Je suis en train d’implémenter une conf sur un CCR2004.
Dans le cas d’un multiwan (failover ou load-balancing), puis/dois-je créer plusieurs bridges ?
Je sais que sur les switch Mikrotik, c’est déconseillé car seul le premier bridge dispo de l’hardware offloading. Il faut passer par différents VLAN (tag) sur un seul bridge.
Mais dans ce cas, où positionne t on le filter pour modifier la priorité et faire de la COS6 ?
Par contre, si sur les CCR2004, on peut/doit faire un bridge par wan (isp), y a t-il une limite ?
Bref, quelle est la bonne méthode svp ?
Merci
Bonsoir @cyayon,
Dans mon cas j'ai deux Fibre Orange et Orange Pro et à la place de ton CCR2004 j'ai un Fortigate 101F.
Par contre j'ai du insérer lors de mes derniers tests sans les Livebox 5 et 6 Pro un Mikrotik CRS305 pour faire la CoS 6 et le swap de vlan car si tu as deux accès Internet du même opérateur (Orange et Orange Pro) les vlan des box sont les mêmes le fameux vlan 832 !
Sur le CRS305 tu interceptes le trafic IPv4 qui entre sur un port venant du FortiGate (ton CCR2004) avec un vlan 111 ou 112 et avec trois switch rules par lien WAN que tu as (dans mon cas 6x switch rules) tu fais les actions suivantes :
- port entrant vlan 111 ou 112 requête DHCP redirect sur port sortant vers Orange ou Orange Pro avec vlan id 832 (new-vlan-id) et CoS 6 (new-vlan-priority)
- port entrant vlan 111 ou 112 pour le reste du traffic redirect sur port sortant vers Orange ou Orange Pro avec vlan id 832 (new-vlan-id)
- port entrant vlan 832 venant de la Box Orange redirect du traffic sur port sortant vers FortiGate avec vlan id 111 (new-vlan-id)
/interface ethernet
set [ find default-name=ether1 ] comment=FortiSwitch
set [ find default-name=sfp-sfpplus1 ] comment="FortiGate Orange & Orange-Pro"
set [ find default-name=sfp-sfpplus2 ] auto-negotiation=no comment="ONU Orange" speed=2.5Gbps
set [ find default-name=sfp-sfpplus3 ] comment="Not Used"
set [ find default-name=sfp-sfpplus4 ] auto-negotiation=no comment="ONU Orange-Pro" speed=2.5Gbps
/interface bridge port
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus1
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus2
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus3
add bridge=bridge comment=defconf ingress-filtering=no interface=sfp-sfpplus4
add bridge=mgt ingress-filtering=no interface=ether1
/interface bridge vlan
add bridge=bridge comment="Orange & Orange-Pro ONUs" tagged=sfp-sfpplus2,sfp-sfpplus4 vlan-ids=832
add bridge=bridge comment="FortiGate Orange" tagged=sfp-sfpplus1 vlan-ids=111
add bridge=bridge comment="FortiGate Orange-Pro" tagged=sfp-sfpplus1 vlan-ids=112
/interface ethernet switch rule
add comment="Intercept Orange DHCPv4 Request with vlan 111 on port sfp1 and forward it with vlan 832 and CoS 6 to port sfp2" dst-port=67 new-dst-ports=sfp-sfpplus2 new-vlan-id=832 new-vlan-priority=6 ports=sfp-sfpplus1 protocol=udp switch=switch1 vlan-id=111
add comment="Intercept All Orange Trafic with vlan 111 on port sfp1 and forward it with vlan 832 to port sfp2" new-dst-ports=sfp-sfpplus2 new-vlan-id=832 ports=sfp-sfpplus1 switch=switch1 vlan-id=111
add comment="Intercept All Orange Trafic back from Vlan 832 on port sfp2 and forward it to port sfp1 with vlan 111" new-dst-ports=sfp-sfpplus1 new-vlan-id=111 ports=sfp-sfpplus2 switch=switch1 vlan-id=832
add comment="Intercept Orange-Pro DHCPv4 Request with vlan 112 on port sfp1 and forward it with vlan 832 and CoS 6 to port sfp4" dst-port=67 new-dst-ports=sfp-sfpplus4 new-vlan-id=832 new-vlan-priority=6 ports=sfp-sfpplus1 protocol=udp switch=switch1 vlan-id=112
add comment="Intercept All Orange-Pro Trafic with vlan 112 on port sfp1 and forward it with vlan 832 to port sfp4" new-dst-ports=sfp-sfpplus4 new-vlan-id=832 ports=sfp-sfpplus1 switch=switch1 vlan-id=112
add comment="Intercept All Orange-Pro Trafic back from Vlan 832 on port sfp4 and forward it to port sfp1 with vlan 112" new-dst-ports=sfp-sfpplus1 new-vlan-id=112 ports=sfp-sfpplus4 switch=switch1 vlan-id=832
Sur le CRS305 l'action "new-dst-ports" est la seule qui permet de réaliser plusieurs actions comme le changement de vlan et la CoS 6 dans une même switch rule.
Dans le cas du Multiwan tu risques de ne pas avoir le choix, d'ou cette config ci-desssus qui m'a été proposé par Mikrotik lors de l'ouverture d'un ticket car je m'en sortais pas avec les Switch Rules sans faire de "new-dst-ports" !