いくつかのプロバイダー、ip sla + trackを接続するための普遍的なソリューションがあります。 このソリューションは理解しやすく、管理も簡単です。 ただし、2つ以上の通信チャネルを同時に使用する場合、この技術は純粋な形では適していません。
私の経験を共有したいです。 複数のプロバイダーを持つノードでは、仮想ルーターを含む構成-VRFを使用します。 この構成は私の練習から取られており、うまく機能しています。
パラメーターを持つ2つのプロバイダーがあるとします。
ISP1 1.1.1.1ゲートウェイ1.1.1.2
ISP2 2.2.2.1ゲートウェイ2.2.2.2
そしてローカルネットワーク:
LAN 192.168.1.1/24
構成に進みましょう。 最初に、これらの同じ仮想ルーターを作成する必要がありますが、そのうち2つはプロバイダー用で、もう1つはローカルネットワーク用です。
ルートをエクスポートするためのルールをすぐに設定して、ip vrfセクションに戻らないようにします。 ロジックは次のとおりです。VRFプロバイダー間でルートを交換することはできません(実際には可能ですが、そのようなオプションでは設定がより複雑になります)。 指先:VRFプロバイダーは、VRFローカルエリアネットワークとの間でのみルートを送受信できます。 LAN VRFはルートを送信し、他のVRFからルートを受信できます。
ip vrf isp1 rd 65000:1 route-target export 65000:1 route-target import 65000:99 ip vrf isp2 rd 65000:2 route-target export 65000:2 route-target import 65000:99 ip vrf lan rd 65000:99 route-target export 65000:99 route-target import 65000:1 route-target import 65000:2
ルータにネットワークデータを入力します。すぐにNATを有効にし、必要なVRFをインターフェイスに割り当てることを忘れないでください。 1つのインターフェイスを複数のVRFに同時に属することはできません。 1つのルーターから複数のルーターを作成し、それをパーツに分割し、各パーツに独自のインターフェイスを持たせることにしたと想像してください。
interface GigabitEthernet0/0/0 description === ISP 1 === ip vrf forwarding isp1 ip address 1.1.1.1 255.255.255.252 ip nat outside interface GigabitEthernet0/0/1 description === ISP 2 === ip vrf forwarding isp2 ip address 2.2.2.1 255.255.255.252 ip nat outside interface GigabitEthernet0/0/2 description === LAN === ip vrf forwarding lan ip address 192.168.1.1 255.255.255.0 ip nat inside
これで、3つの小型でありながら誇り高い独立したルーターができました。 主なことを行う前に-プロバイダーのゲートウェイを登録するには、ip slaテストを構成する必要があります。 これは、標準ソリューションと同じ方法で行われますが、ip slaテストを実行することになっているVFRを指定します。
ip sla auto discovery ip sla 1 icmp-echo 4.2.2.1 vrf isp1 frequency 15 ip sla schedule 1 life forever start-time now ip sla 2 icmp-echo 8.8.8.8 vrf isp1 frequency 15 ip sla schedule 2 life forever start-time now track 11 ip sla 1 reachability track 12 ip sla 2 reachability track 123 list boolean or object 11 object 12
プロバイダーとの通信を担当する仮想ルーターにルートを追加します。 メトリック値に注意してください。バックアップチャネルではメトリックが高くなり、その理由がわかります。
ip route vrf isp1 0.0.0.0 0.0.0.0 1.1.1.2 100 track 123 ip route vrf isp2 0.0.0.0 0.0.0.0 2.2.2.2 120
原則として、これはすでにプロバイダーのパブリックアドレスの外部からルーターに接続するのに十分です(もちろん、SSHまたはtelnetアクセスが構成されていない限り)。
次に、NATを準備します。VRFを使用しない標準ソリューションでの構成に使用したのとほぼ同じことをすべて行います。 ローカルアドレスからローカルアドレスへの変換を禁止するアクセスリストを作成します。
ip access-list extended NO_NAT deny ip any 192.168.0.0 0.0.255.255 deny ip any 172.16.0.0 0.15.255.255 deny ip any 10.0.0.0 0.255.255.255 permit ip any any
各プロバイダーのルーティングカードを作成します。
route-map ISP1 permit 10 match ip address NO_NAT match interface GigabitEthernet0/0/0 route-map ISP2 permit 10 match ip address NO_NAT match interface GigabitEthernet0/0/1
NATオーバーロードを有効にします(ルールはvrf lan仮想ルーターで構成されていることに注意してください)。
ip nat inside source route-map ISP1 interface GigabitEthernet0/0/0 vrf lan overload ip nat inside source route-map ISP2 interface GigabitEthernet0/0/1 vrf lan overload
エレガントなソリューションはほぼ準備ができていますが、最後の仕上げが必要です。これは、各VRFで設定したインポート/エクスポートルールを前提として、VRF間のルートの再配布を処理するBGPプロセスです。
router bgp 65000 bgp log-neighbor-changes address-family ipv4 vrf isp1 redistribute connected redistribute static metric 100 default-information originate exit-address-family address-family ipv4 vrf isp2 redistribute static metric 120 redistribute connected default-information originate exit-address-family address-family ipv4 vrf lan redistribute connected exit-address-family
default-information originコマンドを使用すると、bgpを介してデフォルトルートを渡すことができます。 その結果、異なるプロバイダーのゲートウェイへの2つのルートは、vrf lanのデフォルトルートの候補に分類されますが、bgpでは、メトリックが小さい方が選択されます。 したがって、あるプロバイダーから別のプロバイダーにNATを突然切り替える必要がある場合、VRFの1つのルーティングテーブルのメトリックを変更するだけで十分です。
おわりに この構成により、2つの通信プロバイダーへの接続を同時に整理できます。 設定は非常に柔軟で、PBRを使用して、プロバイダー間でトラフィックを共有できます。プロバイダーの1つがクラッシュしても、サービスを提供し続けます。 VRF機能により、複雑な設定操作中であっても、デバイスとの接続が失われないようにすることができます(ただし、2つのルーティングテーブルを同時に編集することはできません...)。 この構成は簡単に拡張でき、問題なく新しいプロバイダーを追加できます。
欠点の中で、ほとんどすべてのコマンドに追加のテキストvrf <name>を挿入する必要があることに注意してください。 そのため、ローカルネットワークの仮想ルーターのルーティングテーブルを表示するには、次のコマンドを使用します。
show ip route vrf lan
NATによるping:
ping vrf lan 8.8.8.8
最初のプロバイダーのVRFからのping:
ping vrf isp1 8.8.8.8
ご清聴ありがとうございました。 Cisco 881 IOSバージョン15.5ルーターで準備