Проблема с IP SLA i Track
Доброе время суток.
Есть локальная сеть разделенная на две группы и есть два интернет провайдера ISP1 и ISP2. Юзеры из локальной сети должны выходить в интернет, но первая группа адресов через ISP1, а вторая через ISP2. При падении одного из ISP, группа "сидящая" на данном ISP должна переходить на "живой" ISP. Так же при восстановлении "упавшего" ISP группа адресов должна возвратиться на свой ISP. Сделал конфиг, все отлично работает, переходы выполняются точно как при падении так и при восстановлении ISP. Но имеется на редкость нелепая проблема. Ровно через 20 минут один из track-в уьодит в Down и восстанавливается только в том случае, если сделать "shutdown" и после "no shutdown" интерфейса на котором сидит данный прожайдер. Никогда не встречал такого.
Ниже привожу конфиг
PHP код:
!
hostname Router
!
boot-start-marker
boot-end-marker
!
no logging on
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
ip name-server 8.8.8.8
!
multilink bundle-name authenticated
!
vpdn enable
!
vpdn-group 1
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 1
l2tp tunnel timeout no-session 15
!
license udi pid CISCO1921/K9 sn FCZ143593FK
!
username XXX password 0 YYY
!
redundancy
!
track 123 ip sla 100 reachability
delay down 5 up 5
!
track 124 ip sla 200 reachability
delay down 5 up 5
!
interface GigabitEthernet0/0
description To NETWORKS
ip address 192.168.215.26 255.255.255.0
ip nat inside
ip nat enable
ip virtual-reassembly
ip policy route-map TRACKER
duplex auto
speed auto
!
!
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
!
interface FastEthernet0/0/0
description To ISP1
ip address 80.80.80.80 255.255.255.192
ip access-group 100 in
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
!
interface FastEthernet0/0/1
description To ISP2
ip address 83.83.83.83 255.255.255.248
ip access-group 101 in
ip nat outside
ip nat enable
ip virtual-reassembly
duplex auto
speed auto
!
!
interface FastEthernet0/1/0
no ip address
shutdown
duplex auto
speed auto
!
!
interface FastEthernet0/1/1
no ip address
shutdown
duplex auto
speed auto
!
!
interface Virtual-Template1
ip unnumbered FastEthernet0/0/1
peer default ip address pool test
no keepalive
ppp encrypt mppe auto
ppp authentication pap chap ms-chap
!
!
ip local pool test 10.10.120.1 10.10.120.20
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
ip nat inside source route-map ISP2 interface FastEthernet0/0/1 overload
ip nat inside source route-map ISP1 interface FastEthernet0/0/0 overload
ip route 0.0.0.0 0.0.0.0 80.80.80.1 track 123 - Шлюз ISP1
ip route 0.0.0.0 0.0.0.0 83.83.83.1 track 124 - Шлюз ISP2
ip route 10.10.0.0 255.255.0.0 192.168.215.20 30
!
ip access-list extended ISP2 - вторая группа адресов, которая выходит в инет через ISP2
permit ip 10.10.201.0 0.0.0.255 any
permit ip 10.10.202.0 0.0.0.255 any
permit ip 10.10.203.0 0.0.0.255 any
permit ip 10.10.204.0 0.0.0.255 any
permit ip 10.10.205.0 0.0.0.255 any
ip access-list extended ISP1 - первая группа адресов, которая выходит в инет через ISP1
permit ip 10.10.1.0 0.0.0.255 any
permit ip 10.10.2.0 0.0.0.255 any
permit ip 10.10.3.0 0.0.0.255 any
permit ip 10.10.4.0 0.0.0.255 any
permit ip 10.10.5.0 0.0.0.255 any
ip access-list extended local_subnet
permit ip 192.168.215.0 0.0.0.255 any
permit ip 10.10.0.0 0.0.255.255 any
!
ip sla 100
icmp-echo 80.80.80.1 source-interface FastEthernet0/0/0
frequency 5
ip sla schedule 100 life forever start-time now
ip sla 200
icmp-echo 83.83.83.1 source-interface FastEthernet0/0/1
frequency 5
ip sla schedule 200 life forever start-time now
no logging trap
!
!
!
!
route-map ISP2 permit 10
match ip address local_subnet
match interface FastEthernet0/0/1
!
route-map ISP1 permit 10
match ip address local_subnet
match interface FastEthernet0/0/0
!
route-map TRACKER permit 10
match ip address ISP1
set ip next-hop verify-availability 80.80.80.1 10 track 123
set ip next-hop 83.83.83.1
!
route-map TRACKER permit 20
match ip address ISP2
set ip next-hop verify-availability 83.83.83.1 20 track 124
set ip next-hop 80.80.80.1
!
route-map TRACKER permit 30
match ip address ISP1
set ip next-hop verify-availability 83.83.83.1 10 track 123
set ip next-hop 80.80.80.1
!
route-map TRACKER permit 40
match ip address ISP2
set ip next-hop verify-availability 80.80.80.1 10 track 124
set ip next-hop 83.83.83.1
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end
Ровно через 20 минут циска выдает сообщение:
Код:
%TRACKING-5-STATE: 123 ip sla 100 reachability Up->Down
Привожу вывод команды
Но до падения ISP1 все "route-map"-ы были в статусе "UP"
Код:
route-map ISP2, permit, sequence 10
Match clauses:
ip address (access-lists): local_subnet
interface FastEthernet0/0/1
Set clauses:
Policy routing matches: 0 packets, 0 bytes
route-map ISP1, permit, sequence 10
Match clauses:
ip address (access-lists): local_subnet
interface FastEthernet0/0/0
Set clauses:
Policy routing matches: 0 packets, 0 bytes
route-map TRACKER, permit, sequence 10
Match clauses:
ip address (access-lists): ISP1
Set clauses:
ip next-hop verify-availability 80.80.80.1 10 track 123 [down]
ip next-hop 83.83.83.1
Policy routing matches: 540410 packets, 40972683 bytes
route-map TRACKER, permit, sequence 20
Match clauses:
ip address (access-lists): ISP2
Set clauses:
ip next-hop verify-availability 83.83.83.1 20 track 124 [up]
ip next-hop 80.80.80.1
Policy routing matches: 193660 packets, 28608540 bytes
route-map TRACKER, permit, sequence 30
Match clauses:
ip address (access-lists): ISP1
Set clauses:
ip next-hop verify-availability 83.83.83.1 10 track 123 [down]
ip next-hop 80.80.80.1
Policy routing matches: 0 packets, 0 bytes
route-map TRACKER, permit, sequence 40
Match clauses:
ip address (access-lists): ISP2
Set clauses:
ip next-hop verify-availability 80.80.80.1 10 track 124 [up]
ip next-hop 83.83.83.1
Policy routing matches: 0 packets, 0 bytes
Подскажите пожалуйста почему всегда пропадает TRACKING-5-STATE: 123 и почему ето происходит именно через 20 минут. Я обсуждал это с провайдером ISP1, думал, что у них на firewall-е есть какая-то фича, которая блокирует порт, который постоянно пингуется, но это сказали не так. Плюс к этому я проверял с другого места, пингуется хоть сутками и не отваливается.
Менял свитч, к которому подключен ISP1. Сейчас он управляемый, но я пробовал и самыи простой. Игрался с "duplex и Speed" модами, менял IP Address 80.80.80.X и кабели. Ничего не помогает. Ровно 20 минут работы и после этого ISP1 проподает.
Если есть варианты, то прошу помогите. Зарание спасибо |
