zubastiy
Погугли policy routing, route-map - мне кажется это решение твоей задачи.
Погугли policy routing, route-map - мне кажется это решение твоей задачи.
» Настройка Cisco оборудования
точно.
вот толковый пример
http://www.telecombook.ru/index.php/5-ciscodirectory/60-cisco-route-map-pbr
и более развернутый
http://cisco.opennet.ru/base/cisco/policy_routing.txt.html
ух. мне нравится ) столько проблем теперь уйдет.
вот толковый пример
http://www.telecombook.ru/index.php/5-ciscodirectory/60-cisco-route-map-pbr
и более развернутый
http://cisco.opennet.ru/base/cisco/policy_routing.txt.html
ух. мне нравится ) столько проблем теперь уйдет.
Господа, где можно найти дистрибутив "Cisco Router Web Setup 3.3"?
С официального сайта не даёт скачать, гугл тоже помогать отказывается, на вас вся надежда.
С официального сайта не даёт скачать, гугл тоже помогать отказывается, на вас вся надежда.
zubastiy
Цитата:
На всякий случай, эта штука, вроде, отключает CEF, что приводит к уменьшению производительности и иногда может быть критично, если не используется "Fast-Switched PBR".
"Enable Fast-Switched PBR
IP PBR can now be fast-switched. Prior to Cisco IOS Release 12.0, PBR could only be process-switched, which meant that on most platforms the switching rate was approximately 1000 to 10,000 packets per second. This speed was not fast enough for many applications. Users who need PBR to occur at faster speeds can now implement PBR without slowing down the router."
http://www.cisco.com/en/US/docs/ios/12_0/qos/configuration/guide/qcpolicy.html
Цитата:
ух. мне нравится ) столько проблем теперь уйдет.
На всякий случай, эта штука, вроде, отключает CEF, что приводит к уменьшению производительности и иногда может быть критично, если не используется "Fast-Switched PBR".
"Enable Fast-Switched PBR
IP PBR can now be fast-switched. Prior to Cisco IOS Release 12.0, PBR could only be process-switched, which meant that on most platforms the switching rate was approximately 1000 to 10,000 packets per second. This speed was not fast enough for many applications. Users who need PBR to occur at faster speeds can now implement PBR without slowing down the router."
http://www.cisco.com/en/US/docs/ios/12_0/qos/configuration/guide/qcpolicy.html
Chemberlek
спасибо. мне не критично, но буду иметь ввиду.
спасибо. мне не критично, но буду иметь ввиду.
Valery12
Цитата:
Действительно, кроме как advanced security ничего иного нет.
Цитата:
а разве у Cisco851 такой есть?
Действительно, кроме как advanced security ничего иного нет.
Здравсвуйте,
не могу запустить маршрутизацию на Cisco 2611XM
IOS c2600-i-mz.123-6b.bin
вот такой конфиг рабоать не хочет
Код: version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname GT_ISP_Router
!
boot-start-marker
boot-end-marker
!
logging console critical
!
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
no ip subnet-zero
no ip source-route
ip cef
!
!
!
no ip bootp server
no ip domain lookup
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
description ISP - IN
ip address 212.82.214.138 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache cef
ip route-cache flow
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Serial0/0
no ip address
shutdown
!
interface FastEthernet0/1
description ISP - to FW_LAN
ip address 212.82.216.249 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
speed 100
full-duplex
no cdp enable
no mop enabled
!
ip classless
ip route 0.0.0.0 0.0.0.0 212.82.214.137
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
!
no cdp run
!
end
не могу запустить маршрутизацию на Cisco 2611XM
IOS c2600-i-mz.123-6b.bin
вот такой конфиг рабоать не хочет
Код: version 12.3
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
service udp-small-servers
service tcp-small-servers
!
hostname GT_ISP_Router
!
boot-start-marker
boot-end-marker
!
logging console critical
!
no network-clock-participate slot 1
no network-clock-participate wic 0
no aaa new-model
no ip subnet-zero
no ip source-route
ip cef
!
!
!
no ip bootp server
no ip domain lookup
no ftp-server write-enable
!
!
!
