Dual ISP enterprise (branch) cisco router, firewall (ASA)

Классическая задача для предприятий и малого бизнеса - настройка маршрутизатора с двумя каналами в интернет без использования динамических протоколов маршрутизации. Очень много информации на эту тему есть в сети. Решил и я сделать заметку.

Нужно дать пользователям интернет и опубликовать какой-либо сервис (например, RDP) наружу.

Основные затыки происходят тут:
- динамическая смена маршрута 0.0.0.0 0.0.0.0;
- настройка NAT для двух внешних интерфейсов;
- доступность опубликованного сервиса сразу через оба ISP.

Есть хороший пост на хабре - По просьбам трудящихся: Dual ISP на маршрутизаторах cisco без BGP и на сайте этого же автора более полная дока, с рассмотренным вариантом использования сразу двух ISP - Сергей Фёдоров "Подключение к 2 ISP с настройкой трекинговой маршрутизации и NAT.

Вот дока 2008 года с сайта cisco - http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/100658-ios-nat-load-balancing-2isp.html.

Итак, нам нужно использовать IP SLA для решения первого пункта, ROUTE-MAP для решения второго и третьего.

Использую эти документы, я собрал схему в GNS3. В моем случае опубликован был сервис telnet. На внешних адресах (172.16.X.X) он светился в порту 10023, внутри шел на 192.168.1.2:23.

Опять про MTU

Нашел на хабре несколько хороших статей. Картинка из второй ссылки.



Еще несколько слов о Path MTU Discovery Black Hole
Maximum Transmission Unit (MTU). Мифы и рифы
Всё, что вы хотели знать о Ethernet фреймах, но боялись спросить, и не зря

Выпустить GNS3 в реальный мир tagged (trunk) портом

У меня возникла необходимость подключить GNS3 к физическим маршрутизаторам. В процессе изучения MPLS я проверял работу функционала bfd, который отказался работать внутри dynamips.

Для построения моей схемы мне нужно было не менее четырех интерфейсов. На моем ноуте только один сетевой порт под rj45. Очевидно, что нужно использовать dot1q. Откровенно говоря, раньше я не подключал сетку GNS к живой сети, но мне попадалась статейка о том, как это делается.

Тут проблем никаких не возникло. В GNS есть элемент "облако". Именно с помощью него можно подключиться к миру.

В настройках облака выбираем нужный ethernet-адаптер и делаем линк между элементами.

У меня реальная сетка - это 192.168.3.0 с шлюзом .1. Настраиваем интерфейс маршрутизатора, проверяем доступность интернетов.

Windows 7, dot1q и tagged port (trunk)

В гугле пишут, что если у тебя сетевуха intel, то она обязана уметь dot1q. Речь идет о Win7. Это прекрасно, но в моем ноуте стоит Realtek. Есть шансы и у этой сетевухи. Пообщавшись с человеком, который подружил винду с vlan на карте от Realtek, я понял, что ничего тут сложного нет. Всего-то нужна свежая версия драйвера и утилита Realtek Ethernet Diagnostic Utility.

Все достаточно легко нашлось на сайте Realtek. Обновил дрова, поставил утилиту, бутнул ноут по старой прывычке. Загрузился. Открываю утилиту.

Выбираю VLAN, жму add, указываю номер тега "3". Программа задумывается, перебирает свои пункты, в результате в сетевых подключениях у меня появляется интерфейс "Подключение по локальной сети 5" с надписью "сетевой кабель не подключен". В утилите не появилось никаких новых vlan. Список был все также пуст. При этом настоящий физический интерфейс потерял "поддержку tcp/ipv4", после чего я, естественно, отвалился от сетки. Я просто вернул обратно поддержку tcpip и опять попал в нативный vlan.. Да, забыл сказать, предварительно я настроил порт на коммутаторе в котором мне подается нативный vlan и vlan с номерами 3 и 8 с тегами.