Estou tendo dificuldades para entender como configurar isso e o fornecedor do MPLS não está ajudando, então pensei em perguntar aqui.
Eu tenho um MPLS de 2 nós em cada site com acesso à Internet no mesmo circuito em que o MPLS monta. Esses circuitos substituem o acesso dedicado à Internet em cada site por um túnel IPSEC entre os sites. Queremos deixar nossos firewalls existentes no lugar, pois eles fornecem filtragem de conteúdo e serviços VPN. Estou tentando configurar um switch de camada 3 (um Cisco SG300-10P) em cada site para configurar esse cenário.
As informações relevantes (endereços IP alterados para proteger minha idiotice)
Site A
- LAN local: 172.18.0.0/16
- Firewall existente (interno): 172.18.0.254
- Gateway MPLS para o Site B: 172.18.0.1
- Intervalo de IPs da Internet 192.77.1.144/28
- Gateway de operadora para internet 192.77.1.145
Os itens 3 e 5 estão em um único pedaço de cobre proveniente de um adtran netvana (equipamento de transporte que não tenho acesso)
Site B
- LAN local: 192.168.2.0/23
- Firewall existente (interno): 192.168.2.1
- Gateway MPLS para o Site A: 192.168.2.2
- Intervalo de IPs da Internet 216.60.1.16/28
- Gateway de operadora para a Internet 216.60.1.16
Os itens 3 e 5 estão em um único pedaço de cobre proveniente de um adtran 908e (equipamento de transporte não tenho acesso)
Dado o exposto acima, o que eu quero fazer em cada site é configurar esses switches Cisco para que:
Porta 1 = Conexão da operadora Porta 2 = Interal Lan Porta 3 = Firewall
Onde a LAN local não está exposta à faixa de IP da Internet (por exemplo, se algum yahoo configurar sua máquina em um ip de Internet fornecido com o gateway de operadoras, isso não funcionará)) Ou, diferentemente da porta 1, todo o tráfego na sub-rede da Internet pode apenas sair na porta 3 e a partir da porta 1, todo o tráfego na sub-rede local lan pode apenas sair da porta 2.
Todas as tentativas que fiz até agora não resultam em nenhum acesso entre as portas ou em um comportamento básico do swith (qualquer host em qualquer porta pode atravessar todos os intervalos de IP).
Primeira pergunta aqui, por favor, seja gentil. :) Se você precisar de mais informações, ficarei feliz em fornecê-lo.
Respostas:
Dependendo de como o serviço é entregue pelo SP, será ditado como você pode separá-los.
Os métodos típicos são uma porta por serviço ou uma tag VLAN por serviço.
Se o SP estiver etiquetando o tráfego, você pode simplesmente configurar o seu switch como tronco para o SP e depois separar o tráfego em duas portas de acesso (uma para FW e outra para LAN).
Se for uma porta por serviço, basta criar duas VLANs com os serviços em diferentes VLANs para isolamento.
fonte
Supondo que o Adtran não esteja usando VLAN, eu estabeleceria uma rede de transporte entre o Adtran Router e o Firewall (talvez usando o que já existe na interface do Adtran).
Feito isso, você só precisa adicionar rotas no Firewall para cobrir todas as suas necessidades de comunicação (gateway padrão apontando para o Adtran).
Posteriormente, você poderá conectar tudo o que estiver atrás do firewall para proteger suas redes.
fonte