маршрутизация на route-map с ACL и NAT на ESR

[explorer]

Доброго времени

На роутере esr-20 нужно подключить пользователей с разных VLAN к интернету от провайдеров. Настройки обоих провайдеров - статический адрес и шлюз. В документации есть пример настройки маршрутизации как раз на два провайдера, но там он без NAT. Провайдерами не заявлена поддержка каких-либо протоколов динамической маршрутизации. Очевидно, общего дефолтного шлюза в этом случае недостаточно,и, как я понял, в роутере для этого случая есть route-map. Значительная часть этого route-map ориентирована на работу совместно с протоколом BGP, но его мы не рассматриваем, нужно назначить статические маршруты, которые указаны провайдерами, то есть маршрут 0.0.0.0/0 на ip адреса шлюзов провайдеров в зависимости от vlan или диапазонов адресов локальных сетей (источников пакетов). Разумеется, SNAT необходим для того чтобы ответные пакеты от серверов из интернета находили адресаты внутри VLAN.

Как я понял, для роутера в этом случае предлагается использовать route-map на базе ACL, чтобы разделить правила для разных источников. Опять же, для сравнения, если использовать, например, iptables, то с ним понятно, что в какой момент, на каком этапе обрабатывается - POSTROUTING, PREROUTING, но что происходит и в каком порядке внутри этого роутера, не понятно.
Допустим, есть две локальных сети - 192.168.1.0/24 и 10.0.0.0/16, первую надо маршрутизировать на адрес x.x.x.1 с нашим адресом источника x.x.x.2, а другую - на y.y.y.1 с нашим snat адресом y.y.y.2. Вопрос, какую сеть надо указать в ACL в качестве адреса источника, чтобы трафик шёл, скажем, на первого провайдера? Очевидно, не локальную сеть 192.168.1.0/24, а, видимо, адрес интерфейса, смотрящего в сеть провайдера, то есть x.x.x.2/32, то есть сеть из одного единственного адреса, ведь решение о маршрутизации логично принимать после SNAT?

esr# configure
esr(config)# ip access-list extended provider1
esr(config-acl)# rule 1
esr(config-acl-rule)# match source-address x.x.x.2 255.255.255.255
esr(config-acl-rule)# match destination-address any
esr(config-acl-rule)# match protocol any
esr(config-acl-rule)# action permit
esr(config-acl-rule)# enable
esr(config-acl-rule)# exit
esr(config-acl)# exit

esr(config)# route-map provider1_gateway
esr(config-route-map)# rule 1
esr(config-route-map-rule)# match ip access-group provider1
esr(config-route-map-rule)# action set ip next-hop verify-availability x.x.x.1 10
esr(config-route-map-rule)# exit
esr(config-route-map)# exit

esr(config)# interface gi1/0/1
esr(config-if-gi)# ip firewall disable
esr(config-if-gi)# ip policy route-map provider1_gateway

настройки NAT
esr(config-snat)# ruleset SNAT
esr(config-snat-ruleset)# to interface gi1/0/1
esr(config-snat-ruleset)# rule 1
esr(config-snat-rule)# match source-address LOCAL_NET1
esr(config-snat-rule)# action source-nat interface
esr(config-snat-rule)# enable
esr(config-snat-rule)# exit
esr(config-snat-ruleset)# exit

интерфейсу присвоен адрес от провайдера x.x.x.2

Но это не работает, трафик не проходит, traceroute выше esr-20 ничего не показывает, почему?
дополнительные вопросы:
1) можно route-map с ACL делать только для одного из двух провайдеров, я для второго просто ip default-gateway y.y.y.1/LL и не использовать route-map? правильно ли роутер в этом случае обработает приоритет маршрутов - сначала использовать ACL, а для всего что останется - default-gateway?
2)в теории кроме nat+route-map+acl стоит задача поднять ещё и http(s)-proxy, сможет ли роутер правильно разобрать порядок преобразования пакетов и обработать эту связку?

[Garri]

Покажите настройки nat source

[explorer]

настройки nat source в вопросе, но если подробнее, текущие настройки

router(config)# object-group network LOCAL_NET1
router(config-object-group-network)# ip address-range 192.168.1.2-192.168.1.254
router(config-object-group-network)# exit

router(config)# nat source
router(config-snat)# ruleset SNAT1
router(config-snat-ruleset)# to interface gi1/0/1
router(config-snat-ruleset)# rule 1
router(config-snat-rule)# match source-address LOCAL_NET1
router(config-snat-rule)# action source-nat interface (на ip адрес интерфейса)
router(config-snat-rule)# enable
router(config-snat-rule)# exit
exit... exit

и если одну эту сеть использовать с маршрутом по-умолчанию
router(config)# ip route 0.0.0.0/0 [шлюз провайдера]
то всё работает, подсеть 192.168.1.0/24 выходит в интернет без проблем

