 10.0.8.1 255.255.255.252 no shutdown ! --- 4. Configure Physical Ports ---
! Port connecting to the ISRC1111 Router interface GigabitEthernet1/0/2 description Link_to_ISR_Vlan100_Access switchport mode access switchport access vlan 100 spanning-tree portfast edge switchport nonegotiate no vtp cdp enable lldp receive lldp transmit no lldp tlv-select power-management no lldp tlv-select 4-wire-power-management no shutdown ! interface GigabitEthernet1/0/3 switchport mode access switchport access vlan 2 spanning-tree portfast edge switchport nonegotiate no vtp cdp enable lldp receive lldp transmit no lldp tlv-select power-management no lldp tlv-select 4-wire-power-management no shutdown
!
spanning-tree mode rapid-pvst ! --- 5. Configure Default Route --- ! Forwards all internet-bound traffic from all VLANs to the ISRC1111 router
ip route 0.0.0.0 0.0.0.0 Vlan100 10.0.8.2 ISR ! IP routing and CEF
ip routing
ip cef ! VRFs for ISP1 and ISP2
no ip vrf ISP1_VRF
no ip vrf ISP2_VRF ! Flexible NetFlow
flow record CUSTOM_RECORD match ipv4 source address match ipv4 destination address match transport source-port match transport destination-port match interface input collect counter bytes long collect counter packets long collect timestamp sys-uptime first collect timestamp sys-uptime last
exit flow exporter CUSTOM_EXPORTER destination 192.168.2.181 transport udp 2055 source Vlan100
exit flow monitor CUSTOM_MONITOR record CUSTOM_RECORD exporter CUSTOM_EXPORTER
exit ! IP SLA Monitors and Tracking Objects
no ip sla schedule 1 life forever start-time now
no ip sla 1
!
ip sla 10 icmp-echo 8.8.8.8 source-interface Dialer1 timeout 1000 threshold 1000 frequency 3
exit
!
ip sla schedule 10 life forever start-time now
ip route 8.8.8.8 255.255.255.255 Dialer1
!
!
no ip sla schedule 2 life forever start-time now
no ip sla 2
ip sla 20 icmp-echo 1.1.1.1 source-interface GigabitEthernet0/0/1 timeout 1000 threshold 1000 frequency 3
exit
!
ip sla schedule 20 life forever start-time now
ip route 1.1.1.1 255.255.255.255 GigabitEthernet0/0/1 100.64.0.1 !
no track 1 ip sla 1 reachability
no track 2 ip sla 2 reachability
track 10 ip sla 10 reachability
track 20 ip sla 20 reachability !Access Control Lists (Applied on WAN Interfaces )
no ip access-list 180
no ip access-list 170
no ip access-list 10
no ip access-list 20
no ip access-list 30
no ip access-list 40
no ip access-list 50
no ip access-list 60
no ip access-list 70
no ip access-list 161
no ip access-list 171
!
!
! Policy-Based Routing (PBR) & IP SLA for Failover
no route-map PBR_REDIRECT_ISP1 permit 10
no route-map PBR_REDIRECT_ISP2 permit 10
!
!
! Added configs for PBR NAT and ZBPF
ip access-list extended ISP1 10 permit ip 192.168.1.0 0.0.0.255 any 20 permit ip 192.168.2.0 0.0.0.255 any 30 permit ip 192.168.3.0 0.0.0.255 any 40 permit ip 192.168.4.0 0.0.0.255 any 50 permit ip 192.168.6.0 0.0.0.255 any 60 permit ip 192.168.7.0 0.0.0.255 any
ip access-list extended ISP2 10 permit ip 192.168.7.0 0.0.0.255 any
ip access-list extended NAT_ISP1 10 permit ip 192.168.1.0 0.0.0.255 any 20 permit ip 192.168.2.0 0.0.0.255 any 30 permit ip 192.168.3.0 0.0.0.255 any 40 permit ip 192.168.4.0 0.0.0.255 any 50 permit ip 192.168.6.0 0.0.0.255 any 60 permit ip 192.168.7.0 0.0.0.255 any 70 permit ip 192.168.7.0 0.0.0.255 any
ip access-list extended NAT_ISP2 10 permit ip 192.168.1.0 0.0.0.255 any 20 permit ip 192.168.2.0 0.0.0.255 any 30 permit ip 192.168.3.0 0.0.0.255 any 40 permit ip 192.168.4.0 0.0.0.255 any 50 permit ip 192.168.6.0 0.0.0.255 any 60 permit ip 192.168.7.0 0.0.0.255 any 70 permit ip 192.168.7.0 0.0.0.255 any
!
!
route-map PBR permit 10 match ip address ISP1 set ip next-hop verify-availability 75.160.240.27 10 track 10 set ip next-hop 100.64.0.1
route-map PBR permit 20 match ip address ISP2 set ip next-hop verify-availability 100.64.0.1 20 track 20 set ip next-hop 75.160.240.27
!
route-map NAT_ISP1 permit 10 match ip address NAT_ISP1 match interface Dialer1
route-map NAT_ISP2 permit 10 match ip address NAT_ISP2 match interface GigabitEthernet0/0/1
!
ip nat translation tcp-timeout 30
ip nat translation udp-timeout 30
ip nat translation finrst-timeout 30
ip nat translation syn-timeout 30
ip nat translation dns-timeout 30
ip nat translation routemap-entry-timeout 30
ip nat translation icmp-timeout 30
ip nat inside source route-map NAT_ISP1 interface Dialer1 overload
ip nat inside source route-map NAT_ISP2 interface GigabitEthernet0/0/1 overload
