Ich habe Schwierigkeiten, mich mit der Einrichtung zu beschäftigen, und der MPLS-Anbieter ist keine Hilfe, also dachte ich mir, ich würde hier fragen.
Ich habe eine 2-Knoten-MPLS für jede Site mit Internetzugang auf derselben Verbindung, auf der die MPLS fährt. Diese Schaltkreise ersetzen den dedizierten Internetzugang an jedem Standort durch einen IPSEC-Tunnel zwischen den Standorten. Wir möchten unsere vorhandenen Firewalls beibehalten, da sie Inhaltsfilterung und VPN-Dienste bereitstellen. Ich versuche, an jedem Standort einen Layer 3-Switch (einen Cisco SG300-10P) zu konfigurieren, um dieses Szenario einzurichten.
Die relevanten Informationen (IP-Adressen geändert, um meine Idiotie zu schützen)
Standort A.
- Local Lan: 172.18.0.0/16
- Vorhandene Firewall (intern): 172.18.0.254
- MPLS-Gateway zu Standort B: 172.18.0.1
- Internet IP Range 192.77.1.144/28
- Carrier Gateway zum Internet 192.77.1.145
Die Punkte 3 und 5 befinden sich auf einem Stück Kupfer, das aus einem Adtran Netvana stammt (Trägerausrüstung Ich habe keinen Zugang).
Standort B.
- Local Lan: 192.168.2.0/23
- Vorhandene Firewall (intern): 192.168.2.1
- MPLS-Gateway zu Standort A: 192.168.2.2
- Internet IP Range 216.60.1.16/28
- Carrier Gateway zum Internet 216.60.1.16
Die Gegenstände 3 und 5 befinden sich auf einem Stück Kupfer, das von einem Adtran 908e stammt (Trägerausrüstung, für die ich keinen Zugang habe).
In Anbetracht der obigen Ausführungen möchte ich an jedem Standort diese Cisco-Switches so einrichten, dass:
Port 1 = Carrier Connection Port 2 = Interal Lan Port 3 = Firewall
Wenn das lokale LAN nicht dem Internet-IP-Bereich ausgesetzt ist (dh wenn einige Yahoo ihren Computer auf einer bereitgestellten Internet-IP mit dem Carrier-Gateway einrichten, funktioniert dies nicht) oder anders als bei Port 1 kann der gesamte Datenverkehr im Internet-Subnetz nur Verlassen Sie Port 3 und von Port 1 kann der gesamte Datenverkehr im lokalen LAN-Subnetz nur Port 2 verlassen.
Jeder Versuch, den ich bisher unternommen habe, führt zu keinem Zugriff zwischen den Ports oder zu einem grundlegenden dummen Swith-Verhalten (jeder Host an einem beliebigen Port kann alle IP-Bereiche abdecken).
Erste Frage hier, bitte seien Sie freundlich. :) Wenn Sie weitere Informationen benötigen, gebe ich diese gerne weiter.
Antworten:
Abhängig davon, wie der Dienst vom SP bereitgestellt wird, wird festgelegt, wie Sie die Dienste an Ihrem Ende trennen können.
Typische Methoden sind entweder ein Port pro Dienst oder ein VLAN-Tag pro Dienst.
Wenn der SP den Datenverkehr markiert, können Sie einfach Ihren Switch für die Amtsleitung zum SP einrichten und den Datenverkehr dann in zwei Zugriffsports (einen für FW und einen für LAN) aufteilen.
Wenn es sich um einen Port pro Dienst handelt, erstellen Sie einfach zwei VLANs mit den Diensten in verschiedenen VLANs zur Isolierung.
quelle
Angenommen, der Adtran verwendet kein VLAN, würde ich ein Transportnetzwerk zwischen dem Adtran-Router und der Firewall einrichten (möglicherweise unter Verwendung des Netzwerks, das bereits auf der Adtran-Schnittstelle vorhanden ist).
Anschließend müssen Sie der Firewall nur noch Routen hinzufügen, um alle Ihre Kommunikationsanforderungen zu erfüllen (Standard-Gateway, das auf den Adtran verweist).
Anschließend können Sie alles andere hinter Ihrer Firwall verbinden, um Ihre Netzwerke zu schützen.
quelle