Но... если убрать дефолтный шлюз
router(config)# no ip route 0.0.0.0/0
и назначить шлюз на основе ACL, то всё падает, не работает прохождение трафика

router(config)# ip access-list extended PROVIDER1_ACL
router(config-acl)# rule 1
router(config-acl-rule)# match source-address [статический ip с маской с нашей стороны в сеть провайдера, а не локальная сеть]
router(config-acl-rule)# match destination-address any
router(config-acl-rule)# match protocol any
router(config-acl-rule)# action permit
router(config-acl-rule)# enable
router(config-acl-rule)# exit
exit, exit

router(config)# route-map PROVIDER1_ROUTE
router(config-route-map)# rule 1
router(config-route-map-rule)# match ip access-group PROVIDER1_ACL
router(config-route-map-rule)# action set ip next-hop verify-availability [ip шлюза провайдера без маски] 10
router(config-route-map-rule)# exit
exit, exit

router(config)# interface gi1/0/1
router(config-if-gi)# ip firewall disable
router(config-if-gi)# ip policy route-map PROVIDER1_ROUTE
router(config-if-gi)# exit

То есть SNATсам по себе работает точно, но назначение маршрута через route-map acl почему-то не срабатывает. Я извиняюсь, если спрашиваю какие-нибудь глупости, с сетями работаю давно, но оборудование ELTEX поступило совсем недавно, пока разбираюсь. Возможно, проблема в том, что и route-map, и snat присоединяются к одному интерфейсу gi1/0/1, и он не может их одновременно разобрать в нужном порядке, возможно, надо было ещё промежуточный bridge сделать.

[Garri]

покажите вывод команды - sh run nat source

[explorer]

вывод sh run nat source

Код: Выделить всё

nat source
  ruleset SNAT3
    to interface gigabitethernet 1/0/3
    rule 1
      match source-address MANAGERS
      action source-nat interface
      enable
    exit
    rule 2
      match source-address SCHOOL
      action source-nat interface
      enable
    exit
  exit
  ruleset SNAT1
    to interface gigabitethernet 1/0/1
    rule 1
      match source-address MANAGERS
      action source-nat interface
      enable
    exit
  exit
  ruleset SNAT_ROSTEL
    to interface bridge 2
    rule 1
      match source-address SCHOOL
      action source-nat interface
      enable
    exit
  exit
exit

SNAT1 рабочая, SNAT3 для тестирования, сейчас не используется, SNAT_ROSTEL на bridge 2 - второй провайдер, подводимый не к роутеру напрямую, а через коммутатор MES2324 и vlan (vlan на сеть провайдера в нетегированном режиме), заходит через switchport, потому и bridge использован, а не физический интерфейс. Bridge 2 присвоен указанный провайдером адрес в его подсети, потому bridge 2 виден из его подсети и пакеты проходят в обе стороны.
Использование провайдера через коммутатор не должно вызвать проблем, пробовали добавить маршрут на сеть провайдера, шлюзы и другие серверы провайдера доступны через коммутатор. Но не суть важно, даже не беря во внимание второй провайдер, а перенастраивая только первый через route-map acl, он перестаёт работать.

[Garri]

политику (ip policy route-map) нужно повесить на внутренний интерфейс, где ваши локальные сети

[tops]

>> Настройки обоих провайдеров - статический адрес и шлюз
лучше использовать multiwan. инструкция и пример https://docs.eltex-co.ru/pages/viewpage.action?pageId=83138702#ESR-Series.%D0%9E%D0%BF%D0%B8%D1%81%D0%B0%D0%BD%D0%B8%D0%B5%D1%84%D1%83%D0%BD%D0%BA%D1%86%D0%B8%D0%BE%D0%BD%D0%B0%D0%BB%D0%B0.%D0%92%D0%B5%D1%80%D1%81%D0%B8%D1%8F1.8.7-%D0%9D%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0MultiWAN
Если выбрать режим filower - то трафик будет идти в приоритетный uplink. Если не устанавливать режим fileover -исходящий трафик будет балансироваться по сессиям.

SNAT работает после маршрутизации.
Если на ESR отключен firewall для SNAT необходимо сделать 2 rulset'а по одному для каждого uplink'а.
Причем match'и делать не обязательно. Если и прописывать match source-address, то включать туда все локальные сети, из которых должен быть доступ в интернет

[explorer]

Спасибо за помощь, получилось.

MultiWAN очень хорошая вещь, но ввиду того что нужна была не балансировка и даже не резервирование провайдеров, а назначить соответствие каждой локальной сети строго одному провайдеру (на самом деле, со стороны одного из провайдеров предоставляются ограничения по доступу в интернет, поэтому они не взаимозаменяемы), проще всего оказалось сделать таким образом, чтобы трафик второй сети и провайдера завернуть в отдельную VRF и внутри неё также прописать маршрут на все пути назначения (0.0.0.0/0).

Но ACL и MultiWAN точно понадобятся в будущем, спасибо, что ответили и прояснили