我目前管理一个小型网络,它有两个独立的站点(site1 site2)。每个站点都有独立的互联网和 Sonic NSA 220 防火墙。目前有 VPN 连接两个 Sonic 防火墙,因此站点可以毫无问题地进行通信。
我们的 ISP 刚刚在每个站点(ISP 路由器 1 和 2)安装了一个“路由器”,因此它现在提供了两个端口......互联网端口(ISP-WAN)和一个站点间端口(ISP-LAN)。这样我们就可以消除 VPN,并直接通过 ISP 云 (ISP-LAN) 路由流量
我想知道如何设置端口路由,以便我可以告诉防火墙通过这个新的 ISP-LAN 端口路由内部流量。
每个站点都有一个 DC(同一个域)和一个单独的 DHCP(站点有不同的 IP 范围)。
我想我可以将每个防火墙上的端口 X6 连接到 ISP-LAN 端口,这将连接两个站点(蓝线),但不确定如何配置路由/规则。一切都有 Sonic WAN 端口作为其默认网关。我不想在站点之间广播 DHCP 流量等。
期待对此的任何帮助。
谢谢
您是对的,如果每个路由器上都有一个空闲接口(例如 X6),请将每个站点的 ISP-LAN 连接到该接口。我不知道 SonicWALL 是否支持 VRRP,但不需要。除非启用 IP 帮助程序,否则 DHCP 不会跨子网。
ISP-LAN 连接取代了您的 VPN,但您将需要添加一些路由(由于 VPN 的原因,这些路由在以前是隐含的或创建的)。我猜你的 ISP 会提到它有一个托管 VPN、一个 MPLS 或一个 VLAN 网络。
但是,您需要知道您的 ISP 为每个 ISP-LAN 分配了哪些 IP/网络(您的图片中有“???”)。
第一种情况: 如果您的 ISP 在每个站点的子网上为您提供 IP(例如站点 1 的 10.10.1.254 和站点 2 的 192.168.1.254),那么您可以通过这些 IP 进行路由。在 LAN 上分配(或离开)X6(与 X2/X3/等相同)。然后去网络| 路由。您需要在每个站点上创建一个路由(或者您可以使用 RIP,但对于 2 个站点不需要)。
在站点 1,您的路线将类似于:
Source: Any
Destination: Site2 Subnet (192.168.1.0 / 255.255.255.0)
Service: Any
Gateway: ISP-LAN IP (10.10.1.254)
Interface: LAN/X0 (since it's on the LAN)
Metric: 20 (should be fine)
在站点 2 创建一个类似的路由(但使用站点 2 [192.168.1.254] 的 ISP-LAN 网关的站点 1 网络的目的地)。当 ISP 配置事物时(使用本地 LAN 上的 IP 通过“云”提供访问),我已经为客户端完成了此操作。
第二种情况: 但是,如果 ISP为 ISP-LAN 连接使用了不同的子网(例如 172.16.1.x 或其他东西),那么您需要将 X6 配置为在该子网上,您将不需要 NAT。我也为客户端做了这件事(ISP 提供了第三个子网来加入 2 个站点)——在这种情况下,X6 将在第三个子网上,并且路由将自动创建[只允许使用防火墙规则访问]。
所以给你一个问题:每个站点的 ISP-LAN 的 IP/子网是什么?是像您在图片中看到的那样(X6 / ??? IPs)还是别的什么?
编辑:( 因为我无法添加评论)
我很高兴这有帮助。如果 ISP 将链路配置为 2 个 ISP 路由器之间的第 2 层链路(本质上是一个 VLAN),您将有 DHCP 穿越——DHCP 不会在没有帮助的情况下穿越第 3 层,但会穿越第 2 层(就像在交换机上一样)。既然您已将不同的子网添加到链接(您的 10.0.0.1/30 子网),您应该没问题(路由器不会将 DHCP 广播流量传递到子网之外)。
您可以使用探测器配置路由,以便它们在出现故障时停用,如果您将 VPN 从 IPsec 策略 VPN 转换为基于隧道的 VPN(使用 VPN 路由),您可以根据需要进行故障转移。但是由于 ISP 的 VLAN 和基于 Internet 的 VPN 通过同一个 ISP 路由器运行,因此只有一个失败的可能性很小。(如果您有不同的备用 ISP,那么拥有备用 VPN 是个好主意)
至于速度问题,我会检查您是否在任一路由器上启用了 BWM,而不是联系您的 ISP。
我不太确定,但我想我可以提供帮助。
因此,如果我理解正确,您想使用蓝线(ISP-LAN)而不是红线(VPN)。
您应该配置防火墙,使它们彼此处于 VRRP(虚拟路由冗余协议)中。然后让您的设备指向 VRRP 的虚拟 IP,您还需要联系 ISP 并让他们将路由器指向虚拟网关。
如果您想进行负载平衡,您可能需要配置 2 个不同的 vrrp 组:比如说 vrrp group1 和 vrrp group2。其中 vrrp group1 是站点 1 的主站点,站点 2 作为备份。vrrp group2 是站点 2 的主站和站点 1 的备份站。在这种情况下,可以进行负载平衡。
在使用新连接之前关闭 vpn。
要了解更多信息,请阅读 vrrp。
感谢您对此的帮助。我已经实现了以下内容,并且至少在我使用的测试机器上是有效的。我已经设置了我认为你描述的@PSaul。我已将每个防火墙上的端口 X6 设置为一个新区域(Interoffice、Trusted),并为它们提供静态 IP 10.0.0.1/30 和 10.0.0.2/30。然后我在每个防火墙上设置一个路由(如你描述的@PSaul),将任何流量发送到另一个子网到远端防火墙上的 X6 IP 地址,并通过本地 X6 端口发送。ISP 已经设置了办公室间链接(在他们的两个路由器之间作为第 2 层连接,所以正在发送所有内容。我发现我正在通过网络获取 DHCP 流量,所以不确定我在网络中有什么帮助它穿越子网。
我还没有禁用 VPN,只是为具有非常低指标的测试机器设置了它,所以他们在 VPN 之前使用了这个链接(我喜欢那个)。
我还没有通过链接发送所有流量,因为我有一件奇怪的事情,但也许是一个不同的问题。我在一个方向上得到了很好的快速交通,但相反方向的交通大约是速度的 1/3 非常一致。它看起来不像流量整形,但发生了一些奇怪的事情。
嗯,我学到了更多,这很好。谢谢你的帮助。只需要找出一个方向的速度问题。
