Filtrar o tráfego de rede através de 2 WANs dependendo do IP?

2

Eu pesquisei completamente em uma tentativa de encontrar uma pergunta semelhante aqui, mas além de encontrar informações sobre o pfSense (que parece suportar apenas 1 WAN?) não consigo encontrar muito mais ...

Nossa configuração atual do escritório consiste em cerca de 15 Macs e 20 PCs com Windows. Atualmente estamos todos conectados a uma conexão de fibra de 50MB Virgin, mas uma sugestão foi feita para obter uma segunda conexão de ~ 100MB e filtrar o tráfego através de cada WAN, dependendo do seu IP. Por fim, gostaríamos que a linha de 50MB fosse reservada / usada por apenas 7 PCs com Windows, e todo o tráfego restante deveria passar pela outra WAN. Também temos um servidor Windows Exchange e algumas unidades NAS que exigiremos acesso a todas as máquinas, e temos um roteador VPN Cisco RV016 que supostamente está sendo usado como um balanceador de carga (?).

Nossas razões para essa mudança são que a linha de 50MB não é capaz de lidar com o tráfego sendo passado por todos os membros da equipe, mas a Virgin não oferece um IP estático em nada > 50MB em nossa área. Um IP estático é exigido por nossos desenvolvedores para sua linha de trabalho.

Como podemos implementar melhor isso? Que hardware adicional você sugeriria receber (se houver)?

    
por Nick 23.04.2015 / 11:19

3 respostas

3

Como afirma uma das respostas anteriores, você pode usar o Policy Based Routing e configurar um roteiro no seu roteador. No entanto, em vez de usar VLANs ou IPs estáticos, você poderia usar a Marcação de QoS. Isso pode ser implementado em uma política de grupo para seus PCs com Windows, e o mapa de rotas em seu roteador pode ser configurado para procurar um determinado valor de DSCP para diferenciar entre os PCs e os Macs.

Como eu disse, isso pode ser configurado com uma política de grupo, para que você possa literalmente adicionar ou remover computadores de um grupo para escolher quais computadores usam a conexão com a Internet.

    
por 24.04.2015 / 01:48
1

EDITAR: O abaixo deve funcionar com um switch Cisco ASA e Cisco Layer 3

Isso pode funcionar:

  • Configure duas VLANs - uma para o Windows e outra para o MAC
  • Atribuir escopos DHCP independentes às duas VLANs
  • Configure o roteamento para permitir que as VLANs transmitam tráfego entre si, o que permitirá que o MAC & Windows para falar com o servidor Exchange.

Então você pode configurar algo chamado PBR disponível na Cisco.

You can configure somnething called Polic Base routing (PBR) on a Cisco ASA The router passes the packets through enhanced packet filters called route maps. Based on the criteria defined in the route maps, packets are forwarded/routed to the appropriate next hop.

link link

Se você quiser manter todos os computadores na mesma sub-rede, o que você poderia fazer é configurar o DHCP para atribuir endereços IP baseados no endereço MAC e, em seguida, criar um PBR por IP.

    
por 23.04.2015 / 11:53
0

Recomendo enfaticamente o uso de um balanceador de links para esse tipo de ambiente.

Eu faço uso pesado dos Balanceadores Elfiq Link nos locais dos meus clientes porque eles permitem acomodar vários ISPs e opções de trânsito , mantendo um firewall (geralmente Cisco ASA).

Uma solução como essa oferece um controle incrivelmente granular sobre o balanceamento de carga de entrada e saída por fonte, protocolo e permite que você use qualquer um dos 8 algoritmos de balanceamento de carga. Você pode definir limites sobre como as conexões são compartilhadas entre os links do ISP; por exemplo. Se o link de 50 Mbps for 80% utilizado, comece a enviar tráfego pela outra linha. Ou talvez a alocação de round-robin ... ou sempre use a linha menos ocupada para novas conexões.

Os links ISP conectam-se diretamente ao dispositivo Elfiq, que fica na frente do seu firewall e tem um repasse em caso de falha de hardware. Você ainda pode encerrar suas VPNs e tal para um endpoint.

Vale a pena considerar ...

    
por 24.04.2015 / 19:02