Обробка MPLS-схем на базі VLAN із доступом до Інтернету


11

Мені важко обернути голову навколо того, як це налаштувати, і постачальник MPLS не допомагає, тож я зрозумів, що тут я прошу.

У мене є 2-х вузловий MPLS на кожному сайті, що має доступ до Інтернету в тій же схемі, в яку MPLS їздить. Ці схеми замінюють виділений доступ до Інтернету на кожній ділянці тунелем IPSEC між сайтами. Ми хочемо залишити існуючі брандмауери на місці, оскільки вони забезпечують фільтрацію вмісту та послуги VPN. Я намагаюся налаштувати перемикач рівня 3 (cisco SG300-10P) на кожному сайті для налаштування цього сценарію.

Відповідна інформація (ip-адреси змінені для захисту мого ідіотства)

Сайт A

  1. Місцевий Lan: 172.18.0.0/16
  2. Існуючий брандмауер (внутрішній): 172.18.0.254
  3. Шлюз MPLS на сайт B: 172.18.0.1
  4. Інтернет-діапазон IP-адреси 192.77.1.144/28
  5. Шлюз оператора до Інтернету 192.77.1.145

Пункти 3 і 5 містяться на одній міді, що надходить з адтран-нетвани (Перевізник обладнання у мене немає доступу)

Сайт Б

  1. Місцевий Lan: 192.168.2.0/23
  2. Існуючий брандмауер (внутрішній): 192.168.2.1
  3. Шлюз MPLS на сайт A: 192.168.2.2
  4. Інтернет-діапазон IP 216.60.1.16/28
  5. Шлюз оператора до Інтернету 216.60.1.16

Пункти 3 і 5 містяться на одній міді, що надходить від adtran 908e (Перевізник обладнання у мене немає доступу)

Отже, з огляду на вищевикладене, що я хочу зробити на кожному сайті, встановіть ці перемикачі cisco так, щоб:

Порт 1 = Порт підключення несучої 2 = Інтеральний порт Порт 3 = Брандмауер

Там, де локальна мережа не піддається діапазону IP-адреси Інтернету (тобто, якщо хтось Yahoo встановлює свою машину на забезпеченому Інтернет-ip через шлюз операторів, він не працює) Або, якщо покласти інше, ніж порт 1, весь трафік в підмережі Інтернет може бути лише вихід з порту 3 та з порту 1 весь трафік локальної підмережі lan може виходити лише з порту 2.

Кожна зроблена нами спроба призводить до того, що взагалі немає доступу між портами або до базового нерозумного поведінки (будь-який хост на будь-якому порту може потрапити через усі діапазони IP).

Перше запитання тут, будь ласка, будьте ласкаві. :) Якщо вам потрібна додаткова інформація, я би рада її надати.


1
Як ви намагалися розділити трафік? ACL, VLAN тощо? Також я припускаю, що перевізник тегує різні послуги. Так Інтернет буде, скажімо, VLAN 10 та VPN у VLAN 20?
bigmstone

Чи можете ви додати швидку схему того, що саме ви намагаєтесь зробити?
мельдований

@bigmstone Я думаю, що ти, можливо, вдарив його по голові. Носієм було все "о, просто засуньте перемикач спереду і вкладіть його" (вони відмовилися детальніше про це, треба любити літати нічними операціями). Я не замислювався про існуючі теги VLAN, які можуть виходити з Adtrans . Звучить, як її час проводів. :)
TheMoo

Я опублікую це як формальну відповідь, щоб ви могли трохи закрити питання.
bigmstone

Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.
Рон Моупін

Відповіді:


2

Залежно від способу надання послуги SP визначатиме, як ви можете розділити послуги на своєму кінці.

Типовими методами є або порт на послугу, або тег VLAN на послугу.

Якщо SP відзначає трафік, ви можете просто встановити свій перемикач на магістральний зв'язок з SP, а потім розділити трафік на два порти доступу (один на FW і один на локальну мережу).

Якщо це порт на послугу, тоді просто створіть дві VLAN з послугами в різних VLAN для ізоляції.


2

Якщо припустити, що Adtran не використовує VLAN, я б встановив транспортну мережу між маршрутизатором Adtran і Брандмауером (можливо, використовуючи ту, яка вже існує в інтерфейсі Adtran).

Зробивши це, вам потрібно лише додати маршрути на Брандмауері, щоб покрити всі ваші потреби в комунікації (шлюз за замовчуванням вказує на Adtran).

Згодом ви можете підключити все інше за вашим брандмауером, щоб він захищав ваші мережі.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.