Re: Coenctar 2 ISP a Router 2900

CRUZPEREZ518 · ‎05-14-2019

Hola,

Estoy tratando de configurar 2 ISP en mi router, actualmente tengo todo funcionando con un ISP pero estoy pensando en cambiar algunas VLAN hacia otro enlace y balancear la carga.

-- Todas mis VLAN las cree en la interfaz Gi0/0, el actual ISP lo tengo en la interfaz Gi0/1 y todo el tráfico sale por ésta interfaz.

Acabo de habilitar la interfazGi0/2 y conecté ahi el segundo ISP, por el cual deseo enviar unas VLAN, ejemplo la VLAN 172.16.27.6, la cual ya la tengo creada.

-- Con las configuraciones actuales, hay comunicacion entre las interfaces, más no logro dar salida a internet a la VLAN por la interfaz Gi0/2.

Es posible ésto que intento hacer ?

Gracias.

luis_cordova · ‎05-14-2019

Hola @CRUZPEREZ518 ,

Revisa esta discusión de la comunidad:

https://community.cisco.com/t5/routing/two-isp-two-networks-one-router/td-p/2189915

Saludos

Julio E. Moisa · ‎05-14-2019

Si puedes realizarlo pero debes usar PBR, ejemplo:

interface g0/0.26

description Prueba

ip address 172.x.x.x y.y.y.y

ip policy route-map HACIA-ISP2

access-list 26 permit 172.x.x.x y.y.y.y

route-map HACIA-ISP2 permit 5

match ip address 26

set ip next-hop (la ip del siguiente salto donde esta el ISP2, Seria la IP del router del proveedor)

No vas a poder probarlo desde el router en si, porque se aplica al data plane, asi que solo puedes probar desde un host o computadora que este detras de esa sub interface g0/0.26

Ojo, si en el caso la interface donde aplicaras el PBR es un punto a punto te recomiendo dejar abierto el PBR, ejemplo con una secuencia mas alta:

route-map HACIA-ISP2 permit 1000

Debido a que si no lo colocas te bloqueara el trafico no definido explicitamente en los route-maps anteriores.

A traves de rutas estaticas no puedes porque las rutas estaticas unicamente indican el destino no el origen.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

CRUZPEREZ518 · ‎05-14-2019

Gracias Julio Moisa,
Ya hice las configuraciones que me indicas, le asigné ip de la VLAN de prueba a una PC pero al hacer una prueba de navegación no me permite navegar, ya le aumente la secuencia a 1000, si me resuelve el ping a 8.8.8.8 pero no me deja navegar.
Tambien te comento que actualmente tengo una ruta estática: ip route 0.0.0.0 0.0.0.0 192.168.11.14, que es por donde sale todo el trafico actualmente, no se si ésto esté causando conflicto...

Julio E. Moisa · ‎05-14-2019

Hola

recuerda configurar un Nat para usar la interface del isp2, igual como hiciste con el isp1, aplícale a la interface el ip nat outside, y la misma línea de:

ip nat inside source list.... solo que agregas la interface de isp2 y el overload.

Adicional debes tener 2 rutas por defecto (0.0.0.0/0) una con menor distancia administrativa hacia isp1 y otra ruta con distancia administrativa mayor apuntando hacia isp2.

saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

CRUZPEREZ518 · ‎05-15-2019

nterface GigabitEthernet0/0.127
description PRUEBAS-WatchGuard
encapsulation dot1Q 127
ip address 172.16.27.6 255.255.255.248
ip policy route-map VLAN127_WatchGuard
------------------------------------------------------------------------------------

ip route 0.0.0.0 0.0.0.0 192.168.11.14
ip route 192.168.50.0 255.255.255.0 10.20.20.253
!
access-list 1 deny 192.168.180.0 0.0.3.255
access-list 1 permit any
access-list 127 permit ip 172.16.27.0 0.0.0.7 any
!
route-map VLAN127_WatchGuard permit 1000
match ip address 127
set ip next-hop 192.168.12.14
------------------------------------------------------------------------------------------------
Es la configuración que actualmente tengo, ya se me empezó a complicar en este punto.

