Comment puis-je configurer le routage pour deux entreprises avec des connexions Internet différentes sur le même réseau local?

Voici la configuration:

Deux entreprises (A & B) partagent des bureaux et un réseau local. Un 2ème FAI est introduit et la société A veut sa propre connexion Internet (FAI A) et la société B veut sa propre connexion Internet (FAI B).

Les VLAN sont déployés en interne pour séparer les réseaux de deux sociétés (société A: VLAN 1, société B: VLAN 2, VoIP partagée: VLAN 3).

Avec des VLAN séparés, il est assez simple d'utiliser des serveurs DHCP distincts (ou des étendues distinctes sur le même serveur) pour attribuer la passerelle par défaut à la passerelle de chaque entreprise pour leur connexion Internet. Des itinéraires statiques peuvent être créés sur chaque trafic de passerelle vers point destiné au VLAN d'une autre entreprise ou au VLAN vocal afin que tous les noeuds soient atteignables comme prévu.

Cependant, je pense que c'est une forme de routage asymétrique, n'est-ce pas? (Le chemin du noeud A1 au noeud B1 n'est pas le même que le chemin de retour du noeud B1 au noeud A1).

Puis-je configurer un routage basé sur les règles pour corriger cela? Dans ce cas, puis-je affecter la même passerelle par défaut à chaque périphérique sur tous les VLAN et créer une politique de routage sur un commutateur L3 pour regarder l'adresse source et transférer le trafic vers le prochain bond approprié? Dans ce cas, je souhaite que la logique de routage soit comme suit:

  1. Si l'adresse de destination est connue, renvoyer le trafic (trafic destiné à un VLAN différent).
  2. Si l'adresse de destination est inconnue, renvoyer le trafic vers la passerelle de l'ISP A si l'adresse source est sur VLAN A; Ou renvoyer le trafic vers la passerelle de l'ISP B si l'adresse source est VLAN B.

Est-ce que je pense à ce problème de la manière correcte? Y a-t-il un autre moyen de résoudre ce problème que je néglige?

METTRE À JOUR

J'ai essayé la solution de Kyle ci-dessous et j'ai eu des problèmes. Voici les bits pertinents de ma configuration (je teste cela avec un 2821 BTW):

interface GigabitEthernet0/0 ip address 10.0.1.1 255.255.255.0 no ip proxy-arp duplex auto speed auto no mop enabled ! interface GigabitEthernet0/0.100 description VoIP VLAN stub encapsulation dot1Q 100 ip address 10.0.100.1 255.255.255.0 no ip proxy-arp ! interface GigabitEthernet0/0.110 description RT VLAN stub encapsulation dot1Q 110 ip address 10.0.110.1 255.255.255.0 no ip proxy-arp ip policy route-map RT-out ! interface GigabitEthernet0/0.120 description TCI VLAN stub encapsulation dot1Q 120 ip address 10.0.120.1 255.255.255.0 no ip proxy-arp ip policy route-map TCI-out ! interface GigabitEthernet0/1 ip address 192.168.1.20 255.255.255.0 no ip proxy-arp duplex auto speed auto ! ip route 192.168.0.0 255.255.0.0 192.168.1.2 ! ip access-list extended match-RT-out permit ip 10.0.110.0 0.0.0.255 any ip access-list extended match-TCI-out permit ip 10.0.120.0 0.0.0.255 any ! route-map TCI-out permit 11 match ip address match-TCI-out set ip next-hop 192.168.12.2 ! route-map RT-out permit 10 match ip address match-RT-out set ip next-hop 192.168.11.2 ! 

Et la sortie de l' show ip route :

  10.0.0.0/24 is subnetted, 4 subnets C 10.0.1.0 is directly connected, GigabitEthernet0/0 C 10.0.110.0 is directly connected, GigabitEthernet0/0.110 C 10.0.100.0 is directly connected, GigabitEthernet0/0.100 C 10.0.120.0 is directly connected, GigabitEthernet0/0.120 C 192.168.1.0/24 is directly connected, GigabitEthernet0/1 S 192.168.0.0/16 [1/0] via 192.168.1.2 

Et voici le problème: il ne semble pas que mes cartes de route fonctionnent (eh bien, je pense qu'elles correspondent, mais elles ne semblent pas modifier le résultat du prochain bond). Sortie de la debug ip policy de debug ip policy pour un ping vers une adresse IP externe:

 *May 5 21:26:11.631: IP: s=10.0.120.100 (GigabitEthernet0/0.120), d=209.85.225.100, len 52, FIB policy match *May 5 21:26:11.631: CEF-IP-POLICY: fib for address 192.168.12.2 is with flag 0 *May 5 21:26:11.631: IP: s=10.0.120.100 (GigabitEthernet0/0.120), d=209.85.225.100, len 52, FIB policy rejected - normal forwarding *May 5 21:26:11.631: IP: s=10.0.120.100 (GigabitEthernet0/0.120), d=209.85.225.100, len 52, policy match *May 5 21:26:11.631: IP: route map TCI-out, item 11, permit *May 5 21:26:11.631: IP: s=10.0.120.100 (GigabitEthernet0/0.120), d=209.85.225.100, len 52, policy rejected -- normal forwarding 

Donc, vous pouvez voir dans cette sortie qu'il ressemble à une correspondance … suivi d'une FIB policy rejected - normal forwarding immédiate FIB policy rejected - normal forwarding . Je récupère un hôte ICMP Destination Unreachable de mon routeur (10.0.120.1) dans ce cas (lorsque j'ai essayé de faire un ping 209.85.225.100).

Cela s'améliore, mais j'espère qu'il explique où j'ai des problèmes.

Étant donné que ce sont des réseaux différents, vous pouvez simplement configurer le routage basé sur la source en utilisant un routage basé sur les règles pour acheminer différentes interfaces en fonction de l'adresse IP source du paquet sortant.

Pour Cisco IOS est essentiellement le suivant (je pense, non testé) (F0 / 0 est l'interface interne, 12.12.12.12 et 13.13.13.13 sont vos deux passerelles IP, vous avez deux LAN 192.168.0.0/16 et 10.0.0.0 / 8):

 interface FastEthernet0/0 ip policy route-map foo-out route-map foo-out permit 10 match ip address match-foo-out set ip next-hop 12.12.12.12 route-map foo-out permit 11 match ip address match-foo2-out set ip next-hop 13.13.13.13 ip access-list extended match-foo-out deny ip 10.0.0.0 0.255.255.255 any permit ip 192.168.0.0 0.0.255.255 any ip access-list extended match-foo2-out deny ip 192.168.0.0 0.0.255.255 any permit ip 10.0.0.0 0.255.255.255 any 

Si ce sont simplement Frame-Relay, configurez l'interface au lieu d'un prochain espoir serait également correct.

Pour votre communication inter-entreprise, vous ne devriez vraiment pas faire autre chose que de changer ces acls afin qu'ils refusent la source et le dest où se trouve la même entreprise, à savoir: deny ip 192.168.0.0 0.0.255.255 10.0.0.0 0.255.255.255 . Aussi, s'il s'agit de deux interfaces LAN, peut-être une carte d'itinéraire différente pour chaque interface a-t-elle plus de sens ou est requise, il s'agit simplement d'être un exemple pour vous pousser dans la bonne direction, nous l'espérons 🙂