Хорошо

Маршрутизатор и два провайдера

Опубликовано 2021-8-19 21:27:42Последний ответ дек 15, 2021 12:22:52 679 100 11 0 0
  Награжденные Форбаллы: 0 (Проблема решена)

Добрый день коллеги! Прошу помочь разобраться с одной странностью. Имеется маршрутизатор Ar1220, к нему подключено два провайдера. Задача, собрать схему так, что бы при пропадании канала основного провайдера, происходило автоматическое переключение на второй. Настроил маршрутизатор. Схема работает, но не так как хотелось, если порт основного провайдера оставить физически подключенным, а vlan удалить со свича, к которому подключен AR, трассировка до днс проходит с какими то разрывами. Если порт основного провайдера руками выключить, то трассер идет идеально. Где то и что то упустил, понять не могу. По форуму пробежался, единственное, что понял, это PBR использовать. Укажите мою ошибку! Config:


interface GigabitEthernet0/0/8

 description --- port connect to SW_TTK ---

#

interface GigabitEthernet0/0/8.151

 description --- USERS_Internet ---

 dot1q termination vid 151

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet0/0/8.166

 description ---  main internet TTK ---

 dot1q termination vid 166

 ip address 62.x.x.1 255.255.255.0

 nat outbound 2001

#

interface GigabitEthernet0/0/9

 description --- backup internet ---

 ip address 176.x.x.35 255.255.255.0

 nat outbound 2001

#

nqa test-instance dual 2

 test-type icmp

 destination-address ipv4 8.8.8.8

 frequency 10

 probe-count 5

 start now

nqa test-instance dual int

 test-type icmp

 destination-address ipv4 1.1.1.1

 frequency 10

 timeout 1

 probe-count 5

 start now

#

policy-based-route dual permit node  1

 if-match packet-length 56 1500

 apply ip-address next-hop 1.1.1.1 track ip-route 62.x.x.254 255.255.255.0

 apply ip-address backup-nexthop 176.x.x..1

policy-based-route dual2 permit node  2

 if-match packet-length 56 1500

 apply ip-address next-hop 1.1.1.1 track ip-route 176.x.x.1 255.255.255.0 

#
ip route-static 0.0.0.0 0.0.0.0 62.x.x.254

ip route-static 0.0.0.0 0.0.0.0 176.x.x.1 (если прописать ip route-static 0.0.0.0 0.0.0.0 176.x.x.1 preference 200 - трафик вообще не ходит)


Трассировка со стороны пользователя 192.168.1.3:

Если порт основого провайдера включен, 


traceroute to  1.1.1.1(1.1.1.1), max hops: 30 ,packet length: 40

 1 192.168.1.1 16 ms  34 ms  14 ms

 2 176.x.x.1 40 ms  *  52 ms

 3  * 100.65.0.1 83 ms  *

 4 217.150.48.13 483 ms  *  55 ms

 5  * 217.150.48.14 55 ms  *

 6 217.150.55.234 134 ms  *  147 ms

 7  * 188.43.3.65 138 ms  *

 8 1.1.1.1 135 ms  *  153 ms


Если порт основного провайдера отключен:

traceroute to  1.1.1.1(1.1.1.1), max hops: 30 ,packet length: 40

 1 192.168.1.1 32 ms  12 ms  11 ms

 2 176.x.x.1 42 ms  40 ms  36 ms

 3 100.65.0.1 45 ms  39 ms  72 ms

 4 217.150.48.13 81 ms  118 ms  58 ms

 5 217.150.48.14 59 ms  65 ms  58 ms

 6 217.150.55.234 154 ms  174 ms  124 ms

 7 188.43.3.65 155 ms  135 ms  163 ms

 8 1.1.1.1 134 ms  132 ms  133 ms


В первом случаи таблица маршрутизации



0.0.0.0/0   Static  60   0          RD   62.x.x.254    GigabitEthernet0/0/8.166

                 Static  60   0          RD   176.x.x.1    GigabitEthernet0/0/9

62.x.x.0/24  Direct  0    0           D   62.x.x.1      GigabitEthernet0/0/8.166

62.x.x.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/8.166

62.x.x.255/32  Direct  0    0        D   127.0.0.1       GigabitEthernet0/0/8.166

176.x.x..0/24  Direct  0    0           D   176.x.x.35   GigabitEthernet0/0/9

176.x.x.35/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/9

176.x.x.255/32  Direct  0    0          D   127.0.0.1       GigabitEthernet0/0/9

192.168.1.0/24  Direct  0    0           D   192.168.1.1   GigabitEthernet0/0/8.151

192.168.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/8.151

192.168.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/8.151

   

Второй случай маршрутизации:


0.0.0.0/0   Static  60   0          RD   176.x.x..1    GigabitEthernet0/0/9

176.x.x.0/24  Direct  0    0           D   176.x.x..35   GigabitEthernet0/0/9

176.x.x.35/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/9

176.x.x.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/9

192.168.1.0/24  Direct  0    0           D   192.168.1.1   GigabitEthernet0/0/8.151

192.168.1.1/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/8.151

192.168.1.255/32  Direct  0    0           D   127.0.0.1       GigabitEthernet0/0/8.151




  • x

Избранные ответы

Лучший ответ

Рекомендуемые ответы

mkabanov
MVE Author Опубликовано 2021-8-20 06:46:48
Если нужно именно отслеживание провайдера по критерию доступности КАКОГО-то его ресурса: вот вы пишите, что линк есть, а данных - нет, ТО я бы не PBR или NQA делал, а статику на основе
BFD-one-arm, а если заморочиться, то не One-arm, а "полный" (но, это со стороны провайдера настройка тоже)
Пример One-arm =
bfd

bfd 11 bind peer-ip 8.8.8.8 int gi 1/0/1 one-arm
dis loc 1
min-e 50
comm
q
ip route-static 0.0.0.0 0.0.0.0 62.x.x.254 track bfd 11
Где 8.8.8.8 - точка у провайдера, которая дает возможность понять, что он "жив" или нет
Использование статики, как Вы и делаете, на два направления - через "Preference" (на одном - по дефолту будет 60, на другом делайте больше, чем 60)
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-8-20 06:48 (0) (0)
Почему желательно не One-Arm, a полный (НО, маловероятно т. к. это настройка с 2х сторон) = One-arm НЕ "подымается" на control-plane  
artemrus38
artemrus38 Опубликовано 2021-8-20 14:27 (0) (0)
bfd 1 bind peer-ip 8.8.8.8 interface GigabitEthernet0/0/8.166 one-arm-echo
discriminator local 1
min-echo-rx-interval 50
commit

ip route-static 0.0.0.0 0.0.0.0 176.x.x.1 preference 200
ip route-static 0.0.0.0 0.0.0.0 62.x.x.254 track bfd-session 1

В этом случаи сразу же, во всех комбинациях настройки, становиться шлюзом по умолчанию 172.x.x.1.  
mkabanov
mkabanov Ответить artemrus38  Опубликовано 2021-8-20 16:28 (0) (0)
Извиняюсь! (когда писал конфиг Вам мысль дальше пошлаюю)
Если мониторить именно 8.8.8.8, то BFD не совсем то, точнее НЕ ONE-ARM нужен
One-arm = вместо точки 8.8.8.8 пишите только прямой (direct ip) линк соседа-провайдера  
artemrus38
artemrus38 Ответить mkabanov  Опубликовано 2021-8-20 17:32 (0) (0)
Подскажите, тогда получается, что нужно прописать 62x.x.254? на сколько это правильно?  
artemrus38
artemrus38 Ответить artemrus38  Опубликовано 2021-8-20 18:21 (0) (0)
если так прописать, то есть вероятность, что при обрыве сети за шлюзом, схема будет являться не рабочей  
mkabanov
mkabanov Ответить artemrus38  Опубликовано 2021-8-20 22:06 (0) (0)
Для данной функции, указанный Вами IP = абсолтно верно.
Задачу базовую решите и можете спокойно искать далее.
NQA должен так же отработать, но раз не заработал - нужно читать, эмулировать...  
mkabanov
mkabanov Ответить mkabanov  Опубликовано 2021-8-20 22:15 (0) (0)
(только точно не для PBR, а для статики)  
artemrus38
artemrus38 Ответить mkabanov  Опубликовано 2021-8-22 07:00 (0) (0)
Конфигурация с 62.х.х.254 заработала. Теперь вопрос, каким образом будет отрабатывать NQA если он не прикреплен к определенному статическому маршруту? Или NQA по другому работает?  
mkabanov
mkabanov Ответить artemrus38  Опубликовано 2021-8-22 10:32 (0) (0)
Ну, я-же Вам про NQA не решение с командами советовал, а как идею.
Если делать с ним, то примерно так =
nqa test-inst NQA ISP1
test- icmp
freq 4
probe 2
dest ipv4 18.8.8.8 (вот в этом и смысл NQA)
source gi 0/0/8.166
start now

