Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Info Coronavirus/Vaccinare vs Fake News

Probleme mufa incarcare HP Pavilion

Sfaturi achiziție pentru inc...

Inocuitor dioda redresoare smd ha...
 Problema cu tuia, se usuca

2 invertoare la acelasi banc de b...

Stocare ieftina si consistenta pe...

Cu masina spre Portugalia
 Acoperis mansarda - am nevoie de ...

Bmw seria 3 zgomot in sarcina

Samsung S21 FE - nou cu poze in el

Smart Meter pt Easun?
 Problema infiltratie apa

Elon Musk prezinta robotul Optimu...

La multi ani @laurstef!

Plita gaz Arctic ARNGN64127SB
 

segmentare retea, internet bandwidth management

- - - - -
  • Please log in to reply
15 replies to this topic

#1
minune

minune

    Member

  • Grup: Members
  • Posts: 565
  • Înscris: 01.04.2004
Salut,

Am o intrebare vis-a-vis de segmentare retea si impartire internet bandwidth.

Acum am o retea 172.6.0.0/16 si un Forefront TMG cu BSplitter ca default gateway.
Am achizitionat un CISCO 2921 - 2,5 G RAM si un EHWIC-D-8ESG (am licenta de security, data)

Vreau sa o impart in 4 segmente, mai vreau u link aggregation cu un bladecenter, etc
Cum draci fac cu accesul la internet? Unde pun acel TMG sa-mi faca bandwidth management si cum?!
Cele 4 segmente, sa zicem, o sa aiba def. gw. routerul cisco. Cum fac mai departe, avand in vedere ca TMG-ul face shaping-ul dupa IP? Daca il pun def. gw. al CISCO nu mai pot imparti banda dupa IPul clientului.
Help!!! :((

Edited by minune, 25 February 2012 - 14:06.


#2
cielo

cielo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,523
  • Înscris: 09.02.2004
Acel TMG nu ar putea primi traficul tag-at pe o interfata, sa-si facă rolul si sa trimită mai departe traficul, tot tag-at, către 2921?

#3
minune

minune

    Member

  • Grup: Members
  • Posts: 565
  • Înscris: 01.04.2004
Daca ai putea fi "more specific"... Is mai mult decat novice cu IOS...
Thank you!

#4
cielo

cielo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,523
  • Înscris: 09.02.2004
Eu mă gândeam la o soluție de genul : switch de agregare in care sunt definite cele 4 vlan-uri, un link 802.1q in care sa se regaseasca aceste vlan-uri, Link ce merge in acel threat prevention (dacă am înțeles eu bine ca ar fi acel TMG), TMG-ul aplica politicile necesare pe fiecare clasa de IP-uri din cele 4 vlan-uri, după care forward-eaza mai departe traficul, tot tag-at către Cisco ce ar face un "router on stick" pentru a ruta traficul între vlan-uri si a face eventual si NAT.

#5
minune

minune

    Member

  • Grup: Members
  • Posts: 565
  • Înscris: 01.04.2004
Cred ca nu m-am exprimat eu destul de comprehensiv. Acel TMG trebuie sa-mi imparta traficul (limiteze viteza) in functie de IP-ul clientului.
Am atasat doua poze, existent si ce-ar trebui sa fie

Attached Files



#6
cielo

cielo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,523
  • Înscris: 09.02.2004
Pai, tu banuiesc ca vrei ca acel Cisco sa facă si NAT, de unde rezulta ca TMG-ul va primi pachete cu IP sursa interfata WAN a router-ului fără nici o legătura cu clasele interne 172.16.x.y.
Singurele unelte pe care te-ai putea baza ar fi ca Cisco sa facă NAT si in funcție de sursa IP interna sa clasifice si traficul folosind bitii DSCP din header-ul de layer 3.
Eu îți propusesem o topologie diferită, si anume TMG-ul sa primească traficul neNAT-uit, sa facă ce are de facut cu limitare de banda etc si sa dea traficul mai departe gata shape-at către routerul Cisco.

#7
minune

minune

    Member

  • Grup: Members
  • Posts: 565
  • Înscris: 01.04.2004
Way over my head...
Hai sa pun problema altfel, am 3 retele, 172.16.0.0/24, 172.16.2.0/23 si 172.16.5.0/24.
Evident, default GW la computere/device-uri, ce-or fi, o sa fie routerul.

Cum (este posibil?) as putea ca traficul de internet, sau sa zicem traficul care nu are ca destinatie 172.16.0.0/16 sa mearga catre 172.16.0.32 (din prima retea), 172.16.2.32 (din a doua) si 172.16.5.32(a treia)

Sar'na!

#8
cielo

cielo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,523
  • Înscris: 09.02.2004
Am amintit intr-un post anterior de "Router-on-Stick". Vezi un tutorial in atasament

Attached Files



#9
minune

minune

    Member

  • Grup: Members
  • Posts: 565
  • Înscris: 01.04.2004
Ori is mai greu de cap ori...
Nu inteleg la ce mi-ar trebui subinterfete cand cele trei retele mi-s conectate in 3 porturi L3. Intre retele comunicarea e OK.
Acel tutorial imi arata cum comunica 2 VLANuri intre ele. Mie imi merge...
As vrea ca accesul la internet sa nu-l fac pe o routa default la toti, ci fiecare retea sa aiba ruta ei default

#10
cielo

cielo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,523
  • Înscris: 09.02.2004
Nici eu nu inteleg ce vrei sa faci ...
Normal ca utilizatorii din cele 3 segmente nu au cum sa foloseasca aceeasi adresa IP de default gateway. Default gateway TREBUIE sa fie in acelasi segment (LAN) cu utilizatorii.
Ok, sa inteleg ca tu ai 3 interfete de LAN, pentru fiecare subnet si un alt port WAN ce merge catre ISP-ist.
Ce anume vrei sa faci de aici? Incearca sa faci o schema la ce ai acum si ce ti-ai dori ...

