Cisco 2800 & multi wan

**gsp** · 18-01-12, 15:46

Γεια χαρα, προσπαθωντας να στησω καποιο στοιχειωδες load-balancing με την χρηση τριων WAN interfaces αντιμετωπιζω προβλημα με το DNS... (δεν παιρνω dns replies ενω κανω ping τους ISP Servers) ωστοσο μετα απο αρκετο ψαξιμο στο νετ οι αποψεις διιστανται κατα ποσο γινεται αυτο και εχω μπερδευτει.. αναφερομαι σε συνδεση με ISP και οχι μεταξυ δυο σημειων.. Μηπως θα μπορουσε να υποδειξει καποιος ενα στοιχειωδες configuration? Ευχαριστω

**paspro** · 18-01-12, 23:18

Δώσε το configuration που έχεις τώρα για να δούμε τι φταίει και δεν παίρνεις DNS replies.

**SfH** · 19-01-12, 00:44

Πες μας ακριβώς τι προσπαθείς να κάνεις και κάνε paste το config σου. Παρεπιπτόντως, να ξέρεις ότι μπορείς να γεμίσεις τη cpu ενός 2811 ακόμα και με μόνο 2 dsl , αν πιάνουν καλές ταχύτητες κι έχεις λίγο περίπλοκο config.

**gsp** · 19-01-12, 14:58

Κώδικας:

Building configuration...

