Хорошо. Попробую с толком, с чувством, с расстановкой. Нужна еще последняя подсказка.
PBR сконфигурирован таким образом:
route-map Load-Balance permit 10
match ip address Server-LANS
set ip next-hop verify-availability 10.10.10.49 5 track 1
set ip next-hop verify-availability 40.40.40.81 10 track 2
!
route-map Load-Balance permit 20
match ip address Office-LAN
set ip next-hop verify-availability 40.40.40.81 5 track 2
set ip next-hop verify-availability 10.10.10.49 10 track 1
здесь Track1 и Track2 и это те же самые треки
что и в записях
track 1 ip sla 1 reachability
delay down 5 up 5
track 2 ip sla 2 reachability
delay down 5 up 5
Или это их нужно рассматривать отдельно? Так как в этом (Load-Balance)PBR своя проверка на доступность next hop.
Хороший вопрос, по поводу того, что в скобках. Подскажите тогда пожалуйста, как реально определить через какого провайдера уходит трафик( раз IP адрес получается не может быть реальным показателем) . Надо запускать debug ? Какой командой?( с дебагом надо быть поаккуратней ведь)?
Я Вас понял. Спасибо еще раз большое за подробное объяснение. Я проверю, так как Вы предлагаете. Кроме static nat еще в этой конфигурации применен load balansing, и при доступных двух ISP одна из внутренних подсетей 172.22.1.0 выходит в мир через PAT с адресом интерфейса main-isp, а подсеть 192.168.1.0 выходит в мир через PAT с адресом интерфейса backup-isp.
Когда main-isp недоступен, 172.22.1.0 получает адрес интерфейса backup-isp, а когда backup-isp недоступен, сеть 192.168.1.0 получает адрес интерфейса main-isp. То есть ни один из ISP не блокирует по Source Address. Но насколько я понял из Ваших слов - такая схема работы(ассиметричная маршрутизация) не то чтобы совсем не правильная, но не рекомендуется к применению? Или в данном случае как раз все правильно?
Спасибо большое!
Объяснили так, что стало понятна логика работы.
Если Вас не затруднит:
А что происходит в таком случае.
я поменял местами записи static-nat-isp-main и static-nat-isp-backup:
ip nat inside source static 192.168.6.54 10.10.10.54 route-map static-nat-isp-backup
ip nat inside source static 192.168.6.54 20.20.20.198 route-map static-nat-isp-main
После этого когда два гейтвея доступны - адрес у машины стал 20.20.20.198, а когда первый гейтвей не доступен то у машины вообще нет доступа в интернет.
Получается что, когда два гейтвея доступны next hop от main-isp и пакеты выходят через Gi0/0, хотя адрес машина получила из адресов от isp-backup (20.20.20.198 ).
Когда первый гейтвей не доступен, next hop становиться от backup-isp, пакеты начинают выходить через Gi0/1, адрес машина получила из адресов main-isp(10.10.10.54 ), но на машине доступа в Интернет нет.
Это означает что main-isp позволяет выходить через него с чужими адресами, а isp-backup не позволяет выходить с чужими адресами? Правильно я понимаю или нет?
pezzak: да в обычном режиме две статики на один адрес не допускается, но с учетом параметра route-map так можно настраивать. nat traslation я приведу, просто там внушительный список, так как адресов куча. Я сделал выборку из конфига только по одному адресу. + PAT тоже есть.
вот такие записи есть в выводе sh ip nat tra
tcp 20.20.20.198:443 192.168.6.54:443 91.22.252.20:34019 91.22.252.20:34019
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:12395 195.156.37.124:12395
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:39534 195.156.37.124:39534
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:40369 195.156.37.124:40369
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:43992 195.156.37.124:43992
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:44011 195.156.37.124:44011
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:44012 195.156.37.124:44012
tcp 20.20.20.198:443 192.168.6.54:443 195.156.37.124:44815 195.156.37.124:44815
tcp 20.20.20.198:4443 192.168.6.54:4443 91.22.252.21:40108 91.22.252.21:40108
tcp 20.20.20.198:4443 192.168.6.54:4443 188.13.211.174:45460 188.13.211.174:45460
tcp 10.10.10.54:10775 192.168.6.54:10775 89.17.72.155:5816 89.17.72.155:5816
tcp 20.20.20.198:48337 192.168.6.54:48337 98.17.87.153:5816 98.17.87.153:5816
tcp 10.10.10.54:58371 192.168.6.54:58371 173.14.113.205:443 173.14.113.205:443