Umgang mit VLAN-basierten MPLS-Verbindungen mit ortsspezifischem Internetzugang

11

Ich habe Schwierigkeiten, mich mit der Einrichtung zu beschäftigen, und der MPLS-Anbieter ist keine Hilfe, also dachte ich mir, ich würde hier fragen.

Ich habe eine 2-Knoten-MPLS für jede Site mit Internetzugang auf derselben Verbindung, auf der die MPLS fährt. Diese Schaltkreise ersetzen den dedizierten Internetzugang an jedem Standort durch einen IPSEC-Tunnel zwischen den Standorten. Wir möchten unsere vorhandenen Firewalls beibehalten, da sie Inhaltsfilterung und VPN-Dienste bereitstellen. Ich versuche, an jedem Standort einen Layer 3-Switch (einen Cisco SG300-10P) zu konfigurieren, um dieses Szenario einzurichten.

Die relevanten Informationen (IP-Adressen geändert, um meine Idiotie zu schützen)

Standort A.

  1. Local Lan: 172.18.0.0/16
  2. Vorhandene Firewall (intern): 172.18.0.254
  3. MPLS-Gateway zu Standort B: 172.18.0.1
  4. Internet IP Range 192.77.1.144/28
  5. Carrier Gateway zum Internet 192.77.1.145

Die Punkte 3 und 5 befinden sich auf einem Stück Kupfer, das aus einem Adtran Netvana stammt (Trägerausrüstung Ich habe keinen Zugang).

Standort B.

  1. Local Lan: 192.168.2.0/23
  2. Vorhandene Firewall (intern): 192.168.2.1
  3. MPLS-Gateway zu Standort A: 192.168.2.2
  4. Internet IP Range 216.60.1.16/28
  5. Carrier Gateway zum Internet 216.60.1.16

Die Gegenstände 3 und 5 befinden sich auf einem Stück Kupfer, das von einem Adtran 908e stammt (Trägerausrüstung, für die ich keinen Zugang habe).

In Anbetracht der obigen Ausführungen möchte ich an jedem Standort diese Cisco-Switches so einrichten, dass:

Port 1 = Carrier Connection Port 2 = Interal Lan Port 3 = Firewall

Wenn das lokale LAN nicht dem Internet-IP-Bereich ausgesetzt ist (dh wenn einige Yahoo ihren Computer auf einer bereitgestellten Internet-IP mit dem Carrier-Gateway einrichten, funktioniert dies nicht) oder anders als bei Port 1 kann der gesamte Datenverkehr im Internet-Subnetz nur Verlassen Sie Port 3 und von Port 1 kann der gesamte Datenverkehr im lokalen LAN-Subnetz nur Port 2 verlassen.

Jeder Versuch, den ich bisher unternommen habe, führt zu keinem Zugriff zwischen den Ports oder zu einem grundlegenden dummen Swith-Verhalten (jeder Host an einem beliebigen Port kann alle IP-Bereiche abdecken).

Erste Frage hier, bitte seien Sie freundlich. :) Wenn Sie weitere Informationen benötigen, gebe ich diese gerne weiter.

TheMoo
quelle
1
Wie haben Sie bisher versucht, den Verkehr zu trennen? ACLs, VLANs usw.? Ich gehe auch davon aus, dass der Netzbetreiber die verschiedenen Dienste markiert. Das Internet wäre also beispielsweise in VLAN 10 und VPN in VLAN 20?
Bigmstone
Können Sie ein kurzes Diagramm hinzufügen, was genau Sie versuchen zu tun?
Mellowd
@bigmstone Ich denke, Sie haben es vielleicht auf den Kopf getroffen. Der Carrier war alles "Oh, steck einfach einen Schalter vor und schalte ihn aus" (sie weigerten sich, darauf einzugehen, ich muss es lieben, bei Nacht zu fliegen). Ich dachte nicht an die vorhandenen VLAN-Tags, die möglicherweise aus den Adtrans kommen . Klingt nach Wireshark-Zeit. :)
TheMoo
Ich werde es als formelle Antwort veröffentlichen, damit Sie die Frage abschließen können.
Bigmstone
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

2

Abhängig davon, wie der Dienst vom SP bereitgestellt wird, wird festgelegt, wie Sie die Dienste an Ihrem Ende trennen können.

Typische Methoden sind entweder ein Port pro Dienst oder ein VLAN-Tag pro Dienst.

Wenn der SP den Datenverkehr markiert, können Sie einfach Ihren Switch für die Amtsleitung zum SP einrichten und den Datenverkehr dann in zwei Zugriffsports (einen für FW und einen für LAN) aufteilen.

Wenn es sich um einen Port pro Dienst handelt, erstellen Sie einfach zwei VLANs mit den Diensten in verschiedenen VLANs zur Isolierung.

Bigmstone
quelle
2

Angenommen, der Adtran verwendet kein VLAN, würde ich ein Transportnetzwerk zwischen dem Adtran-Router und der Firewall einrichten (möglicherweise unter Verwendung des Netzwerks, das bereits auf der Adtran-Schnittstelle vorhanden ist).

Anschließend müssen Sie der Firewall nur noch Routen hinzufügen, um alle Ihre Kommunikationsanforderungen zu erfüllen (Standard-Gateway, das auf den Adtran verweist).

Anschließend können Sie alles andere hinter Ihrer Firwall verbinden, um Ihre Netzwerke zu schützen.

Thieron
quelle