MPLS VPN

hsuehlien 2014-10-22 11:22:57 ‧ 15738 瀏覽

分享至

大家好
請教一下各位
公司目前有兩個Site
網路架構如下圖

現在想讓兩個Site串MPLS VPN
讓Site B使用者連回Site A總公司
執行內部應用程式如ERP,MES...

那請問申請下來的MPLS線路
是串在兩個Site的Cisco Switch和D-Link Switch之間嗎

是否要再另外購買兩個可以Routing的設備
或是跟申請MPLS VPN的業者承租Routing設備呢

mytiny iT邦超人 1 級 ‧ 2014-10-22 23:26:55 檢舉

提出另一個思考方向給版大參考
如果SiteA與SiteB都在台灣
可以直接採用Site to Site VPN
FGT與JP常有人這樣做，效果很不錯
也可以省下不少線路費用

如果是本島與外地連接採用MPLS
真的強烈建議通通掛在防火牆上
以前有看到直接到內部網路的，多半是為了省事
把所有路由設定的工作全交給MPLS業者
小弟看到的後果蠻嚴重的是當一地受到感染入侵
另一地完全無險可守，直接被攻陷
因此建議您自己搞清路由設定，自設防火牆路由
相信您路由功力一定會大增的

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

6 個回答

yesongow

iT邦大師 1 級 ‧ 2014-10-22 11:31:49

最佳解答

那請問申請下來的MPLS線路
是串在兩個Site的Cisco Switch和D-Link Switch之間嗎？

不是，不能這樣串！
兩個site的local network 網段不同！
正確接法，應該將MPLS線路，個別接在FTG的WAN2，及JNP的WAN2上面！
並且MPLS應該會有獨立的IP及網段，例如10.1.1.1/30，及10.1.1.2/30

以Site B為例，PC的Default GW依然不變，指定為FTG的LAN IP
而FTG需要設定一條規則
Permit inside any to 192.168.1.0/24 by WAN2（10.1.1.2）

反之，Site A的JNP就要設定
Permit inside any to 192.168.2.0/24 by WAN2（10.1.1.1）

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

hsuehlien iT邦新手 3 級 ‧ 2014-10-22 12:04:56 檢舉

謝謝您的回答
之所以會這樣問
是因為之前任職別家公司時
印象中VPN線路雙邊都會有一顆Router
然後Router再接在Core Switch上
不然這樣接的用意是???

那請問如果將Site B的D-Link Switch
換成和Site A同樣的Cisco 3750 Switch
然後在Cisco 3750 Switch切VLAN
給MPLS獨立的網段使用
然後再Switch上再設Routing
比方說Site A要連上Site B 192.168.2.X的網段
就往10.1.1.1送
這樣是否可行呢?

不好意思~現在搞不清楚的是
MPLS申請下來後安裝
只是單純的MPLS數據機嗎
和一般ADSL一樣嗎
還是會有MPLS專用的Router
然後有Routing設定的問題呢

謝謝

hector958 iT邦研究生 2 級 ‧ 2014-10-22 14:28:06 檢舉

MPLS-VPN可以走在各種電路上，所以設備提供的狀況不大一樣。
走在專線電路上，設備可以由ISP租給你或是你自備。
走在FTTB光世代電路上則你們兩邊都會有一顆小烏龜數據機是ISP提供的，這顆小烏龜會由ISP預先設定好，是BRIDGE功能。而其後的路由器要自備。
走在ADSL電路上，則ISP提供的ADSL小烏龜是ROUTING MODE，其後可以接HUB、直接接電腦、或是再接另外的路由器。

你第二段切VLAN那樣是可以的。

hsuehlien iT邦新手 3 級 ‧ 2014-10-22 16:30:42 檢舉

所以MPLS-VPN還有分
它是架構在哪種電路上運作的囉

那請問路由設備連到業者的MPLS Network
不是會產生自己的網段嗎

那走專線電路的Router設備
和走ADSL電路Routing Mode的小烏龜
與MPLS Network連接的設定
和Site B與Site A的路由
是都設定在Router設備或小烏龜上嗎
那是業者設定還是自行處理呢