!
interface FastEthernet0/0
description ISP - IN
ip address 212.82.214.138 255.255.255.252
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache cef
ip route-cache flow
no ip mroute-cache
duplex auto
speed auto
no cdp enable
no mop enabled
!
interface Serial0/0
no ip address
shutdown
!
interface FastEthernet0/1
description ISP - to FW_LAN
ip address 212.82.216.249 255.255.255.248
no ip redirects
no ip unreachables
no ip proxy-arp
ip route-cache flow
speed 100
full-duplex
no cdp enable
no mop enabled
!
ip classless
ip route 0.0.0.0 0.0.0.0 212.82.214.137
ip http server
ip http authentication local
ip http timeout-policy idle 60 life 86400 requests 10000
!
no cdp run
!
end
BumerangII
Цитата:
А провайдер, который как я понимаю на FastEthernet0/0, про эту сетку знает ?
Он-то на неё правильно маршрутизирует ?
Цитата:
ip address 212.82.216.249 255.255.255.248
А провайдер, который как я понимаю на FastEthernet0/0, про эту сетку знает ?
Он-то на неё правильно маршрутизирует ?
говорит, что у него все прописано
BumerangII
поговорите с провайдером. что за узел 85.223.228.134?
>ping 212.82.214.138
Pinging 212.82.214.138 with 32 bytes of data:
Reply from 212.82.214.138: bytes=32 time=39ms TTL=238
Reply from 212.82.214.138: bytes=32 time=27ms TTL=238
Reply from 212.82.214.138: bytes=32 time=32ms TTL=238
Reply from 212.82.214.138: bytes=32 time=27ms TTL=238
Ping statistics for 212.82.214.138:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 27ms, Maximum = 39ms, Average = 31ms
>ping 212.82.216.249
Pinging 212.82.216.249 with 32 bytes of data:
Reply from 85.223.228.134: TTL expired in transit.
Reply from 85.223.228.134: TTL expired in transit.
Reply from 85.223.228.134: TTL expired in transit.
Reply from 85.223.228.134: TTL expired in transit.
Ping statistics for 212.82.216.249:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
ASA5510# ping 212.82.216.249
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 212.82.216.249, timeout is 2 seconds:
ICMP echo request from ХХХХ to 212.82.216.249 ID=4388 seq=7324 len=72
Denied ICMP type = 11, code = 0 from 85.223.228.134 on interface 1
?ICMP echo request from ХХХХ to 212.82.216.249 ID=4388 seq=7324 len=72
Denied ICMP type = 11, code = 0 from 85.223.228.134 on interface 1
?ICMP echo request from ХХХХ to 212.82.216.249 ID=4388 seq=7324 len=72
Denied ICMP type = 11, code = 0 from 85.223.228.134on interface 1
поговорите с провайдером. что за узел 85.223.228.134?
>ping 212.82.214.138
Pinging 212.82.214.138 with 32 bytes of data:
Reply from 212.82.214.138: bytes=32 time=39ms TTL=238
Reply from 212.82.214.138: bytes=32 time=27ms TTL=238
Reply from 212.82.214.138: bytes=32 time=32ms TTL=238
Reply from 212.82.214.138: bytes=32 time=27ms TTL=238
Ping statistics for 212.82.214.138:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 27ms, Maximum = 39ms, Average = 31ms
>ping 212.82.216.249
Pinging 212.82.216.249 with 32 bytes of data:
Reply from 85.223.228.134: TTL expired in transit.
Reply from 85.223.228.134: TTL expired in transit.
Reply from 85.223.228.134: TTL expired in transit.
Reply from 85.223.228.134: TTL expired in transit.
Ping statistics for 212.82.216.249:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
ASA5510# ping 212.82.216.249
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 212.82.216.249, timeout is 2 seconds:
ICMP echo request from ХХХХ to 212.82.216.249 ID=4388 seq=7324 len=72
Denied ICMP type = 11, code = 0 from 85.223.228.134 on interface 1
?ICMP echo request from ХХХХ to 212.82.216.249 ID=4388 seq=7324 len=72
Denied ICMP type = 11, code = 0 from 85.223.228.134 on interface 1
?ICMP echo request from ХХХХ to 212.82.216.249 ID=4388 seq=7324 len=72
Denied ICMP type = 11, code = 0 from 85.223.228.134on interface 1
Помогите с ACL.
Хочу на интерфейсы, что смотрят в Internet повесить ACL в котором прописаны сети в которых расположены два роутера, в целях безопасности.