!
!
ip nat inside source static tcp 192.168.1.180 25 207.108.121.180 25 extendable
ip nat inside source static tcp 192.168.1.180 80 207.108.121.180 80 extendable
ip nat inside source static tcp 192.168.1.180 993 207.108.121.180 993 extendable
ip nat inside source static tcp 192.168.1.180 2280 207.108.121.180 2280 extendable
ip nat inside source static tcp 192.168.2.181 80 207.108.121.181 80 extendable
ip nat inside source static tcp 192.168.2.181 443 207.108.121.181 443 extendable
ip nat inside source static udp 192.168.2.181 51820 207.108.121.181 51820 extendable
ip nat inside source static tcp 192.168.7.55 77 100.122.91.181 77 extendable
ip nat inside source static tcp 192.168.2.181 31578 100.122.91.181 31578 extendable
!
!
ip access-list extended TCP_ISP1_TO_INSIDE 10 permit tcp any host 192.168.1.180 eq 25 20 permit tcp any host 192.168.1.180 eq 80 30 permit tcp any host 192.168.1.180 eq 993 40 permit tcp any host 192.168.1.180 eq 2280 50 permit tcp any host 192.168.1.181 eq 80 60 permit tcp any host 192.168.1.181 eq 443
!
ip access-list extended UDP_ISP1_TO_INSIDE 10 permit udp any host 192.168.1.181 eq 51820
!
ip access-list extended TCP_ISP2_TO_INSIDE 10 permit tcp any host 192.168.7.55 eq 77 20 permit tcp any host 192.168.2.181 eq 31578
!
parameter-map type inspect PRM_TCP_UDP_ICMP audit-trail on udp idle-time 30 udp half-open idle-time 30000 icmp idle-time 30 tcp idle-time 30 tcp finwait-time 30 tcp synwait-time 30 tcp window-scale-enforcement loose tcp max-incomplete host 10 block-time 0 log dropped-packets log flow zone-mismatch drop
class-map type inspect match-any CM_TCP_UDP_ICMP match protocol tcp match protocol udp match protocol icmp
class-map type inspect match-all CM_TCP_ISP1_TO_INSIDE match access-group name TCP_ISP1_TO_INSIDE match protocol tcp
class-map type inspect match-all CM_UDP_ISP1_TO_INSIDE match access-group name UDP_ISP1_TO_INSIDE match protocol udp
class-map type inspect match-all CM_TCP_ISP2_TO_INSIDE match access-group name TCP_ISP2_TO_INSIDE match protocol tcp
policy-map type inspect PM_INSIDE_TO_ISP2 class type inspect CM_TCP_UDP_ICMP inspect PRM_TCP_UDP_ICMP class class-default drop log
policy-map type inspect PM_INSIDE_TO_ISP1 class type inspect CM_TCP_UDP_ICMP inspect PRM_TCP_UDP_ICMP class class-default drop log
policy-map type inspect PM_ISP1_TO_INSIDE class type inspect CM_TCP_ISP1_TO_INSIDE inspect PRM_TCP_UDP_ICMP class type inspect CM_UDP_ISP1_TO_INSIDE inspect PRM_TCP_UDP_ICMP class class-default drop log
policy-map type inspect PM_ISP2_TO_INSIDE class type inspect CM_TCP_ISP2_TO_INSIDE inspect PRM_TCP_UDP_ICMP class class-default drop log
zone security INSIDE
zone security ISP1
zone security ISP2
zone-pair security INSIDE_TO_ISP1 source INSIDE destination ISP1 service-policy type inspect PM_INSIDE_TO_ISP1
zone-pair security INSIDE_TO_ISP2 source INSIDE destination ISP2 service-policy type inspect PM_INSIDE_TO_ISP2
zone-pair security ISP1_TO_INSIDE source ISP1 destination INSIDE service-policy type inspect PM_ISP1_TO_INSIDE
zone-pair security ISP2_TO_INSIDE source ISP2 destination INSIDE service-policy type inspect PM_ISP2_TO_INSIDE ! Interfaces
interface GigabitEthernet0/1/0 description Link_to_3850_Switch_Vlan100_Trunk switchport access vlan 100 swittchport mode access spanning-tree portfast edge cdp enable lldp transmit lldp receive no shutdown
exit
!
interface Vlan100 description Transit_Link_to_3850_Switch ip address 10.0.8.2 255.255.255.252 no shutdown ip nat inside ip tcp adjust-mss 1452 no ip policy route-map PBR_REDIRECT_ISP2 ip policy route-map PBR ip flow monitor CUSTOM_MONITOR input zone-member security INSIDE
exit interface GigabitEthernet0/0/0 description WAN_ISP1_PPPoE no ip address pppoe enable group global pppoe-client dial-pool-number 1 no shutdown
exit interface GigabitEthernet0/0/1 description WAN_ISP2_STATIC no ip vrf forwarding ISP2_VRF ip address 100.122.91.181 255.192.0.0 ip nat outside no ip access-group ACL_WAN_IN_ISP2 in no shutdown ip flow monitor CUSTOM_MONITOR input zone-member security ISP2
exit interface Dialer1 no ip vrf forwarding ISP1_VRF ip address negotiated no ip redirects ip nat outside no ip access-group ACL_WAN_IN_ISP1 in ip mtu 1492 no ip tcp adjust-mss 1412 encapsulation ppp dialer pool 1 dialer persistent no cdp enable ppp mtu adaptive ppp authentication pap chap callin ppp chap hostname
<
name

