Обработка каналов MPLS на основе VLAN с доступом к Интернету для конкретного сайта


11

У меня возникают трудности, когда я думаю, как это настроить, и поставщик MPLS не помогает, поэтому я решил спросить здесь.

У меня есть MPLS с двумя узлами, каждый из которых имеет доступ в Интернет по той же схеме, что и MPLS. Эти каналы заменяют выделенный доступ в Интернет на каждом сайте туннелем IPSEC между сайтами. Мы хотим оставить наши существующие брандмауэры на месте, поскольку они обеспечивают фильтрацию контента и услуги VPN. Я пытаюсь настроить коммутатор уровня 3 (cisco SG300-10P) на каждом сайте, чтобы настроить этот сценарий.

Соответствующая информация (IP-адреса изменены, чтобы защитить мой идиотизм)

Сайт А

  1. Локальный Lan: 172.18.0.0/16
  2. Существующий межсетевой экран (внутренний): 172.18.0.254
  3. Шлюз MPLS к сайту B: 172.18.0.1
  4. Интернет диапазон IP 192.77.1.144/28
  5. Carrier Gateway to Internet 192.77.1.145

Пункты 3 и 5 относятся к единственному кусочку меди, поступающему из adtran netvana (У оператора нет доступа)

Сайт Б

  1. Локальный Lan: 192.168.2.0/23
  2. Существующий межсетевой экран (внутренний): 192.168.2.1
  3. Шлюз MPLS к сайту A: 192.168.2.2
  4. Интернет-диапазон IP-адресов 216.60.1.16/28
  5. Carrier Gateway to Internet 216.60.1.16

Пункты 3 и 5 относятся к единственному кусочку меди, поступающему из adtran 908e (у меня нет доступа к носителю)

Поэтому, учитывая вышесказанное, я хочу, чтобы на каждом сайте были настроены эти коммутаторы cisco, чтобы:

Порт 1 = Порт соединения с оператором 2 = Порт локальной сети 3 = Брандмауэр

Там, где локальная локальная сеть не подвержена влиянию диапазона IP-адресов в Интернете (т. Е. Если некоторые Yahoo настраивают свой компьютер на предоставленный IP-адрес Интернета со шлюзом операторов, он не работает) Или может отличаться от порта 1, весь трафик в подсети Интернет может быть только выход через порт 3 и из порта 1 весь трафик локальной подсети локальной сети может выходить только через порт 2.

Каждая попытка, которую я предпринял до сих пор, приводит к отсутствию доступа между портами вообще или к простому поведению тупого интерфейса (любой хост на любом порту может проходить через все диапазоны IP).

Первый вопрос здесь, так что будьте добры. :) Если вам нужна дополнительная информация, я был бы рад предоставить ее.


1
Как вы пытались разделить трафик до сих пор? ACL, VLAN и т. Д.? Также я предполагаю, что перевозчик помечает различные услуги. То есть Интернет будет, скажем, на VLAN 10 и VPN на VLAN 20?
Bigmstone

Можете ли вы добавить быструю диаграмму того, что именно вы пытаетесь сделать?
расстроен

@bigmstone Я думаю, ты мог ударить его по голове. Оператор все сказал: «О, просто вставьте переключатель впереди и отключите его» (они отказались уточнить это, мне нравится летать ночью), я не думал о существующих тегах VLAN, которые могут выходить из Adtrans. , Похоже, время проволоки. :)
TheMoo

Я опубликую это как официальный ответ, чтобы вы могли немного замять вопрос.
Bigmstone

Вам помог какой-нибудь ответ? Если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:


2

В зависимости от того, как сервис доставлен сервисным центром, вам будет предложено разделить сервисы с вашей стороны.

Типичные методы - это порт для каждой услуги или тег VLAN для каждой службы.

Если SP помечает трафик, вы можете просто настроить коммутатор на транк к SP, а затем разделить трафик на два порта доступа (один для FW и один для LAN).

Если это порт для каждой услуги, просто создайте две VLAN со службами в разных VLAN для изоляции.


2

Предполагая, что Adtran не использует VLAN, я бы установил транспортную сеть между маршрутизатором Adtran и брандмауэром (возможно, используя ту, которая уже существует в интерфейсе Adtran).

Сделав это, вам нужно только добавить маршруты на брандмауэре, чтобы покрыть все ваши коммуникационные потребности (шлюз по умолчанию, указывающий на Adtran).

После этого вы можете подключить все остальное за своим firwall, чтобы он защищал ваши сети.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.