5
Cisco - DUAL WAN Failover
Moin moin,
ich versuche seit geraumer Zeit ein Stabiles Failover mit 2 verschiedenen ISP an einem Cisco 2951 zum laufen zu bekommen. Selbige Konfig. läuft mit einem 896 einwandfrei (Unterscheid: 2x Dailer Interface).
Nur der 2951 mag Sie nicht oder eben die ISP-Konstellation ist mist.
Zunächst mal gibt es 2 ISPs:
IPS 1 - Telekom VDSL feste IP
IPS 2 - Vodafone Kabel feste IP
Beide ISPs laufen für sich einzeln (Ohne Failover) hervorragend, Speed passt, Routing ist in Ordnung und auch sonst alles i.O.
Sobald ich allerdings für beide ISPs eine default-Route setze (mit Track, Metric etc.) ist immer bei einem von beiden Ruhe. Man kommt nicht mehr raus darüber und auch keiner mehr rein.
Alles läuft nur über einen ISP.
Meine Frage nun: Hat jemand eine Idee was hier falsch läuft und könnte mir helfen?
Hier die Konfig:
ALTERNATIV PROBIERT:
ich versuche seit geraumer Zeit ein Stabiles Failover mit 2 verschiedenen ISP an einem Cisco 2951 zum laufen zu bekommen. Selbige Konfig. läuft mit einem 896 einwandfrei (Unterscheid: 2x Dailer Interface).
Nur der 2951 mag Sie nicht oder eben die ISP-Konstellation ist mist.
Zunächst mal gibt es 2 ISPs:
IPS 1 - Telekom VDSL feste IP
IPS 2 - Vodafone Kabel feste IP
Beide ISPs laufen für sich einzeln (Ohne Failover) hervorragend, Speed passt, Routing ist in Ordnung und auch sonst alles i.O.
Sobald ich allerdings für beide ISPs eine default-Route setze (mit Track, Metric etc.) ist immer bei einem von beiden Ruhe. Man kommt nicht mehr raus darüber und auch keiner mehr rein.
Alles läuft nur über einen ISP.
Meine Frage nun: Hat jemand eine Idee was hier falsch läuft und könnte mir helfen?
Hier die Konfig:
policy-map wan-queue-policy
class voip-class
priority percent 75
class class-default
fair-queue
random-detect
interface GigabitEthernet0/0
description WAN-Vodafone-Kabel
ip address dhcp
ip nat outside
ip virtual-reassembly in
zone-member security Internet
duplex auto
speed auto
no mop enabled
service-policy output wan-queue-policy
interface GigabitEthernet0/1
ip address 192.168.83.254 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly in
zone-member security Trusted
duplex auto
speed auto
no mop enabled
service-policy input url-block-policy
interface Ethernet0/0/0
no ip address
service-policy output wan-queue-policy
!
interface Ethernet0/0/0.7
encapsulation dot1Q 7
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1496
ip nat outside
ip virtual-reassembly in
zone-member security Internet
pppoe enable group global
pppoe-client dial-pool-number 1
interface Dialer1
description WAN-Telekom VDSL
ip address negotiated
no ip redirects
no ip unreachables
ip flow ingress
ip nat outside
ip virtual-reassembly in
zone-member security Internet
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname
ppp chap password
no cdp enable
ip nat inside source route-map CABLE interface GigabitEthernet0/0 overload
ip nat inside source route-map VDSLV interface Dialer1 overload
ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP2 443 extendable
ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP1 443 extendable
ip route 0.0.0.0 0.0.0.0 Next-Hop-ISP1
ip route 0.0.0.0 0.0.0.0 Next-Hop-ISP2 5
route-map CABLE permit 10
match ip address 101
match interface GigabitEthernet0/0
route-map VDSLV permit 10
match ip adress 101
match interface Dialer 1
access-list 101 permit ip 192.168.83.0 0.0.0.255 anyALTERNATIV PROBIERT:
track 1 interface gigabitethernet 0/0 ip routing
track 2 interface dialer 1 ip routing
policy-map wan-queue-policy
class voip-class
priority percent 75
class class-default
fair-queue
random-detect
interface GigabitEthernet0/0
description WAN-Vodafone-Kabel
ip address dhcp
ip nat outside
ip virtual-reassembly in
zone-member security Internet
duplex auto
speed auto
no mop enabled
service-policy output wan-queue-policy
interface GigabitEthernet0/1
ip address 192.168.83.254 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly in
zone-member security Trusted
duplex auto
speed auto
no mop enabled
service-policy input url-block-policy
interface Ethernet0/0/0
no ip address
service-policy output wan-queue-policy
!
