Cisco ASA'yı Şeffaf modda yapılandırma: Vlan çevirisi ile Katman2 DMZ

Bir ASA güvenlik duvarının arkasındaki bazı anahtarlamalı ethernet dot1q gövdelerini taşımak için bir projenin ortasındayım ... bu gövdelerin her biri beş vlans (51 - 55 numaralı) var. Bu, orijinal layer2 hizmetinin basit bir çizimidir ...

Gereksinimlerden biri, orijinal dot1q bagajında ​​her Vlan için bir ASA güvenlik duvarı içeriğine sahip olmaktır. Bu, yeni INSIDE arayüzünü her FW bağlamında DMZ arayüzüne köprülemek için bir BVI kullanarak kurguladığım anlamına gelir. Diğer kısıtlamalar nedeniyle, böyle bir FW yapılandırmasıyla kuruyorum (soruyu basitleştirmek için tüm bağlam öğelerini özetliyorum) ...

firewall transparent
!
interface GigabitEthernet0/1.51
 vlan 51
 nameif INSIDE
 security-level 100
 bridge-group 1
!
interface GigabitEthernet0/2.951
 vlan 951
 nameif DMZ
 security-level 50
 bridge-group 1
!
interface BVI1
 ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241
!

Şeffaf moddaki Cisco ASA'lar, tek bir layer2 vlan hizmetini bağlamak için iki farklı vlan kimliği kullanarak sarılır. İki vlansı bağlayın interface BVI1; bridge-group 1Her bir fiziksel ara yüz üzerinde konfigürasyonu yukarıda yapılandırmasında Vlan51 ve Vlan951 arasındaki bağlantıyı sağlar.

ASA: Gi0 / 2'nin 4507: Gi1 / 2'ye bağlandığını varsayın ... DMZ arayüzüne ne olduğuna dikkat edin ... ASA DMZ Vlan 951'dir ve bu bir dot1q gövdesi aracılığıyla DMZ anahtarına (Cat4507) bağlanır. D1'i switchport 4507: Gi1 / 1'e bağlamam gerekiyor, ancak Vlan951-955 hizmetlerini D1'e 4507: Gi1 / 1'de dot1q Vlan51-55 olarak teslim etmeliyim. Başka bir deyişle, ASA üzerinde yapmak zorunda olduğum Vlan BVI zorlaması, orijinal hizmet tanımımda Vlan numaralandırmasını bozuyor.

Ne yazık ki, D1'deki Vlans'ı kolayca yeniden numaralandıramıyorum. Mükemmel çözüm bir şekilde 4507: Gi1 / 2'deki Vlan951'i 4507: Gi1 / 1'deki Vlan51'e çevirmek olacaktır. Cisco vlan eşleme olarak adlandırılan bir özelliğe sahiptir , ancak QinQ gerektiriyor gibi görünüyor ... tüm hizmetlerim basit dot1q ... 4500 vlan eşleme dokümanları basit dot1q kapsülleme ile nasıl başa çıkacakları konusunda net değil.

4500'deki vlansları geri döngü kablosu ile çevirebileceğimi biliyorum, ancak bu Vlan başına iki ekstra bağlantı noktası yakıyor ... hizmetteki tüm Vlanslar için toplam on ekstra bağlantı noktası (v51 - v55).

Soru

Aşağıdaki şemaya bakın.

4507: Gi1 / 2 dot1q gövdesinde 95x numaralı tüm Vlans'ları 4507: Gi1 / 1 dot1q'de Vlan5x olarak nasıl çevirebilirim? "Çeviri yükü" için tüketilen en az sayıda bağlantı noktasını kullanmam gerekiyor. Lütfen yanıtınızın gerektirdiği tüm bağlantı noktaları için yapılandırmalar ekleyin.

Birisi bu topolojide nasıl çalışacağını açıklayabilirse, vlan haritalamasına açığım ...

ekipman

• 4507R + E, IOS XE 3.4.0 ile Sup7L-E
• 9.0 ile ASA5555X (2)

Test etmek için SUP7'im yok, ancak SUP6 ve SUP32'de çalışıyor, SUP7'nin bu işlevselliği koruduğunu varsayıyorum.

JNPR M320 <-> SUP32 arasında test yaptım ve ' vlan eşleme JNPR SUP32 ' gayet iyi çalışıyor.

QinQ'ya gerek yoktur, QinQ seçeneğinin yaptığı, özellikle bir etikete üst etiket eklemesidir. Böylece switchport vlan mapping 1042 dot1q-tunnel 42gelen [1042] yığını [42 1042] yığınıyla eşlenir. Aksine ilgili olarak switchport vlan mapping 1042 42hangi gelen dot1q [1042] VLAN VLAN [42] dot1q eşleştirir.