#11
minune

minune

    Member

  • Grup: Members
  • Posts: 565
  • Înscris: 01.04.2004
3 interfete LAN si 3 porturi WAN, sa zicem

#12
cielo

cielo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,523
  • Înscris: 09.02.2004
Si tu vrei ca fiecare utilizator din cele 3 LAN-uri sa iasa pe porturi WAN diferite?!

#13
minune

minune

    Member

  • Grup: Members
  • Posts: 565
  • Înscris: 01.04.2004
Exact, cei din reteaua 1 in WAN 1 samd

#14
cielo

cielo

    Senior Member

  • Grup: Senior Members
  • Posts: 3,523
  • Înscris: 09.02.2004
Vezi aici daca te ajuta

#15
Jay`Z

Jay`Z

    Junior Member

  • Grup: Members
  • Posts: 98
  • Înscris: 03.01.2004

View Postminune, on 7th March 2012, 08:45, said:

Way over my head...
Hai sa pun problema altfel, am 3 retele, 172.16.0.0/24, 172.16.2.0/23 si 172.16.5.0/24.
Evident, default GW la computere/device-uri, ce-or fi, o sa fie routerul.

Cum (este posibil?) as putea ca traficul de internet, sau sa zicem traficul care nu are ca destinatie 172.16.0.0/16 sa mearga catre 172.16.0.32 (din prima retea), 172.16.2.32 (din a doua) si 172.16.5.32(a treia)

Sar'na!

Salut,

Ceea ce vrei tu sa faci se poate obtine prin PBR (Policy Based Routing).
Adica trebuie sa faci niste access-list-uri si route-map-uri care in functie de sursa si/sau destinatia traficului seteaza fortat un anumit next-hop pentru trafic.

Practic in cazul tau ar veni ceva de genul asta:

Prima data faci ACL-urile in care specifici traficul despre care e vorba:

! Destinatiile pentru care nu vrei sa fie manipulat next-hop
ip access-list extended INTERNAL-STUFF
permit ip any 172.16.0.0 0.0.255.255

! (poate ar fi bine sa incluzi aici si celelalte clase private 10.0.0.0/8 si 192.168.0.0/16 in caz ca le vei folosi ulterior.)

!Cate un ACL pentru sursele care te intereseaza sa le manipulezi:

ip access-list extended NETWORK-UNU
permit ip 172.16.0.0 0.0.0.255 any

ip access-list extended NETWORK-DOI
permit ip 172.16.2.0 0.0.1.255 any

ip access-list extended NETWORK-TREI
permit ip 172.16.5.0 0.0.0.255 any


!Un ACL care sa includa restul traficului

ip access-list extended ANY
permit ip any any


===============================
Bun..acum route-map-urile:

route-map PBR permit 10
match ip address INTERNAL-STUFF
continue 222

route-map PBR permit 20
match ip address NETWORK-UNU
set ip next-hop 172.16.0.32

route-map PBR permit 30
match ip address NETWORK-DOI
set ip next-hop 172.16.2.32

route-map PBR permit 40
match ip address NETWORK-TREI
set ip next-hop 172.16.5.32

route-map PBR permit 222
match ip address ANY


Deci in traducere...traficul care vine de oriunde dar are destinatia 172.16.0.0/16 este permis si este trimis catre procesul "standard" de rutare bazat pe tabela de rutare (show ip route).
Apoi traficul care are ca sursa clasele tale si are destinatie orice altceva in afara de 172.16.0.0/12 este manipulat si redirectat spre respectivele ip-uri de care ziceai mai sus in functie de sursa.

De asemenea mai trebuie pe interfetele de unde vine traficul retelelor tale (172.16.0.0/24, 172.16.2.0/23 si 172.16.5.0/24) sa setezi ip policy route-map PBR

Problema apare la faptul ca Policy Based Routing este un feature enterprise si este licentiat(costa) ca atare. De obicei se gaseste doar in featureset-urile ADVIPSERVICES sau superioare. Dar la generatia noua de routere din seria 2900 cred ca este inclus si in IP Base. Nu ramane decat sa testezi.

Enjoy,

#16
minune

minune

    Member

  • Grup: Members
  • Posts: 565
  • Înscris: 01.04.2004
EXACT!
De abia rezolvasem, exact cu PBR (pe supportforums la cisco punct com...)
Am licenta de security si data pe 2921, IOS 15.2
Works like a charm!

Anunturi

Chirurgia spinală minim invazivă Chirurgia spinală minim invazivă

Chirurgia spinală minim invazivă oferă pacienților oportunitatea unui tratament eficient, permițându-le o recuperare ultra rapidă și nu în ultimul rând minimizând leziunile induse chirurgical.

Echipa noastră utilizează un spectru larg de tehnici minim invazive, din care enumerăm câteva: endoscopia cu variantele ei (transnazală, transtoracică, transmusculară, etc), microscopul operator, abordurile trans tubulare și nu în ultimul rând infiltrațiile la toate nivelurile coloanei vertebrale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate