Salut à tous  
 
Je sollicite votre aide car je bloque sur un problème réseau et je n'arrive pas à m'en défaire.
 
L'infra réseau est la suivante
 
Un coeur de réseau Cisco avec plusieurs vlans
Un firewall fortinet
Une ligne ADSL pour l'évasion wifi
Une ligne MPLS (raccordée au coeur de réseau, vlan spécifique)
 
La route par défaut est le fortinet.
Pour les réseaux privés de type 10.0.0.0, ça sort au niveau de la MPLS.
 
Voici la conf du Cisco au niveau des routes.
 
ip route 0.0.0.0 0.0.0.0 10.23.254.251 (fortinet)
ip route 10.0.0.0 255.0.0.0 10.254.23.1 (routeur MPLS)
ip route 172.16.0.0 255.240.0.0 10.254.23.1 (routeur MPLS)
ip route 192.168.0.0 255.255.0.0 10.254.23.1 (routeur MPLS)
 
interface vlan visio
10.23.6.254 /24
 
interface vlan interco-fw
10.23.254.254 /24
 
interface vlan interco-MPLS
10.254.23.254 /24
 
 
J'ai un vlan, dans lequel il y a l'équipement visio. Le problème est que la ligne ADSL n'est pas suffisante en terme de débit. Je souhaite donc faire sortir tous le subnet visio par la MPLS (que ça soit à direction des ip interne des autres sites ou publique).
J'ai essayé de faire une policy route map au niveau du coeur de réseau sans succès. Peut-être approfondir dans cette voie, mais je manque de pratique..
 
Avant, la MPLS arrivait directement sur le fortinet, donc c'était beaucoup plus simple au niveau des redirections (policy route directement dans le fortinet). Mais une décision a été prise au niveau de la DSI et c'est directement raccordé au coeur de réseau maintenant.
Pour les autres sites, il y a une ligne SDSL dédiée, donc la redirection se fait au niveau du fortinet, aucun problème.
 
J'ai essayé également la policy route au niveau du fortinet de type
 
incoming interface : internal 1 (le LAN, plus précisement le 10.23.254.0)
subnet 10.23.6.0 /24
 
outgoing : internal 1 (10.23.254.0)
gateway 10.254.23.1 (routeur mpls)
 
route statique dans le fw  
10.254.23.0/24 gateway 10.23.254.254 (ip du cdr cisco)
 
ça ne fonctionne pas.
 
Merci de votre aide. J'ai besoin d'un avis extérieur, là je tourne en rond. Si ça vous parait pas clair, je peux prendre le temps de faire un schéma réseau.

Salut,
 
en voyant tes routes statiques de ton équipement Cisco, 10.23.6.0/24 est router via ton fournisseur MPLS.
Vu que toutes les classes d’adressages privées sont routé (par défaut) par le routeur MPLS (si pas d’adresses plus spécifique), peux-tu indiquer quels sont les subnet ou plages d'adresses ayant le problème avec ce VLAN ? d'où sont-ils appris sur ton réseau ?  
Peux-tu préciser où est connecté le subnet 10.23.6.0/24 dans ton réseau ?
Quel est la table de routage du FG ?
Peux-tu détailler la connexion est les IP entre FG --- coeur réseau-- Routeur MPLS ?  

Salut
 
En gros pour atteindre les réseaux privés en 10.0.0.0, 192.168.0.0, 172.16.0.0 que le coeur de réseau ne connait pas, c'est routé via la MPLS.
jusqu'ici tout va bien
Je prends un vlan dédié au wifi, la route par défaut est le forti, et ensuite ça sort sur la ADSL.
 
Le subnet 10.23.6.0 est connecté sur le coeur de réseau du site, sur un vlan.
 
Schéma réseau
 
https://www.hostingpics.net/viewer.php?id=546622lan.png
 
Voici la table de routage du forti
 
https://www.hostingpics.net/viewer. [...] 4forti.png
 
Je me suis connecté sur le fortigate, les pings vers le réseau 10.23.6.0, ou encore vers le routeur mpls 10.254.23.1, ça fonctionne.
 
merci

Salut,
 
Alors il faut que le routeur MPLS ait une route : 10.23.6.0/24 routé via next hop sur ton LAN (10.254.23.254). On dirait bien que ce n'est pas le cas si la traffic venant du MPLS ne fonctionne pas avec ce vlan.
Côté FW tout semble bon d'après la table de routage. Je ne sais pas comment se fait l'annonce de prefixe dans le réseau et le routeur MPLS.
Si pas de protocole dynamique, le provider doit ajouter cette route statique. Sinon, il faut l'annoncer via le protocole de routage en place en internet.

