Картинка

БЛОГ про

все цікаве у світі телекомунікацій

Два провайдера одночасно або Dual ISP with VRF на Cisco

2016-06-01
Автор: Телесфера

 

network

Є універсальне рішення для підключення декількох провайдерів, ip sla + track. Рішення легке для розуміння і просте в управлінні. Але коли справа доходить до одночасного використання двох і більше каналів зв'язку, дана технологія в чистому вигляді не підходить. 

Хочу поділиться своїм досвідом. На вузлах з декількома провайдерами я використовую конфігурацію, що містить віртуальні роутери - VRF. Ця конфігурація взята з моєї практики і добре себе зарекомендувала. 

Two ISP

Припустимо у нас є 2 провайдера з параметрами: 

ISP1 1.1.1.1 шлюз 1.1.1.2 
ISP2 2.2.2.1 шлюз 2.2.2.2 
І локальна мережа: 
LAN 192.168.1.1/24 

Приступимо до конфігурації. Для початку потрібно створити ці самі віртуальні маршрутизатори, а буде їх 3. Два на провайдерів і один на локальну мережу. 

Відразу ж налаштуємо правила експорту маршрутів, що б не повертається розділ ip vrf. Логіка наступна - не можна обмінюватись маршрутами між VRF провайдерів (насправді можна, але при таких варіантах настройка ускладниться). На пальцях: VRF провайдерів можуть отримувати і відправляти маршрути тільки в / від VRF локальної мережі. VRF локальної мережі може відправляти свої маршрути і отримувати маршрути від будь-яких інших VRF. 

ip vrf isp1 rd 65000:1

route-target export 65000:1

route-target import 65000:99

 

ip vrf isp2 rd 65000:2

route-target export 65000:2

route-target import 65000:99

 

ip vrf lan rd 65000:99

route-target export 65000:99

route-target import 65000:1

route-target import 65000:2


Вводимо дані про мережі в наш маршрутизатор, не забуваємо відразу включити NAT і призначити інтерфейсам потрібні VRF. Один інтерфейс не може належати відразу декільком VRF. Уявіть собі, що ви вирішили зробити з одного маршрутизатора кілька, розпилявши його на частини і в кожній частині залишилися свої інтерфейси. 

interface GigabitEthernet0/0/0

 description === ISP 1 ===

 ip vrf forwarding isp1

 ip address 1.1.1.1 255.255.255.252

 ip nat outside

 

interface GigabitEthernet0/0/1

 description === ISP 2 ===

 ip vrf forwarding isp2

 ip address 2.2.2.1 255.255.255.252

 ip nat outside

 

interface GigabitEthernet0/0/2

description === LAN ===

 ip vrf forwarding lan

 ip address 192.168.1.1 255.255.255.0

 ip nat inside

Все, тепер у нас є 3 маленьких, але гордих незалежних маршрутизатора. Перед тим як зробити головне - прописати шлюзи провайдерів, треба налаштувати ip sla тест. Робиться це так само, як і в стандартному рішенні, але із зазначенням VFR'а з якого передбачається проводить ip sla тест. 

ip sla auto discovery

ip sla 1 icmp-echo 4.2.2.1 vrf isp1

 frequency 15

 ip sla schedule 1 life forever start-time now

 

ip sla 2 icmp-echo 8.8.8.8 vrf isp1

 frequency 15

ip sla schedule 2 life forever start-time now

 

track 11 ip sla 1 reachability

track 12 ip sla 2 reachability

track 123 list boolean or object 11 object 12

Додаємо маршрути в наші віртуальні маршрутизатори, які відповідають за зв'язок з провайдерами. Зверніть увагу на значення метрики, на резервному каналі метрика вище і далі ви зрозумієте чому. 

ip route vrf isp1 0.0.0.0 0.0.0.0 1.1.1.2 100 track 123

ip route vrf isp2 0.0.0.0 0.0.0.0 2.2.2.2 120

В принципі цього вже достатньо, для того що б до маршрутизатора можна було підключиться із зовні з публічного адресою будь-якого з провайдерів (якщо, звичайно, налаштований SSH або telnet доступ). 

