กำหนดค่า Cisco ASA ในโหมดโปร่งใส: การแปล Layer2 DMZ w / Vlan

15

ฉันอยู่ในระหว่างโครงการเพื่อโยกย้ายอีเทอร์เน็ต dot1q trunks สวิตช์ที่มีอยู่หลังไฟร์วอลล์ ASA ... ลำต้นเหล่านี้มีห้า vlans ต่อกัน (หมายเลข 51 - 55) นี่คือภาพวาดอย่างง่ายของบริการ layer2 ดั้งเดิม ...

VLAN_Translation_00

หนึ่งในความต้องการคือการมีบริบทไฟร์วอลล์ ASA ต่อ Vlan ในลำตัว dot1q ดั้งเดิม นี่หมายความว่าฉันเลิกใช้ BVI เพื่อเชื่อมต่ออินเทอร์เฟซ INSIDE ใหม่กับอินเทอร์เฟซ DMZ ในแต่ละบริบท FW เนื่องจากข้อ จำกัด อื่นฉันปิดท้ายด้วยการกำหนดค่า FW เช่นนี้ (ฉันกำลังสรุปเนื้อหาบริบททั้งหมดเพื่อทำให้คำถามง่ายขึ้น) ...

firewall transparent
!
interface GigabitEthernet0/1.51
 vlan 51
 nameif INSIDE
 security-level 100
 bridge-group 1
!
interface GigabitEthernet0/2.951
 vlan 951
 nameif DMZ
 security-level 50
 bridge-group 1
!
interface BVI1
 ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241
!

Cisco ASAs ในโหมดโปร่งใสจบการทำงานโดยใช้ vlan ID ที่ต่างกันสองตัวเพื่อเชื่อมต่อกับบริการ layer2 vlan เดียว เชื่อมต่อสอง vlans ผ่านinterface BVI1; การbridge-group 1กำหนดค่าในแต่ละอินเทอร์เฟซทางกายภาพทำให้การเชื่อมต่อระหว่าง Vlan51 และ Vlan951 ในการกำหนดค่าข้างต้น

สมมติว่า ASA: Gi0 / 2 เชื่อมต่อกับ 4507: Gi1 / 2 ... สังเกตว่าเกิดอะไรขึ้นกับอินเทอร์เฟซ DMZ ... ASA DMZ Vlan คือ 951 และสิ่งนี้จะเชื่อมต่อผ่านทางจุด dot1q กับสวิตช์ DMZ (Cat4507) ฉันต้องเชื่อมต่อ D1 กับ switchport 4507: Gi1 / 1 แต่ฉันต้องส่งมอบบริการ Vlan951-955 ไปยัง D1 เป็น dot1q Vlan51-55 บน 4507: Gi1 / 1 กล่าวอีกนัยหนึ่ง Vlan BVI กำลังถกเถียงกันว่าฉันต้องทำอะไรกับ ASA ทำให้ตัวเลข Vlan ในนิยามบริการเดิมของฉันยุ่งเหยิงไปกว่านี้

VLAN_translation_01

น่าเศร้าที่ฉันไม่สามารถเปลี่ยนหมายเลข Vlans บน D1 ได้อย่างง่ายดาย ทางออกที่สมบูรณ์แบบคือการแปล Vlan951 ใน 4507: Gi1 / 2 เป็น Vlan51 ใน 4507: Gi1 / 1 Cisco มีคุณสมบัติที่เรียกว่าการทำแผนที่ vlanแต่ดูเหมือนว่าจะต้องใช้ QinQ ... บริการทั้งหมดของฉันนั้นง่ายมาก dot1q ... เอกสารการทำแผนที่ของ vlan 4500 ไม่ชัดเจนเกี่ยวกับวิธีจัดการกับการห่อหุ้ม dot1q แบบง่าย

ฉันรู้ว่าฉันสามารถแปล vlans ใน 4500 ผ่านสายเคเบิลลูปแบ็ค แต่นี่เป็นการเบิร์นพอร์ตสองพอร์ตต่อ Vlan ... รวมพอร์ตพิเศษสิบพอร์ตสำหรับ Vlans ทั้งหมดในบริการ (v51 - v55)

