Định cấu hình Cisco ASA ở chế độ Trong suốt: Bản dịch lớp 2 DMZ w / Vlan

Tôi đang ở giữa một dự án để di chuyển một số trung kế ether1 dot1q đã chuyển đổi hiện có đằng sau tường lửa ASA ... những thân cây này có năm vlans mỗi cái (được đánh số 51 - 55). Đây là một bản vẽ đơn giản của dịch vụ layer2 gốc ...

Một trong những yêu cầu là phải có bối cảnh tường lửa ASA trên mỗi Vlan trong thân dot1q ban đầu. Điều này có nghĩa là tôi kết thúc việc sử dụng một BVI để kết nối giao diện INSIDE mới với giao diện DMZ trong mỗi bối cảnh FW. Do những hạn chế khác, tôi kết thúc với một cấu hình FW như thế này (tôi đang tóm tắt tất cả các nội dung ngữ cảnh để đơn giản hóa câu hỏi) ...

firewall transparent
!
interface GigabitEthernet0/1.51
 vlan 51
 nameif INSIDE
 security-level 100
 bridge-group 1
!
interface GigabitEthernet0/2.951
 vlan 951
 nameif DMZ
 security-level 50
 bridge-group 1
!
interface BVI1
 ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241
!

Cisco ASAs ở chế độ trong suốt kết thúc bằng hai ID vlan khác nhau để kết nối một dịch vụ vlan layer2 duy nhất. Kết nối hai vlans thông qua interface BVI1; các bridge-group 1cấu hình trên mỗi giao diện vật lý làm cho mối liên hệ giữa Vlan51 và Vlan951 trong cấu hình ở trên.

Giả sử ASA: Gi0 / 2 kết nối với 4507: Gi1 / 2 ... Lưu ý điều gì xảy ra với giao diện DMZ ... ASA DMZ Vlan là 951 và điều này kết nối qua trung kế dot1q với công tắc DMZ (Cat4507). Tôi cần kết nối D1 với tổng đài 4507: Gi1 / 1, nhưng tôi phải cung cấp dịch vụ Vlan951-955 cho D1 dưới dạng dot1q Vlan51-55 trên 4507: Gi1 / 1. Nói cách khác, Vlan BVI mà tôi phải làm trên ASA làm rối tung việc đánh số Vlan trong định nghĩa dịch vụ ban đầu của tôi.

Đáng buồn thay, tôi không thể dễ dàng đánh số lại Vlans trên D1. Giải pháp hoàn hảo sẽ là bằng cách nào đó dịch Vlan951 trên 4507: Gi1 / 2 sang Vlan51 trên 4507: Gi1 / 1. Cisco có một tính năng gọi là ánh xạ vlan , nhưng dường như yêu cầu QinQ ... tất cả các dịch vụ của tôi đều là dot1q đơn giản ... các tài liệu ánh xạ vlan 4500 không rõ ràng về cách chúng xử lý đóng gói dot1q đơn giản.

Tôi biết tôi có thể dịch vlans trong 4500 qua cáp loopback, nhưng điều này đốt cháy hai cổng phụ trên mỗi Vlan ... tổng cộng mười cổng bổ sung cho tất cả các Vlans trong dịch vụ (v51 - v55).

Câu hỏi

Tham khảo sơ đồ bên dưới.

Làm cách nào tôi có thể dịch tất cả các Vlans được đánh số 95x trên trung kế 4507: Gi1 / 2 dot1q để được đánh số Vlan5x trên 4507: Gi1 / 1 dot1q? Tôi cần sử dụng số lượng cổng ít nhất được sử dụng cho "chi phí dịch thuật". Vui lòng bao gồm các cấu hình cho tất cả các cổng mà câu trả lời của bạn yêu cầu.

Tôi mở để lập bản đồ vlan , nếu ai đó có thể giải thích nó sẽ hoạt động như thế nào trong cấu trúc liên kết này ...

Trang thiết bị

• 4507R + E, Sup7L-E với IOS XE 3.4.0
• ASA5555X với 9.0 (2)

Tôi không có SUP7 để kiểm tra, nhưng nó hoạt động trên SUP6 và SUP32, tôi cho rằng SUP7 vẫn giữ chức năng này.

Tôi đã thử nghiệm giữa JNPR M320 <-> SUP32 và ' ánh xạ vlan JNPR SUP32 ' hoạt động tốt.

Không cần QinQ, tùy chọn QinQ làm là nó thêm thẻ hàng đầu vào một thẻ đặc biệt. Vì vậy, switchport vlan mapping 1042 dot1q-tunnel 42ánh xạ ngăn xếp [1042] đến ngăn xếp [42 1042]. Trái ngược với switchport vlan mapping 1042 42ánh xạ tới dot1q Vlan [1042] tới dot1q Vlan [42].

