Solucionado: configurar cisco 891 para balanceo de carga

Francisco Palomares · ‎02-21-2014

Buen día.

adquirimos un router cisco 891 y queremos ajustarlo para que tenga los dos provedores ISP.

Para ello quisiera saber como tengo que configurarlo para que al momento de que un proveedor falle el otroentre de inmediato sin perdida de datos o señal?

Desconozco como poder hacerlo por eso requiero de su ayuda.

Carlos Zeledon Carrera · ‎02-25-2014

Hola Francisco,

Lo que estas tratando de hacer se conoce comunmente como redudnancia de internet o bien; "Internet Failover". Para poder hacerlo vamos a tener que configurar las siguientes herramientas:

1) IP SLA

2) Object Track

3) PBR

4) 2 Default static routes, una con una distancia administrativa mas alta que la otra.

Usemos la siguiente topologia como ejemplo:

La siguiente configuracion sera aplicada en R1 y utilizara a ISP1 como el proveedor primario y a ISP2 como el secundario. Esta configuracion solo hace uso de un ISP a la vez y automaticamente si detecta un fallo a traves del proveedor primario entonces R1 hara uso de ISP2. Cuanto se re-establezca el servicio brindado por ISP1; R1 volvera a usar este proveedor como el primario:

1) ip access-list extended PBR_LCL_ACL

permit icmp host 192.168.2.1 host 4.2.2.2

exit

route-map PBR_LCL_RM

match ip address PBR_LCL_ACL

set ip next-hop 192.168.2.254

exit

ip local policy route-map PBR_LCL_RM

2) ip sla 10

icmp-echo 4.2.2.2 source-ip 192.168.2.1

ip sla schedule 10 life forever start-time now

track 10 rtr 10

3) ip route 0.0.0.0 0.0.0.0 fa0/0 192.168.2.254 track 10

ip route 0.0.0.0 0.0.0.0 fa0/1 192.168.1.254 5

He dividido la configuracion anterior en 3 secciones. La primer seccion nos permite asegurarnos que los ICMP request que sean generados por el router para verificar la conectividad hacia 4.2.2.2 se vayan siempre por el ISP1. Hacer esto es importante porque es lo que nos va a permitir confirmar si hay algun problema de conectividad en ISP1 que eventualmente pueda estar afectando nuestros servicios.

La segunda seccion se encarga de configurar el SLA (el feature que nos permite hacer pruebas de conectividad automaticas) y el object track para monitorear el resultado del SLA. Y la tercer y ultima seccion se encarga de agregar la ruta por defecto estatica primary y la que estara "flotando" en la configuracion pero que se hara uso de ella solo si se detectara un fallo a traves del SLA via ISP1.

Espero esto sea de ayuda.

Carlos Zeledon

Ver la solución en mensaje original publicado

Carlos Zeledon Carrera · ‎03-03-2014

Hola Francisco,

Al tratarse de IP's dinamicas vamos a tener que cambiar un poco la configuracion:

1) Supongamos que es la misma topologia, un solo router conectado a dos ISP diferentes. Aplicamos los siguientes comandos:

!

ip route 4.2.2.2 255.255.255.255 FastEthernet0/0 permanent

ip sla 10

icmp-echo 4.2.2.2 source-interface FastEthernet0/0

ip sla schedule 10 life forever start-time now

!

track 10 rtr 10

track 11 list boolean and

object 10 not

!

interface FastEthernet0/0

ip dhcp client route track 10

ip address dhcp

!

interface FastEthernet0/1

ip dhcp client route track 11

ip address dhcp

Es este ejemplo Fa0/0 es el que conecta a ISP primario y Fa0/1 conecta al secundario. Pudes hacer caso omiso a los comandos que comparti contigo en el post anterior ya que esos solo sirven si tuvieras una IP estatica en las interfaces hacia los ISP.

Saludos,

Ver la solución en mensaje original publicado

DUYE00017 · ‎02-22-2014

Estos enlaces te pueden ayudar, esto tambien se llma bondin

http://linuxeros-faq.blogspot.com/2013/12/enrutamiento-entre-vlans-con-software.html

http://herramientaspararedes.blogspot.com.br/2013/04/software-de-enrutamiento-routing.html

http://estas-preparado.blogspot.com.br/2010/01/bonding-en-windows.html

Marcos
http://linuxeros-faq.blogspot.com

Marcos http://linuxeros-faq.blogspot.com

Carlos Zeledon Carrera · ‎02-25-2014

Hola Francisco,

Lo que estas tratando de hacer se conoce comunmente como redudnancia de internet o bien; "Internet Failover". Para poder hacerlo vamos a tener que configurar las siguientes herramientas:

1) IP SLA

2) Object Track

3) PBR

4) 2 Default static routes, una con una distancia administrativa mas alta que la otra.