например
ip access-list extended fw
permit ip 123.123.123.123 0.0.0.255 any
permit ip 456.456.456.456 0.0.0.255 any
на интерфейс прописываю
ip access-group fw in
ip access-group fw out
Проблема в том, что все остальное естественно блокируется и доступа к сайтам в других сетях нет. Что еще разрешить, чтобы заходить на 80 порт вне этих сетях.
Хочу на интерфейсы, что смотрят в Internet повесить ACL в котором прописаны сети в которых расположены два роутера, в целях безопасности.
например
ip access-list extended fw
permit ip 123.123.123.123 0.0.0.255 any
permit ip 456.456.456.456 0.0.0.255 any
на интерфейс прописываю
ip access-group fw in
ip access-group fw out
Проблема в том, что все остальное естественно блокируется и доступа к сайтам в других сетях нет. Что еще разрешить, чтобы заходить на 80 порт вне этих сетях.
pojar
Цитата:
permit tcp any any port eq 80
Цитата:
А что конкретно настраивать, ты уж почитай, не ленись.
Цитата:
Что еще разрешить, чтобы заходить на 80 порт вне этих сетях.
permit tcp any any port eq 80
Цитата:
ip access-group fw inЭто еще зачем? Вполне достаточно одного фильтра, либо на вход, либо на выход.
ip access-group fw out
А что конкретно настраивать, ты уж почитай, не ленись.
vlary
Цитата:
команды port нету, без порта не работает. ИОС ADVENTERPRISEK9-M Version 12.4(15)T5, RELEASE SOFTWARE (fc4)
Цитата:
permit tcp any any port eq 80
команды port нету, без порта не работает. ИОС ADVENTERPRISEK9-M Version 12.4(15)T5, RELEASE SOFTWARE (fc4)
pojar
Цитата:
На самом деле, если фильтр входящий для внешнего интерфейса, то
permit tcp any eq 80 any gt 1024
если исходящий, или входящий на внутреннем интерфейсе, то
permit tcp any any eq 80
А самое лучшее вообще убрать в локалке доступ наружу и поставить прокси сервер.
Цитата:
команды port нетуДа это я навскидку писал.
На самом деле, если фильтр входящий для внешнего интерфейса, то
permit tcp any eq 80 any gt 1024
если исходящий, или входящий на внутреннем интерфейсе, то
permit tcp any any eq 80
А самое лучшее вообще убрать в локалке доступ наружу и поставить прокси сервер.
ESX091 спасибо за помощь, разобрался - провайдер протупил и не перенес конфигурацию в полном объеме.
не ожидал от серьезного провайдера такого косяка
Цитата:
не ожидал от серьезного провайдера такого косяка
Цитата:
поговорите с провайдером. что за узел 85.223.228.134?
Ребята, подскажите.
Какой лучше купить Цыско роутер для задач: NAT под 400-450 человек (не интернет провайдер) и канал шириной в 60-70мбит\с.
Какой лучше купить Цыско роутер для задач: NAT под 400-450 человек (не интернет провайдер) и канал шириной в 60-70мбит\с.
pad343848
только под NAT? Без файрвола и разного рода PBR?
только под NAT? Без файрвола и разного рода PBR?
ребята, подскажите, с цисками знаком мало..
есть cisco 2801
Cisco IOS Software, 2801 Software (C2801-ADVIPSERVICESK9-M), Version 12.4(24)T1, RELEASE SOFTWARE (fc3)
из модулей только плата vic2-2fxs, ну и pvdm2-16
не поднимается fa 0/0 (видимо сдох, хотя как проверить не знаю, после up, сразу уходит в down как будто кабель не подключен)
хотел тогда поднять саб интерфейс на fa 0/1 и через влан прописать там локалку..
но получаю ругань
router(config)#int vlan100
^
% Invalid input detected at '^' marker.
при этом в другом офисе есть циска с аналогичным иосом и там все нормально..
есть cisco 2801
Cisco IOS Software, 2801 Software (C2801-ADVIPSERVICESK9-M), Version 12.4(24)T1, RELEASE SOFTWARE (fc3)
из модулей только плата vic2-2fxs, ну и pvdm2-16
не поднимается fa 0/0 (видимо сдох, хотя как проверить не знаю, после up, сразу уходит в down как будто кабель не подключен)
хотел тогда поднять саб интерфейс на fa 0/1 и через влан прописать там локалку..
