2つのサブネット間のトラフィックのルーティング


7

私は現在、小さなネットワークを管理しています。2つの別個のサイト(site1 site2)があります。各サイトには独立したインターネットとSonic NSA 220ファイアウォールがあります。現在、2つのSonicファイアウォールを接続するVPNがあるため、サイトは問題なく通信できます。

私たちのISPは各サイト(ISPルーター1と2)に「ルーター」をインストールしたばかりなので、インターネットポート(ISP-WAN)とサイト間ポート(ISP-LAN)の2つのポートを提供します。これにより、VPNを排除し、ISPクラウド(ISP-LAN)を介して直接トラフィックをルーティングできます。

ポートルーティングの設定方法を知りたいので、この新しいISP-LANポートを介して内部トラフィックをルーティングするようにファイアウォールに指示できます。

各サイトにはDC(同じドメイン)と個別のDHCP(サイトには異なるIP範囲があります)があります。

各ファイアウォールのポートX6をISP-LANポートに接続できると考えていました。これにより2つのサイト(ブルーライン)が接続されますが、ルーティング/ルールの構成方法がわかりません。すべてにデフォルトゲートウェイとしてSonic WANポートがあります。DHCPトラフィックなどをサイト間でブロードキャストしたくありません。 ここに画像の説明を入力してください

この問題の解決にご期待ください。

ありがとう

回答:


2

正しいです。各ルーターに無料のインターフェース(X6など)がある場合は、各サイトのISP-LANをそのインターフェースに接続します。SonicWALLがVRRPをサポートしているかどうかはわかりませんが、必要ありません。DHCPは、IPヘルパーを有効にしない限り、サブネットを越えません。

ISP-LAN接続はVPNを置き換えますが、いくつかのルートを追加する必要があります(これは、VPNのために以前に暗黙的に作成または作成されていたはずです)。あなたのISPはこれがマネージドVPN、MPLS、またはVLANネットワークを持っていることを参照すると思います。

ただし、ISPが各ISP-LANにどのIP /ネットワークを割り当てているかを知る必要があります(画像に "???"がある場合)。

最初のケース: ISPから各サイトのサブネットにIPが提供されている場合(たとえば、サイト1の10.10.1.254とサイト2の192.168.1.254)、これらのIP経由でルーティングできます。X6をLANに割り当てる(または残す)(X2 / X3 / etcと同じ)。次に、ネットワークに移動します。ルーティング。各サイトにルートを作成する必要があります(またはRIPを使用できますが、2つのサイトには必要ありません)。

サイト1では、ルートは次のようになります。

Source: Any
Destination: Site2 Subnet (192.168.1.0 / 255.255.255.0)
Service: Any
Gateway: ISP-LAN IP (10.10.1.254)
Interface: LAN/X0  (since it's on the LAN)
Metric: 20 (should be fine)

サイト2で同様のルートを作成します(ただし、サイト2のISP-LANのゲートウェイを使用してサイト1のネットワークの宛先[192.168.1.254])。これは、ISPが物事を構成した方法(ローカルLAN上のIPを使用して「クラウド」経由でアクセスを提供する方法)のときにクライアントに対して実行しました。

後者の場合は: ISPが使用している場合は、DIFFERENT、あなたはそのサブネット上にあるのconfigure X6にする必要があります(そのように172.16.1.xか何かのような)ISP-LAN接続用のサブネットを、あなたはNAT必要はありません。クライアントに対してもこれを行いました(ISPは2つのサイトに参加するための3番目のサブネットを提供します)。この場合、X6はその3番目のサブネット上にあり、ルートは自動的に作成されます(ファイアウォールルールでアクセスを許可するだけ)。

それでは、あなたへの質問:各サイトのISP-LANのIP /サブネットは何ですか?それはあなたの写真にあるとおりですか(X6 / ??? IP)またはそれ以外の何かですか?

編集:( コメントを追加できないため)

お役に立ててうれしいです。ISPが2つのISPルーター間のリンクをレイヤー2リンク(基本的にはVLAN)として構成した場合、DHCPトラバースが発生します-DHCPは、支援なしではレイヤー3を通過せず、レイヤー2(スイッチのように)を通過します。リンクに別のサブネット(10.0.0.1/30サブネット)を追加したので、問題ないはずです(ルーターはサブネットを越えてDHCPブロードキャストトラフィックを通過させません)。

何かが失敗した場合にプローブが非アクティブになるようにプローブを使用してルートを構成できます。VPNをIPsecポリシーVPNからトンネルベースのVPN(VPNにルートを使用)に変換すると、必要に応じてフェイルオーバーできます。しかし、ISPのVLANとインターネットベースのVPNが同じISPルーターを介して実行されているため、1つだけ失敗する可能性はわずかです。(もしあなたが別のバックアップISPを持っていたら、バックアップVPNを持つことは良い考えでしょう)

速度の問題については、ISPに連絡する以外のいずれかのルーターでBWMが有効になっているかどうかを確認します。


0

はっきりとはわかりませんが、私はお役に立てると思います。

したがって、私が正しく理解していれば、赤い線(VPN)ではなく青い線(ISP-LAN)を使用したいと思います。

ファイアウォールは、互いにVRRP(仮想ルーティング冗長プロトコル)になるように構成する必要があります。次に、機器がVRRPの仮想IPをポイントするようにします。また、ISPに連絡して、仮想ゲートウェイへのルーターポイントを設定することもできます。

負荷分散を行う場合は、おそらく2つの異なるvrrpグループを構成する必要があります。たとえば、vrrp group1とvrrp group2と言います。ここで、vrrp group1はsite1のマスターであり、バックアップとしてsite2があります。vrrp group2はsite2のマスターであり、site1のバックアップです。この場合、ロードバランシングを実行できます。

新しい接続を使用する前に、VPNをシャットダウンしてください。

詳細については、vrrpを参照してください。


0

これであなたの助けをありがとう。私は以下を実装しました、そしてそれは一種の働きです、少なくとも私が使っているテストマシンで。私はあなたが@PSaulについて説明したと思うことをかなり設定しました。各ファイアウォールのポートX6を新しいゾーン(Interoffice、Trusted)に設定し、静的IP 10.0.0.1/30および10.0.0.2/30を与えました。次に、他のサブネットに向かうトラフィックを遠端ファイアウォールのX6 IPアドレスに送信し、ローカルX6ポートを介して送信するルートを(@PSaulで説明したように)各ファイアウォールに設定します。ISPはオフィス間リンクを設定しました(2つのルーター間をレイヤー2接続として、すべてを送信していました。ネットワーク全体でDHCPトラフィックを取得していることがわかりました。そのため、ネットワーク内に何があるかわからないため、サブネット。

私はまだVPNを無効にしておらず、メトリックが非常に低いテストマシン用にこれを設定しただけなので、VPNの前にこのリンクを使用しています(気に入っています)。

奇妙なことが1つあるので、リンクを介してすべてのトラフィックをまだ送信していませんが、おそらく別の質問です。私は一方向に素晴らしい高速トラフィックを取得しますが、反対方向のトラフィックはほぼ一貫して速度の約1/3です。トラフィックシェーピングのようには見えませんが、奇妙なことが起こっています。

ええと、私はもっと学んだのでそれは良いことです。ご協力いただきありがとうございます。一方向の速度に関する問題を理解する必要があるだけです。 ここに画像の説明を入力してください


この回答を受け入れることを検討しください。これにより、システムがより適切な回答を求めて質問を永続的にぶつけないようにします。
マイクペニントン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.