总部正在使用真正的路由器和交换机,并且 HQ1 和 HQ2 的冗余工作正常。
网络的其余部分在 GNS3 内部,目前实际路由和 GNS3 之间没有连接(我稍后会处理)。
但在 GNS3 内部,我有一个完整的实验室,总部与两个站点(PBA、PBB、BPC、P2 和 P3 模拟互联网)进行通信。
我希望总部(他们也将拥有 PC 和 IP 电话)也能与真正的互联网通话,我对此有点困惑,因为如果路由器(HQ1/HQ2)和两个站点之间存在隧道,我相信所有的流量都会去那里,如果不是网站,我怎么能访问互联网?
我可以在 HQ1/HQ2 上使用可能带有 ACL 的接口吗?但更好的解决方案是添加从模拟互联网到真实互联网的默认路由(ACL,默认路由?)。
我知道这种方式超出了 CCNA 级别,但这是一个项目,我很开心。
有几种不同的方法可以实现您的目标。根据我的经验,最简单的方法是在服务提供商“PE”路由器和客户“CE”路由器之间使用 vlan。一个 VLAN 将连接到 MPLS l3vpn (vrf),第二个 VLAN 将连接到互联网 VRF/或默认路由表。
我经常发现客户将在其总部或数据中心拥有大型防火墙设备。我将在 PE 连接上配置头端路由器/防火墙 (CE),如下所示:
VLAN x -> 连接到 PE 上的 l3vpn cust-a-l3vpn -> 通过 ospf/bgp/rip/static 通告和接收路由(选择你的风格)。头端路由器将默认路由通告到 l3vpn。
VLAN y -> 连接到 PE 上的默认路由表 -> 如果需要,可以配置 BGP,否则静态默认就足够了。将此路由重新分配到 l3vpn。
l3vpn 站点将了解到它们可以通过头端路由器通过通告的默认路由访问 Internet。对于从 l3vpn 到互联网的流量,前端路由器本质上是一个“棒上的路由器”。
另一个流行的选择是通过使用两个 vlan 分别为每个 l3vpn 站点提供 Internet 访问。每个站点都会有一个如上所述的默认路由,并且不会将其通告到 l3vpn。然后,l3vpn 将仅用于私人站点到站点的流量。
您如何设计和实施它取决于特定情况下的任何要求。(冗余、成本、可用设备、流量等)
希望这可以帮助。
干杯,
~H