Настройка Cisco ASA в прозрачном режиме: Layer2 DMZ w / Vlan translation

Я нахожусь в середине проекта, чтобы перенести некоторые существующие соединительные линии ethernet dot1q через брандмауэр ASA ... эти соединительные линии имеют по пять модулей каждый (пронумеровано 51-55). Это простой рисунок исходного сервиса layer2 ...

VLAN_Translation_00

Одним из требований является наличие контекста брандмауэра ASA для Vlan в исходной соединительной линии dot1q. Это означает, что я завершаю использование BVI для подключения нового интерфейса INSIDE к интерфейсу DMZ в каждом контексте FW. Из-за других ограничений я завершаю конфигурацию FW, подобную этой (я обобщаю все материалы контекста, чтобы упростить вопрос) ...

  брандмауэр прозрачный
!
интерфейс GigabitEthernet0 /1.51
 vlan 51
 Имя ВНУТРИ
 уровень безопасности 100
 Мост-группа 1
!
интерфейс GigabitEthernet0 /2.951
 vlan 951
 Nameif DMZ
 уровень безопасности 50
 Мост-группа 1
!
интерфейс BVI1
 ip-адрес 10.10.51.240 255.255.255.0 в режиме ожидания 10.10.51.241
!
 

Cisco ASAs в прозрачном режиме завершает работу с использованием двух разных идентификаторов vlan для подключения службы уровня 1 sllan. Подключите два vlans через интерфейс BVI1 ; конфигурация bridge-group 1 на каждом физическом интерфейсе делает соединение между Vlan51 и Vlan951 в приведенной выше конфигурации.

Предположим, что ASA: Gi0 /2 подключается к 4507: Gi1 /2 ... Обратите внимание, что происходит с интерфейсом DMZ ... ASA DMZ Vlan - 951, и это соединяется через магистраль dot1q с DMZ-переключателем (Cat4507 ). Мне нужно подключить D1 к коммутатору 4507: Gi1 /1, но я должен доставить услуги Vlan951-955 до D1 как dot1q Vlan51-55 на 4507: Gi1 /1. Другими словами, споры Vlan BVI, которые я должен был сделать в ASA, испортили нумерацию Vlan в моем первоначальном определении сервиса.

VLAN_translation_01

К сожалению, я не могу легко перенумеровать Vlans на D1. Идеальное решение было бы как-то перевести Vlan951 на 4507: Gi1 /2 на Vlan51 на 4507: Gi1 /1. У Cisco есть функция, называемая vlan mapping , но, похоже, он требует QinQ ... все мои услуги простые dot1q ... 4500 vlan mapping docs не ясно, как они обрабатывают простую инкапсуляцию dot1q.

Я знаю, что могу перевести vlans в 4500 через loopback-кабель, но это сжигает два дополнительных порта на Vlan ... в общей сложности десять дополнительных портов для всех Vlans в службе (v51 - v55).

Вопрос

Обратитесь к диаграмме ниже.

VLAN_translation_01

Как я могу перевести все Vlans с номером 95x на магистраль 4507: Gi1 /2 dot1q для нумерации Vlan5x на 4507: Gi1 /1 dot1q? Мне нужно использовать наименьшее количество портов, потребляемых для «накладных расходов на перевод». Пожалуйста, укажите конфигурацию для всех портов, которые требуется вашему ответу.

Я открыт для vlan , если кто-то может объяснить, как он будет работать в этой топологии ...

Оборудование

  • 4507R + E, Sup7L-E с IOS XE 3.4.0
  • ASA5555X с 9.0 (2)
13 голосов | спросил Mike Pennington 9 J000000Tuesday13 2013, 08:01:10

3 ответа


12

У меня нет SUP7 для тестирования, но он работает на SUP6 и SUP32, я бы предположил, что SUP7 сохраняет эту функциональность.

Я тестировал между JNPR M320> SUP32 и « сопоставление VLAN JNPR SUP32 » работает отлично.

Нет необходимости в QinQ, что делает опция QinQ, она добавляет верхний тег к одному особенно тегу. Таким образом, switchport vlan mapping 1042 dot1q-tunnel 42 отображает входящий стек [1042] в стек [42 1042]. В отличие от switchport vlan mapping 1042 42 , который отображает входящий dot1q Vlan [1042] в dot1q Vlan [42].