ip route-static 0.0.0.0 0.0.0.0 62.x.x.254 track nqa NQA ISP1  
mkabanov
mkabanov Ответить mkabanov  Опубликовано 2021-8-22 10:33 (0) (0)
(18.8.8.8 - адрес, который пингуется у ISP1, Т. е. сначала проверьте, что это так и есть)  
1   
Все ответы
Maksim
Maksim HCIE MVE Опубликовано 2021-8-20 00:40:27
Не вполне понял что Вы пытаетесь сделать. В простейшем случае основной канал пописывается

ip route-static 0.0.0.0 0.0.0.0 62.x.x.254 track nqa <название теста>

А бэкап
ip route-static 0.0.0.0 0.0.0.0 176.x.x.1 preference 200
Развернуть
  • x

artemrus38
artemrus38 Опубликовано 2021-8-20 05:26 (0) (0)
В том то и дело, на backup шлюз переходит в том случаи если порт уходит в down. А если он находится в up, то переключение не происходит. На пример на сети провайдера работы, физика осталась, инета нет!  
stardusty
stardusty Ответить artemrus38  Опубликовано 2021-12-24 16:56 (0) (0)
+  
Farad_Z
Farad_Z Ответить stardusty  Опубликовано 2021-12-27 14:10 (0) (0)
+  
TinaSehm
TinaSehm Ответить Farad_Z  Опубликовано 2021-12-27 14:18 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 16:27 (0) (0)
 
2559godji
2559godji Ответить NikitamatveeV  Опубликовано 2021-12-28 12:00 (0) (0)
 
Vasyo
Vasyo Ответить 2559godji  Опубликовано 2021-12-28 12:01 (0) (0)
+  
Sber
Sber Опубликовано 2021-12-28 16:13 (0) (0)
+  
bazkar
bazkar Ответить Sber  Опубликовано 2021-12-28 16:19 (0) (0)
+  
bazilio
bazilio Ответить bazkar  Опубликовано 2021-12-28 16:20 (0) (0)
+  
1   
mkabanov
mkabanov MVE Author Опубликовано 2021-8-20 06:46:48
Если нужно именно отслеживание провайдера по критерию доступности КАКОГО-то его ресурса: вот вы пишите, что линк есть, а данных - нет, ТО я бы не PBR или NQA делал, а статику на основе
BFD-one-arm, а если заморочиться, то не One-arm, а "полный" (но, это со стороны провайдера настройка тоже)
Пример One-arm =
bfd

bfd 11 bind peer-ip 8.8.8.8 int gi 1/0/1 one-arm
dis loc 1
min-e 50
comm
q
ip route-static 0.0.0.0 0.0.0.0 62.x.x.254 track bfd 11
Где 8.8.8.8 - точка у провайдера, которая дает возможность понять, что он "жив" или нет
Использование статики, как Вы и делаете, на два направления - через "Preference" (на одном - по дефолту будет 60, на другом делайте больше, чем 60)
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-8-20 06:48 (0) (0)
Почему желательно не One-Arm, a полный (НО, маловероятно т. к. это настройка с 2х сторон) = One-arm НЕ "подымается" на control-plane  
artemrus38
artemrus38 Опубликовано 2021-8-20 14:27 (0) (0)
bfd 1 bind peer-ip 8.8.8.8 interface GigabitEthernet0/0/8.166 one-arm-echo
discriminator local 1
min-echo-rx-interval 50
commit

ip route-static 0.0.0.0 0.0.0.0 176.x.x.1 preference 200
ip route-static 0.0.0.0 0.0.0.0 62.x.x.254 track bfd-session 1