ppp chap password 0
<
password

ppp pap sent-username
<
name

password 0
<
password

ppp ipcp route default ip flow monitor CUSTOM_MONITOR input zone-member security ISP1 no shutdown
exit ! NAT Pools
no ip nat pool NAT_POOL_VLAN1 207.108.121.180 207.108.121.180 netmask 255.255.255.252
no ip nat pool NAT_POOL_VLAN2 207.108.121.181 207.108.121.181 netmask 255.255.255.252
no ip nat pool NAT_POOL_VLAN3 207.108.121.177 207.108.121.177 netmask 255.255.255.252
no ip nat pool NAT_POOL_VLAN4 207.108.121.178 207.108.121.178 netmask 255.255.255.252
no ip nat pool NAT_POOL_VLAN5 207.108.121.179 207.108.121.179 netmask 255.255.255.252
no ip nat pool NAT_POOL_VLAN6 207.108.121.182 207.108.121.182 netmask 255.255.255.252
no ip nat pool NAT_POOL_VLAN7 100.122.91.181 100.122.91.181 netmask 255.255.255.252 ! NAT Rules (Dynamic and Static)
no ip nat inside source list 10 interface GigabitEthernet0/0/0 vrf ISP1_VRF overload
no ip nat inside source list 20 interface GigabitEthernet0/0/0 vrf ISP1_VRF overload
no ip nat inside source list 30 interface GigabitEthernet0/0/0 vrf ISP1_VRF overload
no ip nat inside source list 40 interface GigabitEthernet0/0/0 vrf ISP1_VRF overload no ip nat inside source list 50 interface GigabitEthernet0/0/0 vrf ISP1_VRF overload
no ip nat inside source list 60 interface GigabitEthernet0/0/0 vrf ISP1_VRF overload
no ip nat inside source list 70 interface GigabitEthernet0/0/1 vrf ISP2_VRF overload
no ip nat inside source static tcp 192.168.1.180 25 207.108.121.180 25 vrf ISP1_VRF extendable
no ip nat inside source static tcp 192.168.1.180 80 207.108.121.180 80 vrf ISP1_VRF extendable
no ip nat inside source static tcp 192.168.1.180 993 207.108.121.180 993 vrf ISP1_VRF extendable
no ip nat inside source static tcp 192.168.1.180 2280 207.108.121.180 2280 vrf ISP1_VRF extendable
no ip nat inside source static tcp 192.168.2.181 80 207.108.121.181 80 vrf ISP1_VRF extendable
no ip nat inside source static tcp 192.168.2.181 443 207.108.121.181 443 vrf ISP1_VRF extendable
no ip nat inside source static udp 192.168.2.181 51820 207.108.121.181 51820 vrf ISP1_VRF extendable
no ip nat inside source static tcp 192.168.7.55 77 100.122.91.181 77 vrf ISP2_VRF extendable
no ip nat inside source static tcp 192.168.2.181 31578 100.122.91.181 31578 vrf ISP2_VRF extendable ! Static Routes (Global and VRF )
no ip route vrf ISP2_VRF 0.0.0.0 0.0.0.0 100.64.0.1 no ip route vrf ISP1_VRF 0.0.0.0 0.0.0.0 Dialer1