но получаю ругань
router(config)#int vlan100
^
% Invalid input detected at '^' marker.
при этом в другом офисе есть циска с аналогичным иосом и там все нормально..
kadaber
Цитата:
Через int vlan100 вланы делали раньше. Теперь делают по-другому:
Код: interface FastEthernet0/1
no ip address
duplex auto
speed auto
media-type rj45
....
interface FastEthernet0/1.1
encapsulation dot1Q 100
ip address 192.168.1.1 255.255.255.0
.....
....
interface FastEthernet0/1.2
encapsulation dot1Q 101
ip address 192.168.2.1 255.255.255.0
......
Цитата:
в другом офисе есть циска с аналогичным иосомС аналогичным, но видимо, более ранним...
Через int vlan100 вланы делали раньше. Теперь делают по-другому:
Код: interface FastEthernet0/1
no ip address
duplex auto
speed auto
media-type rj45
....
interface FastEthernet0/1.1
encapsulation dot1Q 100
ip address 192.168.1.1 255.255.255.0
.....
....
interface FastEthernet0/1.2
encapsulation dot1Q 101
ip address 192.168.2.1 255.255.255.0
......
vlary, спасибо, за ответ
все равно без свитча который бы держал вланы подключить локалку не получиться
есть еще один вопрос для тех кто сталкивался с телефонией циско..
циска стоит за НАТом провайдера на сером ip 10.10.10.2
на нее НАТится один внешний адрес A.B.C.D
звоню с нее на другую циску и я не слышу голоса, так же и при обратном звонке, меня прекрасно слышат
посомтрел дебаг, при установлении соединения моя циска в качестве своего адреса отдает серый 10.10.10.2, ну и соответственно весь голос отправляется туда..
можно ли где то прописать чтобы циска отдавала адрес А.B.C.D ?
все равно без свитча который бы держал вланы подключить локалку не получиться
есть еще один вопрос для тех кто сталкивался с телефонией циско..
циска стоит за НАТом провайдера на сером ip 10.10.10.2
на нее НАТится один внешний адрес A.B.C.D
звоню с нее на другую циску и я не слышу голоса, так же и при обратном звонке, меня прекрасно слышат
посомтрел дебаг, при установлении соединения моя циска в качестве своего адреса отдает серый 10.10.10.2, ну и соответственно весь голос отправляется туда..
можно ли где то прописать чтобы циска отдавала адрес А.B.C.D ?
Здравствуйте. Наблюдаю что один из правил полиси роутинга то в апе то в дауне. В связи с этим интернет с обрывами. Не могли ли подсказать с чем это могло быть связано, хотя бы приблизительно, чтобы знать где что исправлять.
Router#sh route-map
route-map CO_NAT, permit, sequence 10
Match clauses:
ip address (access-lists): ALL_USERS
ip next-hop (access-lists): CO_NH
Set clauses:
Policy routing matches: 0 packets, 0 bytes
route-map SILK_NAT, permit, sequence 10
Match clauses:
ip address (access-lists): ALL_USERS
ip next-hop (access-lists): SILK_NH
Set clauses:
Policy routing matches: 0 packets, 0 bytes
route-map REDIRECT, permit, sequence 10
Match clauses:
ip address (access-lists): CO_USERS
Set clauses:
ip next-hop verify-availability 95.X.119.X 1 track 3 [up]
Policy routing matches: 13111413 packets, 4248488739 bytes
route-map REDIRECT, permit, sequence 30
Match clauses:
ip address (access-lists): SILK_USERS
Set clauses:
ip next-hop verify-availability 92.X.79.X 1 track 4 [down]
Policy routing matches: 65227468 packets, 2001012337 bytes
route-map LOCAL, permit, sequence 10
Match clauses:
ip address (access-lists): CO_IP
Set clauses:
ip next-hop 95.X.119.X
Policy routing matches: 560374 packets, 40695865 bytes
route-map LOCAL, permit, sequence 20
Match clauses:
ip address (access-lists): SILK_IP
Set clauses:
ip next-hop 92.X.79.X
Policy routing matches: 352830 packets, 26466061 bytes
Router#sh route-map
route-map CO_NAT, permit, sequence 10
Match clauses:
ip address (access-lists): ALL_USERS
ip next-hop (access-lists): CO_NH
Set clauses:
Policy routing matches: 0 packets, 0 bytes
route-map SILK_NAT, permit, sequence 10
Match clauses:
ip address (access-lists): ALL_USERS
ip next-hop (access-lists): SILK_NH
Set clauses:
Policy routing matches: 0 packets, 0 bytes
