serial90
Goto Top

Cisco - DUAL WAN Failover

Moin moin,

ich versuche seit geraumer Zeit ein Stabiles Failover mit 2 verschiedenen ISP an einem Cisco 2951 zum laufen zu bekommen. Selbige Konfig. läuft mit einem 896 einwandfrei (Unterscheid: 2x Dailer Interface).
Nur der 2951 mag Sie nicht oder eben die ISP-Konstellation ist mist.

Zunächst mal gibt es 2 ISPs:

IPS 1 - Telekom VDSL feste IP
IPS 2 - Vodafone Kabel feste IP

Beide ISPs laufen für sich einzeln (Ohne Failover) hervorragend, Speed passt, Routing ist in Ordnung und auch sonst alles i.O.

Sobald ich allerdings für beide ISPs eine default-Route setze (mit Track, Metric etc.) ist immer bei einem von beiden Ruhe. Man kommt nicht mehr raus darüber und auch keiner mehr rein.
Alles läuft nur über einen ISP.

Meine Frage nun: Hat jemand eine Idee was hier falsch läuft und könnte mir helfen?

Hier die Konfig:

policy-map wan-queue-policy
 class voip-class
  priority percent 75
 class class-default
  fair-queue
  random-detect

interface GigabitEthernet0/0
 description WAN-Vodafone-Kabel
 ip address dhcp
 ip nat outside
 ip virtual-reassembly in
 zone-member security Internet
 duplex auto
 speed auto
 no mop enabled
 service-policy output wan-queue-policy
 
 
interface GigabitEthernet0/1
 ip address 192.168.83.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 zone-member security Trusted
 duplex auto
 speed auto
 no mop enabled
 service-policy input url-block-policy
 
 interface Ethernet0/0/0
  no ip address
  service-policy output wan-queue-policy
 !
 interface Ethernet0/0/0.7
  encapsulation dot1Q 7
  ip address dhcp
  no ip redirects
  no ip unreachables
  no ip proxy-arp
  ip mtu 1496
  ip nat outside
  ip virtual-reassembly in
  zone-member security Internet
  pppoe enable group global
  pppoe-client dial-pool-number 1
 
 interface Dialer1
  description WAN-Telekom VDSL
  ip address negotiated
  no ip redirects
  no ip unreachables
  ip flow ingress
  ip nat outside
  ip virtual-reassembly in
  zone-member security Internet
  encapsulation ppp
  dialer pool 1
  dialer-group 1
  ppp authentication chap callin
  ppp chap hostname 
  ppp chap password 
  no cdp enable
  
  ip nat inside source route-map CABLE interface GigabitEthernet0/0 overload
  ip nat inside source route-map VDSLV interface Dialer1 overload
  
  ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP2 443 extendable
  ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP1 443 extendable
  
  ip route 0.0.0.0 0.0.0.0 Next-Hop-ISP1 
  ip route 0.0.0.0 0.0.0.0 Next-Hop-ISP2 5 
  

  route-map CABLE permit 10
   match ip address 101 
   match interface GigabitEthernet0/0
   
  route-map VDSLV permit 10
   match ip adress 101
   match interface Dialer 1
   
access-list 101 permit ip 192.168.83.0 0.0.0.255 any

ALTERNATIV PROBIERT:

track 1 interface gigabitethernet 0/0 ip routing

track 2 interface dialer 1 ip routing 

policy-map wan-queue-policy
 class voip-class
  priority percent 75
 class class-default
  fair-queue
  random-detect

interface GigabitEthernet0/0
 description WAN-Vodafone-Kabel
 ip address dhcp
 ip nat outside
 ip virtual-reassembly in
 zone-member security Internet
 duplex auto
 speed auto
 no mop enabled
 service-policy output wan-queue-policy
 
 
interface GigabitEthernet0/1
 ip address 192.168.83.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 zone-member security Trusted
 duplex auto
 speed auto
 no mop enabled
 service-policy input url-block-policy
 
 interface Ethernet0/0/0
  no ip address
  service-policy output wan-queue-policy
 !
 interface Ethernet0/0/0.7
  encapsulation dot1Q 7
  ip address dhcp
  no ip redirects
  no ip unreachables
  no ip proxy-arp
  ip mtu 1496
  ip nat outside
  ip virtual-reassembly in
  zone-member security Internet
  pppoe enable group global
  pppoe-client dial-pool-number 1
 
 interface Dialer1
  description WAN-Telekom VDSL
  ip address negotiated
  no ip redirects
  no ip unreachables
  ip flow ingress
  ip nat outside
  ip virtual-reassembly in
  zone-member security Internet
  encapsulation ppp
  dialer pool 1
  dialer-group 1
  ppp authentication chap callin
  ppp chap hostname 
  ppp chap password 
  no cdp enable
  
  ip nat inside source route-map CABLE interface GigabitEthernet0/0 overload
  ip nat inside source route-map VDSLV interface Dialer1 overload
  
  ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP2 443 extendable
  ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP1 443 extendable
  
  ip route 0.0.0.0 0.0.0.0 Next-Hop-ISP1 Track 1
  ip route 0.0.0.0 0.0.0.0 Next-Hop-ISP2 5 Track 2
  

  route-map CABLE permit 10
   match ip address 101 
   match interface GigabitEthernet0/0
   
  route-map VDSLV permit 10
   match ip adress 101
   match interface Dialer 1
   
access-list 101 permit ip 192.168.83.0 0.0.0.255 any

Content-ID: 399619

Url: https://administrator.de/forum/cisco-dual-wan-failover-399619.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

aqui
aqui 27.01.2019 aktualisiert um 13:26:19 Uhr
Goto Top
Das kann auch niemals so gehen !
Du routest mit statischen Routen wo eine eine feste schlechtere Metrik hat. Es findet also niemals ein Load Balancing mit Failover statt ! Ist das so gewollt ?
Es wird immer Next-Hop-ISP1 bevorzugt. Solange also das Interface physisch aktiv ist (UP Status) kommt kein einziges Paket über Next-Hop-ISP2.
ISP2 rennt also nur im Leelauf ungenutzt rum und wartet darauf das ISP1 ausfällt.
Dazu kommt das die Route zu ISP1 nur inaktiv wird wenn das Interface physisch down geht, es also einen Link Verlust direkt am Port gibt.
Das federt kein PPP Ausfall oder physische Ausfälle des kaskadierten Routers oder Modems ab. Das sollte dir klar sein.
Serial90
Serial90 28.01.2019 aktualisiert um 06:22:16 Uhr
Goto Top
Moin,

also d.h. wenn ich ein Load Balancing mit Failover haben möchte, sollte es so gehen:
Diese Konfig sollte doch auch den PPP Ausfall und sonstige abfedern? Oder bin ich hier völlig auf dem Holzweg?
Wäre dir wie immer für eine Konfig. Hilfestellung dankbar, da das für mich noch Neuland ist.

track 1 ip sla 1 reachability
delay down 10 up 10
track 2 ip sla 2 reachability
delay down 10 up 10

policy-map wan-queue-policy
 class voip-class
  priority percent 75
 class class-default
  fair-queue
  random-detect

interface GigabitEthernet0/0
 description WAN-Vodafone-Kabel
 ip address dhcp
 ip nat outside
 ip virtual-reassembly in
 zone-member security Internet
 duplex auto
 speed auto
 no mop enabled
 service-policy output wan-queue-policy
 
 
interface GigabitEthernet0/1
 ip address 192.168.83.254 255.255.255.0
 no ip redirects
 ip nat inside
 ip virtual-reassembly in
 zone-member security Trusted
 duplex auto
 speed auto
 no mop enabled
 service-policy input url-block-policy
 
 interface Ethernet0/0/0
  no ip address
  service-policy output wan-queue-policy
 !
 interface Ethernet0/0/0.7
  encapsulation dot1Q 7
  ip address dhcp
  no ip redirects
  no ip unreachables
  no ip proxy-arp
  ip mtu 1496
  ip nat outside
  ip virtual-reassembly in
  zone-member security Internet
  pppoe enable group global
  pppoe-client dial-pool-number 1
 
 interface Dialer1
  description WAN-Telekom VDSL
  ip address negotiated
  no ip redirects
  no ip unreachables
  ip flow ingress
  ip nat outside
  ip virtual-reassembly in
  zone-member security Internet
  encapsulation ppp
  dialer pool 1
  dialer-group 1
  ppp authentication chap callin
  ppp chap hostname 
  ppp chap password 
  no cdp enable
  
  ip sla 1
   icmp-echo Next-Hop-IP-ISP1 source-interface GigabitEthernet0/0
   threshold 2
   timeout 1000
   frequency 10

ip sla schedule 1 start-time now life forever 
   
  ip sla 2
    icmp-echo Next-Hop-IP-ISP2 source-interface Dialer 1
    threshold 2
    timeout 1000
    frequency 10

ip sla schedule 2 start-time now life forever 
  
  ip nat inside source route-map CABLE interface GigabitEthernet0/0 overload
  ip nat inside source route-map VDSLV interface Dialer1 overload
  
  ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP2 443 extendable
  ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP1 443 extendable
  
  ip route 0.0.0.0 0.0.0.0 gigabitehternet 0/0 Track 1  - Hier meckert der Cisco wegen dem Gigabitethernet, eben weil es kein P-P interface ist?: 
?? %Default route without gateway, if not a point-to-point interface, may impact performance ??
  
