Nat Statique et Dynamique

Soumis par johanns le lun, 09/15/2008 - 12:18.

Blank

Bonjour

je cherche à faire
marcher une configuration sur un routeur ( R1841 ) avec du nat Statique pour certaines adresses source  afin d'assurer la compatibilité de  certain protocoles comme
FTP et aussi pouvoir utiliser
du NAT dynamique pour le reste du trafic, afin de le balancer sur deux
interfaces de sortie .

 j'ai deja fait
quelques essais , chaque solution marche bien, soit tout statique, soit tout
dynamique, la balance du trafic avec CEF etc...

mais mes tests pour
faire les deux en même temps sont restés sans succés ...

de plus dans le cas de la balance dynamique, je ne peux pas utiliser de Track rtr sur les routes par defaut, en effet si l'interface tombe physiquement, le track l'empeche de remonter ensuite ...

j'aimerais juste avoir votre
avis sur la methode a utiliser pour combiner l'ensemble, je pense que cela est realisable ..

par exemple quelqu'un a t'il une methode pour traiter les flux FTP separement du reste du trafic ?  isoler le port destination 20 et 21 cela n'est pas compliqué, mais comment faire pour le FTP actif, et son port dynamique ?.

 merci d
avance

Johann

 

 

‹ Multicast - PIM filtrer un voisinhautOSPF ›

NAT / Load balance et DSL

Soumis par johanns le jeu, 09/18/2008 - 11:40.

a priori , il ne semble pas possible de faire du load balance

tout en gardant la compatibilité avec le FTP active mode

je dois encore tester une configuration mais dans le cas d'un accés à internet ca me semble compromis.

pour le reste des utilisations, site a site etc

il y a pas mal de psosibilité, avec CEF ou Oer qui marchent pas mal du tout

voir un proxy load-balancer son IP  sur deux adsl a 20Meg avec un R1841 est assez sympa

@+

Johann

NAT / Load balance et DSL

Soumis par johanns le lun, 03/02/2009 - 13:27.

Bonjour a tous

apres avoir ramé comme un galérien, et fumé de la tête comme le Stromboli, j'ai enfin une configuration sur un routeur IOS ( > 12.4.20 )  avec deux ADSL qui fait du Load Balance par destination et fonctionne avec tout les protocoles meme le FTP mode Actif !!  et en plus j'ai le failover qui fonctionne sur l'ensemble, avec quelques petit couacs de temps en temps, car le Track et IP SLA n'a pas l'air tres stable finalement sur la version qui tourne.

Pour les curieux qui n'aiment pas trop fondre un fusible sur les confs genre Rubic's cube, il faut faire un merge de deux confs qui marchent tres bien chacune de leur coté, celle du load balance avec equal cost routing

et celle du policy routing avec une extended ACL qui va trier tout les protocoles ou destinations n'acceptant pas le load balance

ensuite un NAT avec ACL ou route map et hop !! ca marche ... 

mais bon je ferais pas cela tout les jours, même notre CCIE maison m'avait dis, laisse tomber ton truc la c'est la migraine garantie mdr

non non pas d'applaudissement ....  envoyer plutot les cheques à ......  (;~))

JOhann

 

 

Bonjour JOhann Je suis

Soumis par guestman le mer, 03/11/2009 - 03:47.

Bonjour JOhann

Je suis très intéresse par la config, Pouvez vous nous partager ?

Merci beaucoup

Andy

Config load balance

Soumis par johanns le jeu, 03/12/2009 - 13:53.

Voici la partie de la config qui gere le load balance et aiguille sur un lien le traffic qui ne supporte pas avec un failover sur le 2eme lien, 

il s'agit d'une commande client et leur config routeur est  confidentielle donc j'ai depouillé la config du superflu

cette config marche avec des ADSLs , si un des liens est fiable ( fibre optique ou ethernet,) ce n'est pas cette config qui fera l'affaire

pour debugger et connaitre les infos necessaires coté provider ( IP peers du DSLAM etc )

sh ip route

sh route all

sh track

sh ip nat trans ( qui permet de voir si le traffic se reparti bien sur les deux interfaces dialer )

 

**************

!
ip cef
!
no ipv6 cef
!
!
track 10 ip sla 10 reachability
track 20 ip sla 20 reachability
!
track 31 interface ATM0/0/0.1 line-protocol
delay up 2
track 32 interface ATM0/1/0.1 line-protocol
delay up 2
!
!
!
interface FastEthernet0/0
description LAN
ip address 192.168.x.x 255.255.255.0
ip policy route-map Policy-to-Inet
ip nat inside
ip virtual-reassembly
!
interface ATM0/0/0

interface ATM0/0/0.1 point-to-point
dialer pool-member 1
!
!
interface ATM0/1/0
!
interface ATM0/1/0.1 point-to-point
dialer pool-member 2
!

