Задача: Опубликовать 2 сервера, 1 сервер использует основной канал, 2 сервер использует резервный канал.

Решение: Воспользуемся для решения данной задачи функционалом PBR.


Первичная конфигурация роутера:

interface gigabitethernet 1/0/1   - интерфейс в сторону провайдера 1
  ip firewall disable
  ip address 10.0.0.1/24
exit

interface gigabitethernet 1/0/2  - интерфейс в сторону провайдера 2
  ip firewall disable
  ip address 10.0.1.1/24
exit

interface gigabitethernet 1/0/3  - интерфейс в сторону серверов
  ip firewall disable
  ip address 172.16.1.100/24
exit

ip route 0.0.0.0/0 10.0.0.2  - маршрут для работы через основного провайдера 1
ip route 0.0.0.0/0 10.0.1.2 10  - маршрут для резервной работы через провайдера 2, не работает пока активен маршрут через провайдера 1



Начнем с настройки DNAT. Выглядеть она будет следующим образом:

object-group service http
  port-range 80
exit

object-group network pub1
  ip address-range 10.0.0.1
exit
object-group network pub2
  ip address-range 10.0.1.1
exit

nat destination
  pool serv1
    ip address 172.16.1.1
  exit
  pool serv2
    ip address 172.16.1.2
  exit
  ruleset serv1
    from interface gigabitethernet 1/0/1
    rule 1
      match protocol tcp
      match destination-address object-group pub1
      match destination-port object-group http
      action destination-nat pool serv1
      enable
    exit
  exit
  ruleset serv2
    from interface gigabitethernet 1/0/2
    rule 1
      match protocol tcp
      match destination-address object-group pub2
      match destination-port object-group http
      action destination-nat pool serv2
      enable
    exit
  exit
exit



Таким образом пакеты приходящие на разные "белые" IP провайдеров NAT будет пробрасывать на соответствующие сервера. Однако в обратную сторону пакеты будут выходить только по одному маршруту (через основного провайдера), так как маршрут через второго провайдера будет активен, только при падении первого. Для того что бы выйти из сложившейся ситуации настроим Route-map на основе списков доступа (Policy-based routing).

ip access-list extended serv1 - access-list для первого сервера
  rule 1
    action permit
    match source-address 172.16.1.1 255.255.255.255
    enable
  exit
exit

ip access-list extended serv2 - access-list для второго сервера
  rule 1
    action permit
    match source-address 172.16.1.2 255.255.255.255
    enable
  exit
exit

route-map PBR
  rule 1
    match ip access-group serv1
    action set ip next-hop verify-availability 10.0.0.2 1   - шлюз для провайдера 1
  exit
  rule 2
    match ip access-group serv2
    action set ip next-hop verify-availability 10.0.1.2 1    - шлюз для провайдера 2
  exit
exit



Далее просто назначаем route-map  на внутренний интерфейс, к которому подключены сервера:

interface gigabitethernet 1/0/3
  ip firewall disable
  ip address 172.16.1.100/24
  ip policy route-map PBR
exit



Если есть задача опубликовать один сервер через двух провайдеров, то данная конфигурация также подойдет. При этом сервер должен иметь 2 внутренних IP адреса.


  • Нет меток