Tôi đang gặp khó khăn trong việc thiết lập cách này và nhà cung cấp MPLS không giúp được gì nên tôi đoán tôi sẽ hỏi ở đây.
Tôi có một MPLS 2 nút mỗi trang có quyền truy cập internet trên cùng một mạch mà MPLS chạy trên. Các mạch này thay thế truy cập internet chuyên dụng tại mỗi trang web bằng một đường hầm IPSEC giữa các trang web. Chúng tôi muốn để lại tường lửa hiện tại của mình vì chúng cung cấp dịch vụ lọc nội dung và dịch vụ VPN. Tôi đang cố gắng định cấu hình chuyển đổi lớp 3 (cisco SG300-10P) tại mỗi trang web để thiết lập kịch bản này.
Thông tin liên quan (địa chỉ IP đã thay đổi để bảo vệ thành ngữ của tôi)
Trang web A
- Lan địa phương: 172,18.0.0 / 16
- Tường lửa hiện có (nội bộ): 172,18.0.254
- Cổng MPLS đến trang web B: 172,18.0.1
- Phạm vi IP Internet 192.77.1.144-28
- Cổng nhà mạng đến mạng 192.77.1.145
Các mục 3 và 5 nằm trên một mảnh đồng duy nhất đến từ một mạng lưới adtran (Carrier Carrier tôi không có quyền truy cập)
Trang web B
- Lan địa phương: 192.168.2.0/23
- Tường lửa hiện có (nội bộ): 192.168.2.1
- Cổng MPLS đến trang web A: 192.168.2.2
- Phạm vi IP Internet 216.60.1.16/28
- Cổng nhà mạng đến internet 216.60.1.16
Mục 3 và 5 nằm trên một mảnh đồng duy nhất đến từ adtran 908e (Trang bị cho nhà cung cấp tôi không có quyền truy cập)
Vì vậy, với những gì tôi muốn làm ở trên, mỗi trang web sẽ thiết lập các công tắc cisco này để:
Cổng 1 = Cổng kết nối nhà cung cấp 2 = Cổng Lan giữa 3 = Tường lửa
Trường hợp lan cục bộ không tiếp xúc với phạm vi IP Internet (nghĩa là nếu một số yahoo thiết lập máy của họ trên một mạng internet được cung cấp với cổng nhà mạng thì nó không hoạt động) Hoặc chỉ khác với cổng 1, tất cả lưu lượng truy cập trong mạng con internet chỉ có thể thoát trên cổng 3 và từ cổng 1, tất cả lưu lượng trên mạng con lan cục bộ chỉ có thể thoát khỏi cổng 2.
Mọi nỗ lực tôi đã thực hiện cho đến nay đều không có quyền truy cập giữa các cổng ở tất cả hoặc hành vi câm cơ bản (bất kỳ máy chủ nào trên bất kỳ cổng nào cũng có thể đi qua tất cả các dải IP).
Câu hỏi đầu tiên ở đây vì vậy hãy tử tế. :) Nếu bạn cần thêm thông tin tôi sẽ vui lòng cung cấp nó.