通过站点特定的互联网访问处理基于 VLAN 的 MPLS 电路

网络工程 VLAN 聚光灯
2021-07-20 18:01:26

我很难思考如何设置它,而 MPLS 供应商也没有帮助,所以我想我会在这里问。

我有一个 2 节点 MPLS,每个站点都可以在 MPLS 所在的同一电路上访问互联网。这些电路用站点之间的 IPSEC 隧道代替了每个站点的专用 Internet 访问。我们希望保留现有的防火墙,因为它们提供内容过滤和 VPN 服务。我正在尝试在每个站点配置一个第 3 层交换机(一个 cisco SG300-10P)来设置这个场景。

相关信息(IP地址更改以保护我的白痴)

站点A

  1. 本地局域网:172.18.0.0/16
  2. 现有防火墙(内部):172.18.0.254
  3. 到站点 B 的 MPLS 网关:172.18.0.1
  4. 互联网 IP 范围 192.77.1.144/28
  5. 到互联网的运营商网关 192.77.1.145

项目 3 和 5 位于来自 adtran netvana 的一块铜板上(我无法访问载体设备)

B站

  1. 本地局域网:192.168.2.0/23
  2. 现有防火墙(内部):192.168.2.1
  3. 到站点 A 的 MPLS 网关:192.168.2.2
  4. 互联网 IP 范围 216.60.1.16/28
  5. 运营商网关到互联网 216.60.1.16

项目 3 和 5 位于来自 adtran 908e 的单个铜片上(我无法访问载体装备)

因此,鉴于上述情况,我想在每个站点上设置这些 cisco 交换机,以便:

端口 1 = 运营商连接端口 2 = 内部局域网端口 3 = 防火墙

如果本地局域网没有暴露在互联网 IP 范围内(即,如果某些雅虎将他们的机器设置在提供的互联网 IP 上,运营商网关则不起作用)或者与端口 1 不同的是,互联网子网中的所有流量只能从端口 3 和端口 1 退出,本地 LAN 子网上的所有流量只能从端口 2 退出。

到目前为止,我所做的每一次尝试都导致端口之间根本无法访问或出现基本的愚蠢行为(任何端口上的任何主机都可以跨越所有 IP 范围)。

第一个问题在这里,所以请善待。:) 如果您需要更多信息,我很乐意提供。

2个回答

根据 SP 提供服务的方式,您将决定如何将服务分开。

典型的方法是每个服务的端口或每个服务的 VLAN 标记。

如果 SP 正在标记流量,您只需将交换机设置为中继到 SP,然后将流量分成两个接入端口(一个到 FW,一个到 LAN)。

如果它是每个服务的一个端口,那么只需创建两个 VLAN,其中的服务位于不同的 VLAN 中以进行隔离。

假设 Adtran 不使用 VLAN,我将在 Adtran 路由器和防火墙之间建立一个传输网络(可能使用 Adtran 接口上已经存在的网络)。

完成后,您只需要在防火墙上添加路由即可满足您的所有通信需求(默认网关指向 Adtran)。

之后,您可以连接防火墙后面的所有其他设备,以保护您的网络。

其它你可能感兴趣的问题
上一篇通过提供商桥扩展 MACSec 加密 下一篇在由运营商 NTE 进行协商的“可变”速度链路上实施 QoS