WAN - Load Balancer e Failover

Tutto ciò che ha a che fare con le reti

Moderatore: Federico.Lagni

ndiego75
Cisco pathologically enlightened user
Messaggi: 202
Iscritto il: lun 07 nov , 2005 1:57 pm
Località: Genova

zot ha scritto:

Codice: Seleziona tutto

track 1 rtr 1 reachability
 delay down 1 up 1
!
track 2 rtr 2 reachability
 delay down 1 up 1 
questo lo hai scritto e ti sei dimenticato di riportarlo sul post?

Si certo mia dimenticanza....

Codice: Seleziona tutto

ip route x.x.x.x 255.255.255.255 GW ISP2
ip route x.x.x.x 255.255.255.255 GW ISP1 
Sono delle rotte interne?

Sono route per il ping della reachability altrimenti l'ip pingato che è pubblico mi rispondeva sulla connetività attiva e non mi segnala il down

Le default route

Codice: Seleziona tutto

0.0.0.0 0.0.0.0
falle sui gateway punto-punto delle connessioni WAN ovverro sugli hop successivi al tuo router verso internet.

si è così

Codice: Seleziona tutto

access-list 100 permit ip 192.168.10.0 0.0.0.255 any
access-list 101 permit ip 192.168.2.0 0.0.0.255 any
Hai fatto caso che una e' 100 e l'altra e' 101 (che non vedo applicata da nessuna parte) ?

Non sono applicate qui? La 101 al momento non è presa in considerazione.
ip nat inside source route-map hyper interface FastEthernet0/0 overload
ip nat inside source route-map adsl interface FastEthernet0/1 overload


Il PBR instrada tramite ACL scritte ad hoc,ti consiglio di farne una per ogni connessione WAN.

Ma infatti per semplificare la situazione al momento ho postato solo quella relativa ad una delle 2 vlan; nel caso quella dati.

L'ordine con cui applica queste ACL e' dato dalla "precedenza" sulle route-map:

Codice: Seleziona tutto

route-map PBR permit 10
match ip address 100  
set ip next-hop verify-availability isp1 1 track 1
Significa che io router ,se l'hop e' raggiungibile(o qualsiasi altro parametro di "usabilita' del link specificato nell'

Codice: Seleziona tutto

ip sla 1
applico l'ACL 100 dovre avro' specificato quale tipo di traffico debba esere instradato su detto link.Se ,dati i parametri di cui sopra questo link non e' utilizzabile o ricevo richieste da traffico non specificato nell ACL 100,passo a

Codice: Seleziona tutto

route-map PBR permit 20
match ip address 101  
set ip next-hop verify-availability isp2 1 track 2
Non dovrebbe nel mio caso essere acl 100?

Dove prendero' in considerazione i parametri di raggiungibilita' del link dati da

Codice: Seleziona tutto

ip sla 2
ed il traffico specificato nelll'ACL 101.
Spero di essere sto chiaro...
La cosa è chiara come concetto logico, probabilmente quello che mi sta fregando è il nat sulle 2 connessioni. Ho creato l'overload sulle 2 route-map che corrispndono alla ACL 100, una per wan, ma a questo punto non saprei come fargliele usare in una configurazione del genere. Sulla vlan interessata gli ho impostato di usare la route map dati la quale però se la imposto come overload lo posso fare solo su una delle 2 connessioni. Il passaggio che mi manca e pensavo di risolverlo con le route map hyper e adsl ma invece mi sbagliavo.
Spero di essere stato chiaro anche io
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Consiglio spassionato....fai una ACL per ogni cosa cioe' una per il NAT(cioe' il PAT ,al secolo NAT0 )ed una per ogni WAN che vuoi utilizzare.
Tieni a mente che il router prima prende in considerazione il PBR e poi il NAT0.In soldoni :
ACL legate alla route-map del PBR -->instrado pacchetti-->matchano il NAT0?-->se si PATTO con l'ACL relativa/se no faccio uscire i pacchetti come mamma li ha fatti...
Giusto per scrupolo sull'IPSLA aggiungi la "source-interface"

Codice: Seleziona tutto

ip sla 1
icmp-echo x.x.x.x  source-interface ATM0/0/0.1
timeout 500
threshold 2
frequency 3 
ndiego75 ha scritto:

Codice: Seleziona tutto

route-map PBR permit 20
match ip address 101  
set ip next-hop verify-availability isp2 1 track 2
Non dovrebbe nel mio caso essere acl 100?
Si.
Ti posto una configurazione che ho iniziato Sabato dove varie subnet sono dietro un Firewall configurato con un IP pubblico(cha fa gia' di suo il PAT)che esce tramite ATM0.1 e un'altra subnet che viene pattata dal router e che esce su una Dialer.

