BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

¿Alguien entiende para qué sirve tener dos AT8000s?

stelbolson
x.jpgcaptura3.jpg

Nunca había visto una instalación como esta (me esperaba modem, router y switch..jaja) : los dos AT8000s (edge switch) sirven exclusivamente para duplicar el flujo del router cisco 1800 hacia los dos firewall fortigate 111? o esta configuración es de alguna forma relacionada al doble ip público para gestionar (la máscara del router es 255.255.255.252) ? he leido del edge switch "...A switch that is located at the meeting point between two networks. The edge switch typically connects an end user's LAN to an ISP's network or backbone". Pero encontrándose atrás del router los at8000 no deberían estar ya en la LAN?

La instalación no la hicimos nosotros y tenemos graves problemas de eco y llamadas perdidas con el vo-ip. Podría estar ahí la causa de los problemas? y quétan útil es el firewall espejado (no somos la nasa)? Mil gracias.

PD: he actualizado el esquema con más datos (los ip del router también). Según la documentación que encontramos resulta que el nat los hacen los dos firewall.

rbetancor
1

El esquema parece un intento cutre, muy cutre de darle redundancia (activo-pasivo) a la salida de la LAN hacia WAN.

Pero es un esquema bastante estúpido, los SPOF están clarísimos, el switch lan, el cisco y la huawei.

Los fortigate y los AT, no aportan absolutamente nada a ese esquema.

Con respecto a los problemas de eco y llamadas perdidas ... podría estar relacionado con el esquema, ya que si está incorrectametne configurando y en vez de activo/pasivo, está en modo balanceo ... eso mata la voz-ip, porque dudo que la tengan en cuenta.

Lo mejor que puedes hacer es analizar el tráfico de vozip en la lan, entre los AT y el cisco y en la WAN, para detectar el problema.

🗨️ 11
stelbolson

el esquema "normal" con un solo firewall debería ser esto (según el proveedor):

captura.jpg

siempre que entienda, en este esquema, el nat entre wan y lan lo administra el firewall (los fortigates según el manual pueden ser configurados como transparentes o como router nat) y no el router cisco (NO NAT).

¿En nuestra rara instalación los firewall son duplicados para administrar los dos ip públicos y los dos at (edge switch) están solo para duplicar la señal?

captura2.jpg
🗨️ 10
BocaDePez
BocaDePez

Hola,

No veo que la instalación sea tan chapuza. Es una instalación donde está todo redundado a excepción de la salida a internet. Entiendo que la voz IP va a través del proveedor que os da Internet o por otro en la nube, no?. Protocolo SIP en voIP, verdad?.

El problema es el nat y el protocolo SIP que se llevan muy mal. Según veo y por la imagen que has puesto el fortinet hace o hará un NAT de salida de tipo olverload, haciendo lo mismo el router Cisco 1800.

Lo que te puedo aconsejar es que si no es necesario el nat en el fortinet, quítalo y que hago routing y dejar el NAT solo en el Cisco 1800. Si el enlace de voIP es por la vlan de voz de movistar haz ahí un Nat estático 1-1 desde la IP que te da la operadora hacia la propia centralita SIP que haya o tengas internamente y lo más importante, en el Cisco 1800 deshabiliar el servicio SIP sobre el 5060 en los procesos de NAT.

Si el servicio de voIP está en alguna nube u operador de Internet se hace lo mismo pero haciendo un nat olverload sobre la ip publica y tambien y sobre esa misma ip pública un nat 1-1 hacia la centralita. Lo bueno es que en Cisco se puede hacer todo.

Con esto no tendrás problemas de ruido, de eco y sobre todo...caídas de llamadas. Yo lo he hecho en multitud de sitios. El diagrama de red está bien, únicamente que la gente que montó eso no lo ha rematado bien.

Un saludo,

Enrique.

🗨️ 9
BocaDePez
BocaDePez

Me autorrespondo...más cosas...

Veo que el Cisco 1800 entrega el rango de IPs públicas al Forti. Este hace de pasarela y seguramente con salida BGP hacia la operadora. Está claro el problema, es el protocolo SIP con el NAT overload. El trunk SIP de salida hacia donde está?, misma operadora o hacia otra operadora?, en Internet o el 1800 tiene una subinterface hacia un direccionamiento privado de la operadora donde está el servidor SIP que te hace de salida vía trunk SIP?

Un saludo,

Enrique

🗨️ 1
stelbolson

Mil gracias. Estamos viendo corroborar los mas datos....

Lo único por el momento del cual estoy seguro es que el CISCO es NO NAT.

su configuración (que me pasó telefonica):

interface FastEthernet0/1

no ip address

load-interval 30

speed 100

full-duplex

interface FastEthernet0/1.409

description WAN_INTERNET

encapsulation dot1Q 409

ip address xxx.xxx.xxx.154 255.255.255.252

ip flow ingress

ip flow egress

🗨️ 6
rbetancor
1
🗨️ 5
BocaDePez
BocaDePez
🗨️ 4
BocaDePez
BocaDePez
🗨️ 2
BocaDePez
BocaDePez
Alferez
1

Lo único que se me ocurre es que los at8000 pueden hacer un virtual stack y para redundancia hagan un port channel hacia cada uno de los fortigate, pero hay hay dos cables que deberían estar cruzados (1 cable del fortigate a cada switch).

Los dos entre switch serían para el stack, pero esos van sobre HDMI (sí, son muy raros).

Pero en este caso necesitaríamos otro cable del cisco a cada switch haciendo otro port channel, o nada de lo anterior serviría para nada.

🗨️ 2
stelbolson

Gracias Alferez. en el esquema me olvidé el cavo que conecte los firewall fortigate por los puerto 8 de los mismos (ahora dibujado en azul).

🗨️ 1
Alferez

Pues esa conexión encima sobra porque ya puede hacer el tester de la alta disponibilidad por el switch.

En un principio si todo está bien configurado con port channel y demás y los fortigate están aislados no tendrías que tener bucle.

No sirve para nada porque tienes 3 puntos débiles cisco, at8000 primero y switch de red interna, así que objetivos no cumplido.

BocaDePez
BocaDePez

En primer lugar, esa red es una chapuza que alucinas. Y en segundo lugar, los FortiGate están así por redundancia, no para duplicar nada. Creo que necesitáis contratar a alguien que entienda un poco de redes para que os ayude.