Cisco 1841 в качестве домашнего комбайна-маршрутизатора

Все началось с того, что провайдеры дома стали предлагать скорости, с которыми стандартные SOHO маршрутизаторы уже не справляются, ввиду маломощных процессоров, не способных обработать большой поток пакетов.
В качестве домашнего комбайна решил остановиться на старом добром модульном 1841, с модулями 4-HWIC и HWIC-AP-G-A, который в конечном счете заменит стандартный домашний маршрутизатор с вайфаем и Ethernet портами.
Задача тоже довольно стандартная - создать отказоустойчивое подключение в интернет от двух провайдеров, подключить домашние компьютеры по Ethernet и всю остальную домашнюю сетевую утварь по вайфаю в одну локальную сеть.
В квартиру приходит два провайдера - основной канал от Beeline по витой паре с подключением через l2tp туннель (скорость 60 мегабит/с) и резервный по оптике от МГТС (3 мегабита/с) с оконечкой в виде SOHO Huaiwei HG8245 и выходами FastEthernet.
Физически оба канала по витой паре подключаю к родным для 1841 Fe0/0 и Fe0/1.

Для начала разберемся с локальной сетью, объединим всё локальное в единую сеть, создадим dhcp сервер, по которому домашние клиенты будут получать настройки.
Проконсультировавшись с opennet сообществом, нарисовалось решение в объединении wi-fi и кабельных клиентов через бриджевание интерфейсов. В двух словах: создаем dhcp пул, конфигурируем точку доступа wi-fi, объединяем интерфейсы 4-HWIC во vlan, создаем виртуальный интерфейс vlan, создаем виртуальный бриджевый интерфейс BVI, объединяем в бридж группу vlan и radio интерфейсы, и объявляем BVI внутренним интерфейсом, смотрящим в локальную сеть и делающим "всю работу".
К FastEthernet0/1/0 я подключил catalyst, который встроен в наш домашний компьютерный стол. Для своего компьютера решил сделать резервирование на постоянный ip-адрес (пригодится для проброса портов снаружи, например для торрента). Локальная сеть будет 192.168.11.0/24. В качестве внешних dns-резолверов зарядил 85.21.192.5 от Beeline, 192.168.100.1 от МГТС и "вечно живой" 8.8.8.8 от Google.

no aaa new-model
ip cef
no ip dhcp use vrf connected

ip dhcp pool rawyanwireless
import all
network 192.168.11.0 255.255.255.0
default-router 192.168.11.1
dns-server 213.234.192.7 192.168.100.1 8.8.8.8
lease 8

ip dhcp pool raw-wired-static
host 192.168.11.2 255.255.255.0
client-identifier 011c.6f65.c493.4с

no ip bootp server
ip name-server 85.21.192.5
ip name-server 192.168.100.1
ip name-server 8.8.8.8
bridge irb

interface FastEthernet0/1/0
description WIRED-LAN
switchport access vlan 2

interface FastEthernet0/1/1
description WIRED-LAN
switchport access vlan 2
spanning-tree portfast

interface FastEthernet0/1/2
description WIRED-LAN
switchport access vlan 2
spanning-tree portfast

interface FastEthernet0/1/3
description WIRED-LAN
switchport access vlan 2
spanning-tree portfast

interface Dot11Radio0/0/0
description WIRELESS-LAN
no ip address
ip virtual-reassembly
encryption mode ciphers tkip
ssid rawyan
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 mypresharedkey
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
rts threshold 2312
channel 2462
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding

interface Vlan2
description WIRED-LAN-ROUTED-REPRESENTER
no ip address
ip virtual-reassembly
bridge-group 1

interface BVI1
description BRIDGE-LAN-ROUTED-REPRESENTER
ip address 192.168.11.1 255.255.255.0
ip nat inside
ip virtual-reassembly
ip policy route-map inetaccess

bridge 1 protocol ieee
bridge 1 route ip

После этого, локальная аппаратура подключенная к роутеру получает настройки по dhcp и видит друг друга в сетевом окружении, в общем все прекрасно.

Теперь займемся внешними каналами. Изначально, имеем следующие параметры внешних для 1841 сетей:
WAN сеть Beeline 10.195.48.0/21 в которой Fe0/0 получает все параметры по dhcp провайдера
LAN сеть МГТС 192.168.100.0/24 в которой Fe0/1 тоже получает все параметры по dhcp Huaiwei.

С интерфейсом Fe0/1 на МГТС все просто, он сразу маршрутизируется в интернет. Заодно на внешних интерфейсах подниму сбор статистики.

interface FastEthernet0/1
description MGTS-WAN
ip address dhcp
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
load-interval 30
duplex auto
speed auto

