我有一个2节点MPLS,每个站点都可以访问Internet与MPLS相同的电路。这些电路用站点之间的IPSEC隧道代替了每个站点上的专用Internet访问。我们希望保留现有的防火墙,因为它们可以提供内容过滤和VPN服务。我正在尝试在每个站点上配置第3层交换机(cisco SG300-10P)以设置此方案。
相关信息(更改IP地址以保护我的习惯)
站点A
本地局域网:172.18.0.0/16
现有防火墙(内部):172.18.0.254
站点B的MPLS网关:172.18。 0.1
Internet IP范围192.77.1.144/28
通往Internet的运营商网关192.77.1.145
第3项和第5项是来自adtran netvana(运营商)的单一铜皮装备我无权访问)
站点B
本地局域网:192.168.2.0/23
现有防火墙(内部):192.168.2.1 < br到站点A的MPLS网关:192.168.2.2
Internet IP范围216.60.1.16/28
到Internet的运营商网关216.60.1.16
项目3和5位于一个来自adtran 908e的单铜铜(运营商设备我无法访问)
因此,鉴于上述,我想在每个站点上设置这些cisco开关,以便:
港口1 =卡尔ier Connection
端口2 =内部局域网
端口3 =防火墙
本地局域网未暴露在Internet IP范围内的地方(例如,如果某些yahoo将其计算机设置在提供了带有运营商网关的Internet ip不能正常工作)或与端口1不同,互联网子网中的所有流量只能从端口3退出,而本地lan子网中的所有流量只能从端口2退出。 />
到目前为止,我所做的每一次尝试都导致端口之间根本无法访问,也没有基本的哑巴行为(任何端口上的任何主机都可以跨越所有IP范围)。善待。 :)如果您需要更多信息,我很乐意提供。
#1 楼
根据SP交付服务的方式,将决定如何在终端上分离服务。典型的方法是每个服务使用一个端口或每个服务使用一个VLAN标记。
如果SP标记了流量,则只需将交换机设置为中继到SP,然后将流量分成两个访问端口(一个到FW,一个到LAN)。
如果这是每个服务的端口,然后只需创建两个VLAN,并将服务放在不同的VLAN中进行隔离即可。
#2 楼
假设Adtran没有使用VLAN,我将在Adtran路由器和防火墙之间建立一个传输网络(也许使用Adtran接口上已经存在的网络)。需要在防火墙上添加路由来满足您的所有通信需求(指向Adtran的默认网关)。
之后,您可以连接防火墙后面的所有其他内容,从而保护您的网络。
评论
到目前为止,您如何尝试分隔流量? ACL,VLAN等?我还假设运营商正在标记不同的服务。这样,Internet将会在VLAN 10上运行,而在VLAN 20上运行VPN吗?您能否添加一张简短的图表,说明您到底想做什么?
@bigmstone我认为您可能已经将它击中了头。运营商全都是“哦,只是把交换机插在前面,然后关闭它”(他们拒绝详细说明,必须在夜间操作中飞翔),我没有想到Adtrans可能会出现的现有VLAN标签。听起来像是它的wireshark时间。 :)
我会将其发布为正式答案,以便您可以解决该问题。
有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以发布并接受自己的答案。