Usemos la siguiente topologia como ejemplo:

La siguiente configuracion sera aplicada en R1 y utilizara a ISP1 como el proveedor primario y a ISP2 como el secundario. Esta configuracion solo hace uso de un ISP a la vez y automaticamente si detecta un fallo a traves del proveedor primario entonces R1 hara uso de ISP2. Cuanto se re-establezca el servicio brindado por ISP1; R1 volvera a usar este proveedor como el primario:

1) ip access-list extended PBR_LCL_ACL

permit icmp host 192.168.2.1 host 4.2.2.2

exit

route-map PBR_LCL_RM

match ip address PBR_LCL_ACL

set ip next-hop 192.168.2.254

exit

ip local policy route-map PBR_LCL_RM

2) ip sla 10

icmp-echo 4.2.2.2 source-ip 192.168.2.1

ip sla schedule 10 life forever start-time now

track 10 rtr 10

3) ip route 0.0.0.0 0.0.0.0 fa0/0 192.168.2.254 track 10

ip route 0.0.0.0 0.0.0.0 fa0/1 192.168.1.254 5

He dividido la configuracion anterior en 3 secciones. La primer seccion nos permite asegurarnos que los ICMP request que sean generados por el router para verificar la conectividad hacia 4.2.2.2 se vayan siempre por el ISP1. Hacer esto es importante porque es lo que nos va a permitir confirmar si hay algun problema de conectividad en ISP1 que eventualmente pueda estar afectando nuestros servicios.

La segunda seccion se encarga de configurar el SLA (el feature que nos permite hacer pruebas de conectividad automaticas) y el object track para monitorear el resultado del SLA. Y la tercer y ultima seccion se encarga de agregar la ruta por defecto estatica primary y la que estara "flotando" en la configuracion pero que se hara uso de ella solo si se detectara un fallo a traves del SLA via ISP1.

Espero esto sea de ayuda.

Carlos Zeledon

Francisco Palomares · ‎02-25-2014

Muy bien, deja lo intento hacer y les comento que paso.

Saludos cordiales.

rtroyoqu · ‎02-26-2014

Excelente ejemplo por parte de Carlos.

Estimado Francisco, como te fué con la configuración?

Francisco Palomares · ‎02-26-2014

Que tal rtroyoqu,

Estoy en eso compañero. Ahorita tengo un problema con el switch que no me deja que el router asigne la ip por dhcp, de hecho lo comento en otra discusion.

a ver si me puedes ayudar....

esta es la otra discusion:

https://supportforums.cisco.com/message/4177478#4177478

ya solo me falta eso para comenzar con este paso...

Ya hice y deshice en las configuraciones y no me deja el switch.

Francisco Palomares · ‎03-03-2014

Estoy iniciando esta configuracion pero los puertos Gigabit ethernet y el fast ethernet puerto 8 estan configurados para que les de ip por dhcp el ISP, en esta caso como le tengo que hacer aqui, ya que en la topologia aparece que tengo que poner IP 192.168.2.1 ..... .254

Espero haberme explicado jeje, en espera de respuesta, envío un cordial saludo.

rtroyoqu · ‎03-03-2014

Hola Francisco.

Esto va a depender completamente en tu ISP. Si ellos te dan IPs dynamicas, entonces está bien que las inferfaces estén configuradas para recibir su IP del ISP. Las IPs que menciona Carlos son de ejemplo y funcionaría con cualquier otra IP.

Te aconsejo que verifiques con tu provedor de servicios (ISP) para ver como deberías de configurar las interfaces.

Saludos,

R.T.

Francisco Palomares · ‎03-03-2014

Que tal Ricardo buen día.

Ya me comunique con ellos y me dijeron que la ip es dinamica y que la configuracion de la interfaz ya no es parte de ellos, que su responsabilidad (configuracion, instalacion, etc) llega hasta donde se entrega la Ip Publica dinamica y con salida a Internet.

Con respecto a las IP no me queda muy claro como puedo configurar el router para la salida de internet y hacer el monitoreo, ya que en la configuracion aparece ip fija y en este caso no lo es....

