Как принять двух провайдеров со своими сетями в Cisco 2911 без NAT?

Question

[Vadim Rybalko]

Есть Cisco 2911 securityk9. В неё приходит два физических аплинка.
1. Uplink 1: приходит /30 PtP сеть, за которую маршрутизируется провайдерская /26. Собственно, на роутере прописан шлюз по умолчанию этого провайдера (адрес, который находится в PtP сети). Всё работает, все радуются.
2. Uplink 2: пришёл позже. пока там только /30 (всего один адрес, который висит на самом роутере). Используется как возможность залезть на роутер и посмотреть там что к чему. Больше ни для чего.

Задача: нужно чтобы если я присоединился к роутеру по SSH через второй аплинк, обратный трафик гнать также через второй.

Изыскания: сделать второй аплинк тоже умолчальным шлюзом, но с большей метрикой. Не подходит как костыль, остаётся как запасной вариант. Route-map: не очень понятно как и на какой интерфейс вешать. IP sla: не поддерживается лицензией и тоже много вопросов куда и как вешать.

Кейс номер два: второй провайдер смаршрутизирует, допустим, /28 за свой аплинк и я захочу одновременно маршрутизировать две сети по своим маршрутам.

Сейчас:

[ISP1-10.1.0.1/30]---[10.1.0.2/30-Router-10.1.1.1/26]---[10.1.1.2-62-Servers]
[ISP2-10.2.0.1/30]---[10.2.0.2/30-Router]

Если я захожу на 10.2.0.2, то обратный трафик идёт всё равно через ISP1

Будет позже:

[ISP1-10.1.0.1/30]---[10.1.0.2/30-Router-10.1.1.1/26]---[10.1.1.2-62-Servers]
[ISP2-10.2.0.1/30]---[10.2.0.2/30-Router-10.2.1.1/28]---[10.2.1.2-14-Servers]

А здесь ко всему нужно, чтобы все из 10.1.1.0/26 ходили через 10.1.0.1, а из 10.2.1.0/28 через 10.2.0.1.

Автопереключение не нужно, NAT нет ни в каком виде.

Comments

[Vadim Rybalko]

Сейчас есть в конфиге:

...
interface GigabitEthernet0/0.101
 description Internal
 encapsulation dot1Q 101
 ip address 10.1.1.1 255.255.255.192
!
interface GigabitEthernet0/0.202
 description Uplink 1
 encapsulation dot1Q 202
 ip address 10.1.0.2 255.255.255.252
 ip access-group ISP1-IN in
 ip access-group ISP1-OUT out
!
interface GigabitEthernet0/2
 description ISP2
 ip address 10.2.0.2 255.255.255.252
!
ip route 0.0.0.0 0.0.0.0 10.1.0.1 permanent
!
route-map OUT-ROUTE permit 10
 match ip address 110
 set ip next-hop 10.2.0.1
!
access-list 110 permit ip host 10.2.0.2 any
...

[Ринат Гарипов]

@Pas access-list 110 permit ip 10.2.1.0 0.0.0.15 any
route-map - ok

[Vadim Rybalko]

@ragent а нужно в итоге этот route-map к чему-то применять? К интерфейсу, например. Или оно и так заработает. Как увидеть, как обратный трафик идёт? В show ip flow top-talkers я увидел только прямые соединения.

[Vadim Rybalko]

@ragent access-list 110 permit ip host 10.2.0.2 any - это я пытался решить дилемму с router SSH.

[Ринат Гарипов]

@Pas применять не нужно, будет работать и так, когда пакеты будут попадать в ACL. Посмотреть работу route-map можно командой sh route-map XXX

Answer 1

[Валентин]

Если надо только SSH к роутеру, можно завернуть второй интерфейс на отдельную VRF с другими марщрутами.
Что непонятного с route-map? Вешаем на второй интерфейс и вперед. Ко второму кейсу это тоже относится.

Comments

[Vadim Rybalko]

VRF не хочется, в недалёком будущем второй провайдер пригонит сетку и нужно будет уже роутить.
Я уточнил вопрос, приведя часть конфига. Нарисовал route-map, но не знаю куда его сейчас привесить (не на исходящий же интерфейс)?

[Ринат Гарипов]

@vvpoloskin по первому кейсу тоже было бы любопытно узнать, как разрешить ssh при помощи route-map

[Валентин]

Route-Map можно попробовать написать с расширенным ACL, где критерием будет sourse ip 10.0.2.2. После этого повесить route-map на gi0/0.202