Δεύτερη aDSL σύνδεση πάνω σε cisco 800 series (wan on lan, pppoe on lan port)

**Metalkhan** · 05-09-10, 14:07

Έχω 2 aDSL γραμμές και θέλω να κάνω load balancing/sharing. Έχω έναν cisco 876 και έναν Baudtec. Ο 876 έχει ένα wan port (ATM0), εγώ όμως χρειάζομαι να διαχειρίζεται και τις 2 aDSL γραμμές για να μπορώ να κάνω load balancing/sharing. Αυτό που έκανα λοιπόν είναι να ρυθμίσω τον baudtec να δουλεύει σε bridge mode και τον σύνδεσα σε μια από τις fastethernet θύρες του 876. Έπειτα έστεισα στο vlan1 pppoe-client για να διαχειρίζεται την 2η γραμμή του Baudtec. Το configuration δεν έχει τελειώσει, και ψάχνομαι ακόμα γιατί θέλω το vpn να μην διακόπτεται όταν το traffic αλλάζει έξοδο, ενώ πρέπει να ελέγξω και την σωστή επικοινωνία των pop3 και smtp μιας και έχω έναν mail server στο lan. Κάθε συμβουλή ευπρόσδεκτη. Όταν ολοκληρώσω το project θα ποστάρω το fully functional configuration. Προς το παρόν ποστάρω το υπάρχον όπου μπορείτε να δείτε το στήσιμο του pppoe στο lan.

Κώδικας:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname !το όνομα του router σας!
!
boot-start-marker
boot-end-marker
!
enable password !το password για να μπαίνεται στη διαχείριση του router σας!
!
aaa new-model
!
!
aaa authentication login vpncllogin local 
aaa authorization network vpnclautho local
!
aaa session-id common
!
resource policy
!
ip cef
!
!
no ip dhcp use vrf connected
! Διευθύνσεις που δεν θέλετε να αποδίδει ο routers σας ως dhcp server !
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.3
ip dhcp excluded-address 192.168.1.4
ip dhcp excluded-address 192.168.1.10
ip dhcp excluded-address 192.168.1.150
! ορισμός του dhcp server σας !
ip dhcp pool LAN
   import all
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 192.168.1.1
   lease 0 2
!
! dns servers εδώ είναι της otenet !
ip name-server 195.170.0.2
ip name-server 195.170.2.2
!
isdn switch-type basic-net3
!
! username και password για vpn και login
username **** password ****
!
!
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
!
crypto isakmp policy 20
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group groupusername
 key presharedkey/grouppassword
 dns 193.92.150.3 194.219.227.2
 pool vpnclientspool
 acl 107
 save-password
 include-local-lan
crypto isakmp profile vpnclientprf
   match identity group vpnclientcfg
   client authentication list vpncllogin
   isakmp authorization list vpnclautho
   client configuration address respond
!
!
crypto ipsec transform-set κρυπτογράφιση esp-des esp-md5-hmac
!
crypto dynamic-map DynMap 20
 set transform-set κρυπτογράφιση
 set isakmp-profile vpnclientprf
 reverse-route
!
!
crypto map VPN 1 ipsec-isakmp dynamic DynMap
!
!
!
bba-group pppoe 2ndWAN !Broadband Access group με pppoe για wan on lan!
!
!
interface BRI0 !isdn interface λόγο του ότι είναι 876!
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 encapsulation ppp
 ip route-cache flow
 dialer pool-member 1
 isdn switch-type basic-net3
 isdn tei-negotiation preserve
 isdn point-to-point-setup
!
interface ATM0 !το aDSL interface του 876!
 bandwidth 732
 backup delay 3 3
 backup interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip route-cache flow
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
 dsl operating-mode auto
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description *** INSIDE ***
 ip address 192.168.3.2 255.255.255.0 secondary
 ip address 192.168.1.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
 ip virtual-reassembly
 pppoe enable group 2ndWAN !δέσιμο με το bba-group για το 2ο non-cisco router!
 pppoe-client dial-pool-number 2 !στήσιμο του pppoe!
!
interface Dialer0
 description *** PPPoA ***
 ip address negotiated
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer idle-timeout 270
 dialer-group 1
 keepalive 5 2
 no cdp enable
 ppp chap hostname ****
 ppp chap password ****
 ppp pap sent-username **** password ****
 crypto map VPN !εδώ τερματίζει το vpn!
!
interface Dialer1
 description *** PPPoE ***
 ip address negotiated
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip route-cache flow
 ip tcp adjust-mss 1452
 dialer pool 2
 dialer idle-timeout 270
 dialer-group 1
 keepalive 5 2
 no cdp enable
 ppp chap hostname ****
 ppp chap password ****
 ppp pap sent-username **** password ****
!
ip local pool vpnclientspool 192.168.2.1 192.168.2.254
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.2.0 255.255.255.0 Dialer0
!
ip dns server
!
ip http server
no ip http secure-server
ip nat inside source route-map NONAT interface Dialer0 overload
!
access-list 23 remark >>> HTTP and LINE VTY Access-class list <<<
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 deny   any
access-list 23 remark ----------
access-list 100 remark >>> VLAN 1 INBOUND <<<
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 deny   tcp any any range 137 139
access-list 100 deny   udp any any range netbios-ns netbios-ss
access-list 100 permit ip any any
access-list 100 remark ----------
access-list 102 remark >>> DIALER 0 INBOUND <<<
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
access-list 102 deny   ip host 255.255.255.255 any
access-list 102 deny   ip host 0.0.0.0 any
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 permit ip any any
access-list 102 remark ----------
access-list 104 remark >>> NAT OVERLOAD <<<
access-list 104 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 104 permit ip 192.168.1.0 0.0.0.255 any
access-list 104 deny   ip any any
access-list 104 remark ----------
access-list 107 remark >>> VPN IPSEC TRAFFIC TO PERMIT FROM VPN CLIENTS <<<
access-list 107 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 107 remark ----------
dialer-list 1 protocol ip permit
no cdp run
!
!
!
route-map NONAT permit 10
 match ip address 104
!
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 login authentication vpncllogin
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login authentication vpncllogin
!
scheduler max-task-time 5000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