那走FTTB光世代電路Bridge Mode的小烏龜
與MPLS Network連接的設定在小烏龜上
而Site B與Site A的路由
是設定接在小烏龜後面的設備上囉

hector958 iT邦研究生 2 級 ‧ 2014-10-22 18:05:16 檢舉

對，有分，請看這邊
http://www.hilink.hinet.net/vpn_1.3.html

各種電路的設定是不一樣的，凡由ISP提供的設備會由ISP設定。

沒錯，FTTB電路的小烏龜只做BRIDGE，小烏龜中的設定是ISP會做好帶來，之後的東西都要自備。
裝機的師傅一般會帶NB，照著工單上面寫的設定值來設定NB的網路環境(也就是設成你即將自備的路由器的WAN端設定值)，然後打電話給機房，確認NB透過他剛剛拉的線與插電的小烏龜連通機房沒有問題，他就完工了。

yesongow iT邦大師 1 級 ‧ 2014-10-22 23:42:29 檢舉

如果MPLS VPN使用Bridge模式，小心A,B兩端的廣播封包太多，造成小小的VPN線路塞車喔！
基本上，較為推薦MPLS VPN是不同於公司現有的網段，以便能夠使用Routing模式！

hsuehlien iT邦新手 3 級 ‧ 2014-10-27 10:57:23 檢舉

謝謝大家熱心的回覆
由於目前只是讓Site B連回Site A總公司
執行內部應用程式如ERP,MES
所以已設定Juniper與Fortigate的IPSEC VPN使用
至於MPLS VPN~考量到未來有可能使用VoIP和視訊會議
所以才會先行規劃MPLS VPN的架構

那請教各位

如果總公司是申請企業型FTTB連到HiLink
中華電信會給那些資訊
比方說LAN IP,WAN IP...

那LAN IP的部分
指的是防火牆後的公司內部網段
WAN IP的部分
指的是防火牆前接的中華電信FTTB設備嗎
還是FTTB設備指的是
中華電信給的WAN網段的Gateway

分公司如果是申請ADSL HiLink的話
中華電信會給那些資訊
比方說LAN IP,WAN IP...

那LAN IP的部分
指的是防火牆後的公司內部網段
WAN IP的部分
指的是防火牆前接的ATU-R設備嗎
還是ATU-R設備指的是
中華電信給的WAN網段的Gateway

謝謝

登入發表回應

okra

iT邦研究生 3 級 ‧ 2014-10-22 13:31:05

hsuehlien提到：
那請問如果將Site B的D-Link Switch
換成和Site A同樣的Cisco 3750 Switch
然後在Cisco 3750 Switch切VLAN

這樣是可行的。就是點對點MPLS IP VPN可以使用Layer 3 switch （i.e. cisco 3750 switch），可是慣習的做法是使用Layer 2 router （i.e. cisco 1900 series router）。 cisco 3750 switch 已經end of sale and end support ，沒理由再花錢在過氣的設備。

回應 10
分享
檢舉

看更多先前的回應...收起先前的回應...

hsuehlien iT邦新手 3 級 ‧ 2014-10-22 14:06:51 檢舉

不好意思~那請教一下是像下面一樣的接法嗎

Site B Site A
L3-Switch<---L2 Router---MPLS VPN Network--L2 Router--->L3-Switch

那L2 Router是公司自己購買
還是可以直接向MPLS業者承租呢

hector958 iT邦研究生 2 級 ‧ 2014-10-22 14:34:09 檢舉

是針對需求啦，像我手邊有一條是
A地端設備 -- 路由器 -- MPLS VPN -- L3 SWITCH -- B地端設備與B地端另一區網
B地端的L3 SWITCH是有3個VLAN，一個是接MPLS VPN，一個是接設備，一個是接當地另一個區網。

okra iT邦研究生 3 級 ‧ 2014-10-22 16:17:14 檢舉

感覺版大是使用中華電信VPN企業專屬網路。為什麼不聯絡中華電信企業窗口，在這裡浪費時間，聽行外人黑白講？
如果講明白版大的需求（網絡設備CONFIG，切VLAN...），中華電信可以提供包您滿意的服務。
Router慣例需要公司自己購買，版大可以查詢中華電信是否可以包辦或者推薦承包商，免煩惱~~
建議參考：
MPLS VPN 網路架構
http://www.hilink.hinet.net/vpn_1.2.html
FAQ
http://www.hilink.hinet.net/vpn_1.7.html
聯絡我們
http://www.hilink.hinet.net/contact_1.0.html