Espero me puedan ayudar....

Saludos cordiales

Carlos Zeledon Carrera · ‎03-03-2014

Hola Francisco,

Al tratarse de IP's dinamicas vamos a tener que cambiar un poco la configuracion:

1) Supongamos que es la misma topologia, un solo router conectado a dos ISP diferentes. Aplicamos los siguientes comandos:

!

ip route 4.2.2.2 255.255.255.255 FastEthernet0/0 permanent

ip sla 10

icmp-echo 4.2.2.2 source-interface FastEthernet0/0

ip sla schedule 10 life forever start-time now

!

track 10 rtr 10

track 11 list boolean and

object 10 not

!

interface FastEthernet0/0

ip dhcp client route track 10

ip address dhcp

!

interface FastEthernet0/1

ip dhcp client route track 11

ip address dhcp

Es este ejemplo Fa0/0 es el que conecta a ISP primario y Fa0/1 conecta al secundario. Pudes hacer caso omiso a los comandos que comparti contigo en el post anterior ya que esos solo sirven si tuvieras una IP estatica en las interfaces hacia los ISP.

Saludos,

Francisco Palomares · ‎03-04-2014

Gracias Carlos, ya comence la configuracion y al ingresar el primer comando

"ip route 4.2.2.2 255.255.255.255 FastEthernet0/0 permanent"

me aparece este mensaje:

*Mar 4 18:29:59.606: %IPRT-6-STATICROUTESACROSSTOPO: Cannot install inter-topology static route 4.2.2.2/32 topology base on outgoing interface GigabitEthernet

Al investigarlo en internet encontre un caso parecido pero este es con accesos virtuales, pero yo estoy utilizando interfaces fisicas.

este es el link

https://supportforums.cisco.com/docs/DOC-12173

esta es la seccion que encontre con el mismo problema:

Kirill Sulima 07-jun-2012 23:05

Hi everyone!

I have a problem

I've configured webvpn on my router that is behind ASA-firewall (nat, and other features configured correctly)

When I tried to connect to webvpn with anyconnect. User authenticates successfully. But this message appears in debug. And connected client can't see anything except his own IP address

Jun 8 04:57:58.371: %IPRT-6-STATICROUTESACROSSTOPO: Cannot install inter-topology static route 192.168.200.100/32 topology base on outgoing interface Virtual-Access2

Regards,

Kirill Sulima

NOTA: alli el error lo marca en el Virtual-Access2 y no en la interfaz, espero haberme explicado bien jeje....

En espera de respuesta, envio un cordial saludo.

Francisco Palomares · ‎03-04-2014

Solo comentar que ya me dejo realizar el punto anterior (solo lo volvi a escribir y ya me dejo hacerlo), pero despues de un rato me vuelve ese mensaje.

Continue con los comandos y ahora me quede en el siguiente:

track 10 rtr 10

ya que no reconoce rtr, al darle track 10 ? me devuelve lo siguiente:

Router-RIF(config)#track 10 ?

application Application

interface Select an interface to track

ip IP protocol

list Group objects in a list

stub-object Stub tracking object

en este caso que tengo que seleccionar?

En espera de respuesta, envio un cordial saludo

Carlos Zeledon Carrera · ‎03-04-2014

Francisco,

Las interfaces que tienes que usar en tu caso serian la F8 y la Gi0. Esas son las interfaces WAN para tu dispisitivo entonces segun el ejemplo que te di, cambia lo que en el mio dice Fa0/0 por la que vayas a dejar como primaria (sea F8 o Gi0) y tambien cambia la F0/1 por la otra que te quede entre F8 y Gi0. Asi mismo la ruta estatica que te di antes tambien cambia la Fa0/0 por la que sea que vaya a ser usada como conexion primaria (una vez mas entre Fa8 y Gi0)

Con respecto al rtr. Favor usa track 10 ip sla 10.

Saludos,

Carlos Zeledon

Francisco Palomares · ‎03-06-2014

Carlos Buen día.

Las configuraciones las hice como me dijiste (cambiando fa 0/0 por Giga0 y fa 0/1 por fa8).

He hice la prueba y no me hizo el cambio de internet.... te paso los datos que me arrojo el router y tambien te pongo los datos del show running-config.

