Gestione dei circuiti MPLS basati su VLAN con accesso a Internet specifico del sito

11

Sto avendo difficoltà a capire come impostare e il fornitore MPLS non mi è stato di aiuto, quindi ho pensato di chiedere qui.

Ho un MPLS a 2 nodi per ogni sito con accesso a Internet sullo stesso circuito su cui viaggia MPLS. Questi circuiti sostituiscono l'accesso a Internet dedicato in ciascun sito con un tunnel IPSEC tra i siti. Vogliamo lasciare attivi i nostri firewall esistenti in quanto forniscono servizi di filtro dei contenuti e VPN. Sto cercando di configurare uno switch di livello 3 (un Cisco SG300-10P) in ogni sito per impostare questo scenario.

Le informazioni rilevanti (indirizzi IP modificati per proteggere la mia idiozia)

Sito A

  1. Lan locale: 172.18.0.0/16
  2. Firewall esistente (interno): 172.18.0.254
  3. Gateway MPLS verso il sito B: 172.18.0.1
  4. Intervallo IP Internet 192.77.1.144/28
  5. Carrier Gateway per Internet 192.77.1.145

Gli articoli 3 e 5 sono su una singola pezza di rame proveniente da un netvana adtran (Equipaggiamento portante non ho accesso)

Sito B

  1. Lan locale: 192.168.2.0/23
  2. Firewall esistente (interno): 192.168.2.1
  3. Gateway MPLS verso il sito A: 192.168.2.2
  4. Intervallo IP Internet 216.60.1.16/28
  5. Carrier Gateway per Internet 216.60.1.16

Gli articoli 3 e 5 si trovano su una singola porzione di rame proveniente da un 908e adtran (Equipaggiamento portante non ho accesso)

Quindi, dato quanto sopra, ciò che voglio fare in ogni sito è impostare questi switch Cisco in modo che:

Porta 1 = Connessione portante Porta 2 = Interal Lan Porta 3 = Firewall

Laddove la LAN locale non sia esposta all'intervallo IP di Internet (ovvero se alcuni yahoo configurano la propria macchina su un IP Internet fornito con il gateway del corriere non funziona) O in modo diverso dalla porta 1 tutto il traffico nella sottorete Internet può solo uscita sulla porta 3 e dalla porta 1 tutto il traffico sulla sottorete lan locale può solo uscire dalla porta 2.

Ogni tentativo che ho fatto finora non ha alcun accesso tra le porte o un comportamento di base con lo stupido swith (qualsiasi host su qualsiasi porta può attraversare tutti gli intervalli IP).

Prima domanda qui, quindi per favore sii gentile. :) Se hai bisogno di ulteriori informazioni, sarei felice di fornirle.

vlan  mpls 
TheMoo
fonte
1
Come hai tentato di separare il traffico finora? ACL, VLAN, ecc.? Inoltre presumo che il corriere tagga i diversi servizi. Quindi Internet sarebbe su, diciamo, VLAN 10 e VPN su VLAN 20?
bigmstone,
Puoi aggiungere un diagramma veloce di cosa stai esattamente cercando di fare?
Mellowd,
@bigmstone Penso che potresti averlo colpito in testa. Il corriere era tutto "oh basta premere un interruttore davanti e svuotarlo" (si sono rifiutati di approfondire, devo amare volare di notte) Non ho pensato ai tag VLAN esistenti che potrebbero uscire dagli Adtrans . Sembra il suo tempo di WireShark. :)
TheMoo,
Lo posterò come una risposta formale in modo da poter avere un po 'di chiusura alla domanda.
bigmstone,
Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.
Ron Maupin

Risposte:

2

A seconda di come viene erogato il servizio da parte dell'SP, è possibile stabilire come separare i servizi.

I metodi tipici sono una porta per servizio o un tag VLAN per servizio.

Se l'SP sta codificando il traffico, puoi semplicemente impostare lo switch su trunk sull'SP e quindi separare il traffico in due porte di accesso (una a FW e una a LAN).

Se si tratta di una porta per servizio, è sufficiente creare due VLAN con i servizi in diverse VLAN per l'isolamento.

bigmstone
fonte
2

Supponendo che Adtran non stia utilizzando la VLAN, stabilirei una rete di trasporto tra il router Adtran e il firewall (magari utilizzando quello già esistente nell'interfaccia di Adtran).

Fatto ciò, devi solo aggiungere percorsi sul Firewall per coprire tutte le tue esigenze di comunicazione (gateway predefinito che punta ad Adtran).

Successivamente puoi connettere tutto il resto dietro il tuo firewall in modo da proteggere le tue reti.

Thieron
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.