CCIE.pl

Witam

Mam taki problem. Klient ma sobie trunk między switchami i zażyczył sobie firewall na L2 pomiędzy nimi. I teraz mam to zrobić. Wygląda to tak: switch <-> 802.1q trunk <-> ASA 5508-X <-> 802.1q trunk <-> switch. Oczywiście jednym z wymagań jest, żeby nie ingerować w obecną konfiguracje sieci (czyli zmiana vlan id lub sieci nie wchodzi w grę). I teraz pytanie, czy takie coś jest wogule możliwe do zrobienia?
Natrafiłem na pierwszy problem, nie moge mieć tego samego vlan id skonfigurowanego na różnych fizycznych interface (a vlan ID mają być takie same na inside i outside bo asa ma "niewidzialnie" zabezpieczać trunk). Do tego z tego co znalazłem to subinterface na ASA z vlan ID, do tego BVI z adresem IP dla każdej pary subinterface z inside i outside. Zna ktoś może bardziej "elegancki" sposób konfiguracji czegoś takiego?

Dla ustalenia uwagi ASA soft 9.8.

a w jakim trybie twoja ASA działa?

Transparent mode

Bardziej eleganckiego sposobu nie ma jesli chcesz ASA wstawić pomiędzy dwa switche.
Problemem może być wydajność tej "malej" ASA i trzeba się zastanowić czy może nie postawić jej z boku i spanować ruch do niej.

Najgorszym ograniczeniem jest właśnie brak możliwości konfiguracji tego samego vlanu ID na 2 różnych interface. Ominąć to można stosując vlan translation na switchach.

Co do BVI to musi być adres ale możesz dać dowolny o ile skonfigurujesz "arp permit non-connected".

Miałem pare tego typu rozwiązań chodzących w produkcji przez pare lat ale generalnie nie polecam szczególnie jak chcesz zrobić bypass w razie awarii firewall i to połączyć z translacją vlan. Działa z STP ale nie jest to piękne i potem wytłumaczenie komuś jak to chodzi trochę zajmuje

Generalnie pod tym względem ASA jest cieńka.

Pozdr.

Dziekuje, o takie informacje mi chodziło.