Manipulação de circuitos MPLS baseados em VLAN com acesso à Internet específico do site

11

Estou tendo dificuldades para entender como configurar isso e o fornecedor do MPLS não está ajudando, então pensei em perguntar aqui.

Eu tenho um MPLS de 2 nós em cada site com acesso à Internet no mesmo circuito em que o MPLS monta. Esses circuitos substituem o acesso dedicado à Internet em cada site por um túnel IPSEC entre os sites. Queremos deixar nossos firewalls existentes no lugar, pois eles fornecem filtragem de conteúdo e serviços VPN. Estou tentando configurar um switch de camada 3 (um Cisco SG300-10P) em cada site para configurar esse cenário.

As informações relevantes (endereços IP alterados para proteger minha idiotice)

Site A

  1. LAN local: 172.18.0.0/16
  2. Firewall existente (interno): 172.18.0.254
  3. Gateway MPLS para o Site B: 172.18.0.1
  4. Intervalo de IPs da Internet 192.77.1.144/28
  5. Gateway de operadora para internet 192.77.1.145

Os itens 3 e 5 estão em um único pedaço de cobre proveniente de um adtran netvana (equipamento de transporte que não tenho acesso)

Site B

  1. LAN local: 192.168.2.0/23
  2. Firewall existente (interno): 192.168.2.1
  3. Gateway MPLS para o Site A: 192.168.2.2
  4. Intervalo de IPs da Internet 216.60.1.16/28
  5. Gateway de operadora para a Internet 216.60.1.16

Os itens 3 e 5 estão em um único pedaço de cobre proveniente de um adtran 908e (equipamento de transporte não tenho acesso)

Dado o exposto acima, o que eu quero fazer em cada site é configurar esses switches Cisco para que:

Porta 1 = Conexão da operadora Porta 2 = Interal Lan Porta 3 = Firewall

Onde a LAN local não está exposta à faixa de IP da Internet (por exemplo, se algum yahoo configurar sua máquina em um ip de Internet fornecido com o gateway de operadoras, isso não funcionará)) Ou, diferentemente da porta 1, todo o tráfego na sub-rede da Internet pode apenas sair na porta 3 e a partir da porta 1, todo o tráfego na sub-rede local lan pode apenas sair da porta 2.

Todas as tentativas que fiz até agora não resultam em nenhum acesso entre as portas ou em um comportamento básico do swith (qualquer host em qualquer porta pode atravessar todos os intervalos de IP).

Primeira pergunta aqui, por favor, seja gentil. :) Se você precisar de mais informações, ficarei feliz em fornecê-lo.

TheMoo
fonte
1
Como você tentou separar o tráfego até agora? ACLs, VLANs, etc? Também estou assumindo que a operadora está etiquetando os diferentes serviços. Então a Internet estaria, digamos, na VLAN 10 e na VPN na VLAN 20?
bigmstone
Você pode adicionar um diagrama rápido do que exatamente você está tentando fazer?
MellowD
@ Bigstone Eu acho que você pode ter atingido na cabeça. A operadora estava toda "oh, basta colocar um interruptor na frente e desligá-lo" (eles se recusaram a falar sobre isso, precisam adorar voar durante as operações noturnas). Eu não pensei nas tags VLAN existentes que podem estar saindo do Adtrans. . Soa como o tempo do wireshark. :)
TheMoo
Vou postá-lo como uma resposta formal para que você possa encerrar a questão.
bigmstone
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

2

Dependendo de como o serviço é entregue pelo SP, será ditado como você pode separá-los.

Os métodos típicos são uma porta por serviço ou uma tag VLAN por serviço.

Se o SP estiver etiquetando o tráfego, você pode simplesmente configurar o seu switch como tronco para o SP e depois separar o tráfego em duas portas de acesso (uma para FW e outra para LAN).

Se for uma porta por serviço, basta criar duas VLANs com os serviços em diferentes VLANs para isolamento.

bigmstone
fonte
2

Supondo que o Adtran não esteja usando VLAN, eu estabeleceria uma rede de transporte entre o Adtran Router e o Firewall (talvez usando o que já existe na interface do Adtran).

Feito isso, você só precisa adicionar rotas no Firewall para cobrir todas as suas necessidades de comunicação (gateway padrão apontando para o Adtran).

Posteriormente, você poderá conectar tudo o que estiver atrás do firewall para proteger suas redes.

Thieron
fonte