https://slinkov.ru/openforum/vsluhforumID6/17409.html Доброго всем времени суток. <br>Задача такая: <br>-необходимо реализовать схему <br> http://img410.imageshack.us/my.php?image=twoisptunnelqc9.jpg<br>-из филиала должны идти 2 туннеля в ЦО желательно с балансировкой траффика по туннелям.<br>-все запросы из филиала в Инет должны идти сначала в туннель (попадать там на прокси-сервер) и выходить в Инет из ЦО. <br>-в ЦО должна быть балансировка траффика между двумя провайдерами.<br><br>==========================Central Office Router================================== <br>! <br>hostname Central-Office <br>! <br><br>ip cef <br>! <br>! <br>! <br>ip sla monitor 1 <br> type echo protocol ipIcmpEcho 1.1.1.10 source-interface FastEthernet0/0.30 <br>ip sla monitor schedule 1 life forever start-time now <br>ip sla monitor 2 <br> type echo protocol ipIcmpEcho 2.2.2.10 source-interface FastEthernet0/0.40 <br>ip sla monitor schedule 2 life forever start-time now <br>! <br>! <br>! <br>track 100 rtr 1 reachability <br>! <br>track 200 rtr 2 reachability <br>! <br>! <br>interface Tunnel10 <br> ip address 10.10.10.20 255.255.255.0 <br> tunnel https://slinkov.ru/openforum/vsluhforumID6/17409.html#7 Tue, 28 Oct 2008 06:32:50 GMT &gt;Доброго всем времени суток. <br>&gt;Задача такая: <br>&gt;-необходимо реализовать схему <br>&gt; http://img410.imageshack.us/my.php?image=twoisptunnelqc9.jpg <br>&gt;-из филиала должны идти 2 туннеля в ЦО желательно с балансировкой траффика <br>&gt;по туннелям. <br>&gt;-все запросы из филиала в Инет должны идти сначала в туннель (попадать <br>&gt;там на прокси-сервер) и выходить в Инет из ЦО. <br>&gt;-в ЦО должна быть балансировка траффика между двумя провайдерами. <br><br>что в итоге получилось:<br>==============================Branch-Office=======================================<br><br>hostname Branch-Office<br>!<br>boot-start-marker<br>boot-end-marker<br>!<br>ip cef<br>!<br>! <br>!<br>crypto isakmp policy 10<br> authentication pre-share<br>crypto isakmp key 6 cisco address 1.1.1.1<br>crypto isakmp key 6 cisco address 2.2.2.2<br>!<br>! <br>crypto ipsec transform-set to_CO esp-des esp-md5-hmac <br>!<br>crypto map VPN 10 ipsec-isakmp <br> set peer 1.1.1.1<br> set peer 2.2.2.2<br> set transform-set to_CO <br> match address VPN<br>!<br>!<br>!<br>!<br>interface Tunnel10<br> ip address 10.10.10.10 255.255.2 https://slinkov.ru/openforum/vsluhforumID6/17409.html#6 Tue, 21 Oct 2008 11:34:08 GMT &gt;В центральном офисе используйте PBR (ip local policy), чтобы туннели строились через <br>&gt;нужных провайдеров. <br><br>в сети нашел что-то похожее.<br>я правильно понимаю, что надо сделать примерно так:<br><br>!<br>ip local policy route-map rm_local<br>!<br>ip access-list extended local_isp1 <br> permit ip host 1.1.1.1 any <br>ip access-list extended local_isp2 <br> permit ip host 2.2.2.2 any<br>!<br>route-map rm_local permit 10 <br> match ip address local_isp1 <br> match interface FastEthernet0.30 <br> set ip next-hop 1.1.1.10 <br>! <br>route-map rm_local permit 20 <br> match ip address local_isp2 <br> match interface FastEthernet0.40 <br> set ip next-hop 2.2.2.10<br>!<br><br>?<br>=)<br> https://slinkov.ru/openforum/vsluhforumID6/17409.html#5 Tue, 21 Oct 2008 11:08:47 GMT &gt; Branch-Office#ping 4.4.4.10<br>&gt; <br>&gt; Type escape sequence to abort.<br>&gt; Sending 5, 100-byte ICMP Echos to 4.4.4.10, timeout is 2 seconds:<br>&gt; .....<br>&gt; Success rate is 0 percent (0/5) <br><br>Трафик приходя из туннеля, сразу уходит к вашему прову, при этом не попадая в нат.<br><br>ip nat in на туннельных интерфейсах и соответственно добавить в роут-мап их же.<br> https://slinkov.ru/openforum/vsluhforumID6/17409.html#4 Tue, 21 Oct 2008 10:45:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; 1 2.2.2.10 0 msec <br>&gt;&gt;&gt; 1.1.1.10 0 msec <br>&gt;&gt;&gt; 2.2.2.10 0 msec <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Подскажите в чем я не прав... <br>&gt;&gt;<br>&gt;&gt; Такое ощущение, что пакеты из филиала уходя по одому туннелю, <br>&gt;&gt; а обратные приходят по другому. <br>&gt;<br><br> Мне кажется надо применять команду variance в настройке<br> eigrp, чтбы корректно работала балансировка по туннелям. <br><br><br> https://slinkov.ru/openforum/vsluhforumID6/17409.html#3 Tue, 21 Oct 2008 10:23:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt; 1 2.2.2.10 0 msec <br>&gt;&gt; 1.1.1.10 0 msec <br>&gt;&gt; 2.2.2.10 0 msec <br>&gt;&gt;<br>&gt;&gt;<br>&gt;&gt;Подскажите в чем я не прав... <br>&gt;<br>&gt; Такое ощущение, что пакеты из филиала уходя по одому туннелю, <br>&gt; а обратные приходят по другому. <br><br> Хотя нет, tunnel20 выбран с обоих сторон.<br> https://slinkov.ru/openforum/vsluhforumID6/17409.html#2 Tue, 21 Oct 2008 10:20:08 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Type escape sequence to abort. <br>&gt;Tracing the route to 4.4.4.10 <br>&gt;<br>&gt; 1 2.2.2.10 0 msec <br>&gt; 1.1.1.10 0 msec <br>&gt; 2.2.2.10 0 msec <br>&gt;<br>&gt;<br>&gt;Подскажите в чем я не прав... <br><br> Такое ощущение, что пакеты из филиала уходя по одому туннелю,<br> а обратные приходят по другому.<br> https://slinkov.ru/openforum/vsluhforumID6/17409.html#1 Tue, 21 Oct 2008 10:12:58 GMT В центральном офисе используйте PBR (ip local policy), чтобы туннели строились через нужных провайдеров.<br>