Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Два провайдера одночасно або Dual ISP with VRF на Cisco

2016-06-01
Автор: Телесфера

 

network

Є універсальне рішення для підключення декількох провайдерів, ip sla + track. Рішення легке для розуміння і просте в управлінні. Але коли справа доходить до одночасного використання двох і більше каналів зв'язку, дана технологія в чистому вигляді не підходить. 

Хочу поділиться своїм досвідом. На вузлах з декількома провайдерами я використовую конфігурацію, що містить віртуальні роутери - VRF. Ця конфігурація взята з моєї практики і добре себе зарекомендувала. 

Two ISP

Припустимо у нас є 2 провайдера з параметрами: 

ISP1 1.1.1.1 шлюз 1.1.1.2 
ISP2 2.2.2.1 шлюз 2.2.2.2 
І локальна мережа: 
LAN 192.168.1.1/24 

Приступимо до конфігурації. Для початку потрібно створити ці самі віртуальні маршрутизатори, а буде їх 3. Два на провайдерів і один на локальну мережу. 

Відразу ж налаштуємо правила експорту маршрутів, що б не повертається розділ ip vrf. Логіка наступна - не можна обмінюватись маршрутами між VRF провайдерів (насправді можна, але при таких варіантах настройка ускладниться). На пальцях: VRF провайдерів можуть отримувати і відправляти маршрути тільки в / від VRF локальної мережі. VRF локальної мережі може відправляти свої маршрути і отримувати маршрути від будь-яких інших VRF. 

ip vrf isp1 rd 65000:1

route-target export 65000:1

route-target import 65000:99

 

ip vrf isp2 rd 65000:2

route-target export 65000:2

route-target import 65000:99

 

ip vrf lan rd 65000:99

route-target export 65000:99

route-target import 65000:1

route-target import 65000:2


Вводимо дані про мережі в наш маршрутизатор, не забуваємо відразу включити NAT і призначити інтерфейсам потрібні VRF. Один інтерфейс не може належати відразу декільком VRF. Уявіть собі, що ви вирішили зробити з одного маршрутизатора кілька, розпилявши його на частини і в кожній частині залишилися свої інтерфейси. 

interface GigabitEthernet0/0/0

 description === ISP 1 ===

 ip vrf forwarding isp1

 ip address 1.1.1.1 255.255.255.252

 ip nat outside

 

interface GigabitEthernet0/0/1

 description === ISP 2 ===

 ip vrf forwarding isp2

 ip address 2.2.2.1 255.255.255.252

 ip nat outside

 

interface GigabitEthernet0/0/2

description === LAN ===

 ip vrf forwarding lan

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

Все, тепер у нас є 3 маленьких, але гордих незалежних маршрутизатора. Перед тим як зробити головне - прописати шлюзи провайдерів, треба налаштувати ip sla тест. Робиться це так само, як і в стандартному рішенні, але із зазначенням VFR'а з якого передбачається проводить ip sla тест. 

ip sla auto discovery

ip sla 1 icmp-echo 4.2.2.1 vrf isp1

 frequency 15

 ip sla schedule 1 life forever start-time now

 

ip sla 2 icmp-echo 8.8.8.8 vrf isp1

 frequency 15

ip sla schedule 2 life forever start-time now

 

track 11 ip sla 1 reachability

track 12 ip sla 2 reachability

track 123 list boolean or object 11 object 12

Додаємо маршрути в наші віртуальні маршрутизатори, які відповідають за зв'язок з провайдерами. Зверніть увагу на значення метрики, на резервному каналі метрика вище і далі ви зрозумієте чому. 

ip route vrf isp1 0.0.0.0 0.0.0.0 1.1.1.2 100 track 123

ip route vrf isp2 0.0.0.0 0.0.0.0 2.2.2.2 120

В принципі цього вже достатньо, для того що б до маршрутизатора можна було підключиться із зовні з публічного адресою будь-якого з провайдерів (якщо, звичайно, налаштований SSH або telnet доступ). 