Codice: Seleziona tutto

track 1 rtr 1 reachability
 delay down 5 up 5
!
track 2 rtr 2 reachability
 delay down 5 up 5
!
interface FastEthernet0/0
 description GATEWAY DEL FIREWALL (ATM0/0/0.1)
 encapsulation dot1Q 10
 ip address 88.52.xxx.xxx 255.255.255.248
 ip nat inside
 ip policy route-map PBR
!
interface FastEthernet0/1
 description GATEWAY DELLA SUBNET 10.0.0.0/8--PAT QUI!!(Dialer0)
 ip address 10.0.0.1 255.0.0.0
 ip nat inside
 ip policy route-map PBR
!
ip route 0.0.0.0 0.0.0.0 ATM0/0/0.1 track 1
ip route 0.0.0.0 0.0.0.0 Dialer0 track 2
!
ip nat inside source route-map NAT-0 interface Dialer0 overload
!
ip sla 1
 icmp-echo 88.58.xxx.xxx source-interface ATM0/0/0.1
 timeout 500
 threshold 2
 frequency 3
ip sla schedule 1 life forever start-time now
!
ip sla 2
 icmp-echo 82.143.xxx.xxx source-interface Dialer0
 timeout 500
 threshold 2
 frequency 3
ip sla schedule 2 life forever start-time now
!
ip access-list extended ATM0/0/0.1
 permit ip 88.52.xxx.xxx 0.0.0.7 any
 deny   ip any any
ip access-list extended Dialer0
 permit ip 10.0.0.0 0.255.255.255 any
 deny   ip any any
!
access-list 100 remark *** PAT-0 ***
access-list 100 permit ip 10.0.0.0 0.255.255.255 any
access-list 100 permit ip 88.52.xxx.xxx 0.0.0.7 any
!
route-map PBR permit 10
 match ip address ATM0/0/0.1
 set ip next-hop verify-availability 88.58.xxx.xxx 1 track 1
!
route-map PBR permit 20
 match ip address Dialer0
 set ip next-hop verify-availability 82.143.xxx.xxx 2 track 2
!
route-map NAT-0 permit 10
 match ip address 100
 match interface Dialer0
Questa e' una configurazione di standbay perche' voglio riconfigurare anche il firewall per evitare l'accozzaglia che si e' venuta a creare.
Come e' adesso il backup non avviene in automatico(se c'e' qualche problema mi collego e gestisco PAT e ACL per instradare il traffico sull LINK attivo).Come vedi su una sola interfaccia faccio PAT (Dialer0) ma v'includo anche la subnet di IP PUBBLICI sulla quale si trova il FIREWALL.Va da se che se volessi far funzionare il tutto cosi' com'e' (a livello di PAT) devo crearmi un "ip nat...overload" per ogni interfaccia WAN e ACL relative.Aggiungo che se volessi far funzionare il tutto ,dovrei anche crearmi due "ip policy" di PBR affinche' le precedenze d'instradamento e relativi PAT siano allineati.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
ndiego75
Cisco pathologically enlightened user
Messaggi: 202
Iscritto il: lun 07 nov , 2005 1:57 pm
Località: Genova

Fin quà ci ero arrivato facendola funzionare in automatico.
L'altro problema che sto cercando di risolvere è:
come faccio a far si che il PAT ad esempio:
ip nat inside source static tcp 192.168.10.2 3389 interface FastEthernet0/0 3389

cambi in modo automatico sulla fastethernet0/1 in caso di failover?
Grazie
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Non vorrei dire una cavolata ma penso che devi farlo conuna route-map.
Comunque attendi qualcuno più preparato
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

paolomat75 ha scritto:......... devi farlo conuna route-map.
......
Confermo.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
ndiego75
Cisco pathologically enlightened user
Messaggi: 202
Iscritto il: lun 07 nov , 2005 1:57 pm
Località: Genova

Un esempio?
Grazie
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Crei una ACL di quello che vuoi far traslare

Codice: Seleziona tutto

access-list 100 permit   tcp 192.168.10.2 3389 any any
Poi crei una route-map per ogni linea e associ quella route-map al nat

Codice: Seleziona tutto

route-map <nome_map_interfaccia> permit 10
 match ip address 1
 match interface <interfaccia_out>

ip nat inside source route-map <nome_map_interfaccia> interface <interfaccia_out> 3389
Metti anche il timeout del nat

Codice: Seleziona tutto

ip nat translation timeout 60
Prova e fammi sapere.
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

in realta' cosi' dovresti crearti due route-map distinte.....un modo "poco pulito" ma efficace e' questo :

Codice: Seleziona tutto

access-list 111 remark *** RDP ***
access-list 111 permit tcp any any eq 3389
!
ip nat pool RDP 192.168.0.32 192.168.0.32 netmask 255.255.255.0 type rotary
ip nat inside destination list 111 pool RDP
Cosi' avrai il PAT sulla 3389 dell'host 192.168.0.32 "presentato" su tutte le interfacce "ip nat outside".
Tieni presente che se quell'host tramite PBR ha una precedenza su un'interfaccia in uscita,dovrai collegarti dall'esterno sull'IP di quella interfaccia.Se ques'ultima dovesse cadere,ti potrai collegare all'host 192.168.0.32 sull'interfaccia di backup impostata tramite PBR solo dopo il timeout del NAT.
Quindi e' importatnte,come dice paolomat75,d'mpostare un "ip nat translation timeout" relativamente basso.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Avatar utente
zot
Messianic Network master
Messaggi: 1274
Iscritto il: mer 17 nov , 2004 1:13 am
Località: Teramo
Contatta:

Per chi vuole ho scritto un articolo abbastanza dettagliato su http://www.zotbox.net/?p=250 .
La conf che ho postato e' corretta ma sono i tempi del track che vanno sistemati.Con 1 sec per l'UP ed 1 sec per il down si creano parecchi problemi, ci vogliono tempi piu' conservativi,nell'ordine delle decine di secondo.
Se c'è soluzione perchè t'arrabbi?
Se non c'è soluzione perchè t'arrabbi?


http://www.zotbox.net
Rispondi