А вот на Fe0/0 на Beeline нужно дополнительно поднимать l2tp тунель, чтобы получить доступ в интернет. Дополнительно поднял статические маршруты в обход интернета на подсети, принадлежащие WAN сетям Beeline.
Как поднять l2tp в Beeline на cisco 1841 в интернете встречается несколько подробных гайдов, имеющих некоторые отличия. В общем для себя построил следующее:

interface FastEthernet0/0
description BEELINE-WAN
ip address dhcp
no ip proxy-arp
ip nbar protocol-discovery
ip flow ingress
ip flow egress
ip nat inside
ip virtual-reassembly
load-interval 30
duplex auto
speed auto

l2tp-class beeline-l2tp-class

pseudowire-class beeline-pseudowire-class
encapsulation l2tpv2
protocol l2tpv2 beeline-l2tp-class
ip local interface FastEthernet0/0

interface Virtual-PPP1
description L2TPVPN-WAN
ip address negotiated
ip mtu 1400
ip nat outside
ip virtual-reassembly
ip tcp adjust-mss 1400
load-interval 30
no peer neighbor-route
no cdp enable
ppp chap hostname 0892651535
ppp chap password 7 myclientpassword
pseudowire 85.21.0.255 10 pw-class beeline-pseudowire-class
pseudowire 85.21.0.201 20 pw-class beeline-pseudowire-class
pseudowire 85.21.0.211 30 pw-class beeline-pseudowire-class

ip route 10.0.0.0 255.0.0.0 dhcp
ip route 85.21.0.0 255.255.255.0 dhcp
ip route 78.107.0.0 255.255.252.0 dhcp
ip route 85.21.192.0 255.255.255.248 dhcp
ip route 213.234.192.0 255.255.255.240 dhcp

ip access-list extended permitinternet
permit ip 192.168.11.0 0.0.0.255 any

На этом этапе нужно обратить внимание что Fe0/0, Fe0/1 и Virtual-PPP1 поднимаются, получают настройки и не падают.
Здесь обнаружился интересный прикол с настройками туннельных серверов провайдера Beeline, некоторые из которых не хотят никак гонять трафик в интернет по созданному туннелю с cisco. Выглядит это так: интерфейсы подняты, адреса получены, доступ в локальные ресурсы есть, а доступа наружу - нет.
Пришлось пободаться с техподдержкой первой линии, чтобы меня пропустили к их инженерам, ведающим циску. Так как маршрутизаторы cisco у них не являются официально поддерживаемыми на стороне клиента, то никаких консультаций по ним они давать не хотят. Пришлось ставить их в логический тупик. Они предоставляют скорости, которые не тянет ни один из маршрутизаторов, представленных у них в списке официальных. А значит либо предлагают свой маршрутизатор, который тянет их скорости, либо помогают мне с моей циской.
После короткого общения с их инженером, выяснили что не все их серверы настроены идентично. Нашли подходящие мне сервера, которые корректно переваривают мой тунель. В конфиге видно, что это 85.21.0.255, 85.21.0.201, 85.21.0.211.

После этого, осталось поднять sla для организации резервирования каналов и настроить nat. sla настроил по измерению jitter на все тот же бессменный 8.8.8.8 (не хотел мерять по серверам провайдеров, так как 8.8.8.8 работает стабильнее. Хотя если он все таки упадет, то я это пойму по метаниям каналов и перенастрою)

ip sla 10
icmp-jitter 8.8.8.8 source-ip 93.81.251.161 num-packets 5
timeout 100
frequency 5
ip sla schedule 10 life forever start-time now
ip sla 20
icmp-jitter 8.8.8.8 source-ip 192.168.100.5 num-packets 5
timeout 100
frequency 5
ip sla schedule 20 life forever start-time now

route-map MGTS permit 10
match ip address permitinternet
match interface FastEthernet0/1

route-map inetaccess permit 10
match ip address permitinternet
set ip next-hop verify-availability 8.8.8.8 1 track 10
set ip next-hop verify-availability 8.8.8.8 2 track 20

route-map BEELINE permit 10
match ip address permitinternet
match interface Virtual-PPP1

ip nat inside source route-map BEELINE interface Virtual-PPP1 overload
ip nat inside source route-map MGTS interface FastEthernet0/1 overload

ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 50 track 10
ip route 0.0.0.0 0.0.0.0 FastEthernet0/1 100 track 20
ip route 0.0.0.0 0.0.0.0 Virtual-PPP1 250

Сам роутмап inetaccess я привязал к BVI, что отписано выше.

Сделал проброс torrent порта со своего компьютера наружу (но только для канала Beeline, так как он основной и самый толстый, и качается все при случае через него).

ip nat inside source static tcp 192.168.11.2 36136 interface Virtual-PPP1 36136

В качестве бонуса, поднял на 1841 NTP сервер и заставил все домашнее железо сверять время по нему.

clock timezone MSK 4
ntp clock-period 17178334
ntp peer 94.242.49.220
ntp peer 89.111.168.177
ntp peer 95.140.150.140
ntp peer 217.70.19.12

Вот, как будто бы и все.

Поделиться

Опубликовать в Facebook
Опубликовать в LiveJournal

Cisco 1841 в качестве домашнего комбайна-маршрутизатора: 2 комментария

  1. Чего то, толи я дурак, толи лыжи не едут, толи автор запутался в интерфейсах. Если я правильно помню карточка 4ESW будет как Fast Ethernet 0/2.0 — 0/2.3, порты 0/0 и 0/1 это внутренние интерфейсы 1841

  2. все правильно. интерфейсы 4ESW у меня используются как аксесс порты для проводных устройств.
    а нативные интерфейсы 1841 — как внешние для входящих каналов провайдера.

    если вы заметите от FastEthernet0/1/0 до FastEthernet0/1/0 — все с дескриптором WIRED-LAN и переведены в PortFast состояние. ну и сидят во влан2. interface Vlan2 их представитель для маршрутизации.

    а вся заморчка с маршрутизациями, sla и аггрегацей — уже на встроеннх интерфейсах, и виртуальных представителях беспроводки и влана.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

*

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>