Jump to content

Dual-ISP mit Cisco 871 - PBR?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

mich interessiert mal wieder, was sich maximal aus einem 871 hinsichtlich Anbindung von ISP (sprich outside-IF) angeht. Bei der ASA geht ja scheinbar nur 1x outside http://www.mcseboard.de/cisco-forum-allgemein-38/asa-zwei-outside-interfaces-174628.html ...

 

Hintergrund ist folgender:

Wir haben einen Provider (Kabel Deutschland), der rein für den Internetzugang genutzt wird (was anderes ist bei den häufigen Problemen und "halb-dynamischer" IP auch nicht drin...), sowie einen SDSL-Anschluss, der in erster Linie für VPN-Traffic genutzt werden soll (kann gerne auch zusätzlich Backup für Internet-Traffic spielen, wenn sich das gescheit umsetzen lässt).

 

Aktuell wird für beide Provider ein separater 871 betrieben, ich würde das allerdings gerne auf ein Gerät bekommen.

 

Kommt hier dann PBR ins Spiel damit das ganze funktioniert? Was ist hinsichtlich NAT zu beachten? Bisher existiert dazu ja ein Eintrag auf jedem Router in der Form

 

ip nat inside source route-map RMAP_1 interface XY overload

 

den ich allerdings immer nur für ein IF nutzen kann...

 

Wie sähe NAT denn in Zusammenhand mit PBR aus?

Link zu diesem Kommentar

Noch eine Frage dazu:

Vorausgesetzt, zwei ISPs sind angebunden, Routing und NAT ist alles soweit korrekt eingerichtet - ist es möglich VPNs dann auch noch unterschiedlich zu terminieren? Also zwei Crypto-Maps einrichten, eine auf das eine ISP-IF, eine auf das zweite ISP-IF? Wäre super, dann könnte ich sukzessive VPNs umziehen... :)

Link zu diesem Kommentar

So, das ganze funzt jetzt wie gewünscht! :D

Der Test-Router (1712) hat jetzt zwei ISPs, einmal als PPPoE-Dialer (hängt tatsächlich am Internet), einmal über ein VLAN-Interface (109) zu einem (SDSL) WAN-Router (nur in Lab-Umgebung simuliert).

 

Darüber läuft jetzt Internet-Zugriff (über Dialer1), VPN zu Standort 1 (über Dialer) und VPN zu Standort 2 (über VLAN-IF 109).

 

NAT funktioniert nach wie vor noch mit route-map und "match ip <ACL>", über ein "match interface XY" würde wie erwähnt der Tunnelaufbau nicht zustande kommen.

Im großen und ganzen habe ich mich an die Anleitung NIL - Small Site Multi-Homing gehalten, und habe dann den Traffic über statische Routen gesteuert - hier müssen auch Routings für die internen Netze auf das jeweilige WAN-Interface gesetzt werden, sonst wechselt er lustig zwischen beiden Default-Gateways.

Es gibt zwei verschiedene Crypto-Maps, eine ist an den Dialer gebunden, die andere an das VLAN-Interface.

Sicherlich nichts für große Umgebungen, aber für Standorte mit 3-5 VPNs sicher eine interessante Lösung, wenn man für zwei ISP nur einen Router einsetzen will.

 

UPDATE

 

Beim weiteren Test bin ich nun doch noch auf eine Einschränkung gestoßen - NAT funktioniert nur für das erste Interface (in meinem Fall für den Dialer).

Somit scheidet die Lösung für echten Dual-ISP Betrieb mit Internetzugriff über beide Provider aus.

Zur Nutzung von zwei ISPs für VPNs und einem Def.-GW für Internetzugang ist die Lösung aber durchaus geeignet, solange nicht (z.B. per http) auf die publicIP(s) zugegriffen werden muss, die über den zweiten ISP angebunden sind...

bearbeitet von bnice
Update
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...