Xử lý các mạch MPLS dựa trên Vlan với truy cập internet cụ thể của trang web


11

Tôi đang gặp khó khăn trong việc thiết lập cách này và nhà cung cấp MPLS không giúp được gì nên tôi đoán tôi sẽ hỏi ở đây.

Tôi có một MPLS 2 nút mỗi trang có quyền truy cập internet trên cùng một mạch mà MPLS chạy trên. Các mạch này thay thế truy cập internet chuyên dụng tại mỗi trang web bằng một đường hầm IPSEC giữa các trang web. Chúng tôi muốn để lại tường lửa hiện tại của mình vì chúng cung cấp dịch vụ lọc nội dung và dịch vụ VPN. Tôi đang cố gắng định cấu hình chuyển đổi lớp 3 (cisco SG300-10P) tại mỗi trang web để thiết lập kịch bản này.

Thông tin liên quan (địa chỉ IP đã thay đổi để bảo vệ thành ngữ của tôi)

Trang web A

  1. Lan địa phương: 172,18.0.0 / 16
  2. Tường lửa hiện có (nội bộ): 172,18.0.254
  3. Cổng MPLS đến trang web B: 172,18.0.1
  4. Phạm vi IP Internet 192.77.1.144-28
  5. Cổng nhà mạng đến mạng 192.77.1.145

Các mục 3 và 5 nằm trên một mảnh đồng duy nhất đến từ một mạng lưới adtran (Carrier Carrier tôi không có quyền truy cập)

Trang web B

  1. Lan địa phương: 192.168.2.0/23
  2. Tường lửa hiện có (nội bộ): 192.168.2.1
  3. Cổng MPLS đến trang web A: 192.168.2.2
  4. Phạm vi IP Internet 216.60.1.16/28
  5. Cổng nhà mạng đến internet 216.60.1.16

Mục 3 và 5 nằm trên một mảnh đồng duy nhất đến từ adtran 908e (Trang bị cho nhà cung cấp tôi không có quyền truy cập)

Vì vậy, với những gì tôi muốn làm ở trên, mỗi trang web sẽ thiết lập các công tắc cisco này để:

Cổng 1 = Cổng kết nối nhà cung cấp 2 = Cổng Lan giữa 3 = Tường lửa

Trường hợp lan cục bộ không tiếp xúc với phạm vi IP Internet (nghĩa là nếu một số yahoo thiết lập máy của họ trên một mạng internet được cung cấp với cổng nhà mạng thì nó không hoạt động) Hoặc chỉ khác với cổng 1, tất cả lưu lượng truy cập trong mạng con internet chỉ có thể thoát trên cổng 3 và từ cổng 1, tất cả lưu lượng trên mạng con lan cục bộ chỉ có thể thoát khỏi cổng 2.

Mọi nỗ lực tôi đã thực hiện cho đến nay đều không có quyền truy cập giữa các cổng ở tất cả hoặc hành vi câm cơ bản (bất kỳ máy chủ nào trên bất kỳ cổng nào cũng có thể đi qua tất cả các dải IP).

Câu hỏi đầu tiên ở đây vì vậy hãy tử tế. :) Nếu bạn cần thêm thông tin tôi sẽ vui lòng cung cấp nó.


1
Làm thế nào bạn đã cố gắng để tách giao thông cho đến nay? ACL, Vlan, v.v? Ngoài ra, tôi cho rằng nhà mạng đang gắn thẻ các dịch vụ khác nhau. Vì vậy, Internet sẽ được bật, Vlan 10 và VPN trên Vlan 20?
bigmstone

Bạn có thể thêm một sơ đồ nhanh về chính xác những gì bạn đang cố gắng làm không?
mellowd

@bigmstone Tôi nghĩ bạn có thể đã đánh nó vào đầu. Người vận chuyển là tất cả "oh chỉ cần đặt một công tắc ở phía trước và tắt nó đi" (họ đã từ chối giải thích về điều đó, phải yêu bay bằng các hoạt động ban đêm) Tôi không nghĩ về các thẻ Vlan hiện có có thể xuất hiện từ Adtrans . Âm thanh như thời gian wireshark của nó. :)
TheMoo

Tôi sẽ đăng nó dưới dạng câu trả lời chính thức để bạn có thể kết thúc câu hỏi.
bigmstone

Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:


2

Tùy thuộc vào cách dịch vụ được cung cấp bởi SP sẽ quyết định cách bạn có thể tách các dịch vụ ở cuối.

Các phương thức điển hình là một cổng trên mỗi dịch vụ hoặc thẻ Vlan cho mỗi dịch vụ.

Nếu SP đang gắn thẻ lưu lượng, bạn có thể chỉ cần thiết lập công tắc của mình thành trung kế cho SP và sau đó tách lưu lượng thành hai cổng truy cập (một đến FW và một cho LAN).

Nếu đó là một cổng trên mỗi dịch vụ thì chỉ cần tạo hai Vlan với các dịch vụ trong các Vlan khác nhau để tách biệt.


2

Giả sử Adtran không sử dụng Vlan, tôi sẽ thiết lập mạng truyền tải giữa Bộ định tuyến Adtran và Tường lửa (có thể sử dụng mạng đã có trên giao diện Adtran).

Làm xong việc đó, bạn chỉ cần thêm các tuyến đường trên Tường lửa để đáp ứng tất cả các nhu cầu liên lạc của bạn (cổng mặc định trỏ đến Adtran).

Sau đó, bạn có thể kết nối mọi thứ khác phía sau tường lửa để bảo vệ mạng của bạn.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.