Menangani sirkuit MPLS berbasis VLAN dengan akses internet khusus situs

11

Saya mengalami kesulitan membungkus kepala saya tentang cara mengatur ini dan vendor MPLS sedang tidak membantu jadi saya pikir saya akan bertanya di sini.

Saya memiliki 2 simpul MPLS setiap situs memiliki akses internet di sirkuit yang sama dengan MPLS. Sirkuit ini menggantikan akses internet khusus di setiap situs dengan terowongan IPSEC di antara situs. Kami ingin membiarkan firewall yang ada tetap di tempatnya karena menyediakan penyaringan konten dan layanan VPN. Saya mencoba mengkonfigurasi switch layer 3 (a cisco SG300-10P) di setiap situs untuk mengatur skenario ini.

Info yang relevan (alamat ip diubah untuk melindungi kebodohan saya)

Situs A

  1. Lan Lokal: 172.18.0.0/16
  2. Firewall yang Ada (internal): 172.18.0.254
  3. Gerbang MPLS ke Situs B: 172.18.0.1
  4. Rentang IP Internet 192.77.1.144/28
  5. Carrier Gateway ke internet 192.77.1.145

Item 3 dan 5 ada di satu bagian tembaga yang berasal dari adtran netvana (Carrier equip saya tidak punya akses)

Situs B

  1. Lan Lokal: 192.168.2.0/23
  2. Firewall yang Ada (internal): 192.168.2.1
  3. Gateway MPLS ke Situs A: 192.168.2.2
  4. Rentang IP Internet 216.60.1.16/28
  5. Carrier Gateway ke internet 216.60.1.16

Item 3 dan 5 ada di satu bagian tembaga yang berasal dari adtran 908e (Carrier equip saya tidak punya akses)

Jadi dengan diberikan di atas apa yang ingin saya lakukan di setiap situs diatur cisco switch ini sehingga:

Port 1 = Carrier Connection Port 2 = Interal Lan Port 3 = Firewall

Di mana lan lokal tidak terkena rentang IP Internet (yaitu jika beberapa yahoo mengatur mesin mereka pada ip internet yang disediakan dengan gateway operator tidak berfungsi) Atau menempatkan berbeda dari port 1 semua lalu lintas di subnet internet hanya dapat keluar pada port 3 dan dari port 1 semua lalu lintas pada subnet lan lokal hanya dapat keluar dari port 2.

Setiap upaya yang saya lakukan sejauh ini menghasilkan tidak adanya akses antara port sama sekali atau perilaku swith bodoh dasar (setiap host pada port apa pun dapat melintasi semua rentang IP).

Pertanyaan pertama di sini jadi mohon berbaik hati. :) Jika Anda membutuhkan informasi lebih lanjut, saya akan dengan senang hati memberikannya.

vlan  mpls 
TheMoo
sumber
1
Bagaimana Anda mencoba memisahkan lalu lintas sejauh ini? ACL, VLAN, dll? Saya juga berasumsi operator menandai layanan yang berbeda. Jadi Internet akan aktif, katakanlah, VLAN 10 dan VPN di VLAN 20?
bigmstone
Bisakah Anda menambahkan diagram singkat tentang apa yang sebenarnya Anda coba lakukan?
mellowd
@ Bigmstone Saya pikir Anda mungkin telah memukulnya di kepala. Pembawa itu semua "oh hanya menempelkan saklar di depan dan mematikannya" (mereka menolak untuk menguraikan itu, harus cinta terbang oleh operasi malam) Saya tidak berpikir tentang tag VLAN yang ada yang mungkin keluar dari Adtrans . Kedengarannya seperti waktu wireshark. :)
TheMoo
Saya akan mempostingnya sebagai jawaban resmi sehingga Anda dapat menutup pertanyaan.
bigmstone
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

2

Bergantung pada bagaimana layanan disampaikan oleh SP akan menentukan bagaimana Anda dapat memisahkan layanan di pihak Anda.

Metode yang umum adalah port per layanan atau tag VLAN per layanan.

Jika SP menandai lalu lintas, Anda cukup mengatur sakelar Anda untuk trunk ke SP dan kemudian memisahkan lalu lintas menjadi dua port akses (satu ke FW dan satu ke LAN).

Jika itu adalah port per layanan maka buat saja dua VLAN dengan layanan di VLAN yang berbeda untuk isolasi.

batu besar
sumber
2

Dengan asumsi Adtran tidak menggunakan VLAN, saya akan membangun jaringan transportasi antara Adtran Router dan Firewall (mungkin menggunakan yang sudah ada pada antarmuka Adtran).

Setelah melakukan itu, Anda hanya perlu menambahkan rute pada Firewall untuk mencakup semua kebutuhan komunikasi Anda (gateway default mengarah ke Adtran).

Setelah itu, Anda dapat menghubungkan segala hal lain di belakang tembok api Anda sehingga melindungi jaringan Anda.

Thieron
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.