คำถาม

อ้างถึงแผนภาพด้านล่าง

VLAN_translation_01

ฉันจะแปล Vlans ทั้งหมดที่มีหมายเลข 95x บน 4507: Gi1 / 2 dot1q trunk เป็นหมายเลข Vlan5x บน 4507: Gi1 / 1 dot1q ได้อย่างไร ฉันต้องใช้พอร์ตจำนวนน้อยที่สุดที่ใช้เพื่อ "โอเวอร์เฮดการแปล" โปรดรวมการกำหนดค่าสำหรับพอร์ตทั้งหมดที่คำตอบของคุณต้องการ

ฉันเปิดให้ทำแผนที่ vlanถ้ามีใครสามารถอธิบายได้ว่ามันจะทำงานอย่างไรในทอพอโลยีนี้ ...

อุปกรณ์

  • 4507R + E, Sup7L-E พร้อม IOS XE 3.4.0
  • ASA5555X พร้อม 9.0 (2)
cisco  ethernet  cisco-catalyst  vlan  firewall 
ไมค์เพนนิงตัน
แหล่งที่มา

คำตอบ:

13

ฉันไม่มี SUP7 ที่จะทำการทดสอบ แต่มันใช้งานได้กับ SUP6 และ SUP32 ฉันจะสันนิษฐานว่า SUP7 จะรักษาฟังก์ชั่นนี้เอาไว้

ฉันได้ทดสอบระหว่าง JNPR M320 <-> SUP32 และ ' การแมป vlan JNPR SUP32 ' ทำงานได้ดี

ไม่จำเป็นต้องมี QinQ สิ่งที่ตัวเลือก QinQ ทำคือเพิ่มแท็กยอดนิยมให้กับแท็กหนึ่งโดยเฉพาะ ดังนั้นswitchport vlan mapping 1042 dot1q-tunnel 42จะแมป [1042] สแต็คเป็น [42 1042] สแต็ค ตรงข้ามกับswitchport vlan mapping 1042 42แผนที่ dot1q Vlan ที่เข้ามา [1042] ไปยัง dot1q Vlan [42]

การกำหนดค่า JNPR M320:

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# show 
vlan-id 1042;
family inet {
    address 10.42.42.1/24;
}
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show interfaces ge-0/1/0               
Physical interface: ge-0/1/0, Enabled, Physical link is Up
  Interface index: 135, SNMP ifIndex: 506
  Description: B: SUP32 ge5/1
  Link-level type: Flexible-Ethernet, MTU: 9192, Speed: 1000mbps, BPDU Error: None,
  MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled,
  Auto-negotiation: Enabled, Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  CoS queues     : 8 supported, 8 maximum usable queues
  Current address: 00:12:1e:d5:90:7f, Hardware address: 00:12:1e:d5:90:7f
  Last flapped   : 2013-02-19 09:14:29 UTC (19w6d 21:12 ago)
  Input rate     : 4560 bps (5 pps)
  Output rate    : 6968 bps (4 pps)
  Active alarms  : None
  Active defects : None
  Interface transmit statistics: Disabled

SUP32 config:

SUP32#show run int giga5/1
Building configuration...

Current configuration : 365 bytes
!
interface GigabitEthernet5/1
 description F: M320 ge-0/1/0
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 switchport vlan mapping enable
 switchport vlan mapping 1042 42
 mtu 9216
 bandwidth 1000000
 speed nonegotiate
 no cdp enable
 spanning-tree portfast edge trunk
 spanning-tree bpdufilter enable
end

SUP32#show ru int vlan42
Building configuration...

Current configuration : 61 bytes
!
interface Vlan42
 ip address 10.42.42.2 255.255.255.0
end

SUP32#sh int GigabitEthernet5/1 vlan mapping  
State: enabled
Original VLAN Translated VLAN
------------- ---------------
  1042           42  

SUP32#sh int vlan42                           
Vlan42 is up, line protocol is up 
  Hardware is EtherSVI, address is 0005.ddee.6000 (bia 0005.ddee.6000)
  Internet address is 10.42.42.2/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:09, output 00:01:27, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 17 pkt, 1920 bytes - mcast: 0 pkt, 0 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     38 packets input, 3432 bytes, 0 no buffer
     Received 21 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     26 packets output, 2420 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

