Tôi đang gặp khó khăn trong việc thiết lập cách này và nhà cung cấp MPLS không giúp được gì nên tôi đoán tôi sẽ hỏi ở đây.

Tôi có một MPLS 2 nút mỗi trang có quyền truy cập internet trên cùng một mạch mà MPLS chạy trên. Các mạch này thay thế truy cập internet chuyên dụng tại mỗi trang web bằng một đường hầm IPSEC giữa các trang web. Chúng tôi muốn để lại tường lửa hiện tại của mình vì chúng cung cấp dịch vụ lọc nội dung và dịch vụ VPN. Tôi đang cố gắng định cấu hình chuyển đổi lớp 3 (cisco SG300-10P) tại mỗi trang web để thiết lập kịch bản này.

Thông tin liên quan (địa chỉ IP đã thay đổi để bảo vệ thành ngữ của tôi)

Trang web A

1. Lan địa phương: 172,18.0.0 / 16
2. Tường lửa hiện có (nội bộ): 172,18.0.254
3. Cổng MPLS đến trang web B: 172,18.0.1
4. Phạm vi IP Internet 192.77.1.144-28
5. Cổng nhà mạng đến mạng 192.77.1.145

Các mục 3 và 5 nằm trên một mảnh đồng duy nhất đến từ một mạng lưới adtran (Carrier Carrier tôi không có quyền truy cập)

Trang web B

1. Lan địa phương: 192.168.2.0/23
2. Tường lửa hiện có (nội bộ): 192.168.2.1
3. Cổng MPLS đến trang web A: 192.168.2.2
4. Phạm vi IP Internet 216.60.1.16/28
5. Cổng nhà mạng đến internet 216.60.1.16

Mục 3 và 5 nằm trên một mảnh đồng duy nhất đến từ adtran 908e (Trang bị cho nhà cung cấp tôi không có quyền truy cập)

Vì vậy, với những gì tôi muốn làm ở trên, mỗi trang web sẽ thiết lập các công tắc cisco này để:

Cổng 1 = Cổng kết nối nhà cung cấp 2 = Cổng Lan giữa 3 = Tường lửa

Trường hợp lan cục bộ không tiếp xúc với phạm vi IP Internet (nghĩa là nếu một số yahoo thiết lập máy của họ trên một mạng internet được cung cấp với cổng nhà mạng thì nó không hoạt động) Hoặc chỉ khác với cổng 1, tất cả lưu lượng truy cập trong mạng con internet chỉ có thể thoát trên cổng 3 và từ cổng 1, tất cả lưu lượng trên mạng con lan cục bộ chỉ có thể thoát khỏi cổng 2.

Mọi nỗ lực tôi đã thực hiện cho đến nay đều không có quyền truy cập giữa các cổng ở tất cả hoặc hành vi câm cơ bản (bất kỳ máy chủ nào trên bất kỳ cổng nào cũng có thể đi qua tất cả các dải IP).

Câu hỏi đầu tiên ở đây vì vậy hãy tử tế. :) Nếu bạn cần thêm thông tin tôi sẽ vui lòng cung cấp nó.

Tùy thuộc vào cách dịch vụ được cung cấp bởi SP sẽ quyết định cách bạn có thể tách các dịch vụ ở cuối.

Các phương thức điển hình là một cổng trên mỗi dịch vụ hoặc thẻ Vlan cho mỗi dịch vụ.

Nếu SP đang gắn thẻ lưu lượng, bạn có thể chỉ cần thiết lập công tắc của mình thành trung kế cho SP và sau đó tách lưu lượng thành hai cổng truy cập (một đến FW và một cho LAN).

Nếu đó là một cổng trên mỗi dịch vụ thì chỉ cần tạo hai Vlan với các dịch vụ trong các Vlan khác nhau để tách biệt.

Giả sử Adtran không sử dụng Vlan, tôi sẽ thiết lập mạng truyền tải giữa Bộ định tuyến Adtran và Tường lửa (có thể sử dụng mạng đã có trên giao diện Adtran).

Làm xong việc đó, bạn chỉ cần thêm các tuyến đường trên Tường lửa để đáp ứng tất cả các nhu cầu liên lạc của bạn (cổng mặc định trỏ đến Adtran).

Sau đó, bạn có thể kết nối mọi thứ khác phía sau tường lửa để bảo vệ mạng của bạn.