В этом случаи сразу же, во всех комбинациях настройки, становиться шлюзом по умолчанию 172.x.x.1.  
mkabanov
mkabanov Ответить artemrus38  Опубликовано 2021-8-20 16:28 (0) (0)
Извиняюсь! (когда писал конфиг Вам мысль дальше пошлаюю)
Если мониторить именно 8.8.8.8, то BFD не совсем то, точнее НЕ ONE-ARM нужен
One-arm = вместо точки 8.8.8.8 пишите только прямой (direct ip) линк соседа-провайдера  
artemrus38
artemrus38 Ответить mkabanov  Опубликовано 2021-8-20 17:32 (0) (0)
Подскажите, тогда получается, что нужно прописать 62x.x.254? на сколько это правильно?  
artemrus38
artemrus38 Ответить artemrus38  Опубликовано 2021-8-20 18:21 (0) (0)
если так прописать, то есть вероятность, что при обрыве сети за шлюзом, схема будет являться не рабочей  
mkabanov
mkabanov Ответить artemrus38  Опубликовано 2021-8-20 22:06 (0) (0)
Для данной функции, указанный Вами IP = абсолтно верно.
Задачу базовую решите и можете спокойно искать далее.
NQA должен так же отработать, но раз не заработал - нужно читать, эмулировать...  
mkabanov
mkabanov Ответить mkabanov  Опубликовано 2021-8-20 22:15 (0) (0)
(только точно не для PBR, а для статики)  
artemrus38
artemrus38 Ответить mkabanov  Опубликовано 2021-8-22 07:00 (0) (0)
Конфигурация с 62.х.х.254 заработала. Теперь вопрос, каким образом будет отрабатывать NQA если он не прикреплен к определенному статическому маршруту? Или NQA по другому работает?  
mkabanov
mkabanov Ответить artemrus38  Опубликовано 2021-8-22 10:32 (0) (0)
Ну, я-же Вам про NQA не решение с командами советовал, а как идею.
Если делать с ним, то примерно так =
nqa test-inst NQA ISP1
test- icmp
freq 4
probe 2
dest ipv4 18.8.8.8 (вот в этом и смысл NQA)
source gi 0/0/8.166
start now

ip route-static 0.0.0.0 0.0.0.0 62.x.x.254 track nqa NQA ISP1  
mkabanov
mkabanov Ответить mkabanov  Опубликовано 2021-8-22 10:33 (0) (0)
(18.8.8.8 - адрес, который пингуется у ISP1, Т. е. сначала проверьте, что это так и есть)  
1   
dai_splav
dai_splav HCIE MVE Опубликовано 2021-8-20 08:43:37
  • x

dai_splav
dai_splav Опубликовано 2021-8-20 08:44 (0) (0)
И если по сложнее то тут:
https://support.huawei.com/hedex/hdx.do?docid=EDOC1100069307&lang=en&idPath=24030814%7C21432787%7C7923148%7C22318718%7C250789701  
artemrus38
artemrus38 Опубликовано 2021-8-20 18:22 (0) (0)
Спасибо Вам огромное, материал оказался очень интересным и полезным.  
stardusty
stardusty Ответить artemrus38  Опубликовано 2021-12-24 16:56 (0) (0)
+  
Farad_Z
Farad_Z Ответить stardusty  Опубликовано 2021-12-27 14:11 (0) (0)
+  
TinaSehm
TinaSehm Ответить Farad_Z  Опубликовано 2021-12-27 14:19 (0) (0)
+  
2559godji
2559godji Ответить TinaSehm  Опубликовано 2021-12-28 12:00 (0) (0)
 
Vasyo
Vasyo Ответить TinaSehm  Опубликовано 2021-12-28 12:02 (0) (0)
+  
Sber
Sber Ответить TinaSehm  Опубликовано 2021-12-28 16:13 (0) (0)
+  
bazilio
bazilio Опубликовано 2021-12-28 16:15 (0) (0)
+  
bazkar
bazkar Ответить bazilio  Опубликовано 2021-12-28 16:18 (0) (0)
+  
1   
artemrus38
artemrus38 MVE Опубликовано 2021-8-24 20:49:24
Коллега mkabanov у меня заработал момент переключения с основного на резервный интернет. Использовал я настройку NQA. Загвоздка была в том, что я всегда указывал интерфейс, а нужно было прописать source-ip интерфейса. Конфиг выглядит следующим образом:

#
interface GigabitEthernet0/0/8
description --- Internet_main ---
ip address 62.x.x.1 255.255.255.0
nat outbound 2001
#
interface GigabitEthernet0/0/9
description --- internet backup ---
ip address 176.x.x.35 255.255.255.0
nat outbound 2001
#
nqa test-instance dual int
test-type icmp
destination-address ipv4 217.x.x.166 - (я так думаю, что если указать нужный днс, тоже заработает без проблем)
source-address ipv4 62.x.x.1
frequency 25
timeout 1
probe-count 5
start now
#
ip route-static 0.0.0.0 0.0.0.0 176.x.x.1 preference 200
ip route-static 0.0.0.0 0.0.0.0 62.x.x.254 track nqa dual int
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-8-24 20:54 (0) (0)
Ура!  
artemrus38
artemrus38 Ответить mkabanov  Опубликовано 2021-8-24 20:58 (0) (0)
Спасибо за помощь!!!  
Xarijov
Xarijov Опубликовано 2021-11-9 12:56 (0) (0)
 
stardusty
stardusty Ответить Xarijov  Опубликовано 2021-12-24 16:57 (0) (0)
+  
Farad_Z
Farad_Z Ответить stardusty  Опубликовано 2021-12-27 14:11 (0) (0)
+  
TinaSehm
TinaSehm Ответить Farad_Z  Опубликовано 2021-12-27 14:19 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 16:27 (0) (0)
 