และ 

SUP32#ping 10.42.42.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.42.42.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
SUP32#sh arp | i 10.42.42.1
Internet  10.42.42.1             12   0012.1ed5.907f  ARPA   Vlan42
SUP32#show mac address-table dynamic address 0012.1ed5.907f
Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
Active Supervisor:
*  450  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   50  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   40  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   42  0012.1ed5.907f   dynamic  Yes          5   Gi5/1


user@m320# run ping 10.42.42.2 count 2 
PING 10.42.42.2 (10.42.42.2): 56 data bytes
64 bytes from 10.42.42.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 10.42.42.2: icmp_seq=1 ttl=255 time=0.651 ms

--- 10.42.42.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.495/0.573/0.651/0.078 ms

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show arp no-resolve |match 10.42.42.2 
00:05:dd:ee:60:00 10.42.42.2      ge-0/1/0.1042        none
ytti
แหล่งที่มา
ขอบคุณสำหรับตัวอย่าง ... จนถึงตอนนี้คุณกำลังใช้ SVI เพื่อแทนที่สิ่งที่ฉันเรียกว่า Gi1 / 1 ในคำถามเดิม อย่างไรก็ตามนี่จะเป็นคำตอบที่ดีกว่าถ้ามันพิสูจน์ได้ว่าคุณไม่จำเป็นต้องใช้ QinQ ในการแชร์ Vlan42 นอกเหนือจาก Sup32 ฉันจะลองด้วยตัวเองเมื่อฉันได้ทำงานถ้าคุณไม่ตอบเร็วกว่านี้ ...
Mike Pennington
1
ไม่มี QinQ เลยที่เกี่ยวข้อง ลองนึกภาพ FW ของคุณคือ M320 ของฉันและ SUP7 ของคุณคือ SUP32 ของฉัน ในพอร์ต SUP7 FW ของคุณคุณเพียงแค่เขียน FW VLAN ไปยังสิ่งที่มันควรจะเป็น 'แผนที่พอร์ต vlan ภายนอก <FW VLAN> <external VLAN> <ภายนอก VLAN>'
ytti
5
Cisco ทำการแมป VLAN สองวิธี QinQ ใช้เพื่อรักษาแท็ก VLAN ดั้งเดิมขณะที่ท่องไปในเครือข่าย "ต่างชาติ" เช่น SP การแม็พแบบหนึ่งต่อหนึ่งซึ่งเป็นสิ่งที่แสดงที่นี่สลับแท็ก dot1q เปลี่ยน VLAN ID เมื่อส่งต่อหรือรับบนอินเตอร์เฟสที่กำหนด ทั้งสองจะทำงานสำหรับคำถามที่ได้รับ
Santino
แอปพลิเคชัน QinQ ส่วนใหญ่เป็น CustL2 นี้ - OperL2 - CustL2 จากนั้นในพอร์ต operL2 ซึ่งหันหน้าไปทาง CustL2 คุณได้กำหนดค่า 'โหมด switchport dot1q-tunnel' และ 'switchport access vlan 42' และ CustL2 VLAN ทั้งหมดจะทำการส่งผ่าน OperL2 เป็น '[42 X]' อย่างไรก็ตามที่ OperL2 ทั้งหมดนี้ใช้ตาราง MAC เดียวร่วมกันดังนั้นจึงไม่โปร่งใสอย่างสมบูรณ์คุณไม่สามารถรวม X ใน VLANs ในไซต์ Cust ที่แตกต่างกันได้ MACinMAC (PBB) เป็นโซลูชั่นที่โปร่งใสมากขึ้นพร้อมปรับขนาดได้ดีกว่า (ใช้ MAC ในแกนกลาง)
ytti
FYI ดูเหมือนว่าswitchport vlan mapping enableไม่จำเป็นต้องใช้ใน Sup7 ...
Mike Pennington
7

การสนับสนุนสำหรับคำตอบของ @ytti ข้างต้นหวังว่าจะช่วยได้:

สีส้ม # sh ver
ซอฟต์แวร์ Cisco IOS, ซอฟต์แวร์ IOS-XE, ซอฟต์แวร์สวิตช์ Catalyst 4500 L3 (cat4500e-UNIVERSALK9-M), เวอร์ชั่น 03.04.00.SG ซอฟต์แวร์การเปิดตัว (fc3)
...
ตัวดัดแปลงสีส้ม # SH
ประเภทตัวถัง: WS-C4507R + E

Mod Ports ประเภทของการ์ดรุ่นหมายเลขผลิตภัณฑ์
--- + ----- + + -------------------------------------- - ----------------- + -----------
 4 4 Sup 7-E 10GE (SFP +), 1000BaseX (SFP) WS-X45-SUP7-E CAT1xxxxxxx 
...
orange # sh รัน int ten4 / 1
การกำหนดค่าอาคาร ...

