Cisco router: как меняется NAT при использовании IP SLA?

Question

[gustaf]

Не могу разобраться, если можете, подскажите пожалуйста.

Есть такая конфигурация:

Два внешних интерфейса к двум разным провайдерам

interface GigabitEthernet0/0
description MAIN_ISP
ip address 10.10.10.54 255.255.255.240 secondary
ip address 10.10.10.51 255.255.255.240
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto

interface GigabitEthernet0/1
description BACKUP_ISP
ip address 20.20.20.198 255.255.255.240 secondary
ip address 40.40.40.82 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto

один внутренний интерфейс во внутреннюю сеть.

interface GigabitEthernet0/2
description link_between_2911_and_ASA
ip address 192.168.255.1 255.255.255.248
ip nat inside
ip virtual-reassembly in
ip policy route-map Load-Balance
duplex auto
speed auto

Две записи NAT

ip nat inside source static 192.168.6.54 10.10.10.54 route-map static-nat-isp-main
ip nat inside source static 192.168.6.54 20.20.20.198 route-map static-nat-isp-backup

PBR

route-map static-nat-isp-backup permit 10
match interface GigabitEthernet0/1

route-map static-nat-isp-main permit 10
match interface GigabitEthernet0/0

маршруты

ip route 0.0.0.0 0.0.0.0 10.10.10.49 5 track 1
ip route 0.0.0.0 0.0.0.0 40.40.40.81 10 track 2
ip route 192.168.6.0 255.255.255.0 192.168.255.2

мониторинг доступности каналов

ip sla 1
icmp-echo 10.10.10.49 source-interface GigabitEthernet0/0
threshold 1000
frequency 5
ip sla schedule 1 life forever start-time now

ip sla 2
icmp-echo 40.40.40.81 source-interface GigabitEthernet0/1
threshold 1000
frequency 5
ip sla schedule 2 life forever start-time now


track 1 ip sla 1 reachability
delay down 5 up 5
!
track 2 ip sla 2 reachability
delay down 5 up 5

Когда два оба провайдера доступны , адрес машины 192.168.6.54 транслируется в интернет в адрес 10.10.10.54
Когда провайдер main_isp не доступен , адрес машины 192.168.6.54 транслируется в интернет в адрес 20.20.20.198

Вопрос.
Не могу понять по какому правилу происходит трансляция в первом случае, и по какому во втором случае.

Когда первый провайдер перестает быть доступным меняется шлюз по умолчанию с 10.10.10.49 на 40.40.40.81 - это понятно.
Где и когда меняется NAT?

Answer 1

[Александр]

Цифры 5 и 10 для маршрутов называются Administrative Distance, более-менее адекватный русский аналог - "степень доверия источнику маршрутной информации".

ip route 0.0.0.0 0.0.0.0 10.10.10.49 5 track 1
ip route 0.0.0.0 0.0.0.0 40.40.40.81 10 track 2

Из двух одинаковых валидных маршрутов в таблицу маршрутизации попадёт тот, у которого AD меньше.
Выбор первого или второго маршрута влияет на выбор исходящего интерфейса для отправки пакета наружу (разные next-hop доступны через разные интерфейсы).
Это, в свою очередь, влияет на выбор правила NAT. Одна route-map'а срабатывает для одного интерфейса (route-map static-nat-isp-main - Gi0/0), другая - для другого (backup - Gi0/1).
Нужна ли дополнительная инфа?

Comments

[gustaf]

Спасибо большое!
Объяснили так, что стало понятна логика работы.
Если Вас не затруднит:
А что происходит в таком случае.
я поменял местами записи static-nat-isp-main и static-nat-isp-backup:
ip nat inside source static 192.168.6.54 10.10.10.54 route-map static-nat-isp-backup
ip nat inside source static 192.168.6.54 20.20.20.198 route-map static-nat-isp-main

После этого когда два гейтвея доступны - адрес у машины стал 20.20.20.198, а когда первый гейтвей не доступен то у машины вообще нет доступа в интернет.
Получается что, когда два гейтвея доступны next hop от main-isp и пакеты выходят через Gi0/0, хотя адрес машина получила из адресов от isp-backup (20.20.20.198 ).
Когда первый гейтвей не доступен, next hop становиться от backup-isp, пакеты начинают выходить через Gi0/1, адрес машина получила из адресов main-isp(10.10.10.54 ), но на машине доступа в Интернет нет.
Это означает что main-isp позволяет выходить через него с чужими адресами, а isp-backup не позволяет выходить с чужими адресами? Правильно я понимаю или нет?

[Александр]

gustaf: Начало верное - если оба ISP доступны, то трафик выходит через ip route 0.0.0.0 0.0.0.0 с меньшим AD, т.е. через Main-ISP, но так как NAT даёт адрес от Backup-ISP (перепутаны пулы адресов NAT и интерфейсы route-map), то для возврата трафика обратно требуется живой Backup-ISP. Это называется ассиметричная маршрутизация (в одну сторону трафик идёт по одному маршруту, в другую - по другому) и в данном случае это не есть хорошо.
Во втором случае (Main-ISP не доступен) трафик переключается на Backup-ISP, получая адрес от Main-ISP, а т.к. Main не работает, то трафик не возвращается.

В данном случае Main точно не фильтрует по Source Address, тогда как про Backup мы этого сказать не можем. Если интересно, то для проверки можно сменить на статических маршрутах AD (5 и 10), чтобы Backup-ISP стал основным и если интернет появится, то это будет означать, что и Backup-ISP не фильтрует по Source.
В любом случае, любой из провайдеров вправе применить www.bcp38.info (фильтрацию по Source Address) и тогда данная схема вообще перестанет работать.

[gustaf]

Я Вас понял. Спасибо еще раз большое за подробное объяснение. Я проверю, так как Вы предлагаете. Кроме static nat еще в этой конфигурации применен load balansing, и при доступных двух ISP одна из внутренних подсетей 172.22.1.0 выходит в мир через PAT с адресом интерфейса main-isp, а подсеть 192.168.1.0 выходит в мир через PAT с адресом интерфейса backup-isp.
Когда main-isp недоступен, 172.22.1.0 получает адрес интерфейса backup-isp, а когда backup-isp недоступен, сеть 192.168.1.0 получает адрес интерфейса main-isp. То есть ни один из ISP не блокирует по Source Address. Но насколько я понял из Ваших слов - такая схема работы(ассиметричная маршрутизация) не то чтобы совсем не правильная, но не рекомендуется к применению? Или в данном случае как раз все правильно?

[Александр]

gustaf: 172.22.1.0 выходит с адресом интерфейса main-isp (через main-isp?)
192.168.1.0 выходит с адресом интерфейса backup-isp (через backup-isp?)

Когда main-isp недоступен:
172.22.1.0 выходит с адресом интерфейса backup-isp (через backup-isp?)

Когда backup-isp недоступен
192.168.1.0 выходит с адресом интерфейса main-isp (через main-isp?)

Если ответы на все вопросы в скобках — ДА, то всё в порядке. Т.к. в этом случае трафик каждой из подсетей уходит и приходит на один и тот же интерфейс, а вот если трафик уходит через одного провайдера, но использует при этом адресацию второго провайдера (и потому обратно вернётся через второго провайдера), тогда схема — не очень и перестанет работать при BCP38.
В этом случае тоже нужно будет воспользоваться предложенным pezzak EEM'ом для сброса нат трансляций.

Небольшое уточнение: маршрутизация с помощью route-map называется Policy-Based Routing (PBR).

[gustaf]

Хороший вопрос, по поводу того, что в скобках. Подскажите тогда пожалуйста, как реально определить через какого провайдера уходит трафик( раз IP адрес получается не может быть реальным показателем) . Надо запускать debug ? Какой командой?( с дебагом надо быть поаккуратней ведь)?

[Александр]

Либо анализ политики PBR вручную (с толком, с чувством, с расстановкой), либо debug ip policy (плюс debug condition, чтобы ограничить число срабатываний дебагов, т.к. действительно — небрежно запущенный дебаг может сильно загрузить девайс).

[gustaf]

Хорошо. Попробую с толком, с чувством, с расстановкой. Нужна еще последняя подсказка.
PBR сконфигурирован таким образом:
route-map Load-Balance permit 10
match ip address Server-LANS
set ip next-hop verify-availability 10.10.10.49 5 track 1
set ip next-hop verify-availability 40.40.40.81 10 track 2
!
route-map Load-Balance permit 20
match ip address Office-LAN
set ip next-hop verify-availability 40.40.40.81 5 track 2
set ip next-hop verify-availability 10.10.10.49 10 track 1

здесь Track1 и Track2 и это те же самые треки
что и в записях
track 1 ip sla 1 reachability
delay down 5 up 5
track 2 ip sla 2 reachability
delay down 5 up 5

Или это их нужно рассматривать отдельно? Так как в этом (Load-Balance)PBR своя проверка на доступность next hop.

[Александр]

gustaf: "Или это их нужно рассматривать отдельно?" Не нужно.
Каждый track делает проверку своего ISP, а каждым результатом могут пользоваться несколько подсистем (ip route, route-map, EEM и т.д.). И если один из track'ов скажет, что ISP недоступен, то все подсистемы это поймут и, соответственным образом, отреагируют.

[gustaf]

Все, теперь все ясно. Я очень ждал Вашего комментария. Спасибо еще раз большое за помошь!

Answer 2

[pezzak]

В первом случае, когда доступны оба гейтвея, маршрутизатор отправляет пакеты в мир, пришедшие от хоста 192.168.6.54 с Inside Global адресом 10.10.10.54, в втором случае Inside Global 20.20.20.198, т.е. в зависимости от таблицы маршрутизации (точнее таблицы FIB), у вас нат же вот включен для обоих адресов:

ip nat inside source static 192.168.6.54 10.10.10.54 route-map static-nat-isp-main
ip nat inside source static 192.168.6.54 20.20.20.198 route-map static-nat-isp-backup

Так же, при недоступности основного шлюза, установленные tcp сессии подвиснут, т.к. 192.168.6.54 будет транслироваться, согласно построенной таблице ната. В этом случае, необходимо очистить таблицу через EEM:

event manager applet ISP_1_UP 
 event track 1 state up
 action 001 cli command "enable"
 action 002 cli command "clear ip nat trans *"
 action 003 syslog msg "ISP 1 is UP"

event manager applet ISP_1_DOWN 
 event track 1 state down
 action 001 cli command "enable"
 action 002 cli command "clear ip nat trans *"
 action 003 syslog msg "ISP 1 is DOWN"

Comments

[Александр]

А если не требуется видеть в логах что именно произошло с ISP, то можно вместо
event track 1 state up
использовать
event track 1 state any

Или, если нужно привязаться к нескольким track-объектам, то можно реагировать на syslog-сообщениЯ вот таким event'ом:
event syslog pattern "TRACKING-5-STATE: (12)|(21) rtr (12)|(21) state"
В данном случае EEM будет срабатывать и для track 12, и для track 21.

Это всё для того, чтобы сократить количество applet'ов, и, соответственно, дублирующихся конфигов.

Answer 3

[gustaf]

Спасибо за ответ!
Я понимаю сто НАТ включен для обоих адресов.
Вопрос в другом, почему когда два два гейтвея доступны то 10.10.10.54 , а когда первый гейтвей не доступен то - 20.20.20.198.

Где правило или где приоритет?

Если меняю местами записи вот таким образом:

ip nat inside source static 192.168.6.54 10.10.10.54 route-map static-nat-isp-backup
ip nat inside source static 192.168.6.54 20.20.20.198 route-map static-nat-isp-main

то когда два гейтвея доступны - адрес будет 20.20.20.198, а когда первый гейтвей не доступен то у машины вообще нет доступа в интернет.

Отдельное спасибо по очистке таблицы!

Comments

[pezzak]

Неправильно вам написал, извиняюсь, не вчитался. Во-первых, таблицу необходимо очищать при PAT, у вас же статик нат. Во-вторых, циска должна писать ошибку при добавлении двух статик нат записей, что-то вроде similar static entry already exists. Если действительно две записи висят, покажите вывод sh ip nat tra . Две записи с одним адресом можно сделать либо через eem, либо через vrf

[gustaf]

pezzak: да в обычном режиме две статики на один адрес не допускается, но с учетом параметра route-map так можно настраивать. nat traslation я приведу, просто там внушительный список, так как адресов куча. Я сделал выборку из конфига только по одному адресу. + PAT тоже есть.
вот такие записи есть в выводе sh ip nat tra
tcp 20.20.20.198:443 192.168.6.54:443 91.22.252.20:34019 91.22.252.20:34019
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:12395 195.156.37.124:12395
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:39534 195.156.37.124:39534
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:40369 195.156.37.124:40369
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:43992 195.156.37.124:43992
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:44011 195.156.37.124:44011
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:44012 195.156.37.124:44012
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:44815 195.156.37.124:44815
tcp 20.20.20.198:4443 192.168.6.54:4443 91.22.252.21:40108 91.22.252.21:40108
tcp 20.20.20.198:4443 192.168.6.54:4443 188.13.211.174:45460 188.13.211.174:45460
tcp 10.10.10.54:10775 192.168.6.54:10775 89.17.72.155:5816 89.17.72.155:5816
tcp 20.20.20.198:48337 192.168.6.54:48337 98.17.87.153:5816 98.17.87.153:5816
tcp 10.10.10.54:58371 192.168.6.54:58371 173.14.113.205:443 173.14.113.205:443

--- 20.20.20.198 192.168.6.54 --- ---
--- 10.10.10.54 192.168.6.54 --- ---

[pezzak]

gustaf: да, точно.

//
Вопрос в другом, почему когда два два гейтвея доступны то 10.10.10.54 , а когда первый гейтвей не доступен то - 20.20.20.198.
//

согласно таблице маршрутизации, точнее таблице fib.
и да, очистка таблицы трансляций нужна так же в этом случае.

для хоста 192.168.6.54 можно править маршрутизацию через pbr на интерфейсе gi0/2