*Mar 6 15:11:15.447: %LINK-3-UPDOWN: Interface GigabitEthernet0, changed state

to up

*Mar 6 15:11:16.447: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEth

ernet0, changed state to up

*Mar 6 15:11:20.615: %DHCP-6-ADDRESS_ASSIGN: Interface GigabitEthernet0 assigne

d DHCP address 189.211.5.34, mask 255.255.252.0, hostname Router-RIF

*Mar 6 15:11:38.471: %TRACKING-5-STATE: 10 ip sla 10 state Down->Up

*Mar 6 15:11:38.471: %TRACKING-5-STATE: 11 list boolean and Up->Down

*Mar 6 15:11:41.931: %LINK-3-UPDOWN: Interface FastEthernet8, changed state to

up

*Mar 6 15:11:42.931: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern

et8, changed state to up

*Mar 6 15:11:48.591: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet8 assigned D

HCP address 187.189.10.113, mask 255.255.255.0, hostname Router-RIF

Router-RIF#show ip inter b

Interface IP-Address OK? Method Status Prot

ocol

Async1 unassigned YES unset down down

FastEthernet0 unassigned YES unset down down

FastEthernet1 unassigned YES unset down down

FastEthernet2 unassigned YES unset down down

FastEthernet3 unassigned YES unset down down

FastEthernet4 unassigned YES unset down down

FastEthernet5 unassigned YES unset down down

FastEthernet6 unassigned YES unset down down

FastEthernet7 unassigned YES unset down down

FastEthernet8 187.189.10.113 YES DHCP up up

GigabitEthernet0 189.211.5.34 YES DHCP up up

NVI0 unassigned YES unset administratively down down

Vlan1 192.168.1.1 YES NVRAM up up

Router-RIF#

*Mar 6 15:13:07.623: %LINK-3-UPDOWN: Interface FastEthernet4, changed state to

up

*Mar 6 15:13:08.623: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthern

et4, changed state to up

*Mar 6 15:13:36.643: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, cha

nged state to up

En estas lines es donde desconecto el acceso a internet.... y me aparece el error que mencione antes...

*Mar 6 15:16:13.587: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEth

ernet0, changed state to down

*Mar 6 15:16:13.591: %IPRT-6-STATICROUTESACROSSTOPO: Cannot install inter-topol

ogy static route 4.2.2.2/32 topology base on outgoing interface GigabitEthernet0

Router-RIF#

*Mar 6 15:16:38.619: %TRACKING-5-STATE: 10 ip sla 10 state Up->Down

*Mar 6 15:16:38.619: %TRACKING-5-STATE: 11 list boolean and Down->Up

Router-RIF#show ip int br

Interface IP-Address OK? Method Status Prot

ocol

Async1 unassigned YES unset down down

FastEthernet0 unassigned YES unset down down

FastEthernet1 unassigned YES unset down down

FastEthernet2 unassigned YES unset down down

FastEthernet3 unassigned YES unset down down

FastEthernet4 unassigned YES unset up up

FastEthernet5 unassigned YES unset down down

FastEthernet6 unassigned YES unset down down

FastEthernet7 unassigned YES unset down down

FastEthernet8 187.189.10.113 YES DHCP up up

GigabitEthernet0 unassigned YES DHCP down down

NVI0 unassigned YES unset administratively down down

Vlan1 192.168.1.1 YES NVRAM up up

Esta es la configuracion que tengo en el running-config.

NOTA: Le tuve que cambiar la mac al puerto GIGA0 porque el proveedor de ISP lo solicito para el acceso a internet.

Current configuration : 6210 bytes

!

! Last configuration change at 16:45:01 UTC Wed Mar 5 2014 by RIFRAGA

version 15.2

service timestamps debug datetime msec

service timestamps log datetime msec

no service password-encryption

!

hostname Router-RIF

!

boot-start-marker

boot-end-marker

!

logging buffered 51200 warnings

!

no aaa new-model

!

crypto pki trustpoint TP-self-signed-1154262977

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-1154262977

revocation-check none

rsakeypair TP-self-signed-1154262977

!