!
interface Dialer1

ip nat outside

description ADSL 1
ip access-group 121 in

 

!
interface Dialer2
description ADSL 2
ip nat outside

ip access-group 122 in

ip route 0.0.0.0 0.0.0.0 Dialer1 name ADSL1 track 31
ip route 0.0.0.0 0.0.0.0 Dialer2 name ADSL2 track 32
!

ip nat inside source route-map xDSL1 interface Dialer1 overload oer
ip nat inside source route-map xDSL2 interface Dialer2 overload oer
!
ip access-list extended To-aDSL1
permit ip 192.168.x.x 0.0.0.255 any  -> ip source lan
ip access-list extended To-aDSL2
permit ip 192.168.x.x 0.0.0.255 any  -> ip source lan

ip access-list extended ftp_to_Inet
permit ip any host g.h.i.j -> Liste de destination ne supportant pas le load balance  ( serveurs FTP connus etc )
permit tcp any any eq ftp              -> si FTP alors pas de load balance
permit tcp any any eq ftp-data         -> si FTP alors pas de load balance
permit tcp any any gt 1024             -> si FTP alors pas de load balance
permit tcp any any eq 3389             -> etc  protocoles supportant pas le load balance
permit tcp any any eq smtp
permit tcp any any eq telnet

!
ip sla 10
icmp-echo w.x.y.z.(ip_publique_Peer_DSLAM1_Provider) source-interface Dialer1
timeout 2000
frequency 3
ip sla schedule 10 life forever start-time now
ip sla 20
icmp-echo U.V.R.S (ip_publique_Peer_DSLAM2_Provider) source-interface Dialer2
timeout 2000
frequency 3
ip sla schedule 20 life forever start-time now

access-list 121 remark Dialer 1 in
access-list 121 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 121 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 121 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 121 deny   ip 172.0.0.0 0.240.255.255 any log
access-list 121 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 121 permit ---------------> liste des IP / protocoles autorisés ( ICMP , NTP, Domain etc )
access-list 121 deny   ip any any log
access-list 122 remark Dialer 2 in
access-list 122 deny   ip 127.0.0.0 0.255.255.255 any log
access-list 122 deny   ip 224.0.0.0 31.255.255.255 any log
access-list 122 deny   ip 10.0.0.0 0.255.255.255 any log
access-list 122 deny   ip 172.0.0.0 0.240.255.255 any log
access-list 122 deny   ip 192.168.0.0 0.0.255.255 any log
access-list 121 permit ---------------> liste des IP / protocoles autorisés ( ICMP , NTP, domain etc )
access-list 122 deny   ip any any log

no cdp run
!
!
!
route-map Policy-to-Inet permit 10
match ip address ftp_to_Inet
set ip next-hop verify-availability a.b.c.d (1_IP_Next_Hop _Provider)  1 track 10
set ip next-hop verify-availability  e.f.g.h (2_IP_Next_Hop _Provider) 2 track 20
set ip next-hop verify-availability  a.b.c.d (1_IP_Next_Hop _Provider)

route-map xDSL2 permit 10
match ip address To-aDSL2
match interface Dialer2
!
route-map xDSL1 permit 10
match ip address To-aDSL1
match interface Dialer1
!

load-balancing bloque certains protocoles (FTP, PPTP)

Soumis par Sigdci - Ville ... le jeu, 10/08/2009 - 17:34.

Bonjour,

Votre problématique de load-balancing est semblable à la mienne sur un ISR2821 en 12.4(24)T1

J'ai un routeur connecté à x liaisons Adsl à travers des modems-routeurs Netgear et j'ai des routes 0.0.0.0 de poids égal pour répartir le trafic en mode CEF per-destination sharing.

ce que je n'explique pas  c'est que FTP fasse passer sa connexion Data sur une autre liaison que la connexion Control.