Current configuration : 7832 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname  one
!
boot-start-marker
boot-end-marker
!
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxx
!
no aaa new-model
!
!
!
ip cef
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.160.1
ip dhcp excluded-address 192.168.150.5
ip dhcp excluded-address 192.168.10.5
ip dhcp excluded-address 192.168.160.5
ip dhcp excluded-address 192.168.168.1 192.168.168.10
!
ip dhcp pool clients_free
   network 192.168.150.0 255.255.255.0
   default-router 192.168.150.1 255.255.255.0
   dns-server 195.170.0.1 195.170.2.2
   lease 0 0 30
!
ip dhcp pool clients
   network 192.168.160.0 255.255.255.0
   dns-server 195.170.0.1 195.170.2.2
   default-router 192.168.160.1
   lease 0 0 30
!
ip dhcp pool internal
   network 192.168.10.0 255.255.255.0
   default-router 192.168.10.1
   dns-server 195.170.0.1 195.170.2.2
   lease 0 0 30
!
ip dhcp pool clients_test
   network 192.168.168.0 255.255.248.0
   dns-server 195.170.0.1 195.170.2.2
   default-router 192.168.168.1
   domain-name wr
   lease 0 0 30
!
!
ip domain name yourdomain.com
ip name-server 195.170.0.1
ip name-server 195.170.2.2
multilink bundle-name authenticated
!
!
password encryption aes
!
!
!
!
!
!
!
!
!
!
!
!
!
!
!
voice-card 0
 no dspfarm
!
!
crypto pki trustpoint TP-self-signed-2120069516
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-2120069516
 revocation-check none
 rsakeypair TP-self-signed-2120069516
!
!
crypto pki certificate chain TP-self-signed-2120069516
 certificate self-signed 01
  3082024C 308201B5 A0030201 02020101 300D0609 2A864886 F70D0101 04050030
  31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274
  69666963 6174652D 32313230 30363935 3136301E 170D3131 30333330 31333132
  34335A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649
  4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D32 31323030
  36393531 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281
  8100C5A6 5AADBA40 9FFD0D2B BE4DAE47 0DA0E784 A2876BFF 225DFFC0 64FF8E44
  F0F35458 7BF9390F 777E4836 E912CDB1 0C391300 DE4B894D 6FBB078C D00DB26E
  22667C05 3AF13566 2AE395E5 9B04BD38 EEFCE8A9 1B7870E2 1BF65774 8B38E178
  F5B41C59 D971837A 3F3BB676 8DC485AA A8A090CF F6F28250 58802B11 8DFC9623
  3F2D0203 010001A3 74307230 0F060355 1D130101 FF040530 030101FF 301F0603
  551D1104 18301682 146D6172 69732E79 6F757264 6F6D6169 6E2E636F 6D301F06
  03551D23 04183016 8014B585 6F579546 860248EF 7488F97D FC174844 FE4B301D
  0603551D 0E041604 14B5856F 57954686 0248EF74 88F97DFC 174844FE 4B300D06
  092A8648 86F70D01 01040500 03818100 4E2063C8 E5FEC4A0 53958D03 25F7AAAD
  3E69DE7A F0D1C36C 83F7A22F 0D142538 B2E06D7C 344C539B C5E4F4B9 2A4543A3
  872317A9 144591E1 8DE98069 514E65EE E54B2B70 2B8D040D AB0A8B27 0E58BBD5
  1A15E679 C6FE12D7 F40DAE76 20E7C257 B0A4757A 1C6F8915 B366512F EF6AE0B3
  DC3701E1 69ACB796 B8716B05 0EBBA145
        quit
!
!
username george privilege 15 password 7 xxxxxxxxxxxxxxxxx
username add
archive
 log config
  hidekeys
!
!
track timer interface 5
!
track 123 rtr 1 reachability
 delay down 15 up 10
!
!
!
!
interface FastEthernet0/0
 no ip address
 duplex auto
 speed auto
!
interface FastEthernet0/0.1
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/0.2
 encapsulation dot1Q 20
 ip address 192.168.250.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/0.3
 encapsulation dot1Q 30
 ip address 192.168.160.250 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/0.4
 encapsulation dot1Q 40
 ip address 192.168.150.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/0.5
 encapsulation dot1Q 31
 ip address 192.168.168.1 255.255.248.0
 ip nat inside
 ip virtual-reassembly
!
interface FastEthernet0/1
 ip address 192.168.200.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly
 ip tcp adjust-mss 1412
 duplex auto
 speed auto
!
interface ATM0/0/0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0/0/0.1 point-to-point
 description DSL_OTENET1
 no snmp trap link-status
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface ATM0/1/0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0/1/0.1 point-to-point
 description DSL_OTENET2
 no snmp trap link-status
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 2
 !
!
interface ATM0/2/0
 no ip address
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface ATM0/2/0.1 point-to-point
 description DSL_OTENET3
 no snmp trap link-status
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 3
 !
!
interface ATM0/3/0
 no ip address
 shutdown
 no atm ilmi-keepalive
 dsl operating-mode auto
!
interface Dialer0
 description DSL_OTENET1
 ip address negotiated
 ip mtu 1452
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 ppp authentication chap pap callin
 ppp chap hostname xxxxx@otenet.gr
 ppp chap password 7 09491F361D570707
 ppp pap sent-username xxxxxxx@otenet.gr password 7 x
!
interface Dialer1
 description DSL_OTENET2
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 dialer pool 2
 dialer-group 2
 ppp authentication chap pap callin
 ppp chap hostname xxxxxx@otenet.gr
 ppp chap password 7 124D5041031C0945
 ppp pap sent-username xxxxxxxx@otenet.gr password 7 x
!
interface Dialer2
 description DSL_OTENET3
 ip address negotiated
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 dialer pool 3
 dialer-group 3
 ppp authentication chap pap callin
 ppp chap hostname xxxxxx@otenet.gr
 ppp chap password 7 0110560A5D5A501F
 ppp pap sent-username xxxxxxxx@otenet.gr password 7 x
!
ip route 0.0.0.0 0.0.0.0 Dialer0 track 123
ip route 0.0.0.0 0.0.0.0 Dialer1 track 123
ip route 0.0.0.0 0.0.0.0 Dialer2 track 123
ip route 195.170.0.1 255.255.255.255 Dialer0 track 123
ip route 195.170.0.1 255.255.255.255 Dialer1 track 123
ip route 195.170.0.1 255.255.255.255 Dialer2 track 123
!
!
ip http server
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source route-map GROUP_1 interface Dialer0 overload
ip nat inside source route-map GROUP_2 interface Dialer1 overload
ip nat inside source route-map GROUP_3 interface Dialer2 overload
!
access-list 1 permit 192.168.250.0 0.0.0.255
access-list 1 permit 192.168.160.0 0.0.0.255
access-list 1 permit 192.168.150.0 0.0.0.255
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.200.0 0.0.0.255
access-list 1 permit 192.168.161.0 0.0.0.255
access-list 1 permit 192.168.168.0 0.0.0.255
access-list 1 permit 192.168.169.0 0.0.0.255
access-list 1 permit 192.168.170.0 0.0.0.255
access-list 1 permit 192.168.171.0 0.0.0.255
access-list 1 permit 192.168.172.0 0.0.0.255
access-list 1 permit 192.168.173.0 0.0.0.255
access-list 1 permit 192.168.174.0 0.0.0.255
access-list 1 permit 192.168.175.0 0.0.0.255
access-list 110 permit udp any any eq domain
access-list 110 permit udp any eq domain any
dialer-list 1 protocol ip permit
dialer-list 2 protocol ip permit
dialer-list 3 protocol ip permit
route-map GROUP_1 permit 15
 match ip address 110 1
 match interface Dialer0
!
route-map GROUP_2 permit 15
 match ip address 110 1
 match interface Dialer1
!
route-map GROUP_3 permit 15
 match ip address 110 1
 match interface Dialer2
!
!
!
!
control-plane
!
!
!
!
!
!
!
!
!
line con 0
 password 7 101F5B4A51
 login
line aux 0
line vty 0 4
 password 7 1446405858
 login
!
scheduler allocate 20000 1000
!
end