interface Ethernet0/0/0.7
encapsulation dot1Q 7
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1496
ip nat outside
ip virtual-reassembly in
zone-member security Internet
pppoe enable group global
pppoe-client dial-pool-number 1
interface Dialer1
description WAN-Telekom VDSL
ip address negotiated
no ip redirects
no ip unreachables
ip flow ingress
ip nat outside
ip virtual-reassembly in
zone-member security Internet
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname
ppp chap password
no cdp enable
ip nat inside source route-map CABLE interface GigabitEthernet0/0 overload
ip nat inside source route-map VDSLV interface Dialer1 overload
ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP2 443 extendable
ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP1 443 extendable
ip route 0.0.0.0 0.0.0.0 Next-Hop-ISP1 Track 1
ip route 0.0.0.0 0.0.0.0 Next-Hop-ISP2 5 Track 2
route-map CABLE permit 10
match ip address 101
match interface GigabitEthernet0/0
route-map VDSLV permit 10
match ip adress 101
match interface Dialer 1
access-list 101 permit ip 192.168.83.0 0.0.0.255 any
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399619
Url: https://administrator.de/contentid/399619
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
5 Kommentare
Neuester Kommentar
Das kann auch niemals so gehen !
Du routest mit statischen Routen wo eine eine feste schlechtere Metrik hat. Es findet also niemals ein Load Balancing mit Failover statt ! Ist das so gewollt ?
Es wird immer Next-Hop-ISP1 bevorzugt. Solange also das Interface physisch aktiv ist (UP Status) kommt kein einziges Paket über Next-Hop-ISP2.
ISP2 rennt also nur im Leelauf ungenutzt rum und wartet darauf das ISP1 ausfällt.
Dazu kommt das die Route zu ISP1 nur inaktiv wird wenn das Interface physisch down geht, es also einen Link Verlust direkt am Port gibt.
Das federt kein PPP Ausfall oder physische Ausfälle des kaskadierten Routers oder Modems ab. Das sollte dir klar sein.
Du routest mit statischen Routen wo eine eine feste schlechtere Metrik hat. Es findet also niemals ein Load Balancing mit Failover statt ! Ist das so gewollt ?
Es wird immer Next-Hop-ISP1 bevorzugt. Solange also das Interface physisch aktiv ist (UP Status) kommt kein einziges Paket über Next-Hop-ISP2.
ISP2 rennt also nur im Leelauf ungenutzt rum und wartet darauf das ISP1 ausfällt.
Dazu kommt das die Route zu ISP1 nur inaktiv wird wenn das Interface physisch down geht, es also einen Link Verlust direkt am Port gibt.
Das federt kein PPP Ausfall oder physische Ausfälle des kaskadierten Routers oder Modems ab. Das sollte dir klar sein.
Moin,
also d.h. wenn ich ein Load Balancing mit Failover haben möchte, sollte es so gehen:
Diese Konfig sollte doch auch den PPP Ausfall und sonstige abfedern? Oder bin ich hier völlig auf dem Holzweg?
Wäre dir wie immer für eine Konfig. Hilfestellung dankbar, da das für mich noch Neuland ist.
also d.h. wenn ich ein Load Balancing mit Failover haben möchte, sollte es so gehen:
Diese Konfig sollte doch auch den PPP Ausfall und sonstige abfedern? Oder bin ich hier völlig auf dem Holzweg?
