Доступность сервисов одновременно по двум и более WAN на Cisco

Question

[Владимир Пилипчук]

Уважаемые коллеги, прошу помощи в конфигурации роутера Cisco для предоставления доступа к внутресетевым сервисам из интернета одновременно по двум каналам + NAT. Может кто поделится работающим решением, или даст на него линк, ибо я уже испробовал почти все, что описано на cisco.com и просторах интеренетов.

Есть маршрутер с (C181X-ADVENTERPRISEK9-M), Version 15.0(1)M3 на борту. К нему приходят два аплинка от двух разных провайдеров. Один FastEthernet, второй PPPoE. За роутером есть пара пользователей и несколько серверов, предоставляющие в общей сложности около 50 разных сервисов (читай портов). Необходимо выпустить подсеть в интернет (NAT) и организовать PortForwarding на оба внешних IP.

Проблема заключается в том, что при равновесных маршрутах по умолчанию или вовсе без AD — роутер уходит в режим балансировки и port-forwarding работает как придется, но не работает NAT. При разных AD — работает NAT, но сервисы доступны только на канале с наименьшей AD.

При PBR (который я не особо умею готовить) вообще ничего не работает. Может конечно стоит откатиться обратно на 12.4 (там точно все работало), но там нет полноценного OER.

Заранее мерси.

Comments

[navion]

Вы хотите раздавать одни и те же сервисы через разные аплинки? Или какие-то будут ходить через первого провайдера, а какие-то через второго?

[Владимир Пилипчук]

Хочу раздавать сервисы в оба аплинка одновременно.
конструкция вида

ip nat ins sour stat tcp 10.10.10.50 80 83.83.83.20 80 ext
ip nat ins sour stat tcp 10.10.10.50 80 60.60.60.20 80 ext
не работает

тот же лезультат при добавлении route-map NAT-SRV

Answer 1

[Владимир Пилипчук]

После курения разных мануалов и путей самурая решил вопрос сделующим образом

ip nat inside source static tcp 10.10.45.2 25 ISP1_IP 25 extendable
ip nat inside source static tcp 10.10.45.20 25 ISP2_IP 25 extendable

ip route 0.0.0.0 0.0.0.0 ISP1_IP
ip route 0.0.0.0 0.0.0.0 Dialer0 10
!
ip access-list extended NAT
permit ip 10.10.45.0 0.0.0.255 any
ip access-list extended SRV1
permit ip host 10.10.45.2 any
permit ip host 10.10.45.3 any
ip access-list extended SRV2
permit ip host 10.10.45.20 any
permit ip host 10.10.45.30 any
!
route-map NAT-CLIENT-ISP2 permit 10
match ip address NAT
match interface Dialer0
!
route-map NAT permit 100
match ip address SRV1
set default interface FastEthernet0
!
route-map NAT permit 200
match ip address SRV2
set default interface Dialer0
!
route-map NAT-CLIENT-ISP1 permit 10
match ip address NAT
match interface FastEthernet0

Вроде работает.

Answer 2

[Sergey]

Боюсь, в случае циски для вещания на оба аплинка без BGP не обойтись.

Comments

[Владимир Пилипчук]

Я уже догадался.
Пробую друголе решение, путем присвоения серверам второго IP из той-же подсети.

ip nat ins sour stat tcp 10.10.10.50 80 83.83.83.20 80 ext
ip nat ins sour stat tcp 10.10.10.51 80 60.60.60.20 80 ext

ну и соответсвующие rout-map

И снова работает только тот канал, на котором наименьшая AD.
Честно сказать я уже ничего не понимаю с этой 15.0.1

[Sergey]

Бро, тут версия софта никакой балалайки не имеет. Чтобы вещать одновременно на два и более аплинков, надо использовать либо динамику (BGP в случае с Интернетом), либо проприетарные костыли а-ля мультилинк.

[Владимир Пилипчук]

Версия софта очень даже играет. Многие фичи бывают недоделанными… например как тот-же OER в 12.4 — вроде настроить можно, но вот обозначить маршрутные карты, на которых нужен «умный роутинг» — нельзя. По умолчанию на всех.
А если извратиться с несколькими IP — одни сервера на один канал, другие — на другой канал? Это точно должно работать. в 12.4 работало. Тут нет.

[navion]

С OER это связать ни у кого не получилось (не срабатывают роут мапы), а так — можно поизвращаться.