iT邦幫忙

0

如何僅讓特定服務或應用程式走MPLS VPN,而其餘的走Internet(WAN)

各位好,有一個問題想請教。

辦公室A與B是在不同地點,A有自己獨立的Internet(WAN)對外且B也有自己獨立的Internet(WAN)對外,而辦公室A與B之間,透過MPLS VPN串連。

Internet<-->辦公室A<-10Mbps/10Mbps->[MPLS VPN]<-10Mbps/5Mbps->辦公室B<-->Internet

辦公室A網段為10.10.0.0/16
辦公室B網段為192.168.0.0/16

因為發現有些通訊軟體/會議軟體會直接透過MPLS VPN的路徑傳遞封包(A與B的同事同時間起兩場會可能就吃掉5Mbps頻寬了),而造成MPLS VPN塞車,影響了其他軟體/服務傳遞資料的速度;
想請問,即便是只有辦公室A同仁與辦公室B同仁透過該通訊軟體/會議軟體彼此之間溝通時(開會-文件/影音 或 一般文字或聲音溝通):

  1. 其軟體之網路封包不走MPLS VPN而是透過各自的Internet(WAN)進出,有辦法透過L3/Rotuer/VPN的設定達到目的嗎? 該怎麼設定呢? (通訊軟體/會議軟體廠商有提供他們的MCU server public IPs)
  2. 如果該通訊軟體會有兩種mode,透過MCU或是透過peer-to-peer,這樣有辦法在L3/Router/VPN上面做相關設定好讓這軟體進出的網路封包皆透過Internet進出,而不走MPLS VPN嗎? 或是
  3. 該如何在L3/Roter/VPN上設定,僅允許特定的服務/應用程式(例如:資料庫/ERP/內部Web Portal等等)走MPLS VPN,其餘的軟體/服務之網路封包走各自的Internet(WAN)進出?

謝謝。

雷伊 iT邦研究生 5 級 ‧ 2019-10-21 11:30:29 檢舉
防火牆規則內對內封鎖這些應用軟體走的連接Port即可
0
阿展展展
iT邦研究生 2 級 ‧ 2019-10-19 05:55:57

所以總頻寬到底是多少....?
你應該只有一條網路線吧?

yenct iT邦新手 5 級 ‧ 2019-10-19 22:57:50 檢舉

對辦公室A來說,一條Internet 1 (WAN),一條MLPS VPN與辦公室B相串接;
對辦公室B來說也是一樣,一條Internet 2 (WAN),一條MLPS VPN與辦公室A相串接;
只是MLPS VPN的部分,A的與B的在outbound的頻寬上有些不同。

1
門神JanusLin
iT邦超人 1 級 ‧ 2019-10-19 07:23:44

multi-homing 的設備就可以做了

0
mytiny
iT邦大師 1 級 ‧ 2019-10-19 10:14:20

樓主的防火牆需要將MPLS與WAN合併
同時啟用SD-WAN作為統一聯外線路
在SD-WAN中可以指定流量的來源與目的
同時避免設政策路由的麻煩
樓主的Fortigate設備完全可以做到

提供相關影片如下
FortiGate FortiOS 6.0 SD-WAN Demo
如果SI還是不能搞定
可以請銷售的SI經由代理商尋求技術資源

yenct iT邦新手 5 級 ‧ 2019-10-19 23:00:03 檢舉

謝謝您,我研究一下這影音檔的說明。

0
aaron3399
iT邦新手 3 級 ‧ 2019-10-22 12:36:53

這架構跟我家的一樣......
防火牆規則有設定outbound好優先順序的話,正常來說,通訊軟體就算p2p模式應該也是走外網才對..
要不要在確定一下通訊軟體的p2p mode時真的會走MPLS? 有沒有可能其他使用SMB傳輸造成的!?

可以提供一下你設定的outbound規則嗎?
若沒有設定規則的話,那outbound時由防火牆自行分配該走MPLS or Internet....
應該就可能會有你說的狀況...

至於防火牆設定方式,各家FW不同,你要翻翻資料研究一下了

0
taki5000
iT邦新手 5 級 ‧ 2019-10-23 17:24:52

AB公司的Router/FW設定靜態路由,
如果是MPLS的IP(172.X.X.X)走MPLS, 其餘走WAN出去

我要發表回答

立即登入回答