Gestion des circuits MPLS basés sur VLAN avec un accès Internet spécifique au site

11

J'ai du mal à comprendre comment configurer cela et le fournisseur MPLS ne m'aide pas, alors j'ai pensé que je demanderais ici.

J'ai un MPLS à 2 nœuds chaque site ayant un accès Internet sur le même circuit que le MPLS monte. Ces circuits remplacent l'accès Internet dédié à chaque site par un tunnel IPSEC entre les sites. Nous voulons laisser nos pare-feu existants en place car ils fournissent des services de filtrage de contenu et de VPN. J'essaie de configurer un commutateur de couche 3 (un Cisco SG300-10P) sur chaque site pour configurer ce scénario.

Les informations pertinentes (les adresses IP ont été modifiées pour protéger mon idiotie)

Site A

  1. LAN local: 172.18.0.0/16
  2. Pare-feu existant (interne): 172.18.0.254
  3. Passerelle MPLS vers le site B: 172.18.0.1
  4. Plage IP Internet 192.77.1.144/28
  5. Passerelle de l'opérateur vers Internet 192.77.1.145

Les éléments 3 et 5 sont sur un seul morceau de cuivre provenant d'un adtran netvana (équipement de transporteur auquel je n'ai pas accès)

Site B

  1. LAN local: 192.168.2.0/23
  2. Pare-feu existant (interne): 192.168.2.1
  3. Passerelle MPLS vers le site A: 192.168.2.2
  4. Plage IP Internet 216.60.1.16/28
  5. Passerelle de l'opérateur vers Internet 216.60.1.16

Les éléments 3 et 5 sont sur un seul morceau de cuivre provenant d'un adtran 908e (équipement de transporteur auquel je n'ai pas accès)

Donc, étant donné ce qui précède, ce que je veux faire sur chaque site est de configurer ces commutateurs Cisco de sorte que:

Port 1 = Carrier Connection Port 2 = Interal Lan Port 3 = Firewall

Lorsque le réseau local n'est pas exposé à la plage IP Internet (c'est-à-dire si certains yahoo configurent leur machine sur une IP Internet fournie avec la passerelle des opérateurs, cela ne fonctionne pas) Ou mettez différemment du port 1 tout le trafic dans le sous-réseau Internet ne peut que quittez le port 3 et du port 1 tout le trafic sur le sous-réseau local ne peut quitter que le port 2.

Chaque tentative que j'ai faite jusqu'à présent n'aboutit à aucun accès entre les ports ou à un comportement basique de swith (n'importe quel hôte sur n'importe quel port peut traverser toutes les plages IP).

Première question ici, alors soyez gentil. :) Si vous avez besoin de plus d'informations, je serais heureux de vous les fournir.

TheMoo
la source
1
Comment avez-vous tenté de séparer le trafic jusqu'à présent? ACL, VLAN, etc.? Je suppose également que le transporteur marque les différents services. Donc Internet serait, disons, VLAN 10 et VPN sur VLAN 20?
bigmstone
Pouvez-vous ajouter un diagramme rapide de ce que vous essayez exactement de faire?
mellowd
@bigmstone Je pense que vous l'avez peut-être frappé à la tête. Le transporteur était tout "oh juste enfoncer un interrupteur devant et le vlan" (ils ont refusé de développer, je dois adorer voler par des opérations de nuit) Je n'ai pas pensé aux balises VLAN existantes qui pourraient sortir des Adtrans . Sonne comme son heure de wirehark. :)
TheMoo
Je vais le poster comme une réponse formelle afin que vous puissiez terminer la question.
bigmstone
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

2

Selon la façon dont le service est fourni par le SP, vous dicterez comment séparer les services de votre côté.

Les méthodes typiques sont soit un port par service, soit une balise VLAN par service.

Si le SP marque le trafic, vous pouvez simplement configurer votre commutateur de jonction vers le SP, puis séparer le trafic en deux ports d'accès (un vers FW et un vers LAN).

S'il s'agit d'un port par service, créez simplement deux VLAN avec les services dans différents VLAN pour l'isolement.

bigmstone
la source
2

En supposant qu'Adtran n'utilise pas de VLAN, j'établirais un réseau de transport entre le routeur Adtran et le pare-feu (en utilisant peut-être celui qui existe déjà sur l'interface Adtran).

Cela fait, il vous suffit d'ajouter des routes sur le pare-feu pour couvrir tous vos besoins de communication (passerelle par défaut pointant vers l'Adtran).

Ensuite, vous pouvez connecter tout le reste derrière votre pare-feu afin qu'il protège vos réseaux.

Thieron
la source