--------------------
Σας ευχαριστω για την προθυμια, το παραπανω ειναι το config, μετα απο καποιες μικροαλλαγες δοκιμαζοντας διαφορα να δω αν παιξει καπως.. οπως δηλαδη τα routes στον DNS και τα permit για τα πακετα UDP...

Αυτο που θελω να κανω το οποιο δεν ξερω αν πραγματικα το κανει... ειναι 3 γραμμες ADSL με καποιο στοιχειωδες load balancing (round robin?) και αν ειναι δυνατον ταυτοχρονα failover μεταξυ τους...

Μεχρι τωρα ειχα κατι κινεζιες LevelOne και TPLINK τα οποια δεν ξερω πως.. αλλα με μαγικο τροπο το εκαναν και μαλιστα αρκετα καλα!!! Γνωριζοντας ομως μονο βασικα πραγματα στο ios μπλεχτηκα λιγακι παραπανω...

Τωρα βρισκεται σε ενα σταδιο που δουλευει τελικα μετα απο πολλες προσπαθειες αλλα πιθανως δεν ειναι σε κατασταση failover.. αυτο που εκανα ηταν να αφαιρεσω τα track και να κανω απλο route στους dialers χωρις τιποτα αλλο.. επισης απο τις ACL αφαιρεσα τις 110...

Σας ευχαριστω εκ των πρωταιρων!

**SfH** · 19-01-12, 15:14

Σε γενικές γραμμές είναι σωστή η λογική σου. Το track σου είναι λάθος ( το rtr 1 σημαίνει ότι κάνει monitor το status του ip sla 1 , που δεν υπάρχει από ότι βλέπω ) αλλά είναι και άχρηστo έτσι όπως το έχεις στήσει. Για το failover δε χρειάζεται να ανησυχείς ιδιαίτερα εφόσον παίζεις με static routes προς point-to-point interfaces. Με το που πέφτει ένα interface, όλα τα routes που το έχουν δηλωμένο σαν output interface σβήνονται από το routing table. Όταν ανέβει ξανά, επανέρχονται. Με τις αλλαγές που γράφεις ότι έκανες, δε βλέπω κάποιο καραμπινάτο λάθος πουθενά.