ip route 0.0.0.0 0.0.0.0 GigabitEthernet0/0/1 100.64.0.1 ip route 0.0.0.0 0.0.0.0 Dialer1
!
no ip route 192.168.1.0 255.255.255.0 10.0.8.1
no ip route 192.168.2.0 255.255.255.0 10.0.8.1
no ip route 192.168.3.0 255.255.255.0 10.0.8.1
no ip route 192.168.4.0 255.255.255.0 10.0.8.1
no ip route 192.168.5.0 255.255.255.0 10.0.8.1
no ip route 192.168.6.0 255.255.255.0 10.0.8.1
no ip route 192.168.7.0 255.255.255.0 10.0.8.1
no ip route 192.168.8.0 255.255.255.0 10.0.8.1
! ip route 192.168.1.0 255.255.255.0 Vlan100 10.0.8.1 ip route 192.168.2.0 255.255.255.0 Vlan100 10.0.8.1 ip route 192.168.3.0 255.255.255.0 Vlan100 10.0.8.1 ip route 192.168.4.0 255.255.255.0 Vlan100 10.0.8.1 ip route 192.168.5.0 255.255.255.0 Vlan100 10.0.8.1 ip route 192.168.6.0 255.255.255.0 Vlan100 10.0.8.1 ip route 192.168.7.0 255.255.255.0 Vlan100 10.0.8.1 ip route 192.168.8.0 255.255.255.0 Vlan100 10.0.8.1
!
no ip route vrf ISP1_VRF 192.168.1.0 255.255.255.0 10.0.8.1
no ip route vrf ISP1_VRF 192.168.2.0 255.255.255.0 10.0.8.1
no ip route vrf ISP1_VRF 192.168.3.0 255.255.255.0 10.0.8.1
no ip route vrf ISP1_VRF 192.168.4.0 255.255.255.0 10.0.8.1
no ip route vrf ISP1_VRF 192.168.5.0 255.255.255.0 10.0.8.1
no ip route vrf ISP1_VRF 192.168.6.0 255.255.255.0 10.0.8.1
no ip route vrf ISP2_VRF 192.168.1.0 255.255.255.0 10.0.8.1
no ip route vrf ISP2_VRF 192.168.2.0 255.255.255.0 10.0.8.1
no ip route vrf ISP2_VRF 192.168.3.0 255.255.255.0 10.0.8.1
no ip route vrf ISP2_VRF 192.168.4.0 255.255.255.0 10.0.8.1
no ip route vrf ISP2_VRF 192.168.5.0 255.255.255.0 10.0.8.1
no ip route vrf ISP2_VRF 192.168.6.0 255.255.255.0 10.0.8.1
no ip route vrf ISP2_VRF 192.168.7.0 255.255.255.0 10.0.8.1 ! Monitoring and Logging
logging host 192.168.2.181
logging trap informational
service timestamps log datetime msec
service timestamps debug datetime msec
snmp-server community YourCommunityString RO
snmp-server enable traps
snmp-server host 192.168.2.181 version 2c YourCommunityString Вышеуказанная конфигурация маршрутизатора предполагает, что вы хотите иметь отказоустойчивость для доступа через Интернет, то есть вы хотите, чтобы часть трафика проходила через ISP1, однако, если ISP1 выходит из строя на основе отслеживания, вы хотите, чтобы этот трафик проходил через ISP2, и наоборот. Это то, что обычно требуется, однако, если это не так, вам просто нужно удалить соответствующий трафик из ACL NAT. Спасибо, Кристиан.

