Firewall e 3 router SHDSL

[kobaiachi]

la rete che sto gestendo ultimamente è basata purtroppo quasi solo sugli asa .


una sede remota è connessa ad internet con 3 router 1921 cisco ognuno dei quali è attestato su una SHDSL diversa.
Dietro questi router c'e un firewall ASA5505.


lo schema di rete approsimativo è cosi:

----lan---ASA5520--------3router-------ASA5505---lan

come posso fare un effettivo load balancing sulle line SHDSL per bilanciare il traffico internet e il traffico VPN verso la sede centrale ?

pensavo a 3 tunnel VPN IPSEC-GRE-OSPF sopra per gestire il traffico VPN verso la sede centrale attestate tra l'asa della sede centrale e i router della sede periferica.
Sul 5505 userei il NAT0 per il traffico vpn, ed il NAT1 per il traffico internet e poi 3 deafult route sulla interfaccia outside .



CHE ne pensate ?

io è la prima volta che affronto il problema e ai miei occhi mi pare la soluzione piu semplice, qualsiasi consiglio è ben accetto.


Un Saluto a tutti

Kobaiachi.

[Gianremo.Smisek]

sono tutti cisco, per cui IPSEC-GRE-EIGRP. OSPF e' troppo pesante e lento in confronto ad EIGRP.

ciao

[kobaiachi]

leggendo in giro ho trovato il comando ip load sharing per packet che farebbe il round robin dei pacchetti in uscita comando da applicare sia sulle interfaccie interne dei router che su quelle esterne .

in questo caso pero il flusso di ritorno non sarebbe bilanciato .

sui 3 router dovrei impstare il routing eigrp in maniera tale che ognuno veda come equal costo sia la strada verso l'interfaccia LAN interna che su quella esterna .

sulle interfaccie interne poi dovrei impostare uno dei protocolli tra vrrp-hsrp e glbp .

pero in questo caso l'asa della sede centrale riesce a gestire il reassembly dei pacchetti che arrivano in round robin dalle 3 vpn.


a quanto so questa è una tipologia di configurazione in uso sui 12000 ma io non ne ho mai avuto esperienza .

qualcuno mi puo chiarire un po le idee ?

[Gianremo.Smisek]

non capisco quale sia il tuo problema. HSRP come redundancy gw ed EIGRP come IGP. dove incontri difficolta'?

Il load balancing, non puoi lasciarlo gestire ad EIGRP?

[kobaiachi]

Intel sto solo cercando il migliore modo di bilanciare tre linee SHDSL 2 mbit (basate sulla vecchia X25) sulle quali il provider (telecom Algeria) non grantisce ne BMG ne SLA ... a volte capita che ho 60 k come banda totale dalle 3 linee ..... ed in quella sede tra poco dovranno lavorare circa 200 persone ....... che dovranno accedere ai server di roma per leggere la posta ed accedere ai repository dei progetti ....

piu la navigazione internet ....

[ghira]

Hai provato l'OER (conosciuto anche come PFR)?

[Gianremo.Smisek]

beh e' un altro discorso allora...

a mio avviso, se gia' la connettivita' di per se lascia a desiderare, anche la migliore delle tecniche di load balancing non fara' certo miracoli!

non si puo' pretendere di costruire un edificio con solo la sabbia!


buona serata!

[Rizio]

Intel sto solo cercando il migliore modo di bilanciare tre linee SHDSL 2 mbit (basate sulla vecchia X25) sulle quali il provider (telecom Algeria) non grantisce ne BMG ne SLA ... a volte capita che ho 60 k come banda totale dalle 3 linee ..... ed in quella sede tra poco dovranno lavorare circa 200 persone ....... che dovranno accedere ai server di roma per leggere la posta ed accedere ai repository dei progetti ....

piu la navigazione internet ....

Secondo me, con queste premesse ti serve qualcosa di hardware per bilanciare e comprimere il traffico da là fino alla tua sede.
Se loro non ti danno garanzie di banda non c'è verso e l'unica cosa su cui ti puoi tutelare è la compressione e il bilanciamento, che però, sempre IMHO, và fatto in maniera più seria e professionale possibile.


Tutto IMHO
Rizio

[kobaiachi]

che cosa suggeriresti, hai in mente qualche apparato ?

