Witam
Mam taki problem. Klient ma sobie trunk między switchami i zażyczył sobie firewall na L2 pomiędzy nimi. I teraz mam to zrobić. Wygląda to tak: switch <-> 802.1q trunk <-> ASA 5508-X <-> 802.1q trunk <-> switch. Oczywiście jednym z wymagań jest, żeby nie ingerować w obecną konfiguracje sieci (czyli zmiana vlan id lub sieci nie wchodzi w grę). I teraz pytanie, czy takie coś jest wogule możliwe do zrobienia?
Natrafiłem na pierwszy problem, nie moge mieć tego samego vlan id skonfigurowanego na różnych fizycznych interface (a vlan ID mają być takie same na inside i outside bo asa ma "niewidzialnie" zabezpieczać trunk). Do tego z tego co znalazłem to subinterface na ASA z vlan ID, do tego BVI z adresem IP dla każdej pary subinterface z inside i outside. Zna ktoś może bardziej "elegancki" sposób konfiguracji czegoś takiego?
Dla ustalenia uwagi ASA soft 9.8.
ASA transparent mode trunk Temat rozwiązany
ASA transparent mode trunk
Ostatnio zmieniony 28 wrz 2018, 21:34 przez galo, łącznie zmieniany 1 raz.
Be part of the solution ... not part of the problem.
Re: ASA transparent mode trunk
a w jakim trybie twoja ASA działa?
Re: ASA transparent mode trunk
Transparent mode
Be part of the solution ... not part of the problem.
Re: ASA transparent mode trunk
Bardziej eleganckiego sposobu nie ma jesli chcesz ASA wstawić pomiędzy dwa switche.
Problemem może być wydajność tej "malej" ASA i trzeba się zastanowić czy może nie postawić jej z boku i spanować ruch do niej.
Problemem może być wydajność tej "malej" ASA i trzeba się zastanowić czy może nie postawić jej z boku i spanować ruch do niej.
King Kong ain't got shit on me!
Re: ASA transparent mode trunk
Najgorszym ograniczeniem jest właśnie brak możliwości konfiguracji tego samego vlanu ID na 2 różnych interface. Ominąć to można stosując vlan translation na switchach.
Co do BVI to musi być adres ale możesz dać dowolny o ile skonfigurujesz "arp permit non-connected".
Miałem pare tego typu rozwiązań chodzących w produkcji przez pare lat ale generalnie nie polecam szczególnie jak chcesz zrobić bypass w razie awarii firewall i to połączyć z translacją vlan. Działa z STP ale nie jest to piękne i potem wytłumaczenie komuś jak to chodzi trochę zajmuje
Generalnie pod tym względem ASA jest cieńka.
Pozdr.
Co do BVI to musi być adres ale możesz dać dowolny o ile skonfigurujesz "arp permit non-connected".
Miałem pare tego typu rozwiązań chodzących w produkcji przez pare lat ale generalnie nie polecam szczególnie jak chcesz zrobić bypass w razie awarii firewall i to połączyć z translacją vlan. Działa z STP ale nie jest to piękne i potem wytłumaczenie komuś jak to chodzi trochę zajmuje
Generalnie pod tym względem ASA jest cieńka.
Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825
Re: ASA transparent mode trunk
Dziekuje, o takie informacje mi chodziło.
Be part of the solution ... not part of the problem.