Gracias.

Julio E. Moisa · ‎05-15-2019

Hola,

Ok, a continuación te incluyo una configuración de prueba y luego tu verificas con tu configuracion:

interface g0/0

no shut

interface g0/0.10

description LAN1

encapsulation dot1q 10

ip nat inside

ip add 192.168.10.1 255.255.255.0

interface g0/0.20

description LAN2

encapsulation dot1q 20

ip nat inside

ip add 192.168.20.1 255.255.255.0

ip policy route-map PBR

int g0/1

description ISP1

ip nat outside

ip add 100.100.100.2 255.255.255.0

no shut

int g0/2

description ISP2

ip nat outside

ip add 200.200.200.2 255.255.255.0

no shut

ip access-list standard MIS-REDES

permit 192.168.10.0 0.0.0.255

permit 192.168.20.0 0.0.0.255

ip nat inside source list MIS-REDES interface g0/1 overload

ip nat inside source list MIS-REDES interface g0/2 overload

ip route 0.0.0.0 0.0.0.0 100.100.100.1 <--- IP del lado del ISP1 (Siguiente salto)

ip route 0.0.0.0 0.0.0.0 200.200.200.1 100 <--- distancia administrativa mayor e IP del lado del ISP2

ip access-list extended NAT-->ISP2

deny ip 192.168.20.0 0.0.0.255 10.0.0.0 0.0.0.8

deny ip 192.168.20.0 0.0.0.255 172.16.0.0 0.15.255.255

deny ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.255.255

permit ip any any

route-map PBR permit 5

match ip add NAT-->ISP2

set ip next-hop 200.200.200.1

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

CRUZPEREZ518 · ‎05-15-2019

Gracias.
En la access-list standard, tengo que agregar todas las diferentes ip de las subinterfaces que tengo creadas verdad?
Probaré la configuración que me indicas y te comento los resultados.

Saludos!

Julio E. Moisa · ‎05-15-2019

Hola

En la ACL, solo debes agregar aquellas redes (siempre que esten bajo una interface que este configurado con ip nat inside) que quieres que se pasen a través del NAT.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

CRUZPEREZ518 · ‎05-16-2019

Hola,
Ya agregue las configuraciones que me mencionaste y al final de deja sin internet tanto a la vlan que tengo de prueba 127, que es la unica que intento sacar por el ISP2, como al resto de las VLAN que salen por el ISP1.
Tuve que regresar todo hasta este punto:
interface GigabitEthernet0/0.127
description ISP2-WatchGuard
encapsulation dot1Q 127
ip address 172.16.27.6 255.255.255.248
ip nat inside
ip virtual-reassembly
ip policy route-map ISP2

ip route 0.0.0.0 0.0.0.0 192.168.11.14
ip route 0.0.0.0 0.0.0.0 192.168.12.14 100
ip route 192.168.50.0 255.255.255.0 10.20.20.253
!
access-list 1 deny 192.168.180.0 0.0.3.255
access-list 1 permit any
access-list 127 permit ip 172.16.27.0 0.0.0.7 any
!
route-map ISP2 permit 10
match ip address 127
set ip next-hop 192.168.12.14
interface GigabitEthernet0/1
ip address 192.168.11.13 255.255.255.240 ------- ISP1
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 192.168.12.13 255.255.255.240 -------ISP2
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
--------------------------------------------
Con esta configuracion lo que consigo es lo siguiente:
1.-Que todas las VLAN que salen por el ISP1 tengan acceso a internet como antes de que agregara el ISP2.
2.- Que la VLAN que tengo de prueba VLAN 127 hacia el ISP2 puede navegar en internet pero solo con los DNS 8.8.8.8 y 8.8.4.4 si le pongo los de mi red local no permite navegar en internet solo hacer ping.

Que me puede estar faltando.

Gracias.

