Фильтровать сетевой трафик через 2 WAN в зависимости от IP?
Я тщательно искал, пытаясь найти здесь аналогичный вопрос, но кроме информации о pfSense (который, похоже, поддерживает только 1 WAN?), Я не могу найти ничего другого ...
В настоящее время наш офис состоит из 15 компьютеров Mac и примерно 20 компьютеров с Windows. В настоящее время мы все подключены к 50-мегабайтному оптоволоконному соединению Virgin, но было предложено получить второе соединение ~ 100 МБ и фильтровать трафик через каждую глобальную сеть в зависимости от их IP-адресов. В конечном итоге мы хотели бы, чтобы линия 50 МБ была зарезервирована / использована только ~ 7 ПК с Windows, а весь остальной трафик должен проходить через другую глобальную сеть. У нас также есть сервер Windows Exchange и несколько дисков NAS, к которым нам потребуется доступ всех машин, и у нас есть VPN-маршрутизатор Cisco RV016, который предположительно используется в качестве балансировщика нагрузки (?).
Наши причины для этого изменения заключаются в том, что линия 50 МБ не способна обрабатывать трафик, проходящий через нее всеми сотрудниками, но Virgin не предлагает статический IP-адрес для чего-либо> 50 МБ в нашей зоне. Статический IP-адрес необходим нашим разработчикам для работы.
Как лучше всего это реализовать? Какое дополнительное оборудование вы бы посоветовали нам приобрести (если оно есть)?
Как указано в одном из предыдущих ответов, вы можете использовать маршрутизацию на основе политик и настроить карту маршрутов на своем маршрутизаторе. Однако вместо использования VLAN или статических IP-адресов вы можете использовать маркировку QoS. Это может быть развернуто в групповой политике для ваших ПК с Windows, а карта маршрутов на вашем маршрутизаторе может быть настроена для поиска определенного значения DSCP, чтобы различать ПК и Mac.
Как я уже сказал, это можно настроить с помощью групповой политики, так что вы можете буквально просто добавлять или удалять компьютеры в группу или из группы, чтобы выбрать, какие компьютеры используют какое подключение к Интернету.
РЕДАКТИРОВАТЬ: Приведенное ниже должно работать с Cisco ASA и коммутатором Cisco уровня 3.
Это может сработать:
- Настройте две сети VLAN - одну для Windows и одну для MAC
- Назначьте независимые области DHCP двум VLAN
- Настройте маршрутизацию, чтобы разрешить VLAN передавать трафик между собой, что позволит MAC и Windows взаимодействовать с сервером Exchange.
Затем вы можете настроить что-то под названием PBR, доступное на Cisco.
На Cisco ASA можно настроить систему, называемую базовой маршрутизацией (PBR). Маршрутизатор передает пакеты через расширенные фильтры пакетов, называемые картами маршрутов. На основе критериев, определенных в картах маршрутов, пакеты пересылаются / маршрутизируются на соответствующий следующий переход.
http://www.ciscozine.com/pbr-route-a-packet-based-on-source-ip-address/ http://howdoesinternetwork.com/2013/configuration-of-pbr-policy-based-routing
Если вы хотите, чтобы все компьютеры находились в одной подсети, вы можете настроить DHCP для назначения IP-адресов на основе MAC-адреса, а затем создать PBR для каждого IP-адреса.
Я настоятельно рекомендую использовать балансировщик ссылок для этого типа среды.
Я интенсивно использую Балансировщики Elfiq Link в местах расположения моих клиентов, потому что это позволило им разместить нескольких поставщиков услуг Интернета и варианты транзита, сохранив при этом один межсетевой экран (обычно Cisco ASA).
Подобное решение дает вам невероятно детальный контроль над балансировкой входящей и исходящей нагрузки по источнику, протоколу и позволяет использовать любой из 8 алгоритмов балансировки нагрузки. Вы можете установить пороговые значения того, как соединения распределяются по ссылкам ISP; например если канал 50 Мбит / с загружен на 80%, начните отправлять трафик по другой линии. Или, возможно, циклическое распределение ... или всегда используйте наименее загруженную линию для новых соединений.
Связи ISP подключаются непосредственно к устройству Elfiq, которое находится перед вашим брандмауэром и имеет сквозную передачу в случае сбоя оборудования. Вы все еще можете завершить работу своих виртуальных частных сетей и т.п. до конечной точки.
Стоит задуматься ...
