我很难集中精力进行设置，而MPLS供应商却无济于事，所以我想在这里问一下。

我有一个2节点MPLS，每个站点都可以在MPLS所在的同一电路上访问Internet。这些电路用站点之间的IPSEC隧道代替了每个站点上的专用Internet访问。我们希望保留现有的防火墙，因为它们可以提供内容过滤和VPN服务。我试图在每个站点上配置第3层交换机（cisco SG300-10P）以设置此方案。

相关信息（更改了IP地址以保护我的白痴）

网站A

1. 本地局域网：172.18.0.0/16
2. 现有防火墙（内部）：172.18.0.254
3. 到站点B的MPLS网关：172.18.0.1
4. 互联网IP范围192.77.1.144/28
5. 电信运营商网关192.77.1.145

第3项和第5项使用的是来自adtran netvana的单个铜皮（承运人装备，我无法使用）

网站B

1. 本地局域网：192.168.2.0/23
2. 现有防火墙（内部）：192.168.2.1
3. 到站点A的MPLS网关：192.168.2.2
4. 互联网IP范围216.60.1.16/28
5. 到互联网的运营商网关216.60.1.16

第3项和第5项使用的是来自adtran 908e的铜皮（载体设备我无权使用）

因此，鉴于上述，我想在每个站点上进行的操作是设置这些cisco开关，以便：

端口1 =运营商连接端口2 =内部局域网端口3 =防火墙

如果本地局域网未处于Internet IP范围内（例如，如果某些雅虎使用运营商网关将其机器设置在提供的Internet ip上，则它无法工作），或者与端口1不同，Internet子网中的所有流量只能从端口3退出，从端口1退出，本地lan子网上的所有流量只能退出端口2。

到目前为止，我所做的每一次尝试都导致端口之间根本无法访问，也没有基本的哑巴行为（任何端口上的任何主机都可以跨越所有IP范围）。

这里的第一个问题，所以请客气。:)如果您需要更多信息，我们将很乐意提供。

根据SP交付服务的方式，将决定如何在终端上分离服务。

典型的方法是每个服务使用一个端口或每个服务使用一个VLAN标记。

如果SP标记了流量，则只需将交换机设置为中继到SP，然后将流量分成两个访问端口（一个到FW，一个到LAN）。

如果它是每个服务的端口，则只需创建两个VLAN，并将服务放在不同的VLAN中进行隔离。

假设Adtran没有使用VLAN，我将在Adtran路由器和防火墙之间建立一个传输网络（也许使用Adtran接口上已经存在的网络）。

完成此操作后，您只需在防火墙上添加路由即可满足您的所有通信需求（指向Adtran的默认网关）。

之后，您可以连接防火墙后面的所有其他内容，从而保护您的网络。