segmentare retea, internet bandwidth management

Salut,

Am o intrebare vis-a-vis de segmentare retea si impartire internet bandwidth.

Acum am o retea 172.6.0.0/16 si un Forefront TMG cu BSplitter ca default gateway.
Am achizitionat un CISCO 2921 - 2,5 G RAM si un EHWIC-D-8ESG (am licenta de security, data)

Vreau sa o impart in 4 segmente, mai vreau u link aggregation cu un bladecenter, etc
Cum draci fac cu accesul la internet? Unde pun acel TMG sa-mi faca bandwidth management si cum?!
Cele 4 segmente, sa zicem, o sa aiba def. gw. routerul cisco. Cum fac mai departe, avand in vedere ca TMG-ul face shaping-ul dupa IP? Daca il pun def. gw. al CISCO nu mai pot imparti banda dupa IPul clientului.
Help!!! :((

Edited by minune, 25 February 2012 - 14:06.

Acel TMG nu ar putea primi traficul tag-at pe o interfata, sa-si facă rolul si sa trimită mai departe traficul, tot tag-at, către 2921?

Daca ai putea fi "more specific"... Is mai mult decat novice cu IOS...
Thank you!

Eu mă gândeam la o soluție de genul : switch de agregare in care sunt definite cele 4 vlan-uri, un link 802.1q in care sa se regaseasca aceste vlan-uri, Link ce merge in acel threat prevention (dacă am înțeles eu bine ca ar fi acel TMG), TMG-ul aplica politicile necesare pe fiecare clasa de IP-uri din cele 4 vlan-uri, după care forward-eaza mai departe traficul, tot tag-at către Cisco ce ar face un "router on stick" pentru a ruta traficul între vlan-uri si a face eventual si NAT.

Cred ca nu m-am exprimat eu destul de comprehensiv. Acel TMG trebuie sa-mi imparta traficul (limiteze viteza) in functie de IP-ul clientului.
Am atasat doua poze, existent si ce-ar trebui sa fie

Pai, tu banuiesc ca vrei ca acel Cisco sa facă si NAT, de unde rezulta ca TMG-ul va primi pachete cu IP sursa interfata WAN a router-ului fără nici o legătura cu clasele interne 172.16.x.y.
Singurele unelte pe care te-ai putea baza ar fi ca Cisco sa facă NAT si in funcție de sursa IP interna sa clasifice si traficul folosind bitii DSCP din header-ul de layer 3.
Eu îți propusesem o topologie diferită, si anume TMG-ul sa primească traficul neNAT-uit, sa facă ce are de facut cu limitare de banda etc si sa dea traficul mai departe gata shape-at către routerul Cisco.

Way over my head...
Hai sa pun problema altfel, am 3 retele, 172.16.0.0/24, 172.16.2.0/23 si 172.16.5.0/24.
Evident, default GW la computere/device-uri, ce-or fi, o sa fie routerul.

Cum (este posibil?) as putea ca traficul de internet, sau sa zicem traficul care nu are ca destinatie 172.16.0.0/16 sa mearga catre 172.16.0.32 (din prima retea), 172.16.2.32 (din a doua) si 172.16.5.32(a treia)

Sar'na!

Am amintit intr-un post anterior de "Router-on-Stick". Vezi un tutorial in atasament

Ori is mai greu de cap ori...
Nu inteleg la ce mi-ar trebui subinterfete cand cele trei retele mi-s conectate in 3 porturi L3. Intre retele comunicarea e OK.
Acel tutorial imi arata cum comunica 2 VLANuri intre ele. Mie imi merge...
As vrea ca accesul la internet sa nu-l fac pe o routa default la toti, ci fiecare retea sa aiba ruta ei default

Nici eu nu inteleg ce vrei sa faci ...
Normal ca utilizatorii din cele 3 segmente nu au cum sa foloseasca aceeasi adresa IP de default gateway. Default gateway TREBUIE sa fie in acelasi segment (LAN) cu utilizatorii.
Ok, sa inteleg ca tu ai 3 interfete de LAN, pentru fiecare subnet si un alt port WAN ce merge catre ISP-ist.
Ce anume vrei sa faci de aici? Incearca sa faci o schema la ce ai acum si ce ti-ai dori ...

3 interfete LAN si 3 porturi WAN, sa zicem

Si tu vrei ca fiecare utilizator din cele 3 LAN-uri sa iasa pe porturi WAN diferite?!

Exact, cei din reteaua 1 in WAN 1 samd

Vezi aici daca te ajuta

minune, on 7th March 2012, 08:45, said:

Salut,

Ceea ce vrei tu sa faci se poate obtine prin PBR (Policy Based Routing).
Adica trebuie sa faci niste access-list-uri si route-map-uri care in functie de sursa si/sau destinatia traficului seteaza fortat un anumit next-hop pentru trafic.

Practic in cazul tau ar veni ceva de genul asta:

Prima data faci ACL-urile in care specifici traficul despre care e vorba:

! Destinatiile pentru care nu vrei sa fie manipulat next-hop
ip access-list extended INTERNAL-STUFF
permit ip any 172.16.0.0 0.0.255.255
! (poate ar fi bine sa incluzi aici si celelalte clase private 10.0.0.0/8 si 192.168.0.0/16 in caz ca le vei folosi ulterior.)

!Cate un ACL pentru sursele care te intereseaza sa le manipulezi:

ip access-list extended NETWORK-UNU
permit ip 172.16.0.0 0.0.0.255 any

ip access-list extended NETWORK-DOI
permit ip 172.16.2.0 0.0.1.255 any

ip access-list extended NETWORK-TREI
permit ip 172.16.5.0 0.0.0.255 any


!Un ACL care sa includa restul traficului

ip access-list extended ANY
permit ip any any


===============================
Bun..acum route-map-urile:

route-map PBR permit 10
match ip address INTERNAL-STUFF
continue 222

route-map PBR permit 20
match ip address NETWORK-UNU
set ip next-hop 172.16.0.32

route-map PBR permit 30
match ip address NETWORK-DOI
set ip next-hop 172.16.2.32

route-map PBR permit 40
match ip address NETWORK-TREI
set ip next-hop 172.16.5.32

route-map PBR permit 222
match ip address ANY


Deci in traducere...traficul care vine de oriunde dar are destinatia 172.16.0.0/16 este permis si este trimis catre procesul "standard" de rutare bazat pe tabela de rutare (show ip route).
Apoi traficul care are ca sursa clasele tale si are destinatie orice altceva in afara de 172.16.0.0/12 este manipulat si redirectat spre respectivele ip-uri de care ziceai mai sus in functie de sursa.

De asemenea mai trebuie pe interfetele de unde vine traficul retelelor tale (172.16.0.0/24, 172.16.2.0/23 si 172.16.5.0/24) sa setezi ip policy route-map PBR

Problema apare la faptul ca Policy Based Routing este un feature enterprise si este licentiat(costa) ca atare. De obicei se gaseste doar in featureset-urile ADVIPSERVICES sau superioare. Dar la generatia noua de routere din seria 2900 cred ca este inclus si in IP Base. Nu ramane decat sa testezi.

Enjoy,

EXACT!
De abia rezolvasem, exact cu PBR (pe supportforums la cisco punct com...)
Am licenta de security si data pe 2921, IOS 15.2
Works like a charm!