route-map REDIRECT, permit, sequence 10
Match clauses:
ip address (access-lists): CO_USERS
Set clauses:
ip next-hop verify-availability 95.X.119.X 1 track 3 [up]
Policy routing matches: 13111413 packets, 4248488739 bytes
route-map REDIRECT, permit, sequence 30
Match clauses:
ip address (access-lists): SILK_USERS
Set clauses:
ip next-hop verify-availability 92.X.79.X 1 track 4 [down]
Policy routing matches: 65227468 packets, 2001012337 bytes
route-map LOCAL, permit, sequence 10
Match clauses:
ip address (access-lists): CO_IP
Set clauses:
ip next-hop 95.X.119.X
Policy routing matches: 560374 packets, 40695865 bytes
route-map LOCAL, permit, sequence 20
Match clauses:
ip address (access-lists): SILK_IP
Set clauses:
ip next-hop 92.X.79.X
Policy routing matches: 352830 packets, 26466061 bytes
sure777
Цитата:
Ключевое тут: track 4
см. их так:
#sh track brief
и
#sh ip sla conf
и т.п.
Цитата:
ip next-hop verify-availability 92.X.79.X 1 track 4 [down]
Ключевое тут: track 4
см. их так:
#sh track brief
и
#sh ip sla conf
и т.п.
kadaber
Цитата:
Cisco IOS Firewall: SIP Enhancements: ALG and AIC
Цитата:
можно ли где то прописать чтобы циска отдавала адрес А.B.C.D ?
Cisco IOS Firewall: SIP Enhancements: ALG and AIC
это применимо к h323?
kadaber
Цитата:
Цитата:
Using Application Level Gateways with NAT
Цитата:
это применимо к h323?
Цитата:
H.323 is an ITU-T specification for transmitting audio, video, and data across a packet network. NAT supports four versions of the H.323 protocols: v1, v2, v3, and v4. The NAT Support for H.323 v3 and v4 in v2 Compatibility Mode feature enables Cisco NAT routers to support messages coded in H.323 v3 and v4 when those messages contain fields compatible with H.323 v2. This feature does not add support for H.323 capabilities introduced in v3 and v4, such as new message types or new fields that require address translation.
Using Application Level Gateways with NAT
alespopov
Рзеультат такой. Как видно track 4 то в апе то в дауне. У меня нет опыта и этот результат ничего не говорит. Может чем то поможете?
Router#sh track brief
H indicates object created via HSRP.
|
Track H Object Parameter Value ^P@
1 H interface GigabitEthernet0/1 line-protocol Up 2d18h
3 rtr 3 state Up 00:04:36
4 rtr 4 state Down 00:00:21
Router#sh ip sla configuration
IP SLAs Infrastructure Engine-II
Entry number: 3
Owner:
Tag:
Type of operation to perform: icmp-echo
Target address/Source address: 4.2.2.3/95.X.119.X
Operation timeout (milliseconds): 2000
Type Of Service parameters: 0x0
Vrf Name:
Request size (ARR data portion): 28
Verify data: No
Schedule:
Operation frequency (seconds): 5 (not considered if randomly scheduled)
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Randomly Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 5000
Distribution Statistics:
Number of statistic hours kept: 2
Number of statistic distribution buckets kept: 1
Statistic distribution interval (milliseconds): 20
History Statistics:
Number of history Lives kept: 0
Number of history Buckets kept: 15
History Filter Type: None
Enhanced History:
Entry number: 4
Owner:
Tag:
Type of operation to perform: icmp-echo
Target address/Source address: 4.2.2.4/92.X.79.X
Operation timeout (milliseconds): 2000
Type Of Service parameters: 0x0
Vrf Name:
Request size (ARR data portion): 28
Verify data: No
Schedule:
Operation frequency (seconds): 5 (not considered if randomly scheduled)
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Randomly Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 5000
Distribution Statistics:
Number of statistic hours kept: 2
Number of statistic distribution buckets kept: 1
Statistic distribution interval (milliseconds): 20
History Statistics:
Number of history Lives kept: 0
Number of history Buckets kept: 15
History Filter Type: None
Enhanced History:
Рзеультат такой. Как видно track 4 то в апе то в дауне. У меня нет опыта и этот результат ничего не говорит. Может чем то поможете?