**taxiarxos** · 06-09-10, 11:57

Καλημέρα,

Το Load Balancing πως ακριβώς θα το κάνεις;Τι εννοείς;

1. "Το configuration δεν έχει τελειώσει, και ψάχνομαι ακόμα γιατί θέλω το vpn να μην διακόπτεται όταν το traffic αλλάζει έξοδο"
Αυτο θα το κάνεις με IP SLA.

2. ενώ πρέπει να ελέγξω και την σωστή επικοινωνία των pop3 και smtp μιας και έχω έναν mail server στο lan
Το μόνο που θα χρειαστείς είναι να κάνεις ΝΑΤ τις πόρτες για τον mail server

α. port - 110 pop3
β. port - 25 smtp

Επίσης πρέπει να αποφασίσεις από ποιά DSL θέλεις να βγαίνει τι..;

**Metalkhan** · 07-09-10, 17:20

Αρχικό μήνυμα από taxiarxos

Καλημέρα,

Το Load Balancing πως ακριβώς θα το κάνεις;Τι εννοείς;

1. "Το configuration δεν έχει τελειώσει, και ψάχνομαι ακόμα γιατί θέλω το vpn να μην διακόπτεται όταν το traffic αλλάζει έξοδο"
Αυτο θα το κάνεις με IP SLA.

2. ενώ πρέπει να ελέγξω και την σωστή επικοινωνία των pop3 και smtp μιας και έχω έναν mail server στο lan
Το μόνο που θα χρειαστείς είναι να κάνεις ΝΑΤ τις πόρτες για τον mail server

α. port - 110 pop3
β. port - 25 smtp

Επίσης πρέπει να αποφασίσεις από ποιά DSL θέλεις να βγαίνει τι..;

Καλησπέρα taxiarxos,

Αυτό που θέλω να κάνω είναι να μοιράζω όλη την κίνηση ανεξαρτήτου πρωτοκόλλου (εκτός του vpn) μέσω και των 2 γραμμών. Το IP SLA το δοκίμασα αλλά δεν μου δουλεύει ούτε με icmp-echo ούτε με dns. Και τα δύο track objects είναι down. Το στήνω με γνώμονα το guide της cisco http://www.cisco.com/en/US/tech/tk64...808d2b72.shtml αλλά δεν μου δουλεύει. Δοκίμασα απλά να αφήσω το cef να κάνει το load sharing αλλά έχω συχνά timeouts.