Wäre dir wie immer für eine Konfig. Hilfestellung dankbar, da das für mich noch Neuland ist.
track 1 ip sla 1 reachability
delay down 10 up 10
track 2 ip sla 2 reachability
delay down 10 up 10
policy-map wan-queue-policy
class voip-class
priority percent 75
class class-default
fair-queue
random-detect
interface GigabitEthernet0/0
description WAN-Vodafone-Kabel
ip address dhcp
ip nat outside
ip virtual-reassembly in
zone-member security Internet
duplex auto
speed auto
no mop enabled
service-policy output wan-queue-policy
interface GigabitEthernet0/1
ip address 192.168.83.254 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly in
zone-member security Trusted
duplex auto
speed auto
no mop enabled
service-policy input url-block-policy
interface Ethernet0/0/0
no ip address
service-policy output wan-queue-policy
!
interface Ethernet0/0/0.7
encapsulation dot1Q 7
ip address dhcp
no ip redirects
no ip unreachables
no ip proxy-arp
ip mtu 1496
ip nat outside
ip virtual-reassembly in
zone-member security Internet
pppoe enable group global
pppoe-client dial-pool-number 1
interface Dialer1
description WAN-Telekom VDSL
ip address negotiated
no ip redirects
no ip unreachables
ip flow ingress
ip nat outside
ip virtual-reassembly in
zone-member security Internet
encapsulation ppp
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname
ppp chap password
no cdp enable
ip sla 1
icmp-echo Next-Hop-IP-ISP1 source-interface GigabitEthernet0/0
threshold 2
timeout 1000
frequency 10
ip sla schedule 1 start-time now life forever
ip sla 2
icmp-echo Next-Hop-IP-ISP2 source-interface Dialer 1
threshold 2
timeout 1000
frequency 10
ip sla schedule 2 start-time now life forever
ip nat inside source route-map CABLE interface GigabitEthernet0/0 overload
ip nat inside source route-map VDSLV interface Dialer1 overload
ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP2 443 extendable
ip nat inside source static tcp 192.168.83.4 443 WAN-IP-ISP1 443 extendable
ip route 0.0.0.0 0.0.0.0 gigabitehternet 0/0 Track 1 - Hier meckert der Cisco wegen dem Gigabitethernet, eben weil es kein P-P interface ist?:
?? %Default route without gateway, if not a point-to-point interface, may impact performance ??
ip route 0.0.0.0 0.0.0.0 Dialer 1 Track 2
route-map CABLE permit 10
match ip address 101
match interface GigabitEthernet0/0
route-map VDSLV permit 10
match ip adress 101
match interface Dialer 1Diese Konfig sollte doch auch den PPP Ausfall und sonstige abfedern? Oder bin ich hier völlig auf dem Holzweg?
Nur wenn du das PPP Gateway dynamisch überträgst.Routest du statisch mit gleicher Metrik gibt es ein Session basiertes Balancing. Ein automatischer Ausfall wird aber einzig dann nur getriggert wenn du einen Link Loss am WAN Interface hast.
Für das IOS muss also dieser Port auf DOWN gehen um ein festes Failover bzw. das dynamische Entfernen einer Route aus der Routing Tabelle zu triggern.
Das solltest du testen indem du mal ein Kabel ziehst.
Hast du Interfaces wo der Link bestehen bleibt musst du eine SLA Konfig machen indem du z.B. zyklisch die Provider IP Gateway IP pingst. Sollte das nach einem Delta keine Antwort geben, kannst du dann das Interface damit als down deklarieren und dann wird der Failover getriggert.
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipsla/configuration/15 ...
Moin Moin!
Vielen Dank für deine Tipps und Hilfen!
Ich habe nun den Failover sauber hinbekommen mit folgender Konfiguration:
Eine für mich interessante Frage wäre nun noch ob es mit einem Cisco ISR Router möglich ist ein WAN-Load Balancing zu machen?
