MPLS VPN MCE问题

bocaccio

假如单位出口路由器作MCE,将互联网流量和政务外网流量逻辑隔离。
访问互联网用户和访问政务外网用户在同一个局域网，局域网是普通的网络。
这样用户能实现两种流量逻辑隔离吗。

ayakaforever

bocaccio 发表于 2017-4-16 14:50
省政务外网用的是MPLS VPN，这个可以确定。

其实只需要建立一个vpn实例，对应哪个政务网，绑在对应出口的子接口上。
然后所有需要通过政务网流量的网络设备都要同样建立vpn实例，对应的接口要绑定vpn实例。这样就可以实现完整的隔离了。其实理论上不这样做也可以，但是就不算完全隔离。
但是这样问题就来了，这一系列链路设备都需要建立并且绑定vpn实例的，而且要和出口那边的一样。省里会不会给你vpn实例的参数，比如RD RT?
补充一下，我刚才所说只有政务网绑定vpn实例，实际你那边也可能公网也绑定vpn实例。公网帮不绑定一样，反正已经隔离了，你多做一个反而配置麻烦。

ayakaforever

你说的太模糊了，什么是普通的网络，什么是逻辑隔离，路由器上有没有做VRF，怎么连接到ISP的。你的图没有任何作用，我也只能泛泛而谈，随便说一下了。
交换区块隔离可以通过划分vlan和acl进行。
交换机到路由器走不同的链路或者路由器划分子接口。
路由器通过路由策略或者策略路由将去往政务/互联网的数据转发至相应的接口/子接口。

xccnat

我看也是，划分vlan。做2层隔离，然后来个单臂理由不就得了

bocaccio

ayakaforever 发表于 2017-4-10 17:11
你说的太模糊了，什么是普通的网络，什么是逻辑隔离，路由器上有没有做VRF，怎么连接到ISP的。你的图没有任 ...

实际情况是这样，现在有个单位网络只能上互联网，通过运营商的线路到省政务外网，互联网出口在省政务外网。但是现在需要接入省政务外网访问政务外网58段，省政务外网58段和互联网是使用MPLS VPN逻辑隔离的。
假如我这边出口设备做MCE，建两个实例，一个互联网实例，一个政务外网58段实例。那么我核心交换机下面的两个电脑可以分别访问互联网和政务外网吗。

bocaccio

xccnat 发表于 2017-4-11 11:48
我看也是，划分vlan。做2层隔离，然后来个单臂理由不就得了

实际情况是这样，现在有个单位网络只能上互联网，通过运营商的线路到省政务外网，互联网出口在省政务外网。但是现在需要接入省政务外网访问政务外网58段，省政务外网58段和互联网是使用MPLS VPN逻辑隔离的。
假如我这边出口设备做MCE，建两个实例，一个互联网实例，一个政务外网58段实例。那么我核心交换机下面的两个电脑可以分别访问互联网和政务外网吗。

xccnat

你这问题急么  我今天刚做了个ospf建邻居的实验  
MPLS我也忘了差不多了 明天查完资料晚上我做实验能等不

ayakaforever

bocaccio 发表于 2017-4-11 21:33
实际情况是这样，现在有个单位网络只能上互联网，通过运营商的线路到省政务外网，互联网出口在省政务外网 ...

你还是没说清楚。
什么叫“现在有个单位网络只能上互联网，通过运营商的线路到省政务外网，互联网出口在省政务外网。”？
我只能理解为 你单位其实连接的就是政务外网，去互联网的出口是在政务外网上。你单位访问外网实际上是
单位----->政务外网------>互联网这样的。那么就不叫只能上互联网啊。你说话前后矛盾啊。还是说你有两条线路接入ISP？让人猜不出来呀。
至于后半段，技术上可以实现，用路由策略或者策略路由都可以实现。
你想让人帮你的忙，至少你要能说清楚你的拓扑和设备现有的部分配置。我们不能靠猜呀。

bocaccio

ayakaforever 发表于 2017-4-11 22:48
你还是没说清楚。
什么叫“现在有个单位网络只能上互联网，通过运营商的线路到省政务外网，互联网出口在 ...

互联网出口确实是这样的，单位其实连接的就是政务外网，去互联网的出口是在政务外网上。单位访问外网实际上是
单位----->政务外网------>互联网，但是只是通过政务外网上互联网，不能访问政务外网专有网络，也就是政务外网59段，现在想让单位出口设备做MCE，将互联网流量和政务外网专有网络流量逻辑分离。
我的疑惑是在出口能分开的话，到内部怎么分开呢。

现在只是规划阶段，还没有配置哦。

bocaccio

xccnat 发表于 2017-4-11 22:25
你这问题急么  我今天刚做了个ospf建邻居的实验  
MPLS我也忘了差不多了 明天查完资料晚上我做实验能等不

不急，等你有时间再做吧

ayakaforever

bocaccio 发表于 2017-4-14 09:18
互联网出口确实是这样的，单位其实连接的就是政务外网，去互联网的出口是在政务外网上。单位访问外网实际 ...

这样就明白多了。首先你要确定你们真的用了MPLS VPN。。。因为从你说的情况，不用MPLS VPN也是可以做到的。
这样，我假定用了mpls vpn，要是想做到两个网络隔离，要么你这边出口是两个物理接口出去，一个可以通互联网，一个是指定段。要么就是做子接口，同上。这是出口。
内部的话，其实也是可以的。既然是隔离，那么就不能一台电脑可以同时访问两个不同的网，这还叫什么隔离。
假如设备支持，那么其实是可以起VRF，或者在华为上叫vpn instance的。内部网路设备上起vrf,然后相关接口绑定就可以了。
这样，访问公网的走公网路由表，访问vpn的走vpn路由表，达到了逻辑隔离。
VRF或者说vpn instance是mpls vpn的基础，这个你看任何mpls vpn的教程都会提到。
,

bocaccio

ayakaforever 发表于 2017-4-14 12:31
这样就明白多了。首先你要确定你们真的用了MPLS VPN。。。因为从你说的情况，不用MPLS VPN也是可以做到的 ...

出口只有一条物理线路，准备用子接口的形式，也就是在出口设备上建两个VPN实例，一个互联网，一个政务网，分别绑在不同的子接口上。
我的疑问是，从防火墙到核心交换机是不是也要建立子接口，而且在核心交换机上也要建两个实例。将两个实例绑定到不同的子接口上？

bocaccio

ayakaforever 发表于 2017-4-14 12:31
这样就明白多了。首先你要确定你们真的用了MPLS VPN。。。因为从你说的情况，不用MPLS VPN也是可以做到的 ...

出口只有一条物理线路，准备用子接口的形式，也就是在出口设备上建两个VPN实例，一个互联网，一个政务网，分别绑在不同的子接口上。
我的疑问是，从防火墙到核心交换机是不是也要建立子接口，而且在核心交换机上也要建两个实例。将两个实例绑定到不同的子接口上？

bocaccio

ayakaforever 发表于 2017-4-14 12:31
这样就明白多了。首先你要确定你们真的用了MPLS VPN。。。因为从你说的情况，不用MPLS VPN也是可以做到的 ...

省政务外网用的是MPLS VPN，这个可以确定。

bocaccio

ayakaforever 发表于 2017-4-16 17:24
其实只需要建立一个vpn实例，对应哪个政务网，绑在对应出口的子接口上。
然后所有需要通过政务网流量的 ...

好的，你这一说，我就明白了，多谢啦