Định tuyến lưu lượng giữa hai mạng con


7

Tôi hiện đang quản trị một mạng nhỏ, nó có hai trang riêng biệt (site1 site2). Mỗi trang web có internet độc lập và Tường lửa Sonic NSA 220. Hiện tại có VPN kết nối hai tường lửa Sonic, vì vậy các trang web có thể giao tiếp mà không gặp sự cố nào.

ISP của chúng tôi vừa cài đặt một 'bộ định tuyến' tại mỗi trang web (Bộ định tuyến ISP 1 & 2), do đó, hiện tại nó có hai cổng ... Cổng Internet (ISP-WAN) và cổng liên trang (ISP-LAN). Điều này là để chúng tôi có thể loại bỏ VPN và định tuyến lưu lượng truy cập trực tiếp qua đám mây ISP (ISP-LAN)

Tôi muốn biết cách thiết lập định tuyến cổng, vì vậy tôi có thể nói với tường lửa định tuyến lưu lượng truy cập nội bộ thông qua cổng ISP-LAN mới này.

Mỗi trang web có một DC (cùng tên miền) và DHCP riêng (các trang web có dải IP khác nhau).

Tôi đã nghĩ rằng tôi có thể kết nối cổng X6 trên mỗi tường lửa với cổng ISP-LAN, điều này sẽ kết nối hai trang web (Blue Line), nhưng không chắc chắn cách định cấu hình định tuyến / quy tắc. Mọi thứ đều có cổng Sonic WAN làm cổng mặc định. Tôi không muốn lưu lượng DHCP vv phát giữa các trang. nhập mô tả hình ảnh ở đây

Mong nhận được sự giúp đỡ về điều này.

Cảm ơn

Câu trả lời:


2

Bạn đã đúng, nếu bạn có giao diện miễn phí (ví dụ: X6) trên mỗi bộ định tuyến kết nối ISP-LAN tại mỗi trang web với giao diện đó. Tôi không biết SonicWALL có hỗ trợ VRRP không nhưng không cần thiết. DHCP sẽ không vượt qua các mạng con trừ khi bạn kích hoạt Trình trợ giúp IP.

Kết nối ISP-LAN thay thế VPN của bạn nhưng bạn sẽ cần thêm một số tuyến đường (điều này đã được ngụ ý hoặc tạo trước đó do VPN). Tôi đoán ISP của bạn sẽ đề cập đến điều này có VPN được quản lý, MPLS hoặc mạng Vlan.

Tuy nhiên, bạn sẽ cần biết IP / mạng nào mà ISP của bạn đã gán cho mỗi ISP-LAN (nơi bạn có "???" trong ảnh).

Trường hợp đầu tiên: NẾU ISP của bạn đã cung cấp cho bạn IP trên mạng con của bạn tại mỗi trang web (ví dụ: 10.10.1.254 tại Trang web 1 và 192.168.1.254 tại Trang web 2), sau đó bạn có thể định tuyến qua các IP này. Gán (hoặc để lại) X6 trên mạng LAN (giống như X2 / X3 / etc). Sau đó vào Mạng | Định tuyến. Bạn sẽ cần tạo một tuyến đường trên mỗi trang web (hoặc bạn có thể sử dụng RIP, nhưng không cần thiết cho 2 trang web).

Tại Trang web 1, tuyến đường của bạn sẽ giống như:

Source: Any
Destination: Site2 Subnet (192.168.1.0 / 255.255.255.0)
Service: Any
Gateway: ISP-LAN IP (10.10.1.254)
Interface: LAN/X0  (since it's on the LAN)
Metric: 20 (should be fine)

Tạo tuyến đường tương tự tại Trang web 2 (nhưng Điểm đến của Mạng của Trang web 1 bằng Cổng ISP-LAN tại Trang web 2 [192.168.1.254]). Tôi đã thực hiện điều này cho khách hàng khi đây là cách ISP đã định cấu hình mọi thứ (IP được sử dụng trên mạng LAN cục bộ để cung cấp quyền truy cập qua "đám mây").

Trường hợp thứ hai: TUY NHIÊN, nếu ISP đã sử dụng mạng con KHÁC BIỆT cho kết nối ISP-LAN (chẳng hạn như 172.16.1.x hoặc một cái gì đó) thì bạn sẽ cần phải định cấu hình X6 trên mạng con đó, bạn sẽ không cần NAT. Tôi cũng đã thực hiện điều này cho khách hàng (nơi ISP cung cấp mạng con thứ 3 để tham gia vào 2 trang web) - trong trường hợp này X6 sẽ nằm trên mạng con thứ 3 đó và các tuyến sẽ được tạo tự động [chỉ cho phép truy cập bằng quy tắc tường lửa].

Vì vậy, CÂU HỎI cho bạn: IP / mạng con của ISP-LAN tại mỗi trang là gì? Có phải như bạn có trong ảnh của mình (IP X6 / ???) hay nó là cái gì khác?