crypto pki certificate chain TP-self-signed-1154262977

certificate self-signed 01

3082022B 30820194 A0030201 02020101 300D0609 2A864886 F70D0101 05050030

31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274

69666963 6174652D 31313534 32363239 3737301E 170D3134 30323234 32323135

32325A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649

4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 31353432

36323937 3730819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281

8100AD4F 7FE8B058 E296181B 1C870A3B 2B74048E B7BE61C4 0C74A0A8 8641EDA0

668DB9F6 C091F5DC 944A8EEF F43D2DCE 9E95BB78 831C155C 85A91744 6D206C6C

405AB8E2 3F645A3D 0210059F ADC2A9C7 D7429A62 DDC12834 A0542292 E64A68BB

6F83CC47 79521C59 7070248C 6AB8155A 65892827 4193E28D E6809B2A 4413F06F

A55D0203 010001A3 53305130 0F060355 1D130101 FF040530 030101FF 301F0603

551D2304 18301680 1414FE22 628CC617 E421D825 0745CDDE 7C0FE641 D8301D06

03551D0E 04160414 14FE2262 8CC617E4 21D82507 45CDDE7C 0FE641D8 300D0609

2A864886 F70D0101 05050003 81810008 9B04EFFE BDD7F90C 3CB4EA0C 7F4F6DF0

8F367AF1 983077F6 01826FB5 04288F72 DB0EDEF4 26B48197 F917D4B6 30B923D0

C4D7E386 6D087F81 6D293A9E 1EB2889A C820D2A9 BFF04A1D 9CA7B6FC CB7CF9DF

975ADFE1 11F2CF20 595C2892 20A483AF 03AAB057 8024D849 920075BA 8775D5B9

E37CE70A B3DA5197 D90A6B92 0DD14D

quit

ip cef

!

ip dhcp excluded-address 192.168.1.1

ip dhcp excluded-address 192.168.1.2 192.168.1.20

ip dhcp excluded-address 192.168.1.90 192.168.1.145

!

ip dhcp pool ccp-pool

import all

network 192.168.1.0 255.255.255.0

default-router 192.168.1.1

lease 0 2

!

no ip domain lookup

ip domain name yourdomain.com

no ipv6 cef

!

multilink bundle-name authenticated

!

license udi pid CISCO891-K9 sn FTX174383GR

!

username admin privilege 15 secret 4 RmRR4BVH593pOtQPf8XdEuyEV1ABXKiD.IXTvAX.T

Ik

!

redundancy

track 10 ip sla 10

!

track 11 list boolean and

object 10 not

!

interface FastEthernet0

no ip address

!

interface FastEthernet1

no ip address

!

interface FastEthernet2

no ip address

!

interface FastEthernet3

no ip address

!

interface FastEthernet4

no ip address

!

interface FastEthernet5

no ip address

!

interface FastEthernet6

no ip address

!

interface FastEthernet7

switchport mode trunk

no ip address

interface FastEthernet8

ip dhcp client route track 11

ip address dhcp

ip nat outside

ip virtual-reassembly in

duplex auto

speed auto

!

interface GigabitEthernet0

mac-address c8be.195d.486f

ip dhcp client route track 10

ip address dhcp

ip nat outside

ip virtual-reassembly in

duplex auto

speed auto

!

interface Vlan1

description $ETH_LAN$

ip address 192.168.1.1 255.255.255.0

ip nat inside

ip virtual-reassembly in

ip tcp adjust-mss 1452

!

interface Async1

no ip address

encapsulation slip

ip forward-protocol nd

ip http server

ip http access-class 23

ip http authentication local

ip http secure-server

ip http timeout-policy idle 60 life 86400 requests 10000

!

ip nat inside source list NAT_ACL interface GigabitEthernet0 overload

ip route 4.2.2.2 255.255.255.255 GigabitEthernet0 permanent

!

ip access-list extended NAT_ACL

permit tcp 192.168.1.0 0.0.0.255 any

permit icmp 192.168.1.0 0.0.0.255 any

permit udp 192.168.1.0 0.0.0.255 any

!

ip sla auto discovery

ip sla 10

icmp-echo 4.2.2.2 source-interface GigabitEthernet0

ip sla schedule 10 life forever start-time now

access-list 23 permit 192.168.1.0 0.0.0.255

no cdp run

!

control-plane

!

mgcp profile default

!

line con 0

logging synchronous

login local

line 1

modem InOut

speed 115200

flowcontrol hardware

line aux 0

line vty 0 4

access-class 23 in

privilege level 15

login local

transport input telnet ssh

line vty 5 15

access-class 23 in

privilege level 15

login local

transport input telnet ssh

!

end

Ojala me puedan ayudar....

En espera de respuesta, envío un cordial saludo.

Francisco Palomares · ‎03-10-2014

Carlos, sabes porque me aparece asi una de las respuestas que me pusiste?

supportforums.cisco.com

y no los comandos donde me explicas que no es balanceo de carga sino IPSLA

Si puedes volver a poner esa respuesta, te lo agradeceria muchisimo.