Router#sh track brief
H indicates object created via HSRP.
|
Track H Object Parameter Value ^P@
1 H interface GigabitEthernet0/1 line-protocol Up 2d18h
3 rtr 3 state Up 00:04:36
4 rtr 4 state Down 00:00:21
Router#sh ip sla configuration
IP SLAs Infrastructure Engine-II
Entry number: 3
Owner:
Tag:
Type of operation to perform: icmp-echo
Target address/Source address: 4.2.2.3/95.X.119.X
Operation timeout (milliseconds): 2000
Type Of Service parameters: 0x0
Vrf Name:
Request size (ARR data portion): 28
Verify data: No
Schedule:
Operation frequency (seconds): 5 (not considered if randomly scheduled)
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Randomly Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 5000
Distribution Statistics:
Number of statistic hours kept: 2
Number of statistic distribution buckets kept: 1
Statistic distribution interval (milliseconds): 20
History Statistics:
Number of history Lives kept: 0
Number of history Buckets kept: 15
History Filter Type: None
Enhanced History:
Entry number: 4
Owner:
Tag:
Type of operation to perform: icmp-echo
Target address/Source address: 4.2.2.4/92.X.79.X
Operation timeout (milliseconds): 2000
Type Of Service parameters: 0x0
Vrf Name:
Request size (ARR data portion): 28
Verify data: No
Schedule:
Operation frequency (seconds): 5 (not considered if randomly scheduled)
Next Scheduled Start Time: Start Time already passed
Group Scheduled : FALSE
Randomly Scheduled : FALSE
Life (seconds): Forever
Entry Ageout (seconds): never
Recurring (Starting Everyday): FALSE
Status of entry (SNMP RowStatus): Active
Threshold (milliseconds): 5000
Distribution Statistics:
Number of statistic hours kept: 2
Number of statistic distribution buckets kept: 1
Statistic distribution interval (milliseconds): 20
History Statistics:
Number of history Lives kept: 0
Number of history Buckets kept: 15
History Filter Type: None
Enhanced History:
sure777 Чего ты этим вообще хотел добиться? И зачем треки накладывать на полиси роутинг? И зачем два трека?
sure777
собственно track это просто триггер, который может быть привязян к разным собитиям. Например к sla который настроен пинговать некий хост. Если пинга нет, - sla 'информирует' track об этом, и тот переключает свое соостояние.
На основе состояния track можно выполнять некие действия, например разрешать/запрещать маршрут на некий хост как в данном случае.
Например:
До центрального офиса есть основной канал и запасной. Одним из способов проверить что эти каналы 'живы' и работоспособны, это проверять удаленный хост на той стороне пингом. В зависимости от этого маршрутизировать поток данных. Тут только надо учитывать что пинги могут отвечать по обоим каналам, и на эту тему я чуть ранее приводил ссылку, - рекомендую ознакомиться.
Однако обычно действуют более простым способом, - указывая метрику маршрута (чем меньше - тем приоритетнее):
example(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1 ?
<1-255> Distance metric for this route
name Specify name of the next hop
permanent permanent route
tag Set tag for this route
track Install route depending on tracked item
<cr>
Т.е. пишут типа:
ip route 10.10.10.0 255.255.252.0 FastEthernet0/0.1 10.10.9.10 10 name PrimaryRoute
ip route 10.10.10.0 255.255.252.0 FastEthernet0/0.2 10.10.8.20 200 name BackupRoute
ну или подобное закручивают на полисях
А бывает что и оба приема используют.
В данном-же случае вероятно что из-за потерь в канале, один пинг не проходит, и track переключается.
Итак, разберем что тут:
Цитата:
Не совсем понятно на что он навешан, но порядок такой:
1) Если IP попадает в CO_USERS то пакеты маршрутизируем на 95.X.119.X . Если не попадает - переходим к (2)
2) Если IP попадает в SILK_USERS то пакеты маршрутизируем на 92.X.79.X . Если не попадает - переходим к обычным маршрутам.
