Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Load Balance!

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Load Balance!

    Hiện giờ mình có 2 đường Internet (1 leased line và 1 fixed IP ADSL), Mail Exchange Server được đặt tại công ty luôn. Do nhu cầu về banwidth, yêu cầu được đặt ra là
    - Traffic từ LAN đi ra với protocol chỉ dùng cho mail (smtp,pop3,ssl) sẽ được route ra đường leased line
    - Ngược lại, nếu những traffic nào dành cho các protocols khác như http, https, ftp,.. sẽ được route qua đường ADSL.

    Mong các bạn có kinh nghiệm xin giúp đỡ, cho mình file cấu hình để tham khảo và cấu hình cho router của công ty(mình đang sử dụng cisco router 1841 IOS Advanceseck9 version 12.4(3g)).

    Rất mong nhận được sự giúp đỡ của các bạn.

    Thanks,
    Hoang

  • #2
    Originally posted by lphoang View Post
    Hiện giờ mình có 2 đường Internet (1 leased line và 1 fixed IP ADSL), Mail Exchange Server được đặt tại công ty luôn. Do nhu cầu về banwidth, yêu cầu được đặt ra là
    - Traffic từ LAN đi ra với protocol chỉ dùng cho mail (smtp,pop3,ssl) sẽ được route ra đường leased line
    - Ngược lại, nếu những traffic nào dành cho các protocols khác như http, https, ftp,.. sẽ được route qua đường ADSL.

    Mong các bạn có kinh nghiệm xin giúp đỡ, cho mình file cấu hình để tham khảo và cấu hình cho router của công ty(mình đang sử dụng cisco router 1841 IOS Advanceseck9 version 12.4(3g)).

    Rất mong nhận được sự giúp đỡ của các bạn.

    Thanks,
    Hoang
    hi,
    bạn dùng tính năng policy-base routing để thực hiện yêu cầu trên nhé.
    cấu hình minh họa như sau:
    config t
    access-list 110 permit tcp any any eq 25
    access-list 110 permit tcp any any eq 110
    access-list 110 permit tcp any any eq 443
    !
    route-map RM_POLICY_ROUTING permit 10
    match ip address 110
    set interface "Interface LeaseLine"
    !
    route-map RM_POLICY_ROUTING permit 20
    set interface "Interface ADSL "
    !
    interface f0/0
    description "LAN Interface"
    ip policy route-map RM_POLICY_ROUTING
    !
    end
    wr
    Last edited by binhhd; 16-07-2008, 11:33 AM.

    Comment


    • #3
      Chào bạn,
      cám ơn thông tin của bạn.
      như vậy, lúc này mình sẽ định nghĩa 2 access-list

      access-list 110 permit tcp any any eq 25
      access-list 110 permit tcp any any eq 110
      access-list 110 permit tcp any any eq 443
      !
      access-list 120 permit tcp any any eq 80
      !
      route-map RM_POLICY_ROUTING_01 permit 10
      match ip address 110
      set interface "Interface LeaseLine"
      !
      route-map RM_POLICY_ROUTING_02 permit 20
      match ip address 120
      set interface "Interface ADSL "
      !
      interface f0/0
      description "LAN Interface"
      ip policy route-map RM_POLICY_ROUTING
      !
      end

      Như vậy:
      - Interface F0/0 có phải định nghĩa là "Outside Interface" không vậy?
      - Trong "route-map RM_POLICY_ROUTING_02 permit 20" mình có phải gán "match ip address 120" để dành cho traffic của protocol 80 không vay?
      - Các con số 10 và 20 trong lệnh route-map có quan trọng trong vấn đề priority không?
      - Dòng lệnh "ip policy route-map RM_POLICY_ROUTING" trong đó mình sẽ thay thế "RM_POLICY_ROUTING" bằng route-map nào ở trên?

      Phiền bạn trả lời giúp.
      Cám ơn nhiều.
      Hoang

      Comment


      • #4
        Originally posted by lphoang View Post
        Chào bạn,
        cám ơn thông tin của bạn.
        như vậy, lúc này mình sẽ định nghĩa 2 access-list

        access-list 110 permit tcp any any eq 25
        access-list 110 permit tcp any any eq 110
        access-list 110 permit tcp any any eq 443
        !
        access-list 120 permit tcp any any eq 80
        !
        route-map RM_POLICY_ROUTING_01 permit 10
        match ip address 110
        set interface "Interface LeaseLine"
        !
        route-map RM_POLICY_ROUTING_02 permit 20
        match ip address 120
        set interface "Interface ADSL "
        !
        interface f0/0
        description "LAN Interface"
        ip policy route-map RM_POLICY_ROUTING
        !
        end

