У меня возникают трудности, когда я думаю, как это настроить, и поставщик MPLS не помогает, поэтому я решил спросить здесь.
У меня есть MPLS с двумя узлами, каждый из которых имеет доступ в Интернет по той же схеме, что и MPLS. Эти каналы заменяют выделенный доступ в Интернет на каждом сайте туннелем IPSEC между сайтами. Мы хотим оставить наши существующие брандмауэры на месте, поскольку они обеспечивают фильтрацию контента и услуги VPN. Я пытаюсь настроить коммутатор уровня 3 (cisco SG300-10P) на каждом сайте, чтобы настроить этот сценарий.
Соответствующая информация (IP-адреса изменены, чтобы защитить мой идиотизм)
Сайт А
- Локальный Lan: 172.18.0.0/16
- Существующий межсетевой экран (внутренний): 172.18.0.254
- Шлюз MPLS к сайту B: 172.18.0.1
- Интернет диапазон IP 192.77.1.144/28
- Carrier Gateway to Internet 192.77.1.145
Пункты 3 и 5 относятся к единственному кусочку меди, поступающему из adtran netvana (У оператора нет доступа)
Сайт Б
- Локальный Lan: 192.168.2.0/23
- Существующий межсетевой экран (внутренний): 192.168.2.1
- Шлюз MPLS к сайту A: 192.168.2.2
- Интернет-диапазон IP-адресов 216.60.1.16/28
- Carrier Gateway to Internet 216.60.1.16
Пункты 3 и 5 относятся к единственному кусочку меди, поступающему из adtran 908e (у меня нет доступа к носителю)
Поэтому, учитывая вышесказанное, я хочу, чтобы на каждом сайте были настроены эти коммутаторы cisco, чтобы:
Порт 1 = Порт соединения с оператором 2 = Порт локальной сети 3 = Брандмауэр
Там, где локальная локальная сеть не подвержена влиянию диапазона IP-адресов в Интернете (т. Е. Если некоторые Yahoo настраивают свой компьютер на предоставленный IP-адрес Интернета со шлюзом операторов, он не работает) Или может отличаться от порта 1, весь трафик в подсети Интернет может быть только выход через порт 3 и из порта 1 весь трафик локальной подсети локальной сети может выходить только через порт 2.
Каждая попытка, которую я предпринял до сих пор, приводит к отсутствию доступа между портами вообще или к простому поведению тупого интерфейса (любой хост на любом порту может проходить через все диапазоны IP).
Первый вопрос здесь, так что будьте добры. :) Если вам нужна дополнительная информация, я был бы рад предоставить ее.