cisco ios, flere wan's, route-map og returtrafikk

[lohelle]

Et spørsmål til Cisco-guruer.

 

Jeg har en Cisco 1811 router. Denne har ADSL-wan gjennom fastethernet 0 og satelitt-wan gjennom fastethernet 1

 

Jeg har 2 lokale lans på vlan 1 og vlan 2

WAN'ene har public ip's som NAT'es inn mot de lokale (overload)

 

Jeg kan først legge ved relevant config på cisco router:

 

ip cef

interface FastEthernet0

ip address 222.111.222.100 255.255.255.192

ip nat outside

 

interface FastEthernet1

ip address 111.123.222.100 255.255.255.192

ip nat outside

 

interface vlan1

ip address 10.151.5.1 255.255.255.0

ip nat inside

 

interface vlan2

ip address 10.151.6.1 255.255.255.0

ip nat inside

ip policy route-map satnat

 

access-list 152 permit ip 10.151.6.0 0.0.0.255 any

 

route-map satnat permit 10

match ip address 152

set ip next-hop 111.123.222.65

 

ip nat pool natpool 222.111.222.100 222.111.222.100 prefix-length 24

ip nat pool satnat 111.123.222.100 111.123.222.100 prefix-length 24

ip nat inside source list 150 pool natpool overload

ip nat inside source list 152 pool satnat overload

 

ip route 0.0.0.0 0.0.0.0 222.111.222.65

 

------------------

 

Dette fungerer slik at trafikk fra vlan2 går ut gjennom satelitt-link og trafikk fra vlan 1 går ut gjennom adsl-wan.

 

Det jeg lurer på er:

 

Det jeg ønsker å få til er følgende:

fjerne vlan2 og legge alt inn i vlan1.

sette opp forskjellige port forwardinger og cisco vpn på hver av wan interfacene.

tingen er bare den at jeg ønsker at trafikk som kommer inn gjennom satelitt-wan skal sendes i retur gjennom akkurat dette wan'et. Uten litt smart config så vil denne gå tilbake gjennom default gateway (ikke testet).

Husk at nå ligger alt utstyr lokalt i samme vlan. Jeg øsnker altså å kontrollere returtrafikk, men denne gang kan jeg risikere at trafikk fra begge wan's kan nå samme lokale enhet.

 

Klarer jeg dette med Cisco IOS? Den skal altså "huske" hvor trafikken kommer inn, og svare gjennom samme link. (har ikke testet enda. Er jo litt slik nat fungerer i utgangspunktet)

Eller er dette allerede slik by design??

[Knopfix]

Fikk en ide her som ikke er testet.

Trafkk på Fa 1 blir tagget med 999, deretter blir trafikk som har en match i vlan1 med tag 999 satt til fa 1 som default next-hop (forhåpentligvis).

 

 

 

route-map sat permit 10

match interface fa 1

set tag 999

 

Interface fa 1

ip policy route-map sat

 

route-map vlan1 permit 10

match tag 999

set ip default next-hop 111.123.222.100

 

Interface vlan 1

ip policy route-map vlan1

[lohelle]

Hmm.. dette skal jeg jaggu meg teste. Den har jeg ikke sett før faktisk.

[Knopfix]

Jeg er egentlig litt i tvil på om det vil fungere.

Lurere på om trafikken fra nodene på innsiden vil bevare merkingen når trafikk sendes ut igjen på WAN SAT interfacet.

Endret 4. november 2008 av Knopfix

[timtowtdi]

Ligner litt på et "NAT on a stick" scenario - der man bruker loopback interface som NAT outside..

 

http://www.cisco.com/en/US/tech/tk648/tk36...080094430.shtml

Endret 24. november 2008 av timtowtdi

[routeninja]

Du kan ikke tagge trafikk på denne måten, bare routes. Må finne noe annet å matche på, også bruke en ip local policy hvor du setter next-hopet. Retur-trafikken har ikke noe overlevende fra SAT-linken du kan matche på.

Endret 13. november 2008 av routeninja

[tyldum]

Det er mulig dette fungerer ut av boksen, det gjør det i allefall med en Linux-basert router.

Her benyttes ruting-cache som gjør at det håndteres automagisk, men jeg har aldri satt det opp med Cisco.

[tyldum]

En annen ting: Om det ikke virker er en fattigmanns workaround å NAT'e de to WAN'ene til ulik IP:

 

Sett sett server til å lytte på 2 IP-adresser.

Wan1 NAT'es til en IP, Wan2 til den andre.

Deretter setter du opp ruting basert på avsender (IP1 eller IP2).

 

Normalt sett skal hosten svare på samme IP som trafikken kom inn på.

 

Dette er et hack, men kan i noen tilfeller være grei workaround.

[lohelle]

Takk for tips folkens.

 

Skal teste litt i morgen da jeg skal ut til der dette er koblet opp.

Vi får se hva jeg finner ut da.

 

Litt synd at pakkene ikke kan trackes slik som nevnt tidligere i tråden. Skal komme tilbake med litt etter testingen.