VLAN tabanlı MPLS devrelerini sahaya özel internet erişimi ile işleme


11

Bunu ayarlamak için kafamı sarma konusunda zorluk yaşıyorum ve MPLS satıcısı yardım etmiyor bu yüzden burada sorardım düşündüm.

Ben MPLS sürmek aynı devre üzerinde internet erişimi olan her site 2 düğümlü MPLS var. Bu devreler, sitelerdeki ayrılmış internet erişiminin yerini siteler arasında bir IPSEC tüneli ile değiştirir. İçerik filtreleme ve VPN hizmetleri sundukları için mevcut güvenlik duvarlarımızı yerinde bırakmak istiyoruz. Bu senaryoyu kurmak için her sitede bir katman 3 anahtarı (bir cisco SG300-10P) yapılandırmaya çalışıyorum.

İlgili bilgiler (aptallığımı korumak için ip adresleri değişti)

Site A

  1. Yerel Lan: 172.18.0.0/16
  2. Mevcut Güvenlik Duvarı (dahili): 172.18.0.254
  3. B Sitesine MPLS Geçidi: 172.18.0.1
  4. İnternet IP Aralığı 192.77.1.144/28
  5. İnternet için Ağ Geçidi Geçidi 192.77.1.145

Madde 3 ve 5, bir adtran netvana'dan gelen tek bir bakır parçasındadır (Taşıyıcı ekipmanı erişimim yok)

Site B

  1. Yerel Lan: 192.168.2.0/23
  2. Mevcut Güvenlik Duvarı (dahili): 192.168.2.1
  3. A Sitesine MPLS Geçidi: 192.168.2.2
  4. İnternet IP Aralığı 216.60.1.16/28
  5. İnternete Giriş Kapısı 216.60.1.16

Madde 3 ve 5, bir adtran 908e'den gelen tek bir bakır parçasındadır (Taşıyıcı ekipmanı erişimim yok)

Yukarıda verilen her sitede ne yapmak istiyorum bu cisco anahtarları ayarlanır böylece:

Port 1 = Taşıyıcı Bağlantı Portu 2 = Interal Lan Port 3 = Güvenlik Duvarı

Yerel lan Internet IP aralığına maruz kalmazsa (örneğin, bazı yahoo makinelerini taşıyıcı ağ geçidi ile sağlanan bir internet ipine ayarlarsa) Veya bağlantı noktası 1'den farklı olarak internet alt ağındaki tüm trafik yalnızca bağlantı noktası 3'ten çıkış ve bağlantı noktası 1'den yerel lan alt ağındaki tüm trafik yalnızca bağlantı noktası 2'den çıkabilir.

Şimdiye kadar yaptığım her girişim, portlar arasında hiçbir erişim veya temel aptal swith davranışı ile sonuçlanmaz (herhangi bir porttaki herhangi bir ana bilgisayar tüm IP aralıklarına ulaşabilir).

Burada ilk soru lütfen nazik olun. :) Daha fazla bilgiye ihtiyacınız olursa size memnuniyetle yardımcı oluruz.


1
Şimdiye kadar trafiği ayırmaya nasıl çalıştınız? ACL'ler, VLAN'lar vb. Ayrıca taşıyıcının farklı hizmetleri etiketlediğini varsayıyorum. Diyelim ki VLAN 20'de İnternet VLAN 10 ve VPN?
bigmstone

Tam olarak ne yapmaya çalıştığınıza dair hızlı bir diyagram ekleyebilir misiniz?
mellowd

@bigmstone Bence kafasına vurmuş olabilirsiniz. Taşıyıcı hepsi "oh sadece bir anahtarı yapıştırın ve vlan kapalı" (onlar üzerinde ayrıntılı işlem yapmayı reddettiler, gece operasyonları tarafından uçmayı sevdiler) Adtrans'dan çıkan mevcut VLAN etiketleri hakkında düşünmedim . Wireshark zamanı gibi geliyor. :)
TheMoo

Resmi bir cevap olarak gönderirim, böylece soruya biraz kapanabilirsiniz.
bigmstone

Herhangi bir cevap size yardımcı oldu mu? öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar ortaya çıkmayacak, bir cevap arıyor. Alternatif olarak, kendi cevabınızı verebilir ve kabul edebilirsiniz.
Ron Maupin

Yanıtlar:


2

Hizmetin SP tarafından nasıl sunulduğuna bağlı olarak, hizmetleri sizin tarafınızdan nasıl ayırabileceğinizi belirleyecektir.

Tipik yöntemler, servis başına bir port veya servis başına bir VLAN etiketidir.

SP trafiği etiketliyorsa, anahtarınızı SP'nin gövdesine ayarlayabilir ve ardından trafiği iki erişim portuna ayırabilirsiniz (biri FW'ye ve diğeri LAN'a).

Hizmet başına bir bağlantı noktasıysa, yalıtım için farklı VLAN'lardaki hizmetlerle iki VLAN oluşturun.


2

Adtran'ın VLAN kullanmadığını varsayarsak, Adtran Router ve Güvenlik Duvarı arasında bir taşıma ağı kurabilirim (belki de Adtran arayüzünde zaten var olanı kullanarak).

Bunu yaptıktan sonra, Güvenlik Duvarı'na yalnızca tüm iletişim ihtiyaçlarınızı (Adtran'ı gösteren varsayılan ağ geçidi) karşılamak için yollar eklemeniz gerekir.

Daha sonra, güvenlik duvarınızın arkasındaki diğer her şeyi ağlarınızı koruyacak şekilde bağlayabilirsiniz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.