Obsługa obwodów MPLS opartych na sieci VLAN z dostępem do Internetu dla określonej lokalizacji

11

Mam problem z obejściem tego, jak to skonfigurować, a dostawca MPLS nie pomaga, więc pomyślałem, że zapytam tutaj.

Mam 2 węzły MPLS na każdej stronie z dostępem do Internetu na tym samym obwodzie, na którym jeździ MPLS. Obwody te zastępują dedykowany dostęp do Internetu w każdej lokalizacji tunelem IPSEC między lokalizacjami. Chcemy pozostawić nasze istniejące zapory ogniowe, ponieważ zapewniają one filtrowanie treści i usługi VPN. Próbuję skonfigurować przełącznik warstwy 3 (cisco SG300-10P) w każdej lokalizacji, aby skonfigurować ten scenariusz.

Odpowiednie informacje (adresy IP zostały zmienione w celu ochrony mojego idiotyzmu)

Witryna A

  1. Lokalna sieć LAN: 172.18.0.0/16
  2. Istniejąca zapora ogniowa (wewnętrzna): 172.18.0.254
  3. Brama MPLS do witryny B: 172.18.0.1
  4. Internetowy zakres adresów IP 192.77.1.144/28
  5. Brama przewoźnika do Internetu 192.77.1.145

Pozycje 3 i 5 znajdują się na jednym kawałku miedzi pochodzącym z netvany adtran (wyposażenie przewoźnika, do którego nie mam dostępu)

Witryna B

  1. Lokalna sieć LAN: 192.168.2.0/23
  2. Istniejąca zapora (wewnętrzna): 192.168.2.1
  3. Brama MPLS do witryny A: 192.168.2.2
  4. Internetowy zakres IP 216.60.1.16/28
  5. Gateway Gateway to Internet 216.60.1.16

Pozycje 3 i 5 znajdują się na jednym kawałku miedzi pochodzącym z adtran 908e (wyposażenie przewoźnika, do którego nie mam dostępu)

Biorąc powyższe pod uwagę, co chcę zrobić w każdej witrynie, skonfiguruj te przełączniki cisco, aby:

Port 1 = Port operatora Połączenie 2 = Interal Lan Port 3 = Zapora ogniowa

Tam, gdzie lokalna sieć LAN nie jest narażona na zasięg Internetu IP (tj. Jeśli jakiś Yahoo ustawia swoją maszynę na dostarczonym internetowym IP z bramą operatora, to nie działa) Lub umieścić inaczej niż port 1, cały ruch w podsieci internetowej może tylko wyjście z portu 3 i z portu 1 cały ruch w lokalnej podsieci LAN może wyjść tylko z portu 2.

Każda próba, którą do tej pory podjąłem, powoduje brak dostępu między portami lub podstawowe głupie zachowanie (każdy host na dowolnym porcie może uzyskać dostęp do wszystkich zakresów adresów IP).

Pierwsze pytanie tutaj, więc proszę bądź miły. :) Jeśli potrzebujesz więcej informacji chętnie je przekażę.

vlan mpls TheMoo
źródło
1
Jak do tej pory próbowałeś oddzielić ruch? Listy ACL, VLAN itp.? Zakładam też, że przewoźnik oznacza różne usługi. Czy Internet byłby włączony, powiedzmy, VLAN 10 i VPN na VLAN 20?
bigmstone
Czy możesz dodać szybki schemat tego, co dokładnie próbujesz zrobić?
mellowd
@bigmstone Myślę, że mogłeś trafić go w głowę. Nośnikiem było „och, po prostu włóż przełącznik z przodu i wyłącz go” (odmówili opracowania, uwielbiają latać operacjami nocnymi) Nie myślałem o istniejących tagach VLAN, które mogą wychodzić z Adtrans . Brzmi jak czas Wireshark. :)
TheMoo,
Prześlę to jako formalną odpowiedź, abyś mógł trochę zamknąć pytanie.
bigmstone
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

2

W zależności od tego, w jaki sposób usługa jest świadczona przez SP, będzie dyktować, w jaki sposób możesz rozdzielić usługi po swojej stronie.

Typowe metody to port na usługę lub tag VLAN na usługę.

Jeśli SP oznacza tagowanie ruchu, możesz po prostu ustawić przełącznik na magistrali do SP, a następnie podzielić ruch na dwa porty dostępu (jeden do FW, a drugi do LAN).

Jeśli jest to port na usługę, po prostu utwórz dwie sieci VLAN z usługami w różnych sieciach VLAN w celu izolacji.

Bigmstone
źródło
2

Zakładając, że Adtran nie używa VLAN, ustanowiłbym sieć transportową między routerem Adtran a zaporą ogniową (być może przy użyciu tej, która już istnieje w interfejsie Adtran).

Po wykonaniu tej czynności wystarczy dodać trasy w Zaporze ogniowej, aby zaspokoić wszystkie potrzeby komunikacyjne (brama domyślna wskazuje Adtran).

Następnie możesz podłączyć wszystko inne za firwall, aby chronić twoje sieci.

Thieron
źródło