我是否正确设计了我的 MPLS 网络?

网络工程 聚光灯
2021-07-20 03:33:28

这里的图表:

在此处输入图片说明

我被指派建立一个网络,其中 3 个总部可以安全地通信,他们必须有互联网连接,而且他们所有人都必须能够访问位于一个总部的公共服务器。

我已经对我的原始设计重新做了一个简单的设计,以便您可以更容易地理解我的想法。我已经查了很多关于这些问题,但我不知道我是否确定,所以这里是我的问题:

  1. 是否可以通过 MPLS 网络连接互联网?我读过这是可能的,但前提是 ISP 提供此服务。我查了很多关于这方面的资料,但几乎一无所获。那么,如果不可能,我是否可以为每个总部订购第二条租用线路,以便他们拥有 MPLS 用于与其他总部通信,第二条线路用于连接互联网?
  2. 在图中,MPLS 路由器 LER 是将路由 VLAN 的分布层路由器。我对吗?
  3. 对于 VLAN,我需要 VLAN 1 来观察 VLAN 2 和 3,但 VLAN 2 看不到任何其他 VLAN,而 VLAN 3 与 VLAN 2 相同。我猜测 VLAN 1 将有 1 个端口处于中继模式,并且以未标记模式休息。对于 VLAN 2 和 3,VLAN 1 的一个端口处于标记模式,其余端口处于未标记模式。我对吗?
  4. 防火墙是否正确放置?
  5. “公共服务器”是否正确放置,以便其他总部可以通过 MPLS 网络访问它们?
  6. 我查了有关 MPLS 和 IPsec 的信息,但没有出现很多信息,我的问题很简单,是否真的可以将 IPsec 放在 MPLS 上?

每个答案都非常感谢:) 谢谢

2个回答

用一组简单的问题回答这个问题非常复杂,但让我们尝试:

  1. 是的,可以通过 MPLS 云实现 Internet 连接,但这意味着您需要自行部署 MPLS L3 VPN,或者您的 MPLS 云将由上游 ISP 提供。

  2. 通常,边缘路由器 - 运行 MPLS 的路由器,与汇聚层中的 L3 交换机/路由器不同,特别是,您还向图片添加了防火墙。这是可行的,但通常最好在交换层而不是聚合/边缘层进行路由。

  3. 您正在尝试提出非常具体的配置问题,而不是专门的技术问题。可以通过各种技术分离 VLAN - 将接入端口拆分为 access 和中继是非常弱且不安全的方法。请以一种方式查看专用 VLAN,另一种方式是防火墙段,负责过滤主机或网络之间的流量。

  4. 再次,难题。在这个特定的拓扑中,是的,它们可以这样放置。然而,根据所需的性能或所需的功能,它们可能需要以不同的方式放置。

  5. “通用服务器”可用性将由配置而非拓扑管理。我们现在的数据太少,无法决定这是否可行。MPLS 可用于传输不同协议的流量,包括 IPv4 和 IPv6。

  6. 是的,可以通过 MPLS 使用 IPsec。IPsec 是基于 IP 的,MPLS 是 IP 的传输技术——无论是 IPv4 还是 IPv6。

您在所有 PE 路由器上为 Internet 创建 VRF,将流量定向到一个特定的 PE。然后 PE 路由器可以被定向到 Internet GW 路由器。然后可以为不同的服务或客户创建许多 VRF。需要 VLAN 来对流量进行分段

其它你可能感兴趣的问题
上一篇构建生成树链接 下一篇如何知道 Cisco 交换机上的接口利用率?