Si c'est l'IP destination qui définit le chemin, ca devrait fonctioner pour FTP.

J'ai contourné le problème comme vous, avec un route-map pour FTP.

Le point critique que je note est de laisser passer tous les ports FTP Data dont le n° est attribué par le serveur en mode passif.

Est-ce nécessaire d'autoriser tout ce qui est > 1024 ?

Ou peut-on restreindre mieux cette plage ?

Mon acl est comme ceci:

ip access-list extended Acl_Rm_Ftp
permit tcp object-group OGn_FTP object-group OGn_Externe eq ftp ftp-data
permit tcp object-group OGn_FTP object-group OGn_Externe gt 1024

route-map Rm_Ftp permit 10
match ip address Acl_Rm_Ftp
set ip next-hop verify-availability <ip modem 1> 1 track 3
set ip next-hop verify-availability <ip modem 2> 2 track 4
set ip next-hop verify-availability <ip modem 3> 3 track 6

int <Inside>

ip policy route-map Rm_Ftp

Autre question:

j'ai des soucis avec d'autres protocoles pour des clients internes qui font du PPTP en sortie vers des serveurs extérieurs

Je pense que cela vient aussi du load-balancing, mais je ne suis pas sur.

J'ai complété l'Acl ci-dessus avec

permit gre any object-group OGn_Externe
permit tcp any object-group OGn_Externe eq 1723

et ajouté sur l'Acl de l'interface connectée aux routeurs Adsl

ip access-list extended Acl_Outside
permit gre host <Outside server> host <Outside router Ip>

ainsi que

ip inspect name Cbac pptp
int <outside>

ip inspect Cbac in

mais ca n'a pas permis de résoudre le prblème

 

Ingénieur réseaux Sigdci - Ville du Havre

 

 

load-balancing bloque certains protocoles (FTP, PPTP)

Soumis par johanns le mar, 12/08/2009 - 13:15.

bonjour

votre config est differente de la mienne car vous utilisez des liaisons ethernet alors que j'utilise des interfaces ADSL embarquées dans  le routeur,

cela change au moins pour la partie SLA, car il n'est pas possible de surveiller l'etat du lien ADSL directement avec le link state protocol dans votre cas.

concernant le FTP actif,  c'est normal que le load balance ne soit pas supporté, 

certains protocoles ne s'accormodent pas d'une répartition dynamique de destination.

je n'ai pas trouvé d'autre methode que celle de faire du policy-map et de trier en amont et ensuite repartir sur la 1ere ADSL avec un failover sur le deuxieme.

Toutefois ce type de configuration en semi load balance / adsl est utile pour augmenter la bande passante pour des points de sortie en HTTP par exemple, des proxies, ou assurer un failover un peu plus intelligent qu'un simple lien en backup  mais il ne semble pas possible de faire quelque chose d'aussi performant qu'un boitier hardware F5 ou Radware avec un routeur sous IOS,   ce qui semble logique vu l'écart de tarif entre les solutions.

je n'ai pas testé PPTP, considéré comme pas assez securisé, il a été remplacé par IPSec ou Vpn/SSL  chez tout mes clients. je n'ai donc plus aucune demande dessus.

bon courage

JOhann

 

load-balancing bloque certains protocoles (FTP, PPTP)

Soumis par Sigdci - Ville ... le mar, 01/05/2010 - 12:50.

Bonjour (tardif) et bonne année,

J'ai résolu mon problème en forcant les protocoles FTP, PPTP, GRE et ports > 1024 à passer par une seule et même liaison via un route-map sur l'interface Inside

Par ailleurs, certains utilisateurs avaient obligation de passer par cette même liaison pour accéder à un site HTTP distant à cause d'un filtrage  basé sur l'IP publique fixe de cette liaison.

Je ne fais pas de FTP actif, car même si les clients l'utilisent, c'est le Firewall qui envoie la commande PASV pour récupérer le port à ouvrir

Cela dit, il est dommage que l'IOS n'ait pas un mécanisme pour prendre en compte ces protocoles mieux que cela, en tenant compte du fait que des sessions multiples ouvertes par une même application (comme FTP) doivent passer par le même lien.

Cordialement

Alain

... et un peut de pub pour payer l'hébergement ;)