NAT по расписанию на Cisco

[dima89]

Всем привет.

Не могу понять с какой стороны подойти к такой задаче:

Есть Cisco ASR и 2 внешних канала (с белыми адресами) и абоненты (с серыми), которых нужно натить днём в один канал, вечером - в 2 канала одновременно.

То есть, условно, в 19-00, новые соединения определенных сетей, описанных в ACL должны начинать натиться и роутиться в другой канал, после

Поэтапно:

1. Описать time-range.

time-range NIGHT
periodic weekend
periodic weekdays 0:00 to 8:00
periodic weekdays 20:00 to 23:59

2. Описать в ACL сети, прикрутить time-range

ip access-list extended NET1
permit ip 10.20.1.0 0.0.0.255 any time-range NIGHT
ip access-list extended NET2
permit ip 10.20.2.0 0.0.0.255

Далее, я так понимаю нужно создать route-mapы и правила NAT

 

route-map TO-ISP1 permit 10
match ip address NET1
set ip next-hop 1.1.1.1
route-map TO-ISP2 permit 10
match ip address NET2
set ip next-hop 2.2.2.2

ip nat inside source route-map TO-ISP1 interface FastEthernet0/0.1 overload
ip nat inside source route-map TO-ISP2 interface FastEthernet0/0.2 overload

 

Тут не смог разобраться, разные варианты не взлетели. Это вообще возможно, если да, как правильнее сделать?

[zhenya`]

В чьи адреса натите ?

по конфигу такое ощущение, что играетесь в GNS.

 

если ипы свои, во втором линке бгп то, я бы поднимал интерфейс по kron.

[dima89]

bgp нет. на каждом канале свои адреса, в них и хотим натить.

не могу понять можно ли, условно, утром натить 10 сеть в 1.1.1.1, вечером в 2.2.2.2

[zhenya`]

 set ip next-hop 2.2.2.2

в этом месте точно не будет работать.

 

pbr с time-range сработает имхо.

[zhenya`]

ip access-list extended NET

 permit ip 10.20.1.0 0.0.0.255

 permit ip 10.20.2.0 0.0.0.255

 

route-map TO-ISP1 permit 10

 match ip address NET

match interface FastEthernet0/0.1

 

route-map TO-ISP2 permit 10

 match ip address NET

match interface FastEthernet0/0.2

 

ip nat inside source route-map TO-ISP1 interface FastEthernet0/0.1 overload

ip nat inside source route-map TO-ISP2 interface FastEthernet0/0.2 overload

 

ip access-list extended NET1

 permit ip 10.20.1.0 0.0.0.255 any time-range NIGHT

 

route-map PBR permit 10

match ip address NET1

set ip next-hop 2.2.2.2

route-map PBR permit 20

 

 

int fa0/1

ip policy route-map PBR

 

 

такое поидее будет натить NET1 в ISP2 в вечернее время (а остальных в ISP1).

 

в остальное время все будут ходить через ISP1

[dima89]

я в оп-посте неверно выразился, естественно одну серую сеть надо днём натить в один канал, вечером - в другой. это как-то поможет? сейчас попробую с конфигом из предыдущего поста, спасибо.

 

UPD: попробовал, работает, но есть проблема.

новые соединения на адреса, которые уже в nat-трансляциях есть не поднимаются, пока не почистишь nat-таблицу.

например, пингуешь 8.8.8.8 в режиме NIGHT. кончается период NIGHT - пинг продолжает идти, но новый пинг на 8.8.8.8 с того же серого адреса идти не будет, пока не почистишь таблицу.

плюс проблема с маршрутами, когда маршрутов два, вида:

ip route 0.0.0.0 0.0.0.0 1.1.1.1
ip route 0.0.0.0 0.0.0.0 2.2.2.2

некоторые ресурсы становятся то доступны, то нет. есть ещё какие-то варианты?

Edited December 14, 2016 by dima89

[zhenya`]

надо чистить трансляции через kron вероятно.

ip route 0.0.0.0 0.0.0.0 2.2.2.2 не нужен. ну или ip route 0.0.0.0 0.0.0.0 2.2.2.2 250 поставьте.

 

 

схема изначально кривая и нуждается в куче костылей.

[terrible]

Может подойти с другой стороны?

Натить всегда в 2 канала, а по крону один тупо вырубать. В этом случае чистить трансляции не нужно, они сами умрут при дауне интерфейса.

[dima89]

спасибо zhenya`, ваш вариант с PBR взлетел. на ASR нужно было выключить PAP и во время тестов с моей стороны был включен

ip verify unicast source reachable-via rx

никакие трансляции чистить не нужно, сами по таймауту отпадут.

Edited December 23, 2016 by dima89