2559godji
2559godji Ответить NikitamatveeV  Опубликовано 2021-12-28 12:00 (0) (0)
 
Vasyo
Vasyo Ответить Farad_Z  Опубликовано 2021-12-28 12:02 (0) (0)
+  
Sber
Sber Ответить stardusty  Опубликовано 2021-12-28 16:13 (0) (0)
+  
1   
artemrus38
artemrus38 MVE Опубликовано 2021-9-3 10:29:23
Добрый день! Хотел бы поделиться результатом, прошло не так уж и мало времени, что бы провести тесты, и что самое интересное, что BFD гораздо быстрее отрабатывает сходимость, чем NQA. Время перехода на резервный шлюз в режиме NQA составляет от 20 сек, тогда как в режиме BFD от 1 сек.
Но к сожалению, в моем случаи, у меня не получилось добиться нормально работы BFD без ответной стороны.
Развернуть
  • x

Vasyo
Vasyo Опубликовано 2021-9-3 12:00 (0) (0)
Спасибо  
stardusty
stardusty Ответить Vasyo  Опубликовано 2021-12-24 16:57 (0) (0)
+  
Farad_Z
Farad_Z Ответить stardusty  Опубликовано 2021-12-27 14:11 (0) (0)
+  
TinaSehm
TinaSehm Ответить Farad_Z  Опубликовано 2021-12-27 14:20 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 16:28 (0) (0)
 
Vasyo
Vasyo Ответить TinaSehm  Опубликовано 2021-12-28 12:02 (0) (0)
+  
Sber
Sber Ответить TinaSehm  Опубликовано 2021-12-28 16:13 (0) (0)
+  
bazilio
bazilio Опубликовано 2021-12-28 16:15 (0) (0)
+  
bazkar
bazkar Опубликовано 2021-12-28 16:17 (0) (0)
+  
bazkar
bazkar Ответить bazkar  Опубликовано 2021-12-28 16:18 (0) (0)
+  
mkabanov
mkabanov MVE Author Опубликовано 2021-9-3 11:22:27
понятно, спасибо
Развернуть
  • x

stardusty
stardusty Опубликовано 2021-12-24 16:57 (0) (0)
 
Farad_Z
Farad_Z Ответить stardusty  Опубликовано 2021-12-27 14:11 (0) (0)
+  
TinaSehm
TinaSehm Ответить Farad_Z  Опубликовано 2021-12-27 14:20 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 16:28 (0) (0)
 
2559godji
2559godji Ответить NikitamatveeV  Опубликовано 2021-12-28 12:01 (0) (0)
 
bazilio
bazilio Опубликовано 2021-12-28 16:15 (0) (0)
+  
bazkar
bazkar Опубликовано 2021-12-28 16:16 (0) (0)
+  
bazkar
bazkar Ответить bazkar  Опубликовано 2021-12-28 16:18 (0) (0)
+  
TinaSehm
TinaSehm Опубликовано 2021-12-15 12:22:52
Спасибо!
Развернуть
  • x

stardusty
stardusty Опубликовано 2021-12-24 16:57 (0) (0)
 
Farad_Z
Farad_Z Ответить stardusty  Опубликовано 2021-12-27 14:12 (0) (0)
+  
TinaSehm
TinaSehm Ответить Farad_Z  Опубликовано 2021-12-27 14:20 (0) (0)
 
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 16:28 (0) (0)
 
2559godji
2559godji Ответить NikitamatveeV  Опубликовано 2021-12-28 12:01 (0) (0)
 
Vasyo
Vasyo Ответить 2559godji  Опубликовано 2021-12-28 12:03 (0) (0)
+  
Sber
Sber Ответить TinaSehm  Опубликовано 2021-12-28 16:13 (0) (0)
+  
bazilio
bazilio Опубликовано 2021-12-28 16:15 (0) (0)
+  
bazkar
bazkar Опубликовано 2021-12-28 16:16 (0) (0)
+  
bazkar
bazkar Ответить bazkar  Опубликовано 2021-12-28 16:18 (0) (0)
+  

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.