Далі приготуємо NAT, все робимо практично так само, як ми звикли налаштовувати в стандартному рішенні без VRF. Робимо access-list який забороняє транслювати локальні адреси в локальні адреси: 

ip access-list extended NO_NAT

 deny ip any 192.168.0.0 0.0.255.255

 deny ip any 172.16.0.0 0.15.255.255

 deny ip any 10.0.0.0 0.255.255.255

 permit ip any any


Робимо карти маршрутизації для кожного провайдера: 

route-map ISP1 permit 10

 match ip address NO_NAT

 match interface GigabitEthernet0/0/0

 

route-map ISP2 permit 10

 match ip address NO_NAT

 match interface GigabitEthernet0/0/1


І включаємо NAT overload (зверніть увагу, що правило налаштовується на віртуальний маршрутизатор vrf lan): 

ip nat inside source route-map ISP1 interface GigabitEthernet0/0/0 vrf lan overload

ip nat inside source route-map ISP2 interface GigabitEthernet0/0/1 vrf lan overload


Наше елегантне рішення практично готове, але потрібен фінальний штрих, це BGP процес який буде займатися перерозподілом маршрутів між VRF враховуючи правила імпорту \ експорту які ми налаштували в кожному VRF. 

router bgp 65000

 bgp log-neighbor-changes

 address-family ipv4 vrf isp1

 redistribute connected

 redistribute static metric 100

 default-information originate

exit-address-family

 address-family ipv4 vrf isp2

 redistribute static metric 120

 redistribute connected

 default-information originate

exit-address-family

 address-family ipv4 vrf lan

 redistribute connected

exit-address-family

Команда default-information originate дозволяє передавати через bgp маршрут за замовчуванням. В результаті, в кандидати на маршрут за замовчуванням для vrf lan потраплять два маршрути до шлюзів різних провайдерів, але за допомогою bgp буде обраний той, у якого метрика менше. Відповідно якщо раптом треба перемкнути NAT з одного провайдера на іншого, досить буде поміняти метрику в таблиці маршрутизації одного з VRF. 

Висновок. Дана конфігурація дозволяє організувати підключення до двох провайдерів зв'язку одночасно. Конфігурація дуже гнучка, використовуючи PBR, можна розділяти трафік між провайдерами, і навіть у разі падіння одне з них, продовжувати надавати сервіс. Особливість VRF, дозволяє навіть під час складних маніпуляцій з конфігурацією не втратити зв'язок з пристроєм (не можна одночасно правити дві таблиці маршрутизації, хоча ...). Конфігурація легко розширюється і дозволяє без проблем додати нових провайдерів. 

З недоліків, хочу наголосити на необхідності майже в будь-яку команду вставляти додатковий текст vrf <назва>. Так перегляд таблиці маршрутизації віртуального роутера локальної мережі викликається командою: 

 show ip route vrf lan

Пінг через NAT: 

 ping vrf lan 8.8.8.8

Пінг з vrf першого провайдера: 

 ping vrf isp1 8.8.8.8


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова комп'ютерних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит комп'ютерних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

 

КОММЕНТАРІ ДО СТАТТІ

Cisco Security Cloud, розроблена як найбільш відкрита платформа в галузі

Cisco Security Cloud, розроблена як найбільш відкрита платформа в галузі
Cisco,cisco,cisco безпека,новини,Налаштування,Налаштування Cisco

Під час конференції RSA, RSAC 2022, Cisco оприлюднила своє бачення глобальної уніфікованої платформи для наскрізної безпеки в мультихмарних середовищах. Cisco Security Cloud створено як відкриту платформу безпеки без публічного блокування, що забезпечує стійкість безпеки та захищає цілісність усієї ІТ-екосистеми.

Повна узгодженість у всіх сферах завдяки Aruba EdgeConnect SD-WAN

Повна узгодженість у всіх сферах завдяки Aruba EdgeConnect SD-WAN
Aruba Networks,Продуктивність,Налаштування Aruba Instant,Налаштування Aruba,Налаштування

Користувачі непостійні. Вони хочуть швидко. Вони хочуть веселощів. Найголовніше те, що вони хочуть, щоб все було послідовним. Це може здатися нерозумним, але більшість користувачів погодилися б на зниження швидкості, якби це означало більш послідовний досвід. Коли справа доходить до таких речей, як спілкування в режимі реального часу чи використання додатків, ключовим є те, що користувачі отримують однакове обслуговування та набір функцій щоразу, коли вони входять, незалежно від того звідки входять в цей час та який пристрій використовують.

Як дізнатися топологію вашої мережі

Як дізнатися топологію вашої мережі
Блог Телесфера,Aruba Networks,Налаштування,Налаштування Aruba

Топологія мережі – це розташування різних елементів мережі зв’язку, зазвичай зображується за допомогою графіка Це застосування теорії графів, де різні мережеві пристрої моделюються як вузли, а зв’язки між пристроями моделюються як зв’язки або лінії між вузлами.