JNPR M320 yapılandırması:

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# show 
vlan-id 1042;
family inet {
    address 10.42.42.1/24;
}
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show interfaces ge-0/1/0               
Physical interface: ge-0/1/0, Enabled, Physical link is Up
  Interface index: 135, SNMP ifIndex: 506
  Description: B: SUP32 ge5/1
  Link-level type: Flexible-Ethernet, MTU: 9192, Speed: 1000mbps, BPDU Error: None,
  MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled,
  Auto-negotiation: Enabled, Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  CoS queues     : 8 supported, 8 maximum usable queues
  Current address: 00:12:1e:d5:90:7f, Hardware address: 00:12:1e:d5:90:7f
  Last flapped   : 2013-02-19 09:14:29 UTC (19w6d 21:12 ago)
  Input rate     : 4560 bps (5 pps)
  Output rate    : 6968 bps (4 pps)
  Active alarms  : None
  Active defects : None
  Interface transmit statistics: Disabled

SUP32 yapılandırması:

SUP32#show run int giga5/1
Building configuration...

Current configuration : 365 bytes
!
interface GigabitEthernet5/1
 description F: M320 ge-0/1/0
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 switchport vlan mapping enable
 switchport vlan mapping 1042 42
 mtu 9216
 bandwidth 1000000
 speed nonegotiate
 no cdp enable
 spanning-tree portfast edge trunk
 spanning-tree bpdufilter enable
end

SUP32#show ru int vlan42
Building configuration...

Current configuration : 61 bytes
!
interface Vlan42
 ip address 10.42.42.2 255.255.255.0
end

SUP32#sh int GigabitEthernet5/1 vlan mapping  
State: enabled
Original VLAN Translated VLAN
------------- ---------------
  1042           42  

SUP32#sh int vlan42                           
Vlan42 is up, line protocol is up 
  Hardware is EtherSVI, address is 0005.ddee.6000 (bia 0005.ddee.6000)
  Internet address is 10.42.42.2/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:09, output 00:01:27, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 17 pkt, 1920 bytes - mcast: 0 pkt, 0 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     38 packets input, 3432 bytes, 0 no buffer
     Received 21 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     26 packets output, 2420 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

Ve

SUP32#ping 10.42.42.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.42.42.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
SUP32#sh arp | i 10.42.42.1
Internet  10.42.42.1             12   0012.1ed5.907f  ARPA   Vlan42
SUP32#show mac address-table dynamic address 0012.1ed5.907f
Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
Active Supervisor:
*  450  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   50  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   40  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   42  0012.1ed5.907f   dynamic  Yes          5   Gi5/1


user@m320# run ping 10.42.42.2 count 2 
PING 10.42.42.2 (10.42.42.2): 56 data bytes
64 bytes from 10.42.42.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 10.42.42.2: icmp_seq=1 ttl=255 time=0.651 ms

--- 10.42.42.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.495/0.573/0.651/0.078 ms

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show arp no-resolve |match 10.42.42.2 
00:05:dd:ee:60:00 10.42.42.2      ge-0/1/0.1042        none

yukarıdaki @ytti'nin cevabı için bazı destek, umarım yardımcı olur:

turuncu # sh ver
Cisco IOS Yazılımı, IOS-XE Yazılımı, Catalyst 4500 L3 Anahtar Yazılımı (cat4500e-UNIVERSALK9-M), Sürüm 03.04.00.SG BÜLTENİ YAZILIMI (fc3)
...
turuncu # sh mod
Şasi Tipi: WS-C4507R + E

Mod Portları Kart Tipi Model Seri No.
--- + ----- + -------------------------------------- + - ----------------- + -----------
 4 4 Sup 7-E 10GE (SFP +), 1000BaseX (SFP) WS-X45-SUP7-E CAT1xxxxxxx 
...
turuncu # sh run int ten4 / 1
Bina yapılandırması ...

Geçerli yapılandırma: 112 bayt
!
arayüz TenGigabitEthernet4 / 1
 switchport modu bagajı
 switchport vlan haritalama 100 10
 yük aralığı 30
son

turuncu # sh run int ten4 / 2
!
arayüz TenGigabitEthernet4 / 2
 switchport modu bagajı
 switchport vlan haritalama 10 100
 yük aralığı 30
...
turuncu # sh vlan haritalama 
Arayüz Te4 / 1:
Tel üzerinde VLAN'lar Çeviri VLAN Çalışması
------------------------------ --------------- ----- ---------
100 10 1'e 1
Te4 / 2 arayüzü:
Tel üzerinde VLAN'lar Çeviri VLAN Çalışması
------------------------------ --------------- ----- ---------
10100 1'e 1

Ben de bu SUP mevcut değil, ama bunu bir Brocade Netiron kolayca yapabilirsiniz.

İki bağlantı noktasını bir VPLS'ye yerleştirin ve farklı vlanslarla etiketleyin. Şöyle ki:

router mpls

    vpls translate test 100
     vlan 200
     tagged ethe 1/1
     vlan 300
     tagged eth1/2

Brocade ile ilgili güzel bir şey, herhangi bir etiketi başka bir etikete, çift etiketi başka bir çift etikete, çift etiketi tek etikete ve tek etiketi çift etikete dönüştürebilmenizdir