Manejo de circuitos MPLS basados ​​en VLAN con acceso a Internet específico del sitio

11

Estoy teniendo dificultades para entender cómo configurar esto y el proveedor de MPLS no está siendo de ayuda, así que pensé en preguntar aquí.

Tengo un MPLS de 2 nodos cada sitio que tiene acceso a Internet en el mismo circuito en el que se monta el MPLS. Estos circuitos reemplazan el acceso a Internet dedicado en cada sitio con un túnel IPSEC entre los sitios. Queremos dejar nuestros firewalls existentes en su lugar ya que proporcionan filtrado de contenido y servicios VPN. Estoy tratando de configurar un conmutador de capa 3 (un cisco SG300-10P) en cada sitio para configurar este escenario.

La información relevante (las direcciones IP cambiaron para proteger mi idiotez)

Sitio A

  1. Lan local: 172.18.0.0/16
  2. Cortafuegos existente (interno): 172.18.0.254
  3. Puerta de enlace MPLS al sitio B: 172.18.0.1
  4. Rango de IP de Internet 192.77.1.144/28
  5. Carrier Gateway a internet 192.77.1.145

Los artículos 3 y 5 están en una sola pieza de cobre proveniente de una netvana adtran (equipo portador no tengo acceso)

Sitio B

  1. Lan local: 192.168.2.0/23
  2. Cortafuegos existente (interno): 192.168.2.1
  3. Puerta de enlace MPLS al sitio A: 192.168.2.2
  4. Rango de IP de Internet 216.60.1.16/28
  5. Carrier Gateway a internet 216.60.1.16

Los artículos 3 y 5 están en una sola pieza de cobre proveniente de un adtran 908e (equipo portador no tengo acceso)

Entonces, dado lo anterior, lo que quiero hacer en cada sitio es configurar estos conmutadores de Cisco para que:

Puerto 1 = Conexión de portadora Puerto 2 = Lan LAN interna 3 = Cortafuegos

Cuando la LAN local no está expuesta al rango de IP de Internet (es decir, si algunos yahoo configuran su máquina en una IP de Internet provista con la puerta de enlace de los operadores, no funciona) O, de manera diferente al puerto 1, todo el tráfico en la subred de Internet solo puede salir en el puerto 3 y desde el puerto 1 todo el tráfico en la subred LAN local solo puede salir del puerto 2.

Cada intento que he hecho hasta ahora da como resultado ningún acceso entre los puertos o un comportamiento básico de tonto (cualquier host en cualquier puerto puede atravesar todos los rangos de IP).

Primera pregunta aquí, así que por favor sea amable. :) Si necesita más información, estaremos encantados de proporcionarla.

vlan mpls TheMoo
fuente
1
¿Cómo has intentado separar el tráfico hasta ahora? ACL, VLAN, etc. También supongo que el operador está etiquetando los diferentes servicios. Entonces, ¿Internet estaría encendido, digamos, VLAN 10 y VPN en VLAN 20?
bigmstone
¿Puedes agregar un diagrama rápido de lo que estás tratando de hacer exactamente?
mellowd
@bigmstone Creo que podrías haberlo golpeado en la cabeza. El operador era todo "oh, simplemente coloque un interruptor en el frente y desactívelo" (se negaron a dar más detalles sobre eso, me encantaba volar por las operaciones nocturnas) No pensé en las etiquetas VLAN existentes que pueden estar saliendo de los Adtrans . Suena como su tiempo de cables. :)
TheMoo
Lo publicaré como una respuesta formal para que pueda cerrar la pregunta.
bigmstone
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

2

Dependiendo de cómo preste el servicio el SP, determinará cómo puede separar los servicios de su parte.

Los métodos típicos son un puerto por servicio o una etiqueta VLAN por servicio.

Si el SP está etiquetando el tráfico, puede configurar su conmutador para troncalizar el SP y luego separar el tráfico en dos puertos de acceso (uno a FW y otro a LAN).

Si es un puerto por servicio, simplemente cree dos VLAN con los servicios en diferentes VLAN para aislamiento.

bigmstone
fuente
2

Suponiendo que Adtran no esté usando VLAN, establecería una red de transporte entre el Enrutador Adtran y el Firewall (tal vez usando la que ya existe en la interfaz de Adtran).

Una vez hecho esto, solo necesita agregar rutas en el Firewall para cubrir todas sus necesidades de comunicación (puerta de enlace predeterminada que apunta a Adtran).

Luego, puede conectar todo lo demás detrás de su firwall para proteger sus redes.

Thieron
fuente