  ip route 0.0.0.0 0.0.0.0 Dialer 1 Track 2
  

  route-map CABLE permit 10
   match ip address 101 
   match interface GigabitEthernet0/0
   
  route-map VDSLV permit 10
   match ip adress 101
   match interface Dialer 1
aqui
aqui 01.02.2019 um 19:07:27 Uhr
Goto Top
Diese Konfig sollte doch auch den PPP Ausfall und sonstige abfedern? Oder bin ich hier völlig auf dem Holzweg?
Nur wenn du das PPP Gateway dynamisch überträgst.
Routest du statisch mit gleicher Metrik gibt es ein Session basiertes Balancing. Ein automatischer Ausfall wird aber einzig dann nur getriggert wenn du einen Link Loss am WAN Interface hast.
Für das IOS muss also dieser Port auf DOWN gehen um ein festes Failover bzw. das dynamische Entfernen einer Route aus der Routing Tabelle zu triggern.
Das solltest du testen indem du mal ein Kabel ziehst.
Hast du Interfaces wo der Link bestehen bleibt musst du eine SLA Konfig machen indem du z.B. zyklisch die Provider IP Gateway IP pingst. Sollte das nach einem Delta keine Antwort geben, kannst du dann das Interface damit als down deklarieren und dann wird der Failover getriggert.
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipsla/configuration/15 ...
Serial90
Serial90 19.02.2019 aktualisiert um 19:42:48 Uhr
Goto Top
Moin Moin!

Vielen Dank für deine Tipps und Hilfen!

Ich habe nun den Failover sauber hinbekommen mit folgender Konfiguration:


track 1 ip sla 1 reachability
 delay down 10 up 10
 
 
 interface GigabitEthernet0/0
  ip address dhcp
  ip nat outside
  ip virtual-reassembly in
  zone-member security Internet
  duplex auto
  speed auto
  no mop enabled
  service-policy output wan-queue-policy
  
  interface GigabitEthernet0/1
   ip address 192.168.83.254 255.255.255.0
   no ip redirects
   ip nat inside
   ip virtual-reassembly in
   zone-member security Trusted
   no ip route-cache
   duplex auto
   speed auto
   no mop enabled
   service-policy input url-block-policy
   
   interface Dialer1
    ip address negotiated
    no ip redirects
    no ip unreachables
    ip flow ingress
    ip nat outside
    ip virtual-reassembly in
    zone-member security Internet
    encapsulation ppp
    no ip route-cache
    dialer pool 1
    dialer-group 1
    ppp authentication chap callin
    ppp chap hostname 
    ppp chap password
	
	ip nat inside source route-map CABLE interface GigabitEthernet0/0 overload
	ip nat inside source route-map VDSLV interface Dialer1 overload
	ip route 0.0.0.0 0.0.0.0 XX.XXX.XX.XXX track 1
	ip route 0.0.0.0 0.0.0.0 Dialer1 10
	
	
	ip sla 1
	 icmp-echo Gateway-ISP1 source-interface GigabitEthernet0/0
	 threshold 500
	 frequency 10
	ip sla schedule 1 life forever start-time now
	
	
	route-map CABLE permit 10
	 match ip address 101 
	 match interface GigabitEthernet0/0
	!
	route-map VDSLV permit 10
	 match ip address 101 
	 match interface Dialer1
	 
	 access-list 101 permit ip 192.168.83.0 0.0.0.255 any
	

Eine für mich interessante Frage wäre nun noch ob es mit einem Cisco ISR Router möglich ist ein WAN-Load Balancing zu machen?
Also quasi über ein PBR beide Links zu nutzen? Nur eben das über z.b. ISP1 alle Server/Voip-Server raus gehen und auch vom WAN angesprochen werden, alle LAN-clients aber über den ISP2 raus gehen?
--> Bei Fehler gehen dann allerdings alle über den noch laufenden ISP raus?!

Eine Bündelung von zwei unterschiedlichen ISPs ist ja nun ohnehin nicht möglich. Aber vllt. kann man so wenigstens beide aktiv nutzen?

Gibt es von Cisco einen Router der ein richtiges WAN-Load Balancing kann? Und das vllt. auch mit verschiedenen ISPs?
aqui
aqui 21.02.2019 aktualisiert um 10:11:33 Uhr
Goto Top
ob es mit einem Cisco ISR Router möglich ist ein WAN-Load Balancing zu machen?
Ja, das geht.
Wenn du z.B. 2 identische statische Default Routen gleicher Cost eingetragen hast macht der Cisco von sich auch ein Session basiertes Round Robin Balancing zu beiden Ports.
Eine Bündelung von zwei unterschiedlichen ISPs
Kommt immer drauf an was du unter Bündelung genau verstehst ?? Bündelung mit MPPP ganz sicher nicht, Bündelung mit PBR oder Static Balancing schon.
Gibt es von Cisco einen Router der ein richtiges WAN-Load Balancing kann?
Die Frage ist jetzt wieder WAS ist "richtiges WAN-Load Balancing" ?? Bzw. umgekehrt was ist denn für dich falsches Balancing ??
Es gibt dort zig Algorythmen und Verfahren, fragt sich also was du genau meinst ???