1721 e failover tra lan ed ADSL

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
jbg70
Cisco power user
Messaggi: 75
Iscritto il: sab 23 apr , 2005 9:48 pm

Salve a tutti.
Ho un 1721 con solo una wic adsl. Dispongo di un'altra adsl alla quale pero' posso accedere via cavo lan.
Entrambe sono alice. Vorrei utilizzare la linea sulla lan come principale e la adsl come backup, quando la prima cade.

La adsl che ricevo via ethernet e' sulla stessa rete della lan interna (192.168.0.0/24).

Ho fatto tutto con sla.

In linea di massima ho tutto quasi funzionante, ma sulle macchine linux ho qualche problema con il routing.
Sotto c'e' la mia config, epurata delle parti che non servono.

La prima cosa che vorrei sapere e' se devo per forza usare una wic enet, visto che mi ritrovo tutto sulla stessa classe di rete, oppure se posso usare la vlan.
Nel caso potessi usare le vlan sono in difficolta' e quindi aiuto...

Grazie, e saluti.

Codice: Seleziona tutto

track 100 rtr 100 reachability
 delay down 10 up 20
!
!
!
interface ATM0
 mtu 1500
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet0
 ip address 192.168.0.11 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 speed auto
!
interface Dialer1
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname aliceadsl
 ppp chap password 7 045A070F0C244D4A1A15
 ppp pap sent-username aliceadsl password 7 13041B1B0809052E3828
 ppp ipcp dns request
!
no ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 FastEthernet0 192.168.0.1 track 100
ip route 0.0.0.0 0.0.0.0 Dialer1 10
no ip http server
ip http authentication local
no ip http secure-server
!
ip nat inside source list 102 interface Dialer1 overload
ip nat inside source route-map ASDL_VIA_LAN interface FastEthernet0 overload
ip nat inside source route-map ADSL_WIC interface Dialer1 overload
!
!
ip sla 100
 icmp-echo 192.168.0.1 source-interface FastEthernet0  # l'ip del router della ADSL che ricevo via LAN
 timeout 1000
 frequency 5
ip sla schedule 100 life forever start-time now
access-list 102 permit ip 192.168.0.0 0.0.0.255 any
access-list 104 permit tcp any any
dialer-list 1 protocol ip permit
snmp-server community community RO
!
!
!
route-map ADSL_VIA_LAN permit 10
 match ip address 100
 match interface FastEthernet0
!
route-map ADSL_WIC permit 10
 match ip address 100
 match interface Dialer1
Top
jbg70
Cisco power user
Messaggi: 75
Iscritto il: sab 23 apr , 2005 9:48 pm

Grazie per le dritte, il failover funziona correttamente in entrambi i modi, ma per qualche motivo che non riesco a capire, le macchine linux sembrano 'capire' che c'e' un altro gw sulla stessa subnet, e quando devono uscire e non e' raggingibile, vogliono passare per forza da quello vecchio, ma solo sulle connessioni fatte precedentemente. Su quelle nuove passano per la nuova rotta indicata dal router.
Se da una macchina linux pingo un host su internet ottengo un messaggio tipo "Redirect next hop 192.168.0.1" e se 192.168.0.1 dopo non e' piu' raggiungibile, tutto si ferma. Un ping ad un host dove non ci si e' mai connessi prima, funziona bene!

Ho avuto modo di configurare il failover sia su una pfsense che su una zeroshell. Ho creato 3 reti diverse (su 3 subnet diverse) con tre schede e le macchine linux vanno perfettamente usando come router la zeroshell che aveva come gateway i due router, ciascuno sulla rispettiva scheda.

Da qui intuisco che devo avere per forza una scheda fisica, o tentare con le vlan.... ma di vlan non so nulla.
Dovrei riuscire a far funzionare qualcosa come:

Codice: Seleziona tutto

interface FastEthernet0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip route-cache
e ci metterei il router dell'altra rete.

... pero' le macchine della rete 192.168.10.x non rispondono pingate dal router...

Grazie e saluti.
Top
jbg70
Cisco power user
Messaggi: 75
Iscritto il: sab 23 apr , 2005 9:48 pm

Sono qui di nuovo con le idee un po' piu' chiare, con il failover che funziona compreso il PAT in tcp.

Cosa ho fatto...
Ho preso due wic1-enet, una l'ho collegata ad un link e l'altra al secondo, che prima era la wic-adsl, ora e' un router.
In questo modo ho due wan: Ethernet0 ed Ethernet1.

Di fatto ora si tratta di failover tra due interfacce ethernet.
Sfruttando un post di Zot (che ringrazio) (http://www.ciscoforums.it/viewtopic.php ... 7&start=15) - fondo pagina - riesco anche ad avere il PAT funzionante sulle due interfacce, sebbene Zot dica sia poco pulito.

Il pat non funziona pero in UDP... ed e' qui che mi serve un aiuto.

Inoltre vorrei capire con il vostro aiuto, se faccio un sh route-map e' come se il traffico non passa per le route map...

Codice: Seleziona tutto

c1721#sh route-map
route-map LINK_2, permit, sequence 10
  Match clauses:
    ip address (access-lists): 100
    interface Ethernet1
  Set clauses:
    interface Ethernet1
  Policy routing matches: 0 packets, 0 bytes
route-map LINK_1, permit, sequence 10
  Match clauses:
    ip address (access-lists): 100
    interface Ethernet0
  Set clauses:
    interface Ethernet0
  Policy routing matches: 0 packets, 0 bytes
Questa la conf per la parte essenziale:

Codice: Seleziona tutto

track 100 rtr 100 reachability
 delay down 5 up 10
!
!
!
interface Ethernet0
 description Link 1
 ip address 192.168.0.2 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 half-duplex
!
interface Ethernet1
 description Link 2
 ip address 192.168.2.2 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 no ip mroute-cache
 half-duplex
!
interface FastEthernet0
 description Internal LAN
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 no ip mroute-cache
 speed auto
 full-duplex
!
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 192.168.0.1 track 100
ip route 0.0.0.0 0.0.0.0 192.168.2.1 250
no ip http server
ip http secure-server
!
ip nat translation timeout 10
ip nat pool SSH 192.168.10.2 192.168.10.2 netmask 255.255.255.0 type rotary
ip nat pool SMTP 192.168.10.2 192.168.10.2 netmask 255.255.255.0 type rotary
ip nat pool VPN 192.168.10.2 192.168.10.2 netmask 255.255.255.0 type rotary
ip nat inside source route-map LINK_1 interface Ethernet0 overload
ip nat inside source route-map LINK_2 interface Ethernet1 overload

ip nat inside destination list 113 pool SSH
ip nat inside destination list 114 pool SMTP
ip nat inside destination list 115 pool VPN
!
!
ip sla 100
 icmp-echo 192.168.0.1 source-interface Ethernet0
 timeout 1000
 frequency 5
ip sla schedule 100 life forever start-time now
logging trap debugging
logging 192.168.10.2
access-list 100 permit ip 192.168.10.0 0.0.0.255 any
access-list 104 permit tcp any any
access-list 113 remark *** ssh ***
access-list 113 permit tcp any any eq 22
access-list 114 remark *** smtp ***
access-list 114 permit tcp any any eq smtp
access-list 115 remark *** vpn ***
access-list 115 permit udp any any eq 2746
snmp-server community community RO
no cdp run
!
!
!
route-map LINK_2 permit 10
 match ip address 100
 match interface Ethernet1
!
route-map LINK_1 permit 10
 match ip address 100
 match interface Ethernet0
Grazie e saluti.
Top
Rispondi

Torna a “Configurazioni”