Το configuration με το IP SLA dns

Κώδικας:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ****
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable password ****
!
aaa new-model
!
!
aaa authentication login vpncllogin local
aaa authorization network vpnclautho local
!
!
aaa session-id common
!
!
dot11 syslog
ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.3
ip dhcp excluded-address 192.168.1.4
ip dhcp excluded-address 192.168.1.10
ip dhcp excluded-address 192.168.1.150
!
ip dhcp pool LAN
   import all
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 192.168.1.1
   lease 0 2
!
!
ip cef
ip name-server 195.170.0.2
ip name-server 195.170.2.2
no ipv6 cef
!
multilink bundle-name authenticated
!
isdn switch-type basic-net3
!
!
username **** password **** 
username **** password **** 
username **** password **** 
username **** password **** 
username **** password **** 
!
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
!
crypto isakmp policy 20
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group **** 
 key **** 
 dns 195.170.0.2 195.170.2.2
 pool vpnclientspool
 acl 107
 save-password
 include-local-lan
crypto isakmp profile vpnclientprf
   match identity group **** 
   client authentication list vpncllogin
   isakmp authorization list vpnclautho
   client configuration address respond
!
!
crypto ipsec transform-set **** esp-des esp-md5-hmac
!
crypto dynamic-map DynMap 20
 set transform-set **** 
 set isakmp-profile vpnclientprf
 reverse-route
!
!
crypto map VPN 1 ipsec-isakmp dynamic DynMap
!
archive
 log config
  hidekeys
!
!
!
track 100 ip sla 1 reachability
!
track 200 ip sla 2 reachability
!
!
bba-group pppoe 2ndWAN
!
!
interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 encapsulation ppp
 dialer pool-member 1
 isdn switch-type basic-net3
 isdn tei-negotiation preserve
 isdn point-to-point-setup
!
interface ATM0
 bandwidth 732
 backup delay 3 3
 backup interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description *** INSIDE ***
 ip address 192.168.1.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
 ip virtual-reassembly
 pppoe enable group 2ndWAN
 pppoe-client dial-pool-number 2
!
interface Dialer0
 description *** OUTSIDE ***
 ip address negotiated
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer idle-timeout 270
 dialer string 8962545555
 dialer-group 1
 keepalive 5 2
 no cdp enable
 ppp chap hostname **** 
 ppp chap password **** 
 ppp pap sent-username **** password **** 
 crypto map VPN
!
interface Dialer1
 description *** OUTSIDE ***
 ip address negotiated
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 2
 dialer idle-timeout 270
 dialer-group 1
 keepalive 5 2
 no cdp enable
 ppp chap hostname **** 
 ppp chap password **** 
 ppp pap sent-username **** password **** 
!
ip local pool vpnclientspool 192.168.2.1 192.168.2.254
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0 track 100
ip route 0.0.0.0 0.0.0.0 Dialer1 track 200
ip route 192.168.2.0 255.255.255.0 Dialer0
ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source route-map PPPoA interface Dialer0 overload
ip nat inside source route-map PPPoE interface Dialer1 overload
!
ip sla 1
 dns www.google.com name-server 195.170.0.2
ip sla schedule 1 life forever start-time now
ip sla 2
 dns www.google.com name-server 195.170.0.2
ip sla schedule 2 life forever start-time now
access-list 23 remark >>> HTTP and LINE VTY Access-class list <<<
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 deny   any
access-list 23 remark ----------
access-list 100 remark >>> VLAN 1 INBOUND <<<
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 deny   tcp any any range 137 139
access-list 100 deny   udp any any range netbios-ns netbios-ss
access-list 100 permit ip any any
access-list 100 remark ----------
access-list 102 remark >>> DIALER 0 INBOUND <<<
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
access-list 102 deny   ip host 255.255.255.255 any
access-list 102 deny   ip host 0.0.0.0 any
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 permit ip any any
access-list 102 remark ----------
access-list 104 remark >>> NAT OVERLOAD <<<
access-list 104 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 104 permit ip 192.168.1.0 0.0.0.255 any
access-list 104 deny   ip any any
access-list 104 remark ----------
access-list 107 remark >>> VPN IPSEC TRAFFIC TO PERMIT FROM VPN CLIENTS <<<
access-list 107 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 107 remark ----------
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
route-map PPPoE permit 10
 match ip address 104
 match interface Dialer1
!
route-map PPPoA permit 10
 match ip address 104
 match interface Dialer0
!
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 login authentication vpncllogin
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login authentication vpncllogin
!
scheduler max-task-time 5000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