การกำหนดค่าปัจจุบัน: 112 ไบต์
!
อินเตอร์เฟส TenGigabitEthernet4 / 1
 ลำต้นโหมด switchport
 การทำแผนที่ switchport vlan 100 10
 ช่วงโหลด 30
ปลาย

orange # sh รัน int ten4 / 2
!
อินเตอร์เฟส TenGigabitEthernet4 / 2
 ลำต้นโหมด switchport
 การทำแผนที่ switchport vlan 10 100
 ช่วงโหลด 30
...
การแมป vlan สีส้ม # sh 
อินเตอร์เฟส Te4 / 1:
VLANs บนสายแปลการดำเนินการ VLAN
------------------------------ --------------- ----- ---------
100 10 1 ต่อ 1
อินเตอร์เฟส Te4 / 2:
VLANs บนสายแปลการดำเนินการ VLAN
------------------------------ --------------- ----- ---------
10 100 1 ต่อ 1
smoothbSE
แหล่งที่มา
3

ฉันก็ไม่มี SUP ที่ใช้ได้ แต่สามารถทำได้บน Brocade Netiron

เพียงใส่สองพอร์ตใน VPLS และแท็กด้วย vlans ที่แตกต่างกัน ชอบมาก

router mpls

    vpls translate test 100
     vlan 200
     tagged ethe 1/1
     vlan 300
     tagged eth1/2

สิ่งที่ดีเกี่ยวกับ Brocade คือคุณสามารถแปลงแท็กใด ๆ เป็นแท็กอื่น, double-tag เป็น double-tag อื่น ๆ , double-tag เป็น single-tag และ single-tag เป็น double-tag

mellowd
แหล่งที่มา
ฉันต้องใช้ Supervisor7 ใน c4507R + E สำหรับบริการนี้
Mike Pennington
ตามที่ฉันเข้าใจแล้วว่านี่ไม่ใช่เทคนิคการแปล - เป็นการกำหนดจุดสิ้นสุดสองจุดสำหรับอินสแตนซ์ VPLS นั้น การกำหนดจุดปลายที่ติดแท็กหลาย ๆ จุดเช่นนี้ในอินสแตนซ์ VPLS เดียวจริงๆแล้วเป็นการรวมการรับส่งข้อมูลที่ติดแท็กทั้งหมดเข้าด้วยกัน การแปลจะเป็นหนึ่งอินสแตนซ์ VPLS บนโหนดเดียวโดยที่จุดปลายนั้นเป็นแท็ก VLAN + อินเตอร์เฟสและจากนั้นอินสแตนซ์ VPLS เดียวกันบนโหนดอื่นที่มีปลายทางจะเป็นแท็ก VLAN + อินเตอร์เฟสที่แตกต่างกัน
John Jensen
นอกจากนี้ยังเพิ่มว่าหากคุณไม่ต้องการทำการแปลบนอุปกรณ์หนึ่งคุณต้องใช้ vll-local แทนอินสแตนซ์ VPLS
John Jensen
VPLS นี้จะไม่ทำงาน Brocade จะไม่อนุญาตให้คุณใช้ vll-local และใช้ความยืดหยุ่นอย่างมากกับเฟรมที่ติดแท็กสองครั้ง / ครั้งเดียว และใช่ในขณะที่ 'เทคนิค' นี่ไม่ใช่การแปลนั่นคือสิ่งที่มันจะทำ นั่นคือในตัวอย่างด้านบนเฟรมที่มีแท็ก vlan 200 ที่เข้าสู่ eth1 / 1 จะออกจาก eth1 / 2 ด้วยแท็ก vlan 300 ดังนั้นผลลัพธ์สุดท้ายคือสิ่งที่ OP ต้องการ - แน่นอนว่าจะไม่ปรับ เฟรม bpdu ใด ๆ
mellowd
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.