Конфигурация JNPR M320:

  {master} [редактировать интерфейсы ge-0/1/0 unit 1042]
user @ m320 # показать
vlan-id 1042;
семейный inet {
    адрес 10.42.42.1/24;
}
{master} [редактировать интерфейсы ge-0/1/0 unit 1042]
user @ m320 # запустить show interfaces ge-0/1/0
Физический интерфейс: ge-0/1/0, Enabled, Physical link Up
  Индекс интерфейса: 135, SNMP ifIndex: 506
  Описание: B: SUP32 ge5 /1
  Тип уровня Link: Flexible-Ethernet, MTU: 9192, Скорость: 1000mbps, BPDU Ошибка: нет,
  MAC-REWRITE Ошибка: нет, Loopback: отключено, фильтрация источника: отключена, управление потоком: отключено,
  Автосогласование: включено, Удаленная ошибка: Интернет
  Флаги устройств: текущий запуск
  Флаги интерфейса: SNMP-Ловушки Внутренние: 0x4000
  Очереди CoS: 8 поддерживаемых, 8 максимально используемых очередей
  Текущий адрес: 00: 12: 1e: d5: 90: 7f, адрес аппаратного обеспечения: 00: 12: 1e: d5: 90: 7f
  Последний разворот: 2013-02-19 09:14:29 UTC (19w6d 21:12)
  Скорость ввода: 4560 бит /с (5 pps)
  Скорость вывода: 6968 бит /с (4 кадра в секунду)
  Активные аварийные сигналы: нет
  Активные дефекты: нет
  Статистика передачи интерфейса: отключено
 

Конфигурация SUP32:

  SUP32 # show run int giga5 /1
Конфигурация здания ...

Текущая конфигурация: 365 байт
!
интерфейс GigabitEthernet5 /1
 описание F: M320 ge-0/1/0
 порта коммутатора
 инкапсуляция магистрали коммутатора dot1q
 ствол режима переключения
 switchport nonegotiate
 включение отображения switchport vlan
 отображение коммутатора vlan 1042 42
 mtu 9216
 полоса пропускания 1000000
 скорость
 нет разрешения cdp
 соединительный порт
 включение bpdufilter в spanning-tree
конец

SUP32 # show ru int vlan42
Конфигурация здания ...

Текущая конфигурация: 61 байт
!
интерфейс Vlan42
 ip-адрес 10.42.42.2 255.255.255.0
конец

SUP32 # sh int GigabitEthernet5 /1 vlan mapping
Состояние: включено
Оригинальная VLAN, переведенная VLAN
------------- ---------------
  1042 42

SUP32 # sh int vlan42
Vlan42 встал, протокол линии вверх
  Аппаратом является EtherSVI, адрес 0005.ddee.6000 (bia 0005.ddee.6000)
  Интернет-адрес 10.42.42.2/24
  MTU 1500 байт, BW 1000000 Кбит, DLY 10 usec,
     надежность 255/255, txload 1/255, rxload 1/255
  Инкапсуляция ARPA, петля не установлена
  Keepalive не поддерживается
  Тип ARP: ARPA, время ожидания ARP 04:00:00
  Последний вход 00:00:09, вывод 00:01:27, выход висит никогда
  Последняя очистка счетчиков «show interface» никогда не была
  Входная очередь: 0/75/0/0 (размер /макс /капли /сбрасывание); Общий выход: 0
  Стратегия очередей: fifo
  Очередь вывода: 0/40 (размер /макс)
  5-минутная скорость ввода 0 бит /с, 0 пакетов /с
  5-минутная скорость вывода 0 бит /с, 0 пакетов /с
  L2 Switched: ucast: 17 pkt, 1920 bytes - mcast: 0 pkt, 0 байт
  L3 в Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 байт mcast: 0 pkt, 0 байт
     38 пакетов, 3432 байт, 0 без буфера
     Получено 21 трансляция (0 многоадресных IP-адресов)
     0 рун, 0 гигантов, 0 дросселей
     0 ошибок ввода, 0 CRC, 0 кадров, 0 превышение, 0 игнорируется
     26 пакетов, 2420 байт, 0 недоработок
     0 ошибок вывода, 0 сброса интерфейса
     0 выходных буферов вывода, 0 выходных буферов
 