        Như vậy:
        - Interface F0/0 có phải định nghĩa là "Outside Interface" không vậy?
        - Trong "route-map RM_POLICY_ROUTING_02 permit 20" mình có phải gán "match ip address 120" để dành cho traffic của protocol 80 không vay?
        ==> route-map RM_POLICY_ROUTING_01 và RM_POLICY_ROUTING_02 là 2 route-map hoàn toàn khác nhau, và nó cũng khác luôn route-map RM_POLICY_ROUTING (gán vào interface f0/0)
        f0/0 là interface inside (interface kết nối vào mạng LAN của bạn)
        - Các con số 10 và 20 trong lệnh route-map có quan trọng trong vấn đề priority không?
        ==> con số 10,20 trong route-map chính là sequence number, số càng nhỏ thì được ưu tiên xử lý trước
        - Dòng lệnh "ip policy route-map RM_POLICY_ROUTING" trong đó mình sẽ thay thế "RM_POLICY_ROUTING" bằng route-map nào ở trên?
        ==> như mình có giải thích ở trên, route-map RM_POLICY_ROUTING khác với route-map RM_POLICY_ROUTING_01 và RM_POLICY_ROUTING_02. Do đó nó không có "action" gì cả trong trường hợp này

        Phiền bạn trả lời giúp.
        Cám ơn nhiều.
        Hoang
        bạn theo dõi comment ở trên nhé! mình vừa mới edit lại cấu hình ở trên, route-map không có từ khóa "permit" :P
        bạn tham khảo policy-based routing ở link sau:
        link: http://www.cisco.com/en/US/docs/ios/...e_Chapter.html
        Last edited by binhhd; 15-07-2008, 09:47 PM.

        Comment


        • #5
          Mình hiểu rồi, cám ơn bạn nhiều nhé. Khi nào có dịp, xin đa tạ một chầu cafe' hen!

          Hoang

          Comment


          • #6
            update lại giúp mình command của route-map có từ khóa permit (hix hix đầu óc dạo này có vấn đề rồi :()
            route-map [name of route-map] permit/deny [sequence number]

            Comment


            • #7
              hi thầy Bình,

              -nếu có thêm 1 adsl2 backup cho adsl1 đang xài,thì phải cấu hình như thế nào để nó up tự động khi adsl1 chết,

              Thanks thầy nhiều,
              Hugo

              Comment


              • #8
                Cho mình hỏi thêm,lúc này default route chỉ như thế nào,lúc thì chạy mail,lúc thì chạy web,
                Thanks,
                Hugo

                Comment


                • #9
                  Originally posted by thanhnam0707 View Post
                  hi thầy Bình,

                  -nếu có thêm 1 adsl2 backup cho adsl1 đang xài,thì phải cấu hình như thế nào để nó up tự động khi adsl1 chết,

                  Thanks thầy nhiều,
                  hi Nam,
                  lúc này trên router phải cấu hình định tuyến default route như sau:
                  ip route 0.0.0.0 0.0.0.0 ADSL1 1
                  ip route 0.0.0.0 0.0.0.0 ADSL2 1
                  !như vậy khi show ip route thì chỉ thấy 2 default-route chỉ qua 2 đường ADSL
                  !những traffic match access-list 110 còn lại sẽ được policy-routing ra LeaseLine
                  !
                  !và trong route-map thì cấu hình như vầy:
                  !
                  access-list 110 permit tcp any any eq 443
                  access-list 110 permit tcp any any eq 25
                  access-list 110 permit tcp any any eq 110
                  !
                  route-map RM_POLICY_ROUTING permit 10
                  match ip address 110
                  set interface LeaseLine
                  !
                  interface f0/0
                  ip policy route-map RM_POLICY_ROUTING
                  !
                  end
                  wr

                  Comment


                  • #10
                    hi thầy Bình,
                    mô hình:
                    Lan----ASA-----Router ------leaseline(đi mail 25,110)
                    ------adsl1(đi web 80 và failover với adsl2)
                    ------adsl2

                    *phần defaut route của adsl:
                    ip route 0.0.0.0 0.0.0.0 ADSL1 1
                    ip route 0.0.0.0 0.0.0.0 ADSL2 1
                    thì biết đi đường nào,khi 1 đường down thì làm sao đường kia tự động up lên,

                    *câu lệnh route-map:
                    route-map RM_POLICY_ROUTING permit 10
                    match ip address 110 ---> thõa mãn acces-list
                    set interface LeaseLine ---> chọn đúng interface đầu ra
                    nhưng default route đâu có chỉ đúng,mình đang config default route ra adsl mòa,

                    nhờ thầy troubleshoot giúp,
                    Thanks,
                    Hugo

                    Comment


                    • #11
                      câu lệnh:
                      set interface interface_type
                      có nghĩa là gì thầy,nó có thế default route ko?
                      Thanks,
                      Hugo

