我希望在我们的总部和分支机构之间使用我的提供商以太网连接来执行第 2 层和第 3 层。我希望用于远程的 Ip 地址是使用 BGP 向 ISP 通告的那些地址。这将有助于 Internet 访问。另一方面,我希望 Trust SVR1 和 HQ SVR1 等能够相互交谈。我的主要问题是“我是否使用私有 IP、OSPF 和 VLAN 通过 SP 以太网将远程连接到总部(允许 Q-in-Q),然后从那里路由。我认为这是一个问题,因为我有仍然在分支 FW 上设置分区。这里的区域将包括 Internet、信任、DMZ。我还将为远程和 DMZ 服务器做 NAT。我正在寻找指导,我可以获得执行任何建议的命令。
您已经标记了这篇文章 Juniper,所以我假设这两个防火墙是某种类型的 SRX,在这种情况下 - 只需为每个接口创建区域,如下所示:
HQFW:
Internet Zone
HQ Server Zone
WAN
BranchFW:
Trust/Branch Server Zone
DMZ Zone
WAN
然后只需编写明确的策略(即参考服务器 IP)以允许区域之间的流量。你不是要在整个广域网扩展/隧道L2除了在非常具体的用例。
话虽如此,SRX 完全能够支持隧道 L2 作为点对点(通过 L2Circuit-over-MPLS-over-GRE)或多点(通过 VPLS-over-MPLS-over-GRE)。
下面的瞻博网络 VPLS 示例(使用 IPSEC,但是一旦您对 MTU 问题进行排序,这将适用于 GRE):
http://www.juniper.net/techpubs/en_US/junos15.1x49/topics/example/vpls-over-gre-ipsec.html