Julio E. Moisa · ‎05-17-2019

Hola

No se si la configuracion se aplico similar al ejemplo, de igual manera en la interface de ISP1 no veo el ip nat outside:

access-list 127 permit ip 172.16.27.0 0.0.0.7 any
!
route-map ISP2 permit 10
match ip address 127
set ip next-hop 192.168.12.14

Ejemplo (cambiando el direccionamiento)

ip access-list extended NAT-->ISP2

deny ip 192.168.20.0 0.0.0.255 10.0.0.0 0.0.0.8

deny ip 192.168.20.0 0.0.0.255 172.16.0.0 0.15.255.255

deny ip 192.168.20.0 0.0.0.255 192.168.0.0 0.0.255.255

permit ip any any

route-map PBR permit 5

match ip add NAT-->ISP2

set ip next-hop 200.200.200.1

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Julio E. Moisa · ‎05-17-2019

Tomando tus datos la configuración debería de ser:

interface g0/0

no shutdown

nterface GigabitEthernet0/0.127
description ISP2-WatchGuard
encapsulation dot1Q 127
ip address 172.16.27.6 255.255.255.248
ip nat inside
ip policy route-map ISP2

interface GigabitEthernet0/1
ip address 192.168.11.13 255.255.255.240 ------- ISP1

ip nat outside
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 192.168.12.13 255.255.255.240 -------ISP2
ip nat outside

*** Denegando la comunicacion con redes privadas, sino todo lo buscara a traves de Internet ***

access-list 127 deny ip any 10.0.0.0 0.0.0.8

access-list 127 deny ip any 172.16.0.0 0.15.255.255

access-list 127 deny ip any 192.168.0.0 0.0.255.255

access-list 127 permit ip any any

route-map ISP2 permit 10
match ip address 127
set ip next-hop 192.168.12.14

ip access-list standard MIS-REDES

permit 172.16.27.0 0.0.0.7

ip nat inside source list MIS-REDES interface g0/2 overload

ip route 0.0.0.0 0.0.0.0 192.168.11.14
ip route 0.0.0.0 0.0.0.0 192.168.12.14 100

Cualquier consulta quedo a las ordenes.

Saludos

>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hilda Arteaga · ‎05-17-2019

Estimado @Julio E. Moisa

Gracias por toda la dedicación y ayuda en esta duda

Hilda Arteaga · ‎05-17-2019

Estimado @Julio E. Moisa

Gracias por toda la dedicación y ayuda en esta duda

CRUZPEREZ518 · ‎05-17-2019

De verdad aprecio mucho tu ayuda @Julio E. Moisa,
Ya configuré todo tal cual, asi es como esta actualmente en el router, lo que consigo con ésto es que las otras VLAN que salen por la interfaz Gi0/1 ya no pierdan la conexión a internet, pero la VLAN 127 que es con la que estoy probando sigue sin tener acceso ainternet, hago ping a 8.8.8.8 y funciona pero el nombre no lo esta resolviendo, y cunado le modifico los DNS si me deja navegar.
A que se deberá éste problema?

Gracias por todo tu apoyo.

-------------------------------------------
interface GigabitEthernet0/0.127
description ISP2-WatchGuard
encapsulation dot1Q 127
ip address 172.16.27.6 255.255.255.248
ip nat inside
ip virtual-reassembly
ip policy route-map ISP2
------------------------------------------------
interface GigabitEthernet0/1
ip address 192.168.11.13 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
interface GigabitEthernet0/2
description ISP-200MB
ip address 192.168.12.13 255.255.255.240
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
----------------------------------------------------------------
ip nat inside source list REDES interface GigabitEthernet0/2 overload
ip route 0.0.0.0 0.0.0.0 192.168.11.14
ip route 0.0.0.0 0.0.0.0 192.168.12.14 100
ip route 192.168.50.0 255.255.255.0 10.20.20.253
!
ip access-list standard REDES
permit 172.16.27.0 0.0.0.7
!
access-list 1 deny 192.168.180.0 0.0.3.255
access-list 1 permit any
access-list 127 permit ip 172.16.27.0 0.0.0.7 any
access-list 127 deny ip any 10.0.0.0 0.0.0.8
access-list 127 deny ip any 172.16.0.0 0.15.255.255
access-list 127 deny ip any 192.168.0.0 0.0.255.255
access-list 127 permit ip any any
!
route-map ISP2 permit 10
match ip address 127
set ip next-hop 192.168.12.14