Also quasi über ein PBR beide Links zu nutzen? Nur eben das über z.b. ISP1 alle Server/Voip-Server raus gehen und auch vom WAN angesprochen werden, alle LAN-clients aber über den ISP2 raus gehen?
--> Bei Fehler gehen dann allerdings alle über den noch laufenden ISP raus?!
Eine Bündelung von zwei unterschiedlichen ISPs ist ja nun ohnehin nicht möglich. Aber vllt. kann man so wenigstens beide aktiv nutzen?
Gibt es von Cisco einen Router der ein richtiges WAN-Load Balancing kann? Und das vllt. auch mit verschiedenen ISPs?
Vielen Dank für deine Tipps und Hilfen!
Ich habe nun den Failover sauber hinbekommen mit folgender Konfiguration:
track 1 ip sla 1 reachability
delay down 10 up 10
interface GigabitEthernet0/0
ip address dhcp
ip nat outside
ip virtual-reassembly in
zone-member security Internet
duplex auto
speed auto
no mop enabled
service-policy output wan-queue-policy
interface GigabitEthernet0/1
ip address 192.168.83.254 255.255.255.0
no ip redirects
ip nat inside
ip virtual-reassembly in
zone-member security Trusted
no ip route-cache
duplex auto
speed auto
no mop enabled
service-policy input url-block-policy
interface Dialer1
ip address negotiated
no ip redirects
no ip unreachables
ip flow ingress
ip nat outside
ip virtual-reassembly in
zone-member security Internet
encapsulation ppp
no ip route-cache
dialer pool 1
dialer-group 1
ppp authentication chap callin
ppp chap hostname
ppp chap password
ip nat inside source route-map CABLE interface GigabitEthernet0/0 overload
ip nat inside source route-map VDSLV interface Dialer1 overload
ip route 0.0.0.0 0.0.0.0 XX.XXX.XX.XXX track 1
ip route 0.0.0.0 0.0.0.0 Dialer1 10
ip sla 1
icmp-echo Gateway-ISP1 source-interface GigabitEthernet0/0
threshold 500
frequency 10
ip sla schedule 1 life forever start-time now
route-map CABLE permit 10
match ip address 101
match interface GigabitEthernet0/0
!
route-map VDSLV permit 10
match ip address 101
match interface Dialer1
access-list 101 permit ip 192.168.83.0 0.0.0.255 any
Eine für mich interessante Frage wäre nun noch ob es mit einem Cisco ISR Router möglich ist ein WAN-Load Balancing zu machen?
Also quasi über ein PBR beide Links zu nutzen? Nur eben das über z.b. ISP1 alle Server/Voip-Server raus gehen und auch vom WAN angesprochen werden, alle LAN-clients aber über den ISP2 raus gehen?
--> Bei Fehler gehen dann allerdings alle über den noch laufenden ISP raus?!
Eine Bündelung von zwei unterschiedlichen ISPs ist ja nun ohnehin nicht möglich. Aber vllt. kann man so wenigstens beide aktiv nutzen?
Gibt es von Cisco einen Router der ein richtiges WAN-Load Balancing kann? Und das vllt. auch mit verschiedenen ISPs?
ob es mit einem Cisco ISR Router möglich ist ein WAN-Load Balancing zu machen?
Ja, das geht.Wenn du z.B. 2 identische statische Default Routen gleicher Cost eingetragen hast macht der Cisco von sich auch ein Session basiertes Round Robin Balancing zu beiden Ports.
Eine Bündelung von zwei unterschiedlichen ISPs
Kommt immer drauf an was du unter Bündelung genau verstehst ?? Bündelung mit MPPP ganz sicher nicht, Bündelung mit PBR oder Static Balancing schon.Gibt es von Cisco einen Router der ein richtiges WAN-Load Balancing kann?
Die Frage ist jetzt wieder WAS ist "richtiges WAN-Load Balancing" ?? Bzw. umgekehrt was ist denn für dich falsches Balancing ??Es gibt dort zig Algorythmen und Verfahren, fragt sich also was du genau meinst ???
