ASA transparent mode trunk Temat rozwiązany

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
galo
member
member
Posty: 28
Rejestracja: 17 sty 2008, 08:59

ASA transparent mode trunk

#1

#1 Post autor: galo »

Witam

Mam taki problem. Klient ma sobie trunk między switchami i zażyczył sobie firewall na L2 pomiędzy nimi. I teraz mam to zrobić. Wygląda to tak: switch <-> 802.1q trunk <-> ASA 5508-X <-> 802.1q trunk <-> switch. Oczywiście jednym z wymagań jest, żeby nie ingerować w obecną konfiguracje sieci (czyli zmiana vlan id lub sieci nie wchodzi w grę). I teraz pytanie, czy takie coś jest wogule możliwe do zrobienia?
Natrafiłem na pierwszy problem, nie moge mieć tego samego vlan id skonfigurowanego na różnych fizycznych interface (a vlan ID mają być takie same na inside i outside bo asa ma "niewidzialnie" zabezpieczać trunk). Do tego z tego co znalazłem to subinterface na ASA z vlan ID, do tego BVI z adresem IP dla każdej pary subinterface z inside i outside. Zna ktoś może bardziej "elegancki" sposób konfiguracji czegoś takiego?

Dla ustalenia uwagi ASA soft 9.8.
Ostatnio zmieniony 28 wrz 2018, 21:34 przez galo, łącznie zmieniany 1 raz.
Be part of the solution ... not part of the problem.

piter1789
wannabe
wannabe
Posty: 222
Rejestracja: 01 wrz 2014, 10:46

Re: ASA transparent mode trunk

#2

#2 Post autor: piter1789 »

a w jakim trybie twoja ASA działa?

galo
member
member
Posty: 28
Rejestracja: 17 sty 2008, 08:59

Re: ASA transparent mode trunk

#3

#3 Post autor: galo »

Transparent mode
Be part of the solution ... not part of the problem.

Awatar użytkownika
polak
wannabe
wannabe
Posty: 294
Rejestracja: 20 mar 2005, 14:23
Lokalizacja: Bruksela

Re: ASA transparent mode trunk

#4

#4 Post autor: polak »

Bardziej eleganckiego sposobu nie ma jesli chcesz ASA wstawić pomiędzy dwa switche.
Problemem może być wydajność tej "malej" ASA i trzeba się zastanowić czy może nie postawić jej z boku i spanować ruch do niej.
King Kong ain't got shit on me!

lukaszbw
CCIE
CCIE
Posty: 516
Rejestracja: 23 mar 2008, 11:41

Re: ASA transparent mode trunk

#5

#5 Post autor: lukaszbw »

Najgorszym ograniczeniem jest właśnie brak możliwości konfiguracji tego samego vlanu ID na 2 różnych interface. Ominąć to można stosując vlan translation na switchach.

Co do BVI to musi być adres ale możesz dać dowolny o ile skonfigurujesz "arp permit non-connected".

Miałem pare tego typu rozwiązań chodzących w produkcji przez pare lat ale generalnie nie polecam szczególnie jak chcesz zrobić bypass w razie awarii firewall i to połączyć z translacją vlan. Działa z STP ale nie jest to piękne i potem wytłumaczenie komuś jak to chodzi trochę zajmuje :)

Generalnie pod tym względem ASA jest cieńka.

Pozdr.
Lukasz Wisniowski MSc CCNA CCNP CCIE #20319
Tandem Networks
ul. Sztormowa 34
94-117 Łódź
NIP: 727-257-72-37
tel: +48 (42) 2091825

galo
member
member
Posty: 28
Rejestracja: 17 sty 2008, 08:59

Re: ASA transparent mode trunk

#6

#6 Post autor: galo »

Dziekuje, o takie informacje mi chodziło.
Be part of the solution ... not part of the problem.

ODPOWIEDZ