Далі приготуємо NAT, все робимо практично так само, як ми звикли налаштовувати в стандартному рішенні без VRF. Робимо access-list який забороняє транслювати локальні адреси в локальні адреси: 

ip access-list extended NO_NAT

 deny ip any 192.168.0.0 0.0.255.255

 deny ip any 172.16.0.0 0.15.255.255

 deny ip any 10.0.0.0 0.255.255.255

 permit ip any any


Робимо карти маршрутизації для кожного провайдера: 

route-map ISP1 permit 10

 match ip address NO_NAT

 match interface GigabitEthernet0/0/0

 

route-map ISP2 permit 10

 match ip address NO_NAT

 match interface GigabitEthernet0/0/1


І включаємо NAT overload (зверніть увагу, що правило налаштовується на віртуальний маршрутизатор vrf lan): 

ip nat inside source route-map ISP1 interface GigabitEthernet0/0/0 vrf lan overload

ip nat inside source route-map ISP2 interface GigabitEthernet0/0/1 vrf lan overload


Наше елегантне рішення практично готове, але потрібен фінальний штрих, це BGP процес який буде займатися перерозподілом маршрутів між VRF враховуючи правила імпорту \ експорту які ми налаштували в кожному VRF. 

router bgp 65000

 bgp log-neighbor-changes

 address-family ipv4 vrf isp1

 redistribute connected

 redistribute static metric 100

 default-information originate

exit-address-family

 address-family ipv4 vrf isp2

 redistribute static metric 120

 redistribute connected

 default-information originate

exit-address-family

 address-family ipv4 vrf lan

 redistribute connected

exit-address-family

Команда default-information originate дозволяє передавати через bgp маршрут за замовчуванням. В результаті, в кандидати на маршрут за замовчуванням для vrf lan потраплять два маршрути до шлюзів різних провайдерів, але за допомогою bgp буде обраний той, у якого метрика менше. Відповідно якщо раптом треба перемкнути NAT з одного провайдера на іншого, досить буде поміняти метрику в таблиці маршрутизації одного з VRF. 

Висновок. Дана конфігурація дозволяє організувати підключення до двох провайдерів зв'язку одночасно. Конфігурація дуже гнучка, використовуючи PBR, можна розділяти трафік між провайдерами, і навіть у разі падіння одне з них, продовжувати надавати сервіс. Особливість VRF, дозволяє навіть під час складних маніпуляцій з конфігурацією не втратити зв'язок з пристроєм (не можна одночасно правити дві таблиці маршрутизації, хоча ...). Конфігурація легко розширюється і дозволяє без проблем додати нових провайдерів. 

З недоліків, хочу наголосити на необхідності майже в будь-яку команду вставляти додатковий текст vrf <назва>. Так перегляд таблиці маршрутизації віртуального роутера локальної мережі викликається командою: 

 show ip route vrf lan

Пінг через NAT: 

 ping vrf lan 8.8.8.8

Пінг з vrf першого провайдера: 

 ping vrf isp1 8.8.8.8


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова комп'ютерних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит комп'ютерних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

 

КОММЕНТАРІ ДО СТАТТІ

Cisco: гібридна робота веде до відмови від паролів

Cisco: гібридна робота веде до відмови від паролів
Cisco,новини,Налаштування Cisco,cisco,cisco безпека

Cisco опублікувала новий звіт по ведучому рішенню багатофакторної аутентифікації (MFA) і безпечного доступу Duo Security, який підтвердив, що підприємства відмовляються від використання паролів для захисту гібридних працівників і переходять до природніх (low-friction) методів аутентифікації.

Рекомендації щодо захисту від вірусів-вимагачів

Рекомендації щодо захисту від вірусів-вимагачів
Cisco,Cisco Network,Налаштування Cisco,Блог Телесфера,cisco,cisco безпека

Віруси-вимагачі завдають величезної шкоди. Як від них захиститися? Віруси-вимагачі перестали бути проблемою тільки фахівців з кібербезпеки. Тепер вони всюди: про них говорять у вечірніх новинах і на саміті «Великої сімки». Вони набули масового характеру і стали спільною проблемою, оскільки хакери все частіше атакують системи найважливіших операторів інфраструктури, які не можуть дозволити собі збої або порушення роботи через кібератаки, - від постачальників продуктів харчування і транспортних компаній до енергетики і систем охорони здоров'я.

Актуальні тренди кібербезпеки в 2021 році

Актуальні тренди кібербезпеки в 2021 році
Блог Телесфера,Продуктивність,cisco безпека,Послуги Телесфера Інтеграція

Швидкість розвитку і зміни кіберпростору в останні роки вражають уяву вже не тільки недосвідчених користувачів, а й маститих фахівців в області ІТ та ІБ. Відбувається експоненціальний розвиток навіть не об'єму оброблюваних даних, кількості підключених до інтернету пристроїв або додатків/сервісів, а й самих концепцій і технологій, а всеосяжна цифровизация і перехід більшості бізнесів в онлайн у зв'язку з пандемією лише прискорили цей тренд. Еволюція сучасного кіберпростору і ландшафту кіберзагроз обумовлена в тому числі і розвитком інструментів створення нових, більш досконалих технологій, що, в свою чергу, тягне за собою подальше прискорення створення вже наступних поколінь технологій і інструментів.