Cisco 2600 - Dual WAN - route-map e nat +failover

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
KalTorak
n00b
Messaggi: 14
Iscritto il: mar 30 mar , 2010 11:12 pm

Salve,
ho bisogno di una mano per quanto riguarda la configurazione di un cisco.
2 Linee, ADSL su int atm, SHDSL su serial.
Il centralino .200 deve uscire su SHDSL, la lan su ADSL.
Configurazione SHDSL ptp, subnet ptp + subnet ip ruotata, 1 ip statico.
Con la seguente configurazione risulta impossibile pingare l'ip statico SHDSL.

Codice: Seleziona tutto


interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.0
 ip nat inside
 ip policy route-map shvoce
 ip tcp adjust-mss 1492
 half-duplex
!
interface Serial0/0
 mtu 1492
 no ip address
 encapsulation frame-relay IETF
 load-interval 30
 no fair-queue
 !
interface Serial0/0.1 point-to-point
 ip address XXX.XXX.246.233 255.255.255.252
 no ip unreachables
 no ip proxy-arp
 ip nat outside
 no ip mroute-cache
 no cdp enable
 frame-relay interface-dlci 20
!
interface ATM0/1
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface Dialer0
 ip address negotiated
 ip nat outside
 encapsulation ppp
 dialer pool 1
 ppp chap hostname XXXXXXX
 ppp chap password 7 XXXXXXXX
!
ip nat pool SHDSL YYY.YYY.78.126 YYY.YYY.78.126 netmask 255.255.255.252
ip nat inside source route-map NAT_DATI interface Dialer0 overload
ip nat inside source route-map NAT_SHDSL pool SHDSL overload
ip nat inside source static tcp 192.168.1.200 3541 YYY.YYY.78.126 3541 extendable
ip nat inside source static tcp 192.168.1.200 3541 YYY.YYY.109.73 3541 extendable
ip nat inside source static tcp 192.168.1.200 3389 YYY.YYY.78.126 3389 extendable
ip nat inside source static tcp 192.168.1.200 3389 YYY.YYY.109.73 3389 extendable
ip nat inside source static tcp 192.168.1.1 23 YYY.YYY.78.126 23 extendable
ip nat inside source static tcp 192.168.1.1 23 YYY.YYY.109.73 23 extendable
no ip http server
no ip http secure-server
ip classless
!def to gw
ip route 0.0.0.0 0.0.0.0 YYY.YYY.58.1
!
!
access-list 1 permit 192.168.1.200
access-list 2 deny   192.168.1.200
access-list 2 permit 192.168.1.0 0.0.0.255
access-list 101 permit ip 192.168.1.0 0.0.0.255 any
access-list 101 deny   ip any any
!
route-map shvoce permit 10
 match ip address 1
 set interface Serial0/0
!
route-map shvoce permit 20
 match ip address 2
 set interface Dialer0
!
route-map NAT_DATI permit 10
 match ip address 101
 match interface Dialer0
!
route-map NAT_SHDSL permit 10
 match ip address 101
 match interface Serial0/0
!

Codice: Seleziona tutto

     YYY.YYY.0.0/32 is subnetted, 1 subnets
C       YYY.YYY.109.73 is directly connected, Dialer0
C    192.168.1.0/24 is directly connected, Ethernet0/0
     YYY.YYY.0.0/8 is variably subnetted, 2 subnets, 2 masks
C       YYY.YYY.58.1/32 is directly connected, Dialer0
C       YYY.YYY.246.232/30 is directly connected, Serial0/0.1
S*   0.0.0.0/0 [1/0] via YYY.YYY.58.1

Ethernet0/0                192.168.1.1     YES NVRAM  up                    up  
Serial0/0                  unassigned      YES NVRAM  up                    up  
Serial0/0.1                YYY.YYY.246.233   YES manual up                    up  
ATM0/1                     unassigned      YES NVRAM  up                    up  
Virtual-Access1            unassigned      YES TFTP   down                  down
Virtual-Access2            unassigned      YES unset  up                    up  
Virtual-Access3            unassigned      YES unset  down                  down
Virtual-Access4            unassigned      YES unset  up                    up  
Dialer0                    YYY.YYY.109.73   YES IPCP   up                    up
Ultima modifica di KalTorak il mer 14 apr , 2010 9:39 am, modificato 1 volta in totale.
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

scusa, ma non dovresti avere un'altra default route oltre a quella gia' applicata ?
Top
KalTorak
n00b
Messaggi: 14
Iscritto il: mar 30 mar , 2010 11:12 pm

l'operatore è lo stesso per le due wan, il def gw è lo stesso.
Top
KalTorak
n00b
Messaggi: 14
Iscritto il: mar 30 mar , 2010 11:12 pm

