Мені важко обернути голову навколо того, як це налаштувати, і постачальник MPLS не допомагає, тож я зрозумів, що тут я прошу.

У мене є 2-х вузловий MPLS на кожному сайті, що має доступ до Інтернету в тій же схемі, в яку MPLS їздить. Ці схеми замінюють виділений доступ до Інтернету на кожній ділянці тунелем IPSEC між сайтами. Ми хочемо залишити існуючі брандмауери на місці, оскільки вони забезпечують фільтрацію вмісту та послуги VPN. Я намагаюся налаштувати перемикач рівня 3 (cisco SG300-10P) на кожному сайті для налаштування цього сценарію.

Відповідна інформація (ip-адреси змінені для захисту мого ідіотства)

Сайт A

1. Місцевий Lan: 172.18.0.0/16
2. Існуючий брандмауер (внутрішній): 172.18.0.254
3. Шлюз MPLS на сайт B: 172.18.0.1
4. Інтернет-діапазон IP-адреси 192.77.1.144/28
5. Шлюз оператора до Інтернету 192.77.1.145

Пункти 3 і 5 містяться на одній міді, що надходить з адтран-нетвани (Перевізник обладнання у мене немає доступу)

Сайт Б

1. Місцевий Lan: 192.168.2.0/23
2. Існуючий брандмауер (внутрішній): 192.168.2.1
3. Шлюз MPLS на сайт A: 192.168.2.2
4. Інтернет-діапазон IP 216.60.1.16/28
5. Шлюз оператора до Інтернету 216.60.1.16

Пункти 3 і 5 містяться на одній міді, що надходить від adtran 908e (Перевізник обладнання у мене немає доступу)

Отже, з огляду на вищевикладене, що я хочу зробити на кожному сайті, встановіть ці перемикачі cisco так, щоб:

Порт 1 = Порт підключення несучої 2 = Інтеральний порт Порт 3 = Брандмауер

Там, де локальна мережа не піддається діапазону IP-адреси Інтернету (тобто, якщо хтось Yahoo встановлює свою машину на забезпеченому Інтернет-ip через шлюз операторів, він не працює) Або, якщо покласти інше, ніж порт 1, весь трафік в підмережі Інтернет може бути лише вихід з порту 3 та з порту 1 весь трафік локальної підмережі lan може виходити лише з порту 2.

Кожна зроблена нами спроба призводить до того, що взагалі немає доступу між портами або до базового нерозумного поведінки (будь-який хост на будь-якому порту може потрапити через усі діапазони IP).

Перше запитання тут, будь ласка, будьте ласкаві. :) Якщо вам потрібна додаткова інформація, я би рада її надати.

Залежно від способу надання послуги SP визначатиме, як ви можете розділити послуги на своєму кінці.

Типовими методами є або порт на послугу, або тег VLAN на послугу.

Якщо SP відзначає трафік, ви можете просто встановити свій перемикач на магістральний зв'язок з SP, а потім розділити трафік на два порти доступу (один на FW і один на локальну мережу).

Якщо це порт на послугу, тоді просто створіть дві VLAN з послугами в різних VLAN для ізоляції.

Якщо припустити, що Adtran не використовує VLAN, я б встановив транспортну мережу між маршрутизатором Adtran і Брандмауером (можливо, використовуючи ту, яка вже існує в інтерфейсі Adtran).

Зробивши це, вам потрібно лише додати маршрути на Брандмауері, щоб покрити всі ваші потреби в комунікації (шлюз за замовчуванням вказує на Adtran).

Згодом ви можете підключити все інше за вашим брандмауером, щоб він захищав ваші мережі.