И

  SUP32 # ping 10.42.42.1

Введите escape-последовательность для отмены.
Отправка 5, 100-байтовых ICMP Echos до 10.42.42.1, тайм-аут составляет 2 секунды:
!!!!!
Коэффициент успеха составляет 100% (5/5), округление в минуту min /avg /max = 1/1/1 мс
SUP32 # sh arp | i 10.42.42.1
Интернет 10.42.42.1 12 0012.1ed5.907f ARPA Vlan42
SUP32 # показать адрес адресной таблицы адресной таблицы 0012.1ed5.907f
Легенда: * - первичная запись
        возраст - секунды с тех пор
        n /a - не доступно

  vlan mac address type узнать возрастные порты
------ + ---------------- + -------- + ----- + ---------- + --------------------------
Активный руководитель:
* 450 0012.1ed5.907f динамический Да 0 Gi5 /1
* 50 0012.1ed5.907f динамический Да 0 Gi5 /1
* 40 0012.1ed5.907f динамический Да 0 Gi5 /1
* 42 0012.1ed5.907f динамический Да 5 Gi5 /1


user @ m320 # run ping 10.42.42.2 count 2
PING 10.42.42.2 (10.42.42.2): 56 байтов данных
64 байт из 10.42.42.2: icmp_seq = 0 ttl = 255 раз = 0,495 мс
64 байт из 10.42.42.2: icmp_seq = 1 ttl = 255 раз = 0,651 мс

--- 10.42.42.2 статистика ping ---
2 переданных пакета, 2 принятых пакета, 0% потери пакетов
мин. /авг /макс /stddev = 0,495 /0,573 /0,651 /0,078 мс

{master} [редактировать интерфейсы ge-0/1/0 unit 1042]
user @ m320 # run show arp no-resolve | соответствие10.42.42.2
00: 05: dd: ee: 60: 00 10.42.42.2 ge-0/1 /0.1042 none
 
ответил ytti 9 J000000Tuesday13 2013, 10:31:46
6

некоторая поддержка ответа @ytti выше, надеюсь, что это поможет:

 оранжевый # sh ver
Программное обеспечение Cisco IOS, программное обеспечение IOS-XE, программное обеспечение Catalyst 4500 L3 Switch (cat4500e-UNIVERSALK9-M), версия 03.04.00.SG RELEASE SOFTWARE (fc3)
â € |
оранжевый # sh mod
Тип шасси: WS-C4507R + E

Mod Ports Тип карты Модель Серийный №
--- + ----- + -------------------------------------- + - ----------------- + -----------
 4 4 Sup 7-E 10GE (SFP +), 1000BaseX (SFP) WS-X45-SUP7-E CAT1xxxxxxx
â € |
оранжевый # sh run int ten4 /1
Конфигурация здания ...

Текущая конфигурация: 112 байт
!
интерфейс TenGigabitEthernet4 /1
 ствол режима переключения
 отображение коммутатора vlan 100 10
 интервал 30
конец

оранжевый # sh run int ten4 /2
!
интерфейс TenGigabitEthernet4 /2
 ствол режима переключения
 отображение коммутатора vlan 10 100
 интервал 30
â € |
оранжевый # sh vlan mapping
Интерфейс Te4 /1:
Сети VLAN на проводке Работа с VLAN
------------------------------ --------------- ----- ---------
100 10 1-к-1
Интерфейс Te4 /2:
Сети VLAN на проводке Работа с VLAN
------------------------------ --------------- ----- ---------
10 100 1-к-1
ответил smoothbSE 9 J000000Tuesday13 2013, 21:03:51
2

У меня тоже нет этого SUP, но вы можете легко сделать это на Brocade Netiron.

Просто поместите два порта в VPLS и пометьте их разными vlans. Например:

  router mpls

    vpls translate test 100
     vlan 200
     tagged ethe 1/1
     vlan 300
     с меткой eth1 /2
 

Хорошая вещь о Brocade заключается в том, что вы можете конвертировать любой тег в другой тег, двойной тег в другой двойной тег, двойной тег для одного тега и одно-тег для двойного тега

ответил mellowd 9 J000000Tuesday13 2013, 11:02:10

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132