Mam problem z obejściem tego, jak to skonfigurować, a dostawca MPLS nie pomaga, więc pomyślałem, że zapytam tutaj.
Mam 2 węzły MPLS na każdej stronie z dostępem do Internetu na tym samym obwodzie, na którym jeździ MPLS. Obwody te zastępują dedykowany dostęp do Internetu w każdej lokalizacji tunelem IPSEC między lokalizacjami. Chcemy pozostawić nasze istniejące zapory ogniowe, ponieważ zapewniają one filtrowanie treści i usługi VPN. Próbuję skonfigurować przełącznik warstwy 3 (cisco SG300-10P) w każdej lokalizacji, aby skonfigurować ten scenariusz.
Odpowiednie informacje (adresy IP zostały zmienione w celu ochrony mojego idiotyzmu)
Witryna A
- Lokalna sieć LAN: 172.18.0.0/16
- Istniejąca zapora ogniowa (wewnętrzna): 172.18.0.254
- Brama MPLS do witryny B: 172.18.0.1
- Internetowy zakres adresów IP 192.77.1.144/28
- Brama przewoźnika do Internetu 192.77.1.145
Pozycje 3 i 5 znajdują się na jednym kawałku miedzi pochodzącym z netvany adtran (wyposażenie przewoźnika, do którego nie mam dostępu)
Witryna B
- Lokalna sieć LAN: 192.168.2.0/23
- Istniejąca zapora (wewnętrzna): 192.168.2.1
- Brama MPLS do witryny A: 192.168.2.2
- Internetowy zakres IP 216.60.1.16/28
- Gateway Gateway to Internet 216.60.1.16
Pozycje 3 i 5 znajdują się na jednym kawałku miedzi pochodzącym z adtran 908e (wyposażenie przewoźnika, do którego nie mam dostępu)
Biorąc powyższe pod uwagę, co chcę zrobić w każdej witrynie, skonfiguruj te przełączniki cisco, aby:
Port 1 = Port operatora Połączenie 2 = Interal Lan Port 3 = Zapora ogniowa
Tam, gdzie lokalna sieć LAN nie jest narażona na zasięg Internetu IP (tj. Jeśli jakiś Yahoo ustawia swoją maszynę na dostarczonym internetowym IP z bramą operatora, to nie działa) Lub umieścić inaczej niż port 1, cały ruch w podsieci internetowej może tylko wyjście z portu 3 i z portu 1 cały ruch w lokalnej podsieci LAN może wyjść tylko z portu 2.
Każda próba, którą do tej pory podjąłem, powoduje brak dostępu między portami lub podstawowe głupie zachowanie (każdy host na dowolnym porcie może uzyskać dostęp do wszystkich zakresów adresów IP).
Pierwsze pytanie tutaj, więc proszę bądź miły. :) Jeśli potrzebujesz więcej informacji chętnie je przekażę.