การจัดการวงจร MPLS ที่ใช้ VLAN พร้อมการเข้าถึงอินเทอร์เน็ตเฉพาะไซต์


11

ฉันมีปัญหาในการคาดเดาวิธีตั้งค่าและผู้ขาย MPLS ไม่ได้รับความช่วยเหลือดังนั้นฉันจึงคิดว่าฉันจะถามที่นี่

ฉันมี MPLS 2 โหนดในแต่ละไซต์ที่มีอินเทอร์เน็ตในวงจรเดียวกับที่ MPLS ขี่อยู่ วงจรเหล่านี้แทนที่การเข้าถึงอินเทอร์เน็ตโดยเฉพาะในแต่ละไซต์ด้วยช่องสัญญาณ IPSEC ระหว่างไซต์ เราต้องการปล่อยให้ไฟร์วอลล์ที่มีอยู่ของเราอยู่ในสถานที่เนื่องจากพวกเขาให้บริการการกรองเนื้อหาและบริการ VPN ฉันกำลังพยายามกำหนดค่าสวิตช์เลเยอร์ 3 (cisco SG300-10P) ที่แต่ละไซต์เพื่อตั้งค่าสถานการณ์นี้

ข้อมูลที่เกี่ยวข้อง (ที่อยู่ IP ถูกเปลี่ยนเพื่อป้องกันความโง่เง่าของฉัน)

ไซต์ A

  1. Local Lan: 172.18.0.0/16
  2. ไฟร์วอลล์ที่มีอยู่ (ภายใน): 172.18.0.254
  3. MPLS Gateway to Site B: 172.18.0.1
  4. ช่วง IP อินเทอร์เน็ต 192.77.1.144/28
  5. Carrier Gateway สู่อินเทอร์เน็ต 192.77.1.145

รายการที่ 3 และ 5 อยู่บนทองแดงชิ้นเดียวที่มาจาก adtran netvana (ผู้ให้บริการที่ฉันไม่มีสิทธิ์เข้าถึง)

ไซต์ B

  1. Local Lan: 192.168.2.0/23
  2. ไฟร์วอลล์ที่มีอยู่ (ภายใน): 192.168.2.1
  3. MPLS Gateway to Site A: 192.168.2.2
  4. ช่วง IP อินเทอร์เน็ต 216.60.1.16/28
  5. Carrier Gateway สู่อินเทอร์เน็ต 216.60.1.16

รายการที่ 3 และ 5 อยู่บนทองแดงชิ้นเดียวที่มาจาก adtran 908e (ผู้ให้บริการที่ฉันไม่สามารถเข้าถึงได้)

จากที่กล่าวมาข้างต้นสิ่งที่ฉันต้องการจะทำในแต่ละไซต์มีการตั้งค่าสวิตช์ cisco เหล่านี้เพื่อที่:

พอร์ต 1 = พอร์ตการเชื่อมต่อของผู้ให้บริการ 2 = พอร์ต Lan ภายใน 3 = ไฟร์วอลล์

ในกรณีที่ LAN ท้องถิ่นไม่ได้สัมผัสกับช่วง IP ของอินเทอร์เน็ต (เช่นถ้า yahoo บางตัวตั้งค่าเครื่องของพวกเขาบนอินเทอร์เน็ตไอพีที่ให้มาพร้อมกับเกตเวย์ผู้ให้บริการมันไม่ทำงาน) หรือวางแตกต่างจากพอร์ต 1 การรับส่งข้อมูลทั้งหมดในซับเน็ตอินเทอร์เน็ตเท่านั้น ออกที่พอร์ต 3 และจากพอร์ต 1 ทราฟฟิกทั้งหมดบนเครือข่ายย่อย LAN ท้องถิ่นสามารถออกได้เฉพาะพอร์ต 2

ความพยายามทุกครั้งที่ฉันได้ทำจนถึงขณะนี้ทำให้ไม่มีการเข้าถึงระหว่างพอร์ตเลยหรือเป็นพฤติกรรมพื้นฐานที่เป็นใบ้ (โฮสต์ใด ๆ บนพอร์ตใด ๆ สามารถข้ามช่วง IP ทั้งหมดได้)

คำถามแรกที่นี่ดังนั้นโปรดกรุณา :) หากคุณต้องการข้อมูลเพิ่มเติมฉันยินดีที่จะให้มัน


1
คุณพยายามแยกการเข้าชมเป็นอย่างไร ACLs, VLANs เป็นต้น นอกจากนี้ฉันสมมติว่าผู้ให้บริการกำลังติดแท็กบริการที่แตกต่าง ดังนั้นอินเทอร์เน็ตจะเปิดใช้งานพูดว่า VLAN 10 และ VPN บน VLAN 20 หรือไม่
bigmstone

คุณสามารถเพิ่มไดอะแกรมอย่างรวดเร็วของสิ่งที่คุณพยายามจะทำอย่างไร
mellowd

@bigmstone ฉันคิดว่าคุณน่าจะตีมันที่หัว ผู้ให้บริการคือทั้งหมด "โอ้เพียงแค่ติดสวิตช์ไว้ด้านหน้าและ vlan จะปิด" (พวกเขาปฏิเสธที่จะอธิบายอย่างละเอียดว่าต้องรักการบินในเวลากลางคืน) ฉันไม่ได้คิดถึงแท็ก VLAN ที่มีอยู่ซึ่งอาจมาจาก Adtrans . เสียงเหมือนเวลาของมัน wireshark :)
TheMoo

ฉันจะโพสต์เป็นคำตอบอย่างเป็นทางการเพื่อให้คุณสามารถปิดคำถามได้
bigmstone

คำตอบใดช่วยคุณได้บ้าง ถ้าเป็นเช่นนั้นคุณควรยอมรับคำตอบเพื่อที่คำถามจะไม่โผล่ขึ้นมาเรื่อย ๆ โดยมองหาคำตอบ หรือคุณสามารถให้และยอมรับคำตอบของคุณเอง
Ron Maupin

คำตอบ:


2

ขึ้นอยู่กับว่าบริการถูกจัดส่งโดย SP จะกำหนดวิธีการที่คุณสามารถแยกบริการในตอนท้ายของคุณ

วิธีการทั่วไปเป็นพอร์ตต่อบริการหรือแท็ก VLAN ต่อบริการ

หาก SP ติดแท็กทราฟฟิกคุณสามารถตั้งค่าสวิตช์ของคุณเป็น trunk ไปยัง SP แล้วแยกทราฟฟิกออกเป็นสองพอร์ตการเข้าถึง (หนึ่งถึง FW และอีกหนึ่งเป็น LAN)

หากเป็นพอร์ตต่อบริการให้สร้าง VLAN สองตัวด้วยบริการใน VLANs ที่แตกต่างกันเพื่อแยกกัน


2

สมมติว่า Adtran ไม่ได้ใช้ VLAN ฉันจะสร้างเครือข่ายการขนส่งระหว่างเราเตอร์ Adtran และไฟร์วอลล์ (อาจใช้ที่มีอยู่แล้วบนอินเทอร์เฟซ Adtran)

เมื่อทำเช่นนั้นแล้วคุณจะต้องเพิ่มเส้นทางบนไฟร์วอลล์เพื่อครอบคลุมความต้องการด้านการสื่อสารทั้งหมดของคุณ (เกตเวย์เริ่มต้นที่ชี้ไปยัง Adtran)

หลังจากนั้นคุณสามารถเชื่อมต่อทุกอย่างอื่นที่อยู่หลัง firwall ของคุณเพื่อที่จะได้ป้องกันเครือข่ายของคุณ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.