AlexandraKirk54

Похоже, вы уже проделали солидную работу по выявлению проблемы, и тот факт, что VLAN 100 не может подключиться к Интернету, в то время как интерфейсы VRF могут, является важной подсказкой. Поскольку коммутатор может пинговать обе стороны транзитного соединения, маршрут маршрутизации в порядке, а это означает, что проблема почти наверняка заключается в NAT или ACL, связанных с вашими интерфейсами WAN. Ваши правила PBR и NAT выполняют большую нагрузку, поэтому даже небольшое несоответствие во внутренних списках источников или привязках VRF может блокировать потоки из LAN в Интернет, при этом позволяя самому ISR выполнять ping. Если вы еще не сделали этого, попробуйте протестировать с помощью простого «ip nat inside source list ANY interface <ISP> overload», чтобы подтвердить потоки трафика, а затем верните свои правила VLAN и NAT, специфичные для VRF. Такая быстрая изоляция обычно точно показывает, где находится сбой.

TheGoob

Спасибо всем за ответы... У меня сейчас довольно серьезные проблемы со здоровьем, поэтому я не успел углубиться в эту тему... Я изучу этот вопрос и отвечу. Спасибо.

Cristian Matei

Береги себя, чемпион. Желаю тебе скорейшего выздоровления.

TheGoob

Спасибо. Просто у меня возникли проблемы с сердцем в 45 лет, так что это страшно и неприятно. Я справлюсь с этим. Спасибо вам троим за помощь. Я не сделал много в плане тестирования, но я пошел по «легкому» пути, то есть... по тому, который был напечатан, и это очень мило с вашей стороны, что вы это сделали. После внесения изменений и их буквального внедрения в ISR и Switch, я все еще сталкиваюсь с проблемами, но они кажутся действительно незначительными. После настройки у меня возникла следующая проблема: ISR — Можно пинговать 1.1.1.1 с интерфейса Dialer 1 и интерфейса Gi0/0/1. Можно пинговать 10.0.8.1 и 10.0.8.2. Можно пинговать интерфейсы SVI, все 7, на Switch и можно пинговать хост, подключенный как 192.168.7.66 к Switch. КОММУТАТОР — Не могу выполнить ping в Интернет. Могу выполнить ping 10.0.8.1. Могу выполнить ping 10.0.8.2. Могу выполнить ping любого хоста, подключенного к любому vlan на коммутаторе. ХОСТЫ Могут пинговать любой другой хост и SVI на коммутаторе. Могут пинговать 10.0.8.1. НЕ могут пинговать 10.0.8.2 и НЕ могут пинговать 1.1.1.1. Я не тороплюсь с этим, я взял неделю отпуска, чтобы собраться с мыслями и найти лучший выход из ситуации, поэтому ни в коем случае не считаю это приоритетной задачей. Еще раз спасибо всем, кто пытается мне помочь, я просто пробую то, в чем вижу разницу, чтобы начать. Мэтт

Cristian Matei

Привет, Так что все работает как ожидалось, кроме того, что вы упомянули выше? Во-первых, что касается 1.1.1.1 и 8.8.8.8, то для того, чтобы все работало, необходимо убедиться, что соответствующие SLA в порядке, соответствующие объекты отслеживания имеют значение TRUE, а соответствующие маршруты по умолчанию установлены в RIB, а также что 8.8.8.8 достигается через интерфейс Dialer, а 1.1.1.1 — через интерфейс Gigabit. Коммутатор не может выполнять ping в Интернет без источника пакетов ping с любым из SVI 1-7, так как по умолчанию генерируемые коммутатором пакеты будут иметь источник с IPv4-адресом SVI 100, который не соответствует конфигурации NAT. Если вы хотите это также для этого трафика, что вы хотите в качестве основного/предпочтительного ISP, а что в качестве резервного? Ping к 1.1.1.1 должен работать только из подсети 192.168.7.0/24, а ping к 8.8.8.8 должен работать из подсетей 192.168.1-6.0/24. Зачем вам нужно, чтобы это работало и в перекрестном режиме? Ваши хосты используют эти IP-адреса в качестве DNS-серверов? В противном случае в этом нет необходимости. Тот факт, что вы не можете выполнить ping 10.0.8.2, IP-адрес маршрутизатора, с хостов, не имеет никакого смысла, это должно работать, можете ли вы проверить это еще раз, попробовать с нескольких хостов из разных VLAN? Еще раз проверил представленную конфигурацию, похоже, у меня были некоторые ошибки, пожалуйста, обновите вашу конфигурацию следующим образом: ip access-list extended ISP1 no 60
!
ip access-list extended NAT_ISP1
no 50
no 60
50 permit ip 192.168.5.0 0.0.0.255 any
60 permit ip 192.168.6.0 0.0.0.255 any
!
ip access-list extended NAT_ISP2
no 50
no 60
50 permit ip 192.168.5.0 0.0.0.255 any
60 permit ip 192.168.6.0 0.0.0.255 any Протестируйте интернет-трафик со всех VLAN и убедитесь, что он выходит на предпочтительного ISP, в соответствии с вашими требованиями; отключите по одному ISP и убедитесь, что все VLAN по-прежнему могут выходить в Интернет через оставшийся ISP. Кроме того, 192.168.8.0/24 не имеет доступа к Интернету, так как он не запрашивался. Спасибо, Кристиан.