Aggiungo che attualmente è impossibile raggiungere il router da remoto (connection refused) sull'ip dell'adsl.
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

fai per cortesia un prova?

togli la default che c'e' gia' ed usa:

ip route 0.0.0.0 0.0.0.0 dialer0
ip route 0.0.0.0 0.0.0.0 s0/0.1

ciao
Top
KalTorak
n00b
Messaggi: 14
Iscritto il: mar 30 mar , 2010 11:12 pm

Certo, faccio la prova.
X quanto riguarda il forwarding delle porte, le righe ip nat inside source static sono corrette così come sono o bisogna modificarle x farle funzionare col nat delle route Map? Xè come ho già scritto non è possibile raggiungere il router da remoto
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

non sono un fan delle route-map nelle rules del nat. preferisco le acl... per cui io personalmente ti consiglierei di usare quelle.
Top
KalTorak
n00b
Messaggi: 14
Iscritto il: mar 30 mar , 2010 11:12 pm

Il cliente del primo post ha scelto un'altra soluzione tecnologica.
(s)fortunatamente un altro cliente vuole la stessa cosa, shdsl+adsl con failover.
Premetto che la versione dell'IOS del cisco 2600 è 11.3 e ho riscontrato che l'unico modo per pubblicare un server è stato quello di usare una loopback, altrimenti l'indirizzo statico non risultava pingabile.

Codice: Seleziona tutto

interface Serial0/0
 description SHSDL EUTELIA
 bandwidth 2048
 no ip address
 encapsulation frame-relay IETF
 load-interval 30
 no fair-queue

interface Serial0/0.1 point-to-point
 description PUNTO-PUNTO SHDSL
 bandwidth 2048
 ip address X.X.X.198 255.255.255.252
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip accounting access-violations
 ip nat outside
 no ip mroute-cache
 no cdp enable
 no arp frame-relay
frame-relay interface-dlci 100

int loopback0
ip address X.X.X.Z 255.255.255.255

int atm0/1
...
...
int dialer0
...
...

route-map NAT_SHDSL permit 10
match ip address Nat0/Pat
match interface ser0/0
set interface ser0/0

route-map NAT_SHDSL permit 20
match ip address Nat0/Pat
match interface dialer0
set interface dialer0

ip nat pool SHDSL X.X.X.X X.X.X.Y overload
ip nat inside source route-map NAT_SHDSL pool SHDSL overload
ip nat inside source route-map NAT_SHDSL int Dialer0 overload

ip nat inside source static tcp 192.0.0.28 21 int loopback0 21

ip route 0.0.0.0 0.0.0.0 ser 0/0.1 
ip route 0.0.0.0 0.0.0.0 dialer0 20
Ora il problema è che facendo lo shutdown della seriale con dialer0 up e viceversa shutdown del dialer0 con seriale up, il nat non "switcha" da un interfaccia all'altra, e continua a nattare la prima interfaccia che era up.
Ho fatto qualche errore?
Top
Gianremo.Smisek
Messianic Network master
Messaggi: 1159
Iscritto il: dom 11 mar , 2007 2:23 pm
Località: Termoli

togli 20 dalla seconda rotta;

devono essere al pari.

(gw per l'shdsl ed un gw per l'adsl)

altrimenti esci solo con una connessione.


ciao!
Top
KalTorak
n00b
Messaggi: 14
Iscritto il: mar 30 mar , 2010 11:12 pm

io devo uscire solo con una connessione, l'altra deve attivarsi solamente se la prima va giù.
Ho fatto un po' di ricerche e pare che io debba usare i comandi ip sla, che ovviamente non sono attivi in un ios vecchio come la versione 11. Sostanzialmente si deve far cancellare le entry nat dinamiche quando l'interfaccia va giù.
Top
Rispondi

Torna a “Configurazioni”