[Rizio]

che cosa suggeriresti, hai in mente qualche apparato ?

Se ti riferisci al mio post mi viene in mente solo Brocade di cui ho sentito parlare ma dire questo in un forum Cisco è da Ban perciò purtroppo sono tenuto a risponderti che non ne conosco
Scherzi a parte no, non ho mai avuto quelle necessità, a me avevno parlato di questi http://www.brocade.com/products/all/app ... index.page a suo tempo ma non sò altro che non qualche features.
Sorry
Rizio

[kobaiachi]

beh e' un altro discorso allora...

a mio avviso, se gia' la connettivita' di per se lascia a desiderare, anche la migliore delle tecniche di load balancing non fara' certo miracoli!

non si puo' pretendere di costruire un edificio con solo la sabbia!


buona serata!

il problema è che gia stanno nella sabbia fino al collo ........

anzi li c'e solo sabbia .....

[kobaiachi]

A meno che non sia vietato da regolamento penso che interessi a tutti una soluzione efficiente per una situazione simile e poi gli apparati borcade spesso interagiscono con i cisco (come ad esempio gli blade switch )

[kobaiachi]

allora lo schema di rete è questo :



Uploaded with ImageShack.us

la rete di back-end è sulla interfaccia fa0/0 su i router R1, R2, R3


questa è la route table di R1

172.16.0.0/30 is subnetted, 3 subnets
O 172.16.0.8 [110/11112] via 192.168.2.5, 00:00:34, FastEthernet0/0
O 172.16.0.4 [110/11112] via 192.168.2.4, 00:00:34, FastEthernet0/0
C 172.16.0.0 is directly connected, Tunnel0
10.0.0.0/8 is variably subnetted, 2 subnets, 2 masks
O 10.1.6.1/32 [110/11112] via 172.16.0.1, 00:00:34, Tunnel0
S 10.20.5.0/24 [1/0] via 192.168.2.65
41.0.0.0/28 is subnetted, 1 subnets
C 41.yyy.xxx.0 is directly connected, FastEthernet0/1
C 192.168.2.0/24 is directly connected, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 41.yyy.xxx.1

la route map per il bilanciamento in back-end è questa :

route-map Bilanciamento_Back_End permit 10
match ip address Rotte_Bilanciate
match interface FastEthernet0/0
match metric 11113
set metric 11112
!
route-map Bilanciamento_Back_End permit 20

ip access-list standard Rotte_Bilanciate
permit 10.1.6.1


applicando questa route map alla distribute list nel processo ospf
mi aspetterei di avere nella routing table tre rotte con identica metrica
per la rete 10.1.6.1
una cosa piu o meno cosi :
O 10.1.6.1/32 [110/11112] via 172.16.0.1, 00:00:34, Tunnel0
O 10.1.6.1/32 [110/11112] via 192.168.2.4, 00:00:34, fa0/0
O 10.1.6.1/32 [110/11112] via 192.168.2.5, 00:00:34, fa0/0

sul router ospf la distribute list è cosi configurata :

log-adjacency-changes
redistribute static subnets route-map Rotte_Algeria
network 172.16.0.2 0.0.0.0 area 1
network 192.168.2.0 0.0.0.255 area 1
distribute-list route-map Bilanciamento_Back_End in

che ne pensate ?
avete qualche idea perche per ora a me non funge e vorrei capire il perche e dove sto sbagliando .

qualsiasi aiuto è ben accetto

[Rizio]

Codice: Seleziona tutto

route-map Bilanciamento_Back_End permit 10
 match ip address Rotte_Bilanciate
 match interface FastEthernet0/0
 match metric 11113
 set metric 11112

E se togli il match sulla metrica cambia? A che insterfaccia l'hai applicata?

Non ho mai usato ospf tranne al corso cisco ma il risultato alla fine qual'è ? Cosa ti mostra lo sh ip route?

Rizio

[kobaiachi]

la tabella di routing non cambia

la route-map per ora è applicata al processo di routing con il comando distribute-list route-map Bilanciamento_Back_End in


adesso provo a togliere la metrica e vedo cosa succede .

anche se potrei provare con il comando ip policy ad applicare la route map sulla interfaccia F0/0

altra strada è modificare il costo della interfaccia ethernet sugli aggiornamenti di routing in uscita da quella interfaccia (per la rete data)