EDIT: (vì tôi không thể thêm nhận xét)

Tôi rất vui vì đã giúp. Bạn sẽ có DHCP di chuyển ngang nếu ISP định cấu hình liên kết dưới dạng liên kết Lớp 2 (về cơ bản là Vlan) giữa 2 bộ định tuyến ISP - DHCP sẽ không vượt qua Lớp 3 mà không có sự trợ giúp mà sẽ là Lớp 2 (như trên một công tắc). Bây giờ bạn đã thêm một mạng con khác vào liên kết (mạng con 10.0.0.1/30 của bạn), bạn sẽ ổn (các bộ định tuyến sẽ không vượt qua lưu lượng phát DHCP ngoài mạng con).

Bạn có thể định cấu hình các tuyến đường với Probes để chúng sẽ hủy kích hoạt nếu xảy ra sự cố, nếu bạn chuyển đổi VPN của mình từ VPN Chính sách IPsec sang VPN Dựa trên đường hầm (sử dụng các tuyến đường cho VPN), bạn có thể bị lỗi nếu muốn. NHƯNG vì Vlan của ISP và VPN dựa trên Internet đang chạy qua cùng một bộ định tuyến ISP, nên khả năng chỉ có MỘT lỗi là rất mong manh. (nếu bạn có một ISP sao lưu khác thì có VPN dự phòng sẽ là một ý tưởng hay)

Đối với vấn đề tốc độ, tôi sẽ kiểm tra xem bạn có bật BWM trên một trong hai bộ định tuyến không, ngoài việc liên hệ với ISP của bạn.


0

Tôi không chắc lắm nhưng tôi nghĩ tôi có thể giúp.

Vì vậy, nếu tôi hiểu chính xác, bạn muốn sử dụng các đường màu xanh (ISP-LAN) thay vì các đường màu đỏ (VPN).

Bạn nên cấu hình tường lửa để chúng ở trong VRRP (giao thức dự phòng định tuyến ảo) với nhau. Sau đó, thiết bị của bạn trỏ đến IP ảo của VRRP, bạn cũng muốn liên hệ với ISP và họ cũng định cấu hình điểm bộ định tuyến của họ tới cổng ảo.

Bạn có thể sẽ phải cấu hình 2 nhóm vrrp khác nhau nếu bạn muốn thực hiện cân bằng tải: giả sử vrrp group1 và vrrp group2. Trong đó vrrp group1 là master cho site1 và có site2 là bản sao lưu. và vrrp group2 là master cho site2 và sao lưu cho site1. Trong trường hợp này cân bằng tải có thể được thực hiện.

Trước khi bạn sử dụng kết nối mới hãy tắt vpn.

để đọc thêm về điều này xin vui lòng đọc vrrp.


0

Nhờ sự giúp đỡ của bạn với điều này. Tôi đã thực hiện như sau, và nó là loại hoạt động, ít nhất là với các máy kiểm tra tôi đang sử dụng. Tôi đã thiết lập khá nhiều những gì tôi nghĩ bạn mô tả @PSaul. Tôi đã đặt cổng X6 trên mỗi tường lửa thành một vùng mới (Interoffice, Trusted) và cung cấp cho chúng một IP tĩnh, 10.0.0.1/30 và 10.0.0.2/30. Sau đó, tôi đã thiết lập một tuyến đường (như bạn đã mô tả @PSaul) trên mỗi tường lửa gửi bất kỳ lưu lượng truy cập nào đến mạng con khác đến địa chỉ IP X6 trên tường lửa kết thúc và gửi nó qua cổng X6 cục bộ. ISP đã đặt liên kết liên kết (giữa hai bộ định tuyến của họ là kết nối Lớp 2, vì vậy đã gửi mọi thứ qua. Tôi thấy tôi đang nhận được lưu lượng DHCP qua các mạng, vì vậy không chắc chắn những gì tôi có trong mạng đang giúp nó đi qua mạng con.

Tôi chưa vô hiệu hóa VPN và vừa thiết lập điều này cho các máy thử nghiệm với số liệu rất thấp, vì vậy họ đang sử dụng liên kết này trước VPN (tôi thích điều đó).

Tôi chưa gửi tất cả lưu lượng truy cập qua liên kết, vì tôi có một điều kỳ lạ, nhưng có lẽ là một câu hỏi khác. Tôi nhận được lưu lượng truy cập nhanh đẹp theo một hướng, nhưng lưu lượng theo hướng ngược lại là khoảng 1/3 tốc độ khá ổn định. Nó không giống như hình dạng giao thông, nhưng có gì đó kỳ lạ đang diễn ra.

Chà, tôi đã học được nhiều hơn nên điều đó thật tốt. Cảm ơn bạn đã giúp đỡ. Chỉ cần tìm ra vấn đề với tốc độ theo một hướng. nhập mô tả hình ảnh ở đây


Vui lòng xem xét chấp nhận câu trả lời này để hệ thống không bị trả lời câu hỏi để tìm câu trả lời tốt hơn.
Mike Pennington
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.