TheGoob

Доброе утро Я просто упомянул 1.1.1.1 или 8.8.8.8 для общего обозначения «Интернета». Я знаю, что моя конфигурация немного непонятна... Я просто хотел начать с общего, а затем перейти к частностям. По сути, в целом я просто хочу, чтобы все, что подключается к vlan 1-6, имело автоматический/мгновенный доступ к Интернету через ISP1, а vlan 7 имел то же самое, а также чтобы 1-7 все общались через Switch. Это действительно не ситуация отказоустойчивости...У меня просто 2 интернет-провайдера, и ISP1 подключается к 1-6, а ISP2 — к vlan 7. То есть в любой момент времени, если я подключу хост к vlan 1-7, он автоматически получит доступ в Интернет через связанного с ним интернет-провайдера. Я знаю, что моя настройка нестандартна... Например, у меня 7 vlan, по 1 для каждого статического WAN IP... Просто я так хотел... Я полагаю, что мог бы иметь 1 VLAN, а затем использовать Port NAT для любого LAN-устройства, которому требуется определенный WAN IP, т. е. почтовый сервер или веб-сервер, но я просто выбрал этот метод, чтобы иметь возможность отслеживать, что к чему.

Cristian Matei

Здравствуйте, Если вы хотите, чтобы VLAN 1-6 выходили через ISP1, и в случае сбоя ISP1 доступ в Интернет для этих VLAN будет отсутствовать, а VLAN7 выходит через ISP2, и в случае сбоя ISP2 доступ в Интернет для этой VLAN будет отсутствовать, вам необходимо внести следующие изменения в мою первоначальную конфигурацию: ip access-list extended ISP1 no 50 no 60 50 permit ip 192.168.5.0 0.0.0.255 any 60 permit ip 192.168.6.0 0.0.0.255 any
!
ip access-list extended NAT_ISP1 no 50 no 60 no 70 50 permit ip 192.168.5.0 0.0.0.255 any 60 permit ip 192.168.6.0 0.0.0.255 any
!
ip access-list extended NAT_ISP2 no 10 no 20 no 30 no 40 no 50 no 60 70 permit ip 192.168.7.0 0.0.0.255 any
!
route-map PBR permit 10 match ip address ISP1 set ip next-hop verify-availability 75.160.240.27 10 track 10 no set ip next-hop 100.64.0.1
route-map PBR permit 20 match ip address ISP2 no set ip next-hop verify-availability 100.64.0.1 20 track 20 set ip next-hop 75.160.240.27
!
route-map NAT_ISP1 permit 10 match ip address NAT_ISP1 match interface Dialer1
route-map NAT_ISP2 permit 10 match ip address NAT_ISP2 match interface GigabitEthernet0/0/1 Перед тестированием убедитесь, что примененная конфигурация точно соответствует той, которую я представил. Во время отправки трафика в Интернет, который не работает, выполните следующие команды и вставьте вывод: show track
show ip sla summary
show ip route static
show ip static route
!
show route-map
show ip nat translations
!
show parameter-map type inspect
show policy-firewall config
show policy-firewall sessions platform all

TheGoob

Привет Я хотел проверить, верно ли это: оба PBR маршрутной карты имеют следующий прыжок 75.160.240.27 [ISP1]... Ну, разрешение 10 имеет, разрешение 20 имеет проверку доступности 75.160.240.27 [ISP1]. Просто интересно, в чем разница? Я предполагал, что это будет route-map ISP1 permit 10
match ip address ISP1
set ip next-hop 75.160.240.27 route-map ISP2 permit 10
match ip address ISP2
set ip next-hop 100.64.0.1 Кроме того, разве мне не нужно применять их к интерфейсам?