hsuehlien iT邦新手 3 級 ‧ 2014-10-22 16:31:08 檢舉

請問您的A地端路由器
指的是Router或是Firewall
可以做Routing的設備嗎

假設我是使用FTTB光世代電路
那公司自己的路由器或L3 Switch
和小烏龜連接的相關設定
是由業者設定或者自己設定呢

hsuehlien iT邦新手 3 級 ‧ 2014-10-22 16:33:37 檢舉

謝謝okra大的回應
因為目前尚在評估階段
想說大概先了解一下狀況
再來決定後續的處理

okra iT邦研究生 3 級 ‧ 2014-10-22 17:42:28 檢舉

事先有良好的網路規劃，在專案經理和SE on site meeting 講明白需求（網絡設備CONFIG，切VLAN...），就免煩惱了~~

hector958 iT邦研究生 2 級 ‧ 2014-10-22 17:43:12 檢舉

對，A地端必須要能做路由的。
我不確定，但我當時都是自己設。

okra iT邦研究生 3 級 ‧ 2014-10-22 17:52:21 檢舉

若使用FTTB電路，客戶端則需自備L3 switch或L2 FE可獨立設定IP網段之路由器、IP分享器(須支援取消NAT功能)、防火牆等設備做路由交換介接。
http://www.hilink.hinet.net/vpn_1.2.html

okra iT邦研究生 3 級 ‧ 2014-10-23 01:08:35 檢舉

hsuehlien提到：
假設我是使用FTTB光世代電路
那公司自己的路由器或L3 Switch
和小烏龜連接的相關設定
是由業者設定或者自己設定呢

感覺版大沒有明白MPLS VPN(VPN企業專屬網路)和光世代的分別：
HiLink採用與Internet服務完全分離的設備，以及專屬中繼電路頻寬建構HiLink IP VPN網路，真正提供客戶一個虛擬、獨立及安全的路由交換環境，更能有效的隔絕駭客及病毒攻擊。
http://www.hilink.hinet.net/vpn_1.1.html

okra iT邦研究生 3 級 ‧ 2014-10-24 22:39:29 檢舉

hsuehlien提到：
執行內部應用程式如ERP,MES...

Internet IPSEC VPN 的 RAS (Reliability, Availability, Security)（可靠性，可用性，安全性）不及 MPLS VPN。

登入發表回應

fredttn

iT邦新手 4 級 ‧ 2014-10-23 08:27:37

不需要申請 MPLS vpn ( 錢多者不論 )
a - b 用 ipsec tunnel 打起來就可以了 ( 一定會通 , config 問一下古歌大神)
孩子公司賺錢不易 , 不要想著花錢!!!!

回應
分享
檢舉

登入發表回應

monkeyboy

iT邦新手 4 級 ‧ 2014-10-23 14:27:40

只有2個點不用申請MPLS,除非你公司不斷發展到很多分公司
否則點對點最簡單最省錢用Internet VPN IPSEC 透過你兩邊的防火牆,
建IPSEC vpn不是更便宜/更簡單嗎?

回應
分享
檢舉

登入發表回應

stonecode

iT邦研究生 5 級 ‧ 2014-10-23 14:46:29

MPLS VPN.....基本上你把它想成是中華電信給你一條專用的網路線，至於中間會經過什麼機房或是技術去串接或封包怎麼傳輸不是你該擔心的，當你花了錢租了這條網路線，就放心拿去接吧，個人是覺得不需經過防火牆，這條並不是所謂可上網或經INTERNET的EZVPN，穩定但頻帶不高(因為不便宜)。不同網段是二個SITE端看你怎麼去接，把二端的點當作是二個不同的交換器過來就好了，最後~把它想成是租用的一條網路線就好~~192.168.1.x就接另一端的192.168.1.x這麼想就可以了~~