Для vlary
Понятно что обычным 'ip route' с метрикой тут видимо не заменить. И похоже человеку это в наследство досталось.
Далее разберем:
Цитата:
Это значит что с '92.X.79.X' мы пингуем '4.2.2.4' - а Вы уверены что правильно выбрали объект пинга ? Может там сильно загружены что-б на пинги отвечать, вот и идет така свистопляска
Надеюсь я понятно все прояснил ?
собственно track это просто триггер, который может быть привязян к разным собитиям. Например к sla который настроен пинговать некий хост. Если пинга нет, - sla 'информирует' track об этом, и тот переключает свое соостояние.
На основе состояния track можно выполнять некие действия, например разрешать/запрещать маршрут на некий хост как в данном случае.
Например:
До центрального офиса есть основной канал и запасной. Одним из способов проверить что эти каналы 'живы' и работоспособны, это проверять удаленный хост на той стороне пингом. В зависимости от этого маршрутизировать поток данных. Тут только надо учитывать что пинги могут отвечать по обоим каналам, и на эту тему я чуть ранее приводил ссылку, - рекомендую ознакомиться.
Однако обычно действуют более простым способом, - указывая метрику маршрута (чем меньше - тем приоритетнее):
example(config)#ip route 0.0.0.0 0.0.0.0 1.1.1.1 ?
<1-255> Distance metric for this route
name Specify name of the next hop
permanent permanent route
tag Set tag for this route
track Install route depending on tracked item
<cr>
Т.е. пишут типа:
ip route 10.10.10.0 255.255.252.0 FastEthernet0/0.1 10.10.9.10 10 name PrimaryRoute
ip route 10.10.10.0 255.255.252.0 FastEthernet0/0.2 10.10.8.20 200 name BackupRoute
ну или подобное закручивают на полисях
А бывает что и оба приема используют. В данном-же случае вероятно что из-за потерь в канале, один пинг не проходит, и track переключается.
Итак, разберем что тут:
Цитата:
route-map REDIRECT, permit, sequence 10
Match clauses:
ip address (access-lists): CO_USERS
Set clauses:
ip next-hop verify-availability 95.X.119.X 1 track 3 [up]
Policy routing matches: 13111413 packets, 4248488739 bytes
route-map REDIRECT, permit, sequence 30
Match clauses:
ip address (access-lists): SILK_USERS
Set clauses:
ip next-hop verify-availability 92.X.79.X 1 track 4 [down]
Policy routing matches: 65227468 packets, 2001012337 bytes
Не совсем понятно на что он навешан, но порядок такой:
1) Если IP попадает в CO_USERS то пакеты маршрутизируем на 95.X.119.X . Если не попадает - переходим к (2)
2) Если IP попадает в SILK_USERS то пакеты маршрутизируем на 92.X.79.X . Если не попадает - переходим к обычным маршрутам.
Для vlary
Понятно что обычным 'ip route' с метрикой тут видимо не заменить. И похоже человеку это в наследство досталось.
Далее разберем:
Цитата:
Type of operation to perform: icmp-echo
Target address/Source address: 4.2.2.4/92.X.79.X
Operation timeout (milliseconds): 2000
Это значит что с '92.X.79.X' мы пингуем '4.2.2.4' - а Вы уверены что правильно выбрали объект пинга ? Может там сильно загружены что-б на пинги отвечать, вот и идет така свистопляска
Надеюсь я понятно все прояснил ?
alespopov Да, все именно так, треки обычно вешаются на маршруты, а раут-мапы зависят чисто от провайдера, ибо чужие айпи провайдер будет брить.
sure777 Нужно еще в треки добавить разумные тайм-ауты, чтобы они не дергали маршруты по каждому случайному пропаданию пинга. Типа что-нибудь
Delay up 20 secs, down 10 secs
sure777 Нужно еще в треки добавить разумные тайм-ауты, чтобы они не дергали маршруты по каждому случайному пропаданию пинга. Типа что-нибудь
Delay up 20 secs, down 10 secs
Страницы: 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364656667686970717273747576777879808182838485868788899091929394
Предыдущая тема: Не могу побороть вирус Nimda
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.