Complément d'information :
Enfaite avant l'installation de la ligne ADSL, la route par défaut était le routeur MPLS (ip route 0.0.0.0 0.0.0.0 10.254.23.1) . Donc le wifi, la visio, etc, tout sortait sur la MPLS et c'était bon. Le wifi sortait donc au niveau du datacenter sur la ligne internet, tout comme la visio, qui pouvait joindre à la fois des IP interne ou atteindre une ip publique via la ligne au datacenter.
 
Du coup, avec la mise en prod du fortigate, la route par défaut a changé. Pour le réseau wifi, c'est ce qui est souhaité, ça sort par la ligne ADSL.
Pour la visio, je veux que peu importe l'ip, publique ou privé, ça passe par la MPLS. En aucun cas ça doit sortir par la ligne ADSL.
 
C'est pas plutôt une PBR au niveau du coeur de réseau ? avec comme next-hop le routeur MPLS ? mais mes essais avec la PBR ont été des échecs.. peut-être une mauvaise conf
 
"Je ne sais pas comment se fait l'annonce de prefixe dans le réseau et le routeur MPLS. "
Avant c'était du BGP, mais ça a été abandonné. Maintenant il me semble que l'opérateur a indiqué un 10.23.0.0 /16 pour tout le site.
 
Parce-que si ça fonctionnait bien pour la visio 10.23.6.0 avant le changement de la route par défaut, pourquoi il faudrait annoncer une route au niveau du routeur MPLS ? Il connait le réseau 10.23.6.0 normalement ? Etant donné que quand je remets la route par défaut sur le routeur MPLS, ça refonctionne bien pour le wifi ou la visio.
 
 
Merci de ton aide.

Hello,
 
Ahh d'accord, je pensais initialement qu'il y avait un problème de communication avec le réseau "visio" depuis différents subnet via MPLS.. Tout est bon visiblement niveau route, même via le provider qui a 10.23.0.0/16 vers ton site.
 
Alors du coup, là encore c'est assez simple, et effectivement c'est du PBR qu'il te faut sur ton routeur Cisco:
Voici ce que tu peux essayer  
 
access-list 100 permit ip 10.23.6.0 255.255.255.0 any
 
route-map visio-pbr permit 5
match ip address 100
set ip next hop 10.254.23.1
 
Ensuite, sur l'interface du VLAN Visio, (10.23.6.254/32)sur ton routeur Cisco : ip policy route-map visio-pbr
 
(je te proposerai bien une version améliorée pour ne pas router dans le vide si le routeur MPLS a un soucis... Implementer IP SLA avec ça. Fais signe si tu souhaites plus de détails.)
 

Salut
 
Enfaite j'avais essayé de faire une pbr, visiblement comme ce que tu propose.
Mais une fois que je fais l'access-list, à la place de voir dans la config
access-list 100 permit ip 10.23.6.0 255.255.255.0 any  
 
je vois  
10 permit ip 0.0.0.0 255.255.255.0 any  
 
alors que j'ai bien tapé le bon subnet, mais il me le remplace systématiquement par 0.0.0.0 ...
et du coup ben ça doit pas fonctionner à cause de ça
 
Également je tape bien la commande ip policy route-map visio-pbr mais je ne la vois apparaitre nul part quand je fais un sh run.
 
une idée ?
 
 
merci

Ok très important, enfaite le fait que je ne puisse pas activer la route map sur le vlan, vient du fait que mon switch, un 3750X était en mode sdm desktop.
 
Pour pouvoir activer la fonction de routage PBR, il faut passer le switch en sdm prefer routing. Cela nécessite un redémarrage du switch pour fonctionner.
 
J'ai bien activé la policy route map sur mon vlan, cela apparait bien dans ma conf.
 
Il ne reste plus qu'à tester si cela fonctionne
 
edit: j'active bien la policy sur le vlan, cependant ça ne fonctionne pas. ça ne prend en compte que la route par défaut.  

il est pas tapé à l'envers ton masque dans ton ACL, là ?

Effectivement c'est une erreur dans mon post.
Mais j'ai refait d'autres tests en reconfigurant tout depuis (acl, route-map) et avec le bon masque inversé, et ça ne fonctionne toujours pas.

Hello,
 
si tu fais un "show" de tes access-list, ça te donne quoi ?
vois-tu des "hit" sur ta route-map ?
as-tu fait un "debug ip policy" ?
 
cela devrait t'aider à trouver le problème.

Salut
 
je n'avais aucun hit/match sur ma route-map...
Vraiment bizarre. Je ne suis plus en mission chez ce client, plus l'occasion de retester, dommage.  
 
Par contre je pense que la façon de faire est la bonne, ainsi que le SDM qu'il faut changer en routing sur le routeur qui est important, si ça peut servir à quelqu'un d'autre.
 
Merci de ton aide en tout cas