Ειδικά αν είναι 2811 κι όχι μεγαλύτερο μοντέλο, δοκίμασε πως τα πάει από cpu usage σε full throughput πριν το πας σε production για να μην έχεις εκπλήξεις αργότερα.

ΥΓ : Σου έσβησα τα passwords από τους dialers. Δεν αφήνουμε ποτέ 7ρια passwords μέσα σε configs που κάνουμε post γιατί είναι εύκολα αναστρέψιμα

**arisgr** · 19-01-12, 15:54

Γεια σου Someonefromhell,
Μιας και το φερνει η κουβεντα, δεν εχω καταλαβει τι διαφορα εχει να κανεις track ενα ip sla για reachability και για state
Εχεις υποψιν σου κανα παραδειγμα που να δειχνει τη διαφορα?

**gatoulas** · 19-01-12, 16:00

https://supportforums.cisco.com/thread/2076028
https://learningnetwork.cisco.com/thread/36909#195433

**SfH** · 19-01-12, 16:03

Το αναφέρει στο documentation .

EDIT : Με πρόλαβε ο gatoulas

**arisgr** · 19-01-12, 16:36

Ευχαριστω παιδες, αποτι φαινεται λοιπον μονο αν βαλεις threshold εχει νοημα να βαλεις reachability.
Αν δεν βαλεις threshold τοτε εισαι οκ με οποιο και απο τα δυο να βαλεις. Αυτο θα πει subtle difference!
Ακομα και ο Scott Morris δεν τοξερε. Δεν πειραζει, ειναι απειρος ακομα, εχει καιρο για να γινει CCA

**SfH** · 19-01-12, 16:38

Κανείς δε μπορεί να ξέρει τα πάντα. Το θέμα είναι να ξέρεις να ψάχνεις σωστά το documentation στο site της cisco , κάτι που imho δεν είναι τόσο userfriendly όσο θα έπρεπε , και προφανώς να μπορείς να κατανοήσεις αυτά που διαβάζεις.

**gsp** · 19-01-12, 16:39

Σας ευχαριστω παρα πολυ για την βοηθεια.. Επειδη απο load-balance δεν γνωριζω σε ios, να υποθεσω λοιπον οτι τα track μπορω να τα αφαιρεσω εντελως? (οπως συμβαινει τωρα?) .. Με την εννοια δηλαδη οτι απο τι στιγμη που υπαρχουν τρια routes στις γραμμες ακολουθει αναγκαστικα καποιο round robin? Διοτι με το failover εφοσον ειναι οπως λες δεν χρειαζεται κατι επιπλεον... Να συμπληρωσω οτι λογω απομακρυσμενης περιοχης οι γραμμες ειναι μικρες και δεν φτανουν πανω απο 8Mb εκαστη.. οποτε οταν αναφερεσαι σε CPU απο την εμπειρια σου, ποσους clients θα μπορουσε να σηκωσει ο 2811 με 3 γραμμες και για χρηση απλου surfing?.. Διοτι ενδοιαμσεσα σκεφτηκα και την δοκιμη καποιων μηχανηματων με PFsense..

Ευχαριστω!

**arisgr** · 19-01-12, 16:48

Αρχικό μήνυμα από Someonefromhell

Κανείς δε μπορεί να ξέρει τα πάντα. Το θέμα είναι να ξέρεις να ψάχνεις σωστά το documentation στο site της cisco , κάτι που imho δεν είναι τόσο userfriendly όσο θα έπρεπε , και προφανώς να μπορείς να κατανοήσεις αυτά που διαβάζεις.

Δεν γνωριζω απο Junos, αλλα κανα δυο φορες που επρεπε να ψαξω για κατι, μου φανηκε πολυ πιο χαλια! Αυτο βεβαια μπορει να το κρινει καποιος που γνωριζει και τους δυο κοσμους.

