У меня возникают трудности, когда я думаю, как это настроить, и поставщик MPLS не помогает, поэтому я решил спросить здесь.
У меня есть MPLS с двумя узлами, каждый из которых имеет доступ в Интернет по той же схеме, что и MPLS. Эти каналы заменяют выделенный доступ в Интернет на каждом сайте туннелем IPSEC между сайтами. Мы хотим оставить наши существующие брандмауэры на месте, поскольку они обеспечивают фильтрацию контента и услуги VPN. Я пытаюсь настроить коммутатор уровня 3 (cisco SG300-10P) на каждом сайте, чтобы настроить этот сценарий.
Соответствующая информация (IP-адреса изменены, чтобы защитить мой идиотизм)
Сайт А
- Локальный Lan: 172.18.0.0/16
- Существующий межсетевой экран (внутренний): 172.18.0.254
- Шлюз MPLS к сайту B: 172.18.0.1
- Интернет диапазон IP 192.77.1.144/28
- Carrier Gateway to Internet 192.77.1.145
Пункты 3 и 5 относятся к единственному кусочку меди, поступающему из adtran netvana (У оператора нет доступа)
Сайт Б
- Локальный Lan: 192.168.2.0/23
- Существующий межсетевой экран (внутренний): 192.168.2.1
- Шлюз MPLS к сайту A: 192.168.2.2
- Интернет-диапазон IP-адресов 216.60.1.16/28
- Carrier Gateway to Internet 216.60.1.16
Пункты 3 и 5 относятся к единственному кусочку меди, поступающему из adtran 908e (у меня нет доступа к носителю)
Поэтому, учитывая вышесказанное, я хочу, чтобы на каждом сайте были настроены эти коммутаторы cisco, чтобы:
Порт 1 = Порт соединения с оператором 2 = Порт локальной сети 3 = Брандмауэр
Там, где локальная локальная сеть не подвержена влиянию диапазона IP-адресов в Интернете (т. Е. Если некоторые Yahoo настраивают свой компьютер на предоставленный IP-адрес Интернета со шлюзом операторов, он не работает) Или может отличаться от порта 1, весь трафик в подсети Интернет может быть только выход через порт 3 и из порта 1 весь трафик локальной подсети локальной сети может выходить только через порт 2.
Каждая попытка, которую я предпринял до сих пор, приводит к отсутствию доступа между портами вообще или к простому поведению тупого интерфейса (любой хост на любом порту может проходить через все диапазоны IP).
Первый вопрос здесь, так что будьте добры. :) Если вам нужна дополнительная информация, я был бы рад предоставить ее.
Ответы:
В зависимости от того, как сервис доставлен сервисным центром, вам будет предложено разделить сервисы с вашей стороны.
Типичные методы - это порт для каждой услуги или тег VLAN для каждой службы.
Если SP помечает трафик, вы можете просто настроить коммутатор на транк к SP, а затем разделить трафик на два порта доступа (один для FW и один для LAN).
Если это порт для каждой услуги, просто создайте две VLAN со службами в разных VLAN для изоляции.
источник
Предполагая, что Adtran не использует VLAN, я бы установил транспортную сеть между маршрутизатором Adtran и брандмауэром (возможно, используя ту, которая уже существует в интерфейсе Adtran).
Сделав это, вам нужно только добавить маршруты на брандмауэре, чтобы покрыть все ваши коммуникационные потребности (шлюз по умолчанию, указывающий на Adtran).
После этого вы можете подключить все остальное за своим firwall, чтобы он защищал ваши сети.
источник