Configuration for 2 ISP links:

track 100 ip sla 100 reachability
delay down 10 up 20

track 101 ip sla 101 reachability
delay down 10 up 20

ip local policy route-map LocalPolicy

ip nat inside source route-map DYN_NAT interface overload
ip nat inside source route-map FAILOVER_NAT interface overload

ip route 0.0.0.0 0.0.0.0 track 100
ip route 0.0.0.0 0.0.0.0 10 track 101
ip route 0.0.0.0 0.0.0.0 250
ip route 0.0.0.0 0.0.0.0 251

ip access-list extended PingISP_A
permit icmp host host 8.8.8.8

ip access-list extended PingISP_B
permit icmp host host 8.8.8.8

ip sla 100
icmp-echo 8.8.8.8 source-interface
ip sla schedule 100 life forever start-time now

ip sla 101
icmp-echo 8.8.8.8 source-interface
ip sla schedule 101 life forever start-time now

access-list 107 permit ip any
access-list 108 permit ip any

route-map FAILOVER_NAT permit 10
match ip address 107
match interface

route-map DYN_NAT permit 10
match ip address 108
match interface

route-map LocalPolicy permit 10
match ip address PingISP_A
set ip next-hop
set interface

route-map LocalPolicy permit 20
match ip address PingISP_B
set ip next-hop
set interface

If you need to do static NAT you would do basically the same thing:

route-map STAT_NAT permit 10
match ip address 109
match interface

route-map FAILOVER_SNAT permit 10
match ip address 110
match interface

Cisco: блокировка порта по STP, 0 packets input

Cisco: блокировка порта по STP, 0 packets input

Обнаружился специфический случай, при котором может блокироваться порт. Вот debug с Cisco 2811:

Sep 16 12:34:32.535: %SPANTREE-7-RECV_1Q_NON_TRUNK: Received 802.1Q BPDU on non trunk FastEthernet0/3/3 VLAN4.
Sep 16 12:34:32.535: %SPANTREE-7-BLOCK_PORT_TYPE: Blocking FastEthernet0/3/3 on VLAN4. Inconsistent port type.PVST+: restarted the forward delay timer for FastEthernet0/3/3

Порт не транковый, приходит что-то транковое. Порт блокируется, при этом (после clear counters) наблюдается некоторый исходящий трафик на интерфейсе и ноль входящего (0 packets input).

Решилось отключением STP в данном VLAN:

#no spanning-tree vlan 4

Первое, что нужно сделать при подозрении на заблокированные порты — это посмотреть, есть ли они. Ситуация может выглядеть, например, так:

#show spanning-tree blockedports

Name Blocked Interfaces List
-------------------- ------------------------------------
VLAN10 Fa1

Number of blocked ports (segments) in the system : 1

Конечно, нужно еще подумать, стоит ли отключать STP, все-таки протокол придуман не просто так. Но если на другом конце стоит что-то сомнительное, способное прислать такой интересный пакет, как в начале, то смысл в этом есть — с внезапно заблокированным портом жить как-то хуже.