Και χωρίς το IP SLA

Κώδικας:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ****
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable password ****
!
aaa new-model
!
!
aaa authentication login vpncllogin local
aaa authorization network vpnclautho local
!
!
aaa session-id common
!
!
dot11 syslog
ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.3
ip dhcp excluded-address 192.168.1.4
ip dhcp excluded-address 192.168.1.10
ip dhcp excluded-address 192.168.1.150
!
ip dhcp pool LAN
   import all
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 192.168.1.1
   lease 0 2
!
!
ip cef
ip name-server 195.170.0.2
ip name-server 195.170.2.2
no ipv6 cef
!
multilink bundle-name authenticated
!
isdn switch-type basic-net3
!
!
username **** password **** 
username **** password **** 
username **** password **** 
username **** password **** 
username **** password **** 
!
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
!
crypto isakmp policy 20
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group **** 
 key **** 
 dns 195.170.0.2 195.170.2.2
 pool vpnclientspool
 acl 107
 save-password
 include-local-lan
crypto isakmp profile vpnclientprf
   match identity group **** 
   client authentication list vpncllogin
   isakmp authorization list vpnclautho
   client configuration address respond
!
!
crypto ipsec transform-set **** esp-des esp-md5-hmac
!
crypto dynamic-map DynMap 20
 set transform-set **** 
 set isakmp-profile vpnclientprf
 reverse-route
!
!
crypto map VPN 1 ipsec-isakmp dynamic DynMap
!
archive
 log config
  hidekeys
!
!
!
!
!
!
bba-group pppoe 2ndWAN
!
!
interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 encapsulation ppp
 dialer pool-member 1
 isdn switch-type basic-net3
 isdn tei-negotiation preserve
 isdn point-to-point-setup
!
interface ATM0
 bandwidth 732
 backup delay 3 3
 backup interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description *** INSIDE ***
 ip address 192.168.1.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
 ip virtual-reassembly
 pppoe enable group 2ndWAN
 pppoe-client dial-pool-number 2
!
interface Dialer0
 description *** OUTSIDE ***
 ip address negotiated
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer idle-timeout 270
 dialer string 8962545555
 dialer-group 1
 keepalive 5 2
 no cdp enable
 ppp chap hostname **** 
 ppp chap password **** 
 ppp pap sent-username **** password **** 
 crypto map VPN
!
interface Dialer1
 description *** OUTSIDE ***
 ip address negotiated
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 2
 dialer idle-timeout 270
 dialer-group 1
 keepalive 5 2
 no cdp enable
 ppp chap hostname **** 
 ppp chap password **** 
 ppp pap sent-username **** password **** 
!
ip local pool vpnclientspool 192.168.2.1 192.168.2.254
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 0.0.0.0 0.0.0.0 Dialer1
ip route 192.168.2.0 255.255.255.0 Dialer0
ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source route-map PPPoA interface Dialer0 overload
ip nat inside source route-map PPPoE interface Dialer1 overload
!
access-list 23 remark >>> HTTP and LINE VTY Access-class list <<<
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 deny   any
access-list 23 remark ----------
access-list 100 remark >>> VLAN 1 INBOUND <<<
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 deny   tcp any any range 137 139
access-list 100 deny   udp any any range netbios-ns netbios-ss
access-list 100 permit ip any any
access-list 100 remark ----------
access-list 102 remark >>> DIALER 0 INBOUND <<<
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
access-list 102 deny   ip host 255.255.255.255 any
access-list 102 deny   ip host 0.0.0.0 any
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 permit ip any any
access-list 102 remark ----------
access-list 104 remark >>> NAT OVERLOAD <<<
access-list 104 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 104 permit ip 192.168.1.0 0.0.0.255 any
access-list 104 deny   ip any any
access-list 104 remark ----------
access-list 107 remark >>> VPN IPSEC TRAFFIC TO PERMIT FROM VPN CLIENTS <<<
access-list 107 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 107 remark ----------
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
route-map PPPoE permit 10
 match ip address 104
 match interface Dialer1
!
route-map PPPoA permit 10
 match ip address 104
 match interface Dialer0
!
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 login authentication vpncllogin
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login authentication vpncllogin
!
scheduler max-task-time 5000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

**taxiarxos** · 08-09-10, 11:23

Καλημέρα,

Αυτό που αναφέρεις εδώ "Αυτό που θέλω να κάνω είναι να μοιράζω όλη την κίνηση ανεξαρτήτου πρωτοκόλλου (εκτός του vpn) μέσω και των 2 γραμμών."

Νομίζω ότι θα ήταν πιο εφικτό να γίνει με route-maps & PBRouting αλλά εκεί θα πρέπει να δρομολογήσεις το traffic σου βάση ports - protocol.

Όσο για το SLA ρύξε μια ματιά στο google έχει αρκετά παραδείγματα.

**Metalkhan** · 08-09-10, 12:00

Τελικά αφού διάβασα διάφορα threads σε διάφορα forums κτλ. έβγαλα το συμπέρασμα ότι για να κάνεις load balancing χρειάζεσαι συνεννόηση με τον πάροχο ή τους παρόχους, καθώς επίσης πρέπει να στήσεις το router σου να παίζει bgp γνωρίζοντας τα as των παρόχων.
Με το 2ο configuration που έχω αναρτήσει στο προηγούμενο μήνυμα, όπως έχω γράψει, έχω συχνά timeouts. Ο λόγος είναι ότι το cef κάνει από μόνο του το load balancing αλλά μόνο στην κίνηση που στέλνει ο router και όχι στην εισερχόμενη σε αυτόν, ακόμα και αν οριστεί ο αλγόριθμος include-ports source destination. Γι' αυτό το λόγο χρειάζεται το bgp και η συνεννόηση με τον πάροχο, για να κάνεις load balancing και στην εισερχόμενη κίνηση.
Επίσης το configuration με το IP SLA, άσχετα αν σε εμένα δεν δουλεύει, απλά ελέγχει την ποιότητα των συνδέσεων και σε περίπτωση κακής (βάση της καλής ποιότητας όπως έχει οριστεί στο configuration του sla) κόβει την κίνηση της γραμμής με την κακή ποιότητα (δεν κάνει shutdown το interface), το load balancing και με IP SLAs γίνεται από το cef.

**taxiarxos** · 08-09-10, 13:43

Αυτό που λες είναι το multiplexing κ γίνετε πολύ σωστά σε συνενόηση με τον Provider, επιδή δεν μπορώ να γνωρίζω την εγκατάσταση που έχεις αλλά κρίνω από τον εξοπλισμό που χρησιμοποιείς το μέγεθος της, νομίζω οτι δεν χρειάζετε να μπείς στην διαδικασία να ασχοληθείς να παίξεις με BGP με τον Provider, φυσικά κ λόγο κόστους.(Απο όσο νομίζω δεν κάνουν όλοι πλέον multiplexing πλέον).

To SLA αν το στήσεις σωστά θα σου παίξει επιδή το έχω υλοποιήσει κ σε cisco 1800 που έχει 2 WICs DSL επάνω του κ σε 2 800ριδες που έχουν από μια DSL (στο ίδιο LAN φυσικά). Επίσης δεν χρειάζετε να γίνει shutdown το int, μόλις δεν πάρει replay από το ping μετά από τον χρόνο που θα του ορίσεις εσύ θα δρομολογήσει την κίνηση στην επόμενη DSL.

Όσον αφορά το load balancing δοκίμασε να παίξεις με τις τεχνικές που σου προανέφερα στο προηγούμενο μου POST.

Good Luck

**nstamoul** · 12-09-10, 17:34

Όπως προαναφέρθηκε απόλυτο load balancing δεν μπορείς να κάνεις έτσι όπως το θέλεις.

Κάτι τέτοιο είναι εφικτό μόνο με BGP (δύσκολη οδός) ή με ppp-multilink (πιο εύκολη άλλα πάλι πρέπει να το επιτρέψει ο πάροχός σου).Εγώ θα σου πρότεινα να διαχωρίσεις το traffic και με route maps να το κατευθύνεις εκεί που θές,π.χ web traffic εδώ,το υπόλοιπο εκεί.

Κάνε ένα audit να δεις τι είδους traffic παίζει στο δίκτυό σου και τι κομμάτι της πίτας είναι το κάθε είδος και χώρισέ τα ανάλογα.

**Metalkhan** · 14-09-10, 16:59

Ευχαριστώ πολύ taxiarxos και nstamoul για τις συμβουλές σας. Όπως γράψατε, το έκανα τελικά με Policy Based Routing και route-maps.

Κώδικας:

!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ****
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
enable password ****
!
aaa new-model
!
!
aaa authentication login vpncllogin local
aaa authorization network vpnclautho local
!
!
aaa session-id common
!
!
dot11 syslog
ip source-route
!
!
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
ip dhcp excluded-address 192.168.1.2
ip dhcp excluded-address 192.168.1.3
ip dhcp excluded-address 192.168.1.4
ip dhcp excluded-address 192.168.1.10
ip dhcp excluded-address 192.168.1.150
!
ip dhcp pool LAN
   import all
   network 192.168.1.0 255.255.255.0
   default-router 192.168.1.1
   dns-server 192.168.1.1
   lease 0 2
!
!
ip cef
ip name-server 195.170.0.2
ip name-server 195.170.2.2
no ipv6 cef
!
multilink bundle-name authenticated
!
isdn switch-type basic-net3
!
!
username **** password **** 
username **** password **** 
username **** password **** 
username **** password **** 
username **** password **** 
!
!
crypto isakmp policy 10
 hash md5
 authentication pre-share
!
crypto isakmp policy 20
 hash md5
 authentication pre-share
 group 2
!
crypto isakmp client configuration group groupname
 key presharedkey
 dns 195.170.0.2 195.170.2.2
 pool vpnclientspool
 acl 107
 save-password
 include-local-lan
crypto isakmp profile vpnclientprf
   match identity group groupname
   client authentication list vpncllogin
   isakmp authorization list vpnclautho
   client configuration address respond
!
!
crypto ipsec transform-set encryption esp-des esp-md5-hmac
!
crypto dynamic-map DynMap 20
 set transform-set encryption 
 set isakmp-profile vpnclientprf
 reverse-route
!
!
crypto map VPN 1 ipsec-isakmp dynamic DynMap
!
archive
 log config
  hidekeys
!
!
!
track 1 ip sla 1 reachability
!
track 2 ip sla 2 reachability
!
!
bba-group pppoe 2ndWAN
!
!
interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 encapsulation ppp
 dialer pool-member 1
 isdn switch-type basic-net3
 isdn tei-negotiation preserve
 isdn point-to-point-setup
!
interface ATM0
 bandwidth 732
 backup delay 3 3
 backup interface BRI0
 no ip address
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip flow ingress
 atm vc-per-vp 64
 no atm ilmi-keepalive
 pvc 8/35
  encapsulation aal5mux ppp dialer
  dialer pool-member 1
 !
!
interface FastEthernet0
!
interface FastEthernet1
!
interface FastEthernet2
!
interface FastEthernet3
!
interface Vlan1
 description *** INSIDE ***
 ip address 192.168.1.1 255.255.255.0
 ip access-group 100 in
 ip nat inside
 ip virtual-reassembly
 ip policy route-map pbr
 pppoe enable group 2ndWAN
 pppoe-client dial-pool-number 2
!
interface Dialer0
 description *** OUTSIDE ***
 ip address negotiated
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 1
 dialer idle-timeout 270
 dialer string 8962545555
 dialer-group 1
 keepalive 5 2
 no cdp enable
 ppp chap hostname ****
 ppp chap password ****
 ppp pap sent-username **** password ****
 crypto map VPN
!
interface Dialer1
 description *** OUTSIDE ***
 ip address negotiated
 ip access-group 102 in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip mtu 1492
 ip flow ingress
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 ip tcp adjust-mss 1452
 dialer pool 2
 dialer idle-timeout 270
 dialer-group 1
 keepalive 5 2
 no cdp enable
 ppp chap hostname ****
 ppp chap password ****
 ppp pap sent-username **** password ****
!
ip local pool vpnclientspool 192.168.2.1 192.168.2.254
ip forward-protocol nd
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 192.168.2.0 255.255.255.0 Dialer0
ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source route-map PPPoA interface Dialer0 overload
ip nat inside source route-map PPPoE interface Dialer1 overload
!
ip sla 1
 icmp-echo *ipaddress* source-interface Dialer0
ip sla schedule 1 life forever start-time now
ip sla 2
 icmp-echo *ipaddress* source-interface Dialer1
ip sla schedule 2 life forever start-time now
access-list 23 remark >>> HTTP and LINE VTY Access-class list <<<
access-list 23 permit 192.168.1.0 0.0.0.255
access-list 23 permit 192.168.2.0 0.0.0.255
access-list 23 deny   any
access-list 23 remark ----------
access-list 100 remark >>> VLAN 1 INBOUND <<<
access-list 100 deny   ip host 255.255.255.255 any
access-list 100 deny   ip 127.0.0.0 0.255.255.255 any
access-list 100 deny   tcp any any range 137 139
access-list 100 deny   udp any any range netbios-ns netbios-ss
access-list 100 permit ip any any
access-list 100 remark ----------
access-list 102 remark >>> DIALER 0 and DIALER 1 INBOUND <<<
access-list 102 permit ip 192.168.1.0 0.0.0.255 any
access-list 102 deny   ip 10.0.0.0 0.255.255.255 any
access-list 102 deny   ip 172.16.0.0 0.15.255.255 any
access-list 102 deny   ip 192.168.0.0 0.0.255.255 any
access-list 102 deny   ip 127.0.0.0 0.255.255.255 any
access-list 102 deny   ip host 255.255.255.255 any
access-list 102 deny   ip host 0.0.0.0 any
access-list 102 permit icmp any any echo
access-list 102 permit icmp any any echo-reply
access-list 102 permit icmp any any time-exceeded
access-list 102 permit icmp any any unreachable
access-list 102 permit ip any any
access-list 102 remark ----------
access-list 104 remark >>> NAT OVERLOAD <<<
access-list 104 deny   ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 104 permit ip 192.168.1.0 0.0.0.255 any
access-list 104 deny   ip any any
access-list 104 remark ----------
access-list 107 remark >>> VPN IPSEC TRAFFIC TO PERMIT FROM VPN CLIENTS <<<
access-list 107 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 107 remark ----------
access-list 111 remark >>> PBR to Dialer0 - emails and vpns <<<
access-list 111 permit tcp any any eq pop3
access-list 111 permit tcp any any eq smtp
access-list 111 permit tcp any any eq 10000
access-list 111 permit udp any any eq isakmp
access-list 111 permit ahp any any
access-list 111 permit esp any any
access-list 111 deny   ip any any
access-list 111 remark ----------
access-list 112 remark >>> PBR to Dialer1 - all other traffic <<<
access-list 112 deny   tcp any any eq pop3
access-list 112 deny   tcp any any eq smtp
access-list 112 deny   tcp any any eq 10000
access-list 112 deny   udp any any eq isakmp
access-list 112 deny   ahp any any
access-list 112 deny   esp any any
access-list 112 permit ip any any
access-list 112 remark ----------
dialer-list 1 protocol ip permit
no cdp run

!
!
!
!
route-map pbr permit 10
 match ip address 111
 set ip next-hop verify-availability *ipaddress* 10 track 1
!
route-map pbr permit 20
 match ip address 112
 set ip next-hop verify-availability *ipaddress* 20 track 2
!
route-map pbr permit 30
 set ip next-hop verify-availability *ipaddress* 10 track 1
 set ip next-hop verify-availability *ipaddress* 20 track 2
!
route-map PPPoE permit 10
 match ip address 104
 match interface Dialer1
!
route-map PPPoA permit 10
 match ip address 104
 match interface Dialer0
!
!
control-plane
!
!
line con 0
 exec-timeout 120 0
 login authentication vpncllogin
 no modem enable
 stopbits 1
line aux 0
line vty 0 4
 access-class 23 in
 exec-timeout 120 0
 login authentication vpncllogin
!
scheduler max-task-time 5000
!
webvpn context Default_context
 ssl authenticate verify all
 !
 no inservice
!
end

**taxiarxos** · 16-09-10, 14:10

Ωραίος..!!!

Θέμα: Δεύτερη aDSL σύνδεση πάνω σε cisco 800 series (wan on lan, pppoe on lan port)

Παρόμοια Θέματα

TP-LINK TL-R480T 1 WAN PORT + 4 LAN PORTS ROUTER

Cisco 871 και LAN/WAN setup

WAN/LAN και PORT REMOTE ACCESS

Traffic Monitor σε LAN με μοιραζόμενη adsl σύνδεση

Cisco 800 series ADSL+wireless?

Tags για αυτό το Θέμα

Bookmarks

Bookmarks

Δικαιώματα - Επιλογές