Cấu hình JNPR M320:

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# show 
vlan-id 1042;
family inet {
    address 10.42.42.1/24;
}
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show interfaces ge-0/1/0               
Physical interface: ge-0/1/0, Enabled, Physical link is Up
  Interface index: 135, SNMP ifIndex: 506
  Description: B: SUP32 ge5/1
  Link-level type: Flexible-Ethernet, MTU: 9192, Speed: 1000mbps, BPDU Error: None,
  MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled,
  Auto-negotiation: Enabled, Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  CoS queues     : 8 supported, 8 maximum usable queues
  Current address: 00:12:1e:d5:90:7f, Hardware address: 00:12:1e:d5:90:7f
  Last flapped   : 2013-02-19 09:14:29 UTC (19w6d 21:12 ago)
  Input rate     : 4560 bps (5 pps)
  Output rate    : 6968 bps (4 pps)
  Active alarms  : None
  Active defects : None
  Interface transmit statistics: Disabled

Cấu hình SUP32:

SUP32#show run int giga5/1
Building configuration...

Current configuration : 365 bytes
!
interface GigabitEthernet5/1
 description F: M320 ge-0/1/0
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 switchport vlan mapping enable
 switchport vlan mapping 1042 42
 mtu 9216
 bandwidth 1000000
 speed nonegotiate
 no cdp enable
 spanning-tree portfast edge trunk
 spanning-tree bpdufilter enable
end

SUP32#show ru int vlan42
Building configuration...

Current configuration : 61 bytes
!
interface Vlan42
 ip address 10.42.42.2 255.255.255.0
end

SUP32#sh int GigabitEthernet5/1 vlan mapping  
State: enabled
Original VLAN Translated VLAN
------------- ---------------
  1042           42  

SUP32#sh int vlan42                           
Vlan42 is up, line protocol is up 
  Hardware is EtherSVI, address is 0005.ddee.6000 (bia 0005.ddee.6000)
  Internet address is 10.42.42.2/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:09, output 00:01:27, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 17 pkt, 1920 bytes - mcast: 0 pkt, 0 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     38 packets input, 3432 bytes, 0 no buffer
     Received 21 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     26 packets output, 2420 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

Và

SUP32#ping 10.42.42.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.42.42.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
SUP32#sh arp | i 10.42.42.1
Internet  10.42.42.1             12   0012.1ed5.907f  ARPA   Vlan42
SUP32#show mac address-table dynamic address 0012.1ed5.907f
Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
Active Supervisor:
*  450  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   50  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   40  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   42  0012.1ed5.907f   dynamic  Yes          5   Gi5/1


user@m320# run ping 10.42.42.2 count 2 
PING 10.42.42.2 (10.42.42.2): 56 data bytes
64 bytes from 10.42.42.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 10.42.42.2: icmp_seq=1 ttl=255 time=0.651 ms

--- 10.42.42.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.495/0.573/0.651/0.078 ms

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show arp no-resolve |match 10.42.42.2 
00:05:dd:ee:60:00 10.42.42.2      ge-0/1/0.1042        none

Một số hỗ trợ cho câu trả lời của @ytti ở trên, hy vọng nó sẽ giúp:

màu cam # sh ver
Phần mềm Cisco IOS, Phần mềm IOS-XE, Phần mềm chuyển đổi Catalyst 4500 L3 (cat4500e-UNIVERSALK9-M), Phiên bản 03.04.00.SG PHẦN MỀM LIÊN QUAN (fc3)
Giáo dục
cam # sh mod
Loại khung gầm: WS-C4507R + E

Mod Cổng Loại thẻ Kiểu số sê-ri
--- + ----- + -------------------------------------- + - ----------------- + -----------
 4 4 Sup 7-E 10GE (SFP +), 1000BaseX (SFP) WS-X45-SUP7-E CAT1xxxxxxx 
Giáo dục
cam # sh chạy int ten4 / 1
Cấu hình tòa nhà ...

Cấu hình hiện tại: 112 byte
!
giao diện TenGigabitEthernet4 / 1
 chế độ chuyển mạch trung kế
 ánh xạ tổng đài vlan 100 10
 khoảng thời gian tải 30
kết thúc

cam # sh chạy int ten4 / 2
!
giao diện TenGigabitEthernet4 / 2
 chế độ chuyển mạch trung kế
 ánh xạ tổng đài vlan 10 100
 khoảng thời gian tải 30
Giáo dục
màu cam # sh vlan ánh xạ 
Giao diện Te4 / 1:
Vlan trên dây Hoạt động Vlan dịch
------------------------------ --------------- ----- ---------
100 10 1 kèm 1
Giao diện Te4 / 2:
Vlan trên dây Hoạt động Vlan dịch
------------------------------ --------------- ----- ---------
10 100 1 kèm 1

Tôi cũng không có SUP đó, nhưng có thể dễ dàng thực hiện điều này trên Brocade Netiron.

Đơn giản chỉ cần đặt hai cổng vào một VPLS và gắn thẻ chúng với các vlans khác nhau. Thích như vậy:

router mpls

    vpls translate test 100
     vlan 200
     tagged ethe 1/1
     vlan 300
     tagged eth1/2

Một điều thú vị về Brocade là bạn có thể chuyển đổi bất kỳ thẻ nào sang thẻ khác, thẻ đôi sang thẻ đôi khác, thẻ đôi thành thẻ đơn và thẻ đơn thành thẻ đôi