                      Comment


                      • #12
                        Originally posted by thanhnam0707 View Post
                        hi thầy Bình,
                        mô hình:
                        Lan----ASA-----Router ------leaseline(đi mail 25,110)
                        ------adsl1(đi web 80 và failover với adsl2)
                        ------adsl2

                        *phần defaut route của adsl:
                        ip route 0.0.0.0 0.0.0.0 ADSL1 1
                        ip route 0.0.0.0 0.0.0.0 ADSL2 1
                        thì biết đi đường nào,khi 1 đường down thì làm sao đường kia tự động up lên,
                        ==> router tự động loadbalance trên 2 đường ADSL này đối với những traffic không match route-map (không match access-list 110)

                        *câu lệnh route-map:
                        route-map RM_POLICY_ROUTING permit 10
                        match ip address 110 ---> thõa mãn acces-list
                        set interface LeaseLine ---> chọn đúng interface đầu ra
                        nhưng default route đâu có chỉ đúng,mình đang config default route ra adsl mòa,
                        ==> cái route-map này để route những traffic quan trọng đi ra leaseline (như traffic hostmail, hostweb)

                        nhờ thầy troubleshoot giúp,
                        Thanks,
                        hi Nam,
                        câu trả lời trên nhé.

                        Comment


                        • #13
                          lúc này mình muốn Nat các mạng thõa access-list để ra internet(ra mail,ra web) thì làm sao thầy,câu lệnh như thế nào,nếu như làm như bình thường em sợ traffic nó đi ko đúng?
                          thầy post chi tiết giúp em với!
                          thanks,
                          Hugo

                          Comment


                          • #14
                            Originally posted by thanhnam0707 View Post
                            lúc này mình muốn Nat các mạng thõa access-list để ra internet(ra mail,ra web) thì làm sao thầy,câu lệnh như thế nào,nếu như làm như bình thường em sợ traffic nó đi ko đúng?
                            thầy post chi tiết giúp em với!
                            thanks,
                            một ví dụ như sau:
                            cấu hình Router 2811 với 2 đường ADSL cho người dùng truy cập Internet (2 interface tương ứng là: dialer0, dialer1). Đường leaseline 256Kbps (IP: 203.162.90.100 được NAT vào Mail Server có IP:192.168.90.100) dành riêng cho Mail (SMTP, POP3) traffic. Interface F0/0 của Router kết nối vào mạng LAN với địa chỉ IP: 192.168.90.1/24
                            !!Cấu hình như sau:
                            config t
                            !Cấu hình định tuyến:
                            ip route 0.0.0.0 0.0.0.0 dialer 0
                            ip route 0.0.0.0 0.0.0.0 dialer 1
                            !
                            !Cấu hình policy-based routing
                            access-list 110 permit ip host 192.168.90.100 any
                            !
                            route-map RM_POLICY_ROUTING permit 10
                            match ip address 110
                            set interface s0/0/0
                            !
                            !apply policy-based routing vao interface f0/0
                            interface f0/0
                            ip policy route-map RM_POLICY_ROUTING
                            !
                            !Cấu hình NAT
                            interface dialer 0
                            ip nat outside
                            !
                            interface dialer 1
                            ip nat outside
                            !
                            interface s0/0/0
                            ip nat outside
                            !
                            interface f0/0
                            ip nat inside
                            !
                            !Cấu hình static NAT từ IP Leaseline vào Mail Server
                            ip nat inside source static 192.168.90.100 203.162.90.100

                            !Cấu hình NAT/PAT cho các client truy cập Internet qua 2 đường ADSL
                            access-list 120 deny host 192.168.90.100 any
                            access-list 120 permit ip any any
                            !
                            route-map RM_DIALER0 permit 10
                            match ip address 120
                            match interface dialer 0
                            !
                            route-map RM_DIALER1 permit 10
                            match ip address 120
                            match interface dialer 1
                            !
                            ip nat inside source route-map RM_DIALER0 interface dialer0 overload
                            ip nat inside source route-map RM_DIALER1 interface dialer1 overload
                            !
                            end
                            wr


                            tham khảo thêm link:

                            Comment


                            • #15
                              Chào thầy Bình,
                              Thật là một ví dụ rất rõ ràng. Cám ơn thông tin của thầy. Nhưng em muốn xin hỏi thêm là, trong ví dụ trên, em muốn áp dụng thêm firewall CBAC nữa thì ảnh hưởng của các access-list như thế nào vậy thầy? Ở đây,em muốn áp dụng ip inspect [...] IN vào interface F0/0 thì tác dụng của nó sẽ như thế nào?
                              Xin thầy giải thích giùm em.

                              Cám ơn thầy.

                              Comment

                              Working...
                              X