**SfH** · 19-01-12, 16:52

Ναι, μπορείς να το βγάλεις το track.

By default κάνεις per-destination load-sharing, δηλαδή, κάθε προορισμό τον βλέπεις πάντα από μια μοναδική wan. Μπορείς να το γυρίσεις σε per-packet ( ip load-sharing per-packet στα σχετικά interfaces ) αλλά θα έχεις προβλήματα με το nat. Για να δουλέψει το per-packet πρέπει το άλλο άκρο να έχει δρομολογήσει τις ip σου προς όλες τις wan σου. Επίσης μπορεί να εμφανίσει προβλήματα με out-of-order packets, αν έχουν σημαντικά διαφορετικά χαρακτηριστικά οι συνδέσεις σου. Στην πράξη αυτό το έχω δει μόνο σε μισθομένα και σε vpns ( όπου δε σε νοιάζει το public addressing προφανώς ).

Περί cpu, εμένα τερμάτιζε γύρω στα 25mbit από μεριά throughput, αλλά έτρεχα αρκετά πιο περίπλοκο config από το δικό σου. Σε pps δε θα καταφέρεις να τον γεμίσεις λογικά, πιο πιθανό είναι από κει και πέρα να μείνεις από μνήμη ( για nat state entries ) ή από... port στα external ip σου. Κοινώς, εφόσον δεν του γεμίζεις το throughput, δε νομίζω να έχει πρόβλημα να εξυπηρετήσει ένα site ανεξαρτήτως μεγέθους. Για aggregation πολλαπλών μεγάλων sites φυσικά κοιτάς σε μεγαλύτερα μοντέλα.

Δεν γνωριζω απο Junos, αλλα κανα δυο φορες που επρεπε να ψαξω για κατι, μου φανηκε πολυ πιο χαλια! Αυτο βεβαια μπορει να το κρινει καποιος που γνωριζει και τους δυο κοσμους.

Δεν έχω προσπαθήσει να μάθω να κάνω navigate το junos documentation γιατί δεν έχει χρειαστεί ( υπάρχει διαθέσιμο και στον ίδιο το router βέβαια ). Για της cisco όμως, αν δε μου εξηγούσε άλλος ακριβώς που να βρω τι ( για να μην αναφέρω ότι μερικά πράγματα είναι χωμένα στο τελευταίο σημείο που θα περίμενες ) , ακόμα θα έκανα navigate το documentation τους με το google

**gsp** · 19-01-12, 16:59

Σε ευχαριστω παρα πολυ για την επεξηγηματικοτητα σου!! Σιγουρα πολυ καλυτερα απο το documentation οπως σωστα ανεφερες!!.. Ωραια λοιπον θα το αφησω ως εχει χωρις track μιας και ο τροπος που αναφερεις με εξυπηρετει... Απλα σε αυτη την περιπτωση ακομα μου μενει η απορια.. πως ενα multiwan router της levelone καταφερε με 4 γραμμες 8αρες να μου δωσει σε 1 PC απο ενα speedtest.net 18-21Mbps! Οταν οπως σωστα λες απαιτειται και απο την αλλη μερια δρομολογηση... και μαλιστα οταν το ιδιο το speed test εβλεπε μια IP απο τις τεσσερις..(ουτως η αλλως μια βλεπει).. η ρυθμιση του ηταν per packet αν θυμαμαι καλα αν και ειχε και μια per bytes...

**SfH** · 19-01-12, 17:04

Είτε το speedtest άνοιγε πολλαπλά threads από διαφορετικές ip ( όπως κάνει του nnn για παράδειγμα

) ή απλά έκανε λάθος.

Θέμα: Cisco 2800 & multi wan

Παρόμοια Θέματα

AMD Athlon 64 2800 2800+, 1.8 GHz

cisco 2800 κ προτεραιοτητα σε εφαρμογες

cisco 2800 k 4 ADSL μαζί

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές