Задача: Опубликовать 2 сервера, 1 сервер использует основной канал, 2 сервер использует резервный канал.
Решение: Воспользуемся для решения данной задачи функционалом PBR.
Первичная конфигурация роутера:
interface gigabitethernet 1/0/1 - интерфейс в сторону провайдера 1 ip firewall disable ip address 10.0.0.1/24 exit interface gigabitethernet 1/0/2 - интерфейс в сторону провайдера 2 ip firewall disable ip address 10.0.1.1/24 exit interface gigabitethernet 1/0/3 - интерфейс в сторону серверов ip firewall disable ip address 172.16.1.100/24 exit ip route 0.0.0.0/0 10.0.0.2 - маршрут для работы через основного провайдера 1 ip route 0.0.0.0/0 10.0.1.2 10 - маршрут для резервной работы через провайдера 2, не работает пока активен маршрут через провайдера 1
Начнем с настройки DNAT. Выглядеть она будет следующим образом:
object-group service http port-range 80 exit object-group network pub1 ip address-range 10.0.0.1 exit object-group network pub2 ip address-range 10.0.1.1 exit nat destination pool serv1 ip address 172.16.1.1 exit pool serv2 ip address 172.16.1.2 exit ruleset serv1 from interface gigabitethernet 1/0/1 rule 1 match protocol tcp match destination-address object-group pub1 match destination-port object-group http action destination-nat pool serv1 enable exit exit ruleset serv2 from interface gigabitethernet 1/0/2 rule 1 match protocol tcp match destination-address object-group pub2 match destination-port object-group http action destination-nat pool serv2 enable exit exit exit
Таким образом пакеты приходящие на разные "белые" IP провайдеров NAT будет пробрасывать на соответствующие сервера. Однако в обратную сторону пакеты будут выходить только по одному маршруту (через основного провайдера), так как маршрут через второго провайдера будет активен, только при падении первого. Для того что бы выйти из сложившейся ситуации настроим Route-map на основе списков доступа (Policy-based routing).
ip access-list extended serv1 - access-list для первого сервера rule 1 action permit match source-address 172.16.1.1 255.255.255.255 enable exit exit ip access-list extended serv2 - access-list для второго сервера rule 1 action permit match source-address 172.16.1.2 255.255.255.255 enable exit exit route-map PBR rule 1 match ip access-group serv1 action set ip next-hop verify-availability 10.0.0.2 1 - шлюз для провайдера 1 exit rule 2 match ip access-group serv2 action set ip next-hop verify-availability 10.0.1.2 1 - шлюз для провайдера 2 exit exit
Далее просто назначаем route-map на внутренний интерфейс, к которому подключены сервера:
interface gigabitethernet 1/0/3 ip firewall disable ip address 172.16.1.100/24 ip policy route-map PBR exit
Если есть задача опубликовать один сервер через двух провайдеров, то данная конфигурация также подойдет. При этом сервер должен иметь 2 внутренних IP адреса.