これをセットアップする方法に頭を抱えるのに苦労しており、MPLSベンダーは役に立たないので、ここで質問すると思いました。

私はMPLSが乗っているのと同じ回線でインターネットにアクセスできる2ノードのMPLSを各サイトに持っています。これらの回線は、各サイトの専用インターネットアクセスを、サイト間のIPSECトンネルに置き換えます。既存のファイアウォールはコンテンツフィルタリングとVPNサービスを提供するため、そのままにしておく必要があります。このシナリオをセットアップするために、各サイトでレイヤー3スイッチ（cisco SG300-10P）を構成しようとしています。

関連情報（私の馬鹿を保護するためにIPアドレスが変更されました）

サイトA

1. ローカルLAN：172.18.0.0/16
2. 既存のファイアウォール（内部）：172.18.0.254
3. サイトBへのMPLSゲートウェイ：172.18.0.1
4. インターネットIP範囲192.77.1.144/28
5. インターネットへのキャリアゲートウェイ192.77.1.145

アイテム3と5は、アドトランネットバナからの銅の単一の部分にあります（キャリアは私がアクセスできません）

サイトB

1. ローカルLAN：192.168.2.0/23
2. 既存のファイアウォール（内部）：192.168.2.1
3. サイトAへのMPLSゲートウェイ：192.168.2.2
4. インターネットIP範囲216.60.1.16/28
5. インターネットへのキャリアゲートウェイ216.60.1.16

アイテム3と5は、adtran 908eからの銅の単一の部分にあります（キャリアは私がアクセスできません）

上記のように、各サイトで私がしたいことは、これらのCiscoスイッチを設定して、次のようにすることです。

ポート1 =キャリア接続ポート2 =インターナルLANポート3 =ファイアウォール

ローカルLANがインターネットIP範囲に公開されていない場合（つまり、一部のyahooが提供されたインターネットIPでキャリアゲートウェイを使用してマシンを設定している場合、機能しません）または、ポート1とは異なる方法で置くと、インターネットサブネット内のすべてのトラフィックは、ポート3で終了し、ポート1からローカルLANサブネット上のすべてのトラフィックはポート2でのみ終了できます。

これまでに試みたすべての結果は、ポート間のアクセスがまったくないか、基本的な単純な動作です（任意のポートの任意のホストがすべてのIP範囲を通過する可能性があります）。

ここで最初の質問なので、親切にしてください。:)あなたがより多くの情報を必要とするならば、私はそれを提供させていただきます。

サービスがSPによってどのように提供されるかに応じて、サービスをエンドでどのように分離できるかが決まります。

一般的な方法は、サービスごとのポートまたはサービスごとのVLANタグです。

SPがトラフィックにタグを付ける場合は、スイッチをSPにトランク接続するように設定し、トラフィックを2つのアクセスポート（1つはFWに、もう1つはLANに）に分離できます。

サービスごとのポートの場合は、分離するために、異なるVLANのサービスを使用して2つのVLANを作成します。

AdtranがVLANを使用していないと想定して、Adtranルーターとファイアウォールの間にトランスポートネットワークを確立します（おそらくAdtranインターフェースにすでに存在するものを使用します）。

それが終わったら、ファイアウォールにルートを追加するだけで、すべての通信ニーズに対応できます（デフォルトゲートウェイはAdtranを指します）。

その後、ファイアウォールの背後にある他のすべてのものを接続して、ネットワークを保護することができます。