The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"route-map"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]
Курсы Сisco по безопасности (CCNA и CCNP Security, Сisco ISE 2.1, ASA, IronPort)
"route-map"  +/
Сообщение от dmitrytim email(ok) on 26-Июл-06, 20:44 
Вопрос в следующем:
Есть два канала в интернет от провайдера и корпоративный. К роутеру непосредственно подключен прокси в прозрачном режиме. На него policy map направляет трафик интернет из локалки. Схема стандартная. Задача в следующем- есть еще один прокси не прямоподключенный но на него есть маршрут через корпоративную сеть. Можно ли в случае падения канала с провайдером 1 послать трафик на другой прозрачный прокси в корпоративке ? object tracking работает но как сформировать правильно route-map? NAT делается с 1м провайдером.

nterface FastEthernet0/0
description ----- LocalNet -----
ip address x.x.x 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map Inet_proxy
duplex auto
speed auto
!
interface FastEthernet0/1/0
description To_proxy
switchport access vlan 2
no ip address
!
interface FastEthernet0/1/1
description To_ISP
switchport access vlan 3
no ip address
!
!
interface Serial0/0/0.1 multipoint
description connected Corporate
ip address y.y.y.1 255.255.255.252
!
interface Vlan2
description Proxy_server
ip address x.x.x1.1 255.255.255.252
ip nat inside
ip virtual-reassembly
!
interface Vlan3
description ISP
ip address z.z.z.z 255.255.255.248
ip access-group Internet in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
!
ip route 0.0.0.0 0.0.0.0 z.z.z.z1
ip route y.0.0.0 255.0.0.0 y.y.y.2
ip route a.a.a.a1 255.255.255.255 y.y.y.2
!
access-list 103 remark Inet_proxy
access-list 103 deny   ip x.x.x.0 0.0.0.255 y.y.0.0 0.0.255.255 log
access-list 103 permit tcp x.x.x.0 0.0.0.255 any eq www
access-list 103 deny   ip any any
access-list 103 remark Inet_proxy
access-list 199 remark For_nat
access-list 199 permit icmp any any
access-list 199 permit ip x.x.0.0 0.0.255.255 any
access-list 199 remark For_nat
!
ip nat pool internet z.z.z.z z.z.z.z prefix-length 29
ip nat inside source list 199 pool internet overload
!
track 123 rtr 1 reachability
!        
track 124 rtr 2 reachability
!
ip sla monitor 1
type echo protocol ipIcmpEcho z.z.z.z1 source-interface Vlan3 //шлюз ISP
timeout 1000
threshold 100
frequency 5
ip sla monitor schedule 1 life forever start-time now
ip sla monitor 2
type echo protocol ipIcmpEcho a.a.a.a1 source-interface Serial0/0/0.1 //корпоративныйй прокси
timeout 2000
threshold 600
frequency 10
ip sla monitor schedule 2 life forever start-time now
!
route-map Inet_proxy permit 1
match ip address 103
set ip next-hop verify-availability x.x.x1.2 20 track 123
!
???

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

  • route-map, boom, 06:18 , 27-Июл-06, (1)  
    • route-map, dmitrytim, 10:40 , 27-Июл-06, (2)  
      • route-map, dmitrytim, 15:57 , 22-Авг-06, (3)  
        • route-map, Аноним, 01:59 , 07-Фев-10, (4)  

Сообщения по теме [Сортировка по времени | RSS]


1. "route-map"  +/
Сообщение от boom email(??) on 27-Июл-06, 06:18 
mb? (Если я правильно понял)

ip nat inside source route-map nat_isp interface <isp1_iface> overload
ip nat inside source route-map nat_corp interface <corp_iface> overload

route-map nat_isp permit 10
match ip address nat_to_all_isp
match ip next-hop 51

route-map nat_corp permit 10
match ip address nat_to_all_isp
match ip next-hop 50

ip access-list extended nat_to_all_isp
permit ip <lan_ip> <mask> any

access-list 50 permit corp_ip_gw
access-list 51 permit isp1_ip_gw

OT достаточно настроить так:

ip sla 1
icmp-echo <ip на ком ориентируемся о падении канала isp> source-ip <your_isp_ip>
timeout 1000
threshold 500 (с этим значением рекомедую быть осторожнее, для всех оно по разному[читать ман на циске])
ip sla schedule 1 life forever start-time now

track 1 rtr 1 reachability

ip local policy route-map icmp(это чтобы пакеты отправлялись с нужного интерфейса)
ip route 0.0.0.0 0.0.0.0 isp1_gw track 1
ip route 0.0.0.0 0.0.0.0 proxy_ip 254
ip route x.x.x.x x.x.x.x corp_lan_gw

access-list 100 permit icmp any host <ip исследуемого объекта>

route-map icmp permit 10
match ip address 100
set interface Null0
set ip next-hop isp1_gw


У меня подобная схема работает

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "route-map"  +/
Сообщение от dmitrytim email(ok) on 27-Июл-06, 10:40 
>mb? (Если я правильно понял)
>
>ip nat inside source route-map nat_isp interface <isp1_iface> overload
>ip nat inside source route-map nat_corp interface <corp_iface> overload
>
>route-map nat_isp permit 10
> match ip address nat_to_all_isp
> match ip next-hop 51
>
>route-map nat_corp permit 10
> match ip address nat_to_all_isp
> match ip next-hop 50
>
>ip access-list extended nat_to_all_isp
> permit ip <lan_ip> <mask> any
>
>access-list 50 permit corp_ip_gw
>access-list 51 permit isp1_ip_gw
>
>OT достаточно настроить так:
>
>ip sla 1
> icmp-echo <ip на ком ориентируемся о падении канала isp> source-ip <your_isp_ip>
> timeout 1000
> threshold 500 (с этим значением рекомедую быть осторожнее, для всех оно
>по разному[читать ман на циске])
>ip sla schedule 1 life forever start-time now
>
>track 1 rtr 1 reachability
>
>ip local policy route-map icmp(это чтобы пакеты отправлялись с нужного интерфейса)
>ip route 0.0.0.0 0.0.0.0 isp1_gw track 1
>ip route 0.0.0.0 0.0.0.0 proxy_ip 254
>ip route x.x.x.x x.x.x.x corp_lan_gw
>
>access-list 100 permit icmp any host <ip исследуемого объекта>
>
>route-map icmp permit 10
> match ip address 100
> set interface Null0
> set ip next-hop isp1_gw
>
>
>У меня подобная схема работает
Спасибо, интересное решение , но мне не нужно транслировать адреса в корпоративную сеть.
Вопрос вот в чем в основном:
В классическом случае когда второй next-hop в тойже подсети- то просто в роутемап надо добавить ip next-hop ip_addr и все но мне нужно направить трафик по адресу который не в прямоподключенной сети. Маршрут на нее есть в виде статики но роутемап игнорирует ее (match срабатывает в этом роутемапе). Как направить трафик на этот другой прокси?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "route-map"  +/
Сообщение от dmitrytim email(??) on 22-Авг-06, 15:57 
>>mb? (Если я правильно понял)
>>
задача решилась просто-если кому интересно скажу. Использовал VPN GRE тунель.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "route-map"  +/
Сообщение от Аноним (??) on 07-Фев-10, 01:59 
>но мне нужно направить трафик по адресу который не в прямоподключенной сети. Маршрут на нее есть в виде статики но роутемап игнорирует ее (match срабатывает в этом роутемапе). Как направить трафик на этот другой прокси?

как это сделали, если не секрет?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру