На двух интерфейсах настроены внешние ("публичные") адреса:
Gi0/1 1.1.1.2/30 (ISP1)
Gi0/2 2.2.2.2/30 (ISP2)
На gi0/0 внутренний адрес, к примеру, 192.168.0.1
Настроен маршрут по-умолчанию, статически: ip route 0.0.0.0 0.0.0.0 1.1.1.1
Далее к этому будет еще прикручен ip sla и т.д., но пока так.
Проблема в том, что из интернета всегда доступны оба интерфейса и оба адреса. То есть с внешнего независимого хоста я могу пинговать и 1.1.1.2 и 2.2.2.2.
Чего, в общем-то, не должно быть - второй провайдер (мой внешний адрес) должен быть недоступен, поскольку роутер не знает (не должен знать), как правильно отвечать на запросы на второй адрес.
Кто-нибдь знает, с чем это может быть связано? похоже на то, что ответы как-то проходят через первого провайдера.
Более того, через второго провайдера еще также поднимаются и работают резервные flexVPN туннели, что вносит некий бардак вмаршрутизацию. Аналогично, не должны они работать.
Это наблюдаю только на одной железке. Есть еще с аналогичной настройкой, и там все нормально.
Прошивку пробовал c2900-universalk9-mz.SPA.156-3.M0a и c2900-universalk9-mz.SPA.154-3.M
индикаторы есть на разъеме сетевухи у резервного? если пингует на прямую - то он моргать будет, а если через первый(основной) через софт железки будет запрос проходить, то нет
не должно быть - второй провайдер (мой внешний адрес) должен быть недоступен, поскольку роутер не знает (не должен знать), как правильно отвечать на запросы на второй адрес.
С какой это стати он не должен? У него есть 0.0.0.0/0 - этого вполне достаточно, чтоб отправить ответ на запрос с ЛЮБОГО адреса в интернете. Маршрутизация -- она, знаете ли, не учитывает (без особой магии вроде PBR или VRF) Source-адреса. Все, что ей надо - это адрес назначения.
Другой вопрос, что все толковые провайдеры не позволяют своим клиентам в Source писать что попало вместо выданного клиенту адресу, а ваш позволяет, и потому приходит запрос на белый адрес второго провайдера, а ответ улетает с соурсом второго но -- через первого. Никакой магии.
Средний
