Настройте Cisco ASA в прозрачном режиме: Уровень 2 DMZ с переводом Vlan

15

Я нахожусь в середине проекта по переносу некоторых существующих коммутируемых магистралей ethernet dot1q за брандмауэр ASA ... каждый из этих магистралей имеет пять виртуальных сетей (пронумерованных 51 - 55). Это простой рисунок оригинального сервиса layer2 ...

VLAN_Translation_00

Одним из требований является наличие контекста межсетевого экрана ASA для Vlan в исходной магистрали dot1q. Это означает, что я использую BVI для соединения нового интерфейса INSIDE с интерфейсом DMZ в каждом контексте FW. Из-за других ограничений я получаю конфигурацию FW, подобную этой (я суммирую все контекстные вещи, чтобы упростить вопрос) ...

firewall transparent
!
interface GigabitEthernet0/1.51
 vlan 51
 nameif INSIDE
 security-level 100
 bridge-group 1
!
interface GigabitEthernet0/2.951
 vlan 951
 nameif DMZ
 security-level 50
 bridge-group 1
!
interface BVI1
 ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241
!

Cisco ASA в прозрачном режиме используют два разных идентификатора VLAN для подключения одной службы VLAN уровня 2. Соедините два vlans через interface BVI1; bridge-group 1конфигурации на каждом физическом интерфейсе делает соединение между Vlan51 и Vlan951 в конфигурации выше.

Предположим, что ASA: Gi0 / 2 подключается к 4507: Gi1 / 2 ... Обратите внимание, что происходит с интерфейсом DMZ ... ASAN DMZ Vlan - это 951, и это подключается через магистраль dot1q к коммутатору DMZ (Cat4507). Мне нужно подключить D1 к порту коммутатора 4507: Gi1 / 1, но я должен доставить услуги Vlan951-955 к D1 как dot1q Vlan51-55 на 4507: Gi1 / 1. Другими словами, спор Vlan BVI, который я должен был сделать на ASA, портит нумерацию Vlan в моем первоначальном определении сервиса.

VLAN_translation_01

К сожалению, я не могу легко перенумеровать Vlans на D1. Идеальным решением было бы как-то перевести Vlan951 на 4507: Gi1 / 2 в Vlan51 на 4507: Gi1 / 1. В Cisco есть функция, называемая VLAN Mapping , но, похоже, она требует QinQ ... все мои сервисы просты: dot1q ... 4500 документов по VLAN Mapping не совсем ясно, как они обрабатывают простую инкапсуляцию dot1q.

Я знаю, что могу перевести VLAN в 4500 с помощью кабеля обратной связи, но это сжигает два дополнительных порта на Vlan ... в общей сложности десять дополнительных портов для всех Vlan в службе (v51 - v55).

Вопрос

Обратитесь к диаграмме ниже.

VLAN_translation_01

Как я могу перевести все Vlans, пронумерованные 95x на стволе 4507: Gi1 / 2 dot1q, чтобы быть пронумерованными Vlan5x на 4507: Gi1 / 1 dot1q? Мне нужно использовать наименьшее количество портов, используемых для «издержек трансляции». Пожалуйста, включите конфиги для всех портов, которые требуются для вашего ответа.

Я открыт для vlan mapping , если кто-то может объяснить, как это будет работать в этой топологии ...

Оборудование

  • 4507R + E, Sup7L-E с IOS XE 3.4.0
  • ASA5555X с 9,0 (2)
Майк Пеннингтон
источник

Ответы:

13

У меня нет SUP7 для тестирования, но он работает на SUP6 и SUP32, я бы предположил, что SUP7 сохраняет эту функциональность.

Я тестировал между JNPR M320 <-> SUP32, и « VLAN Mapping JNPR SUP32 » работает просто отлично.

Для QinQ нет необходимости, опция QinQ добавляет, что он добавляет верхний тег к одному конкретному тегу. Таким образом, switchport vlan mapping 1042 dot1q-tunnel 42будет отображаться входящий стек [1042] в стек [42 1042]. В отличие от того, switchport vlan mapping 1042 42который отображает входящий dot1q Vlan [1042] в dot1q Vlan [42].

Конфигурация JNPR M320:

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# show 
vlan-id 1042;
family inet {
    address 10.42.42.1/24;
}
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show interfaces ge-0/1/0               
Physical interface: ge-0/1/0, Enabled, Physical link is Up
  Interface index: 135, SNMP ifIndex: 506
  Description: B: SUP32 ge5/1
  Link-level type: Flexible-Ethernet, MTU: 9192, Speed: 1000mbps, BPDU Error: None,
  MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled,
  Auto-negotiation: Enabled, Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  CoS queues     : 8 supported, 8 maximum usable queues
  Current address: 00:12:1e:d5:90:7f, Hardware address: 00:12:1e:d5:90:7f
  Last flapped   : 2013-02-19 09:14:29 UTC (19w6d 21:12 ago)
  Input rate     : 4560 bps (5 pps)
  Output rate    : 6968 bps (4 pps)
  Active alarms  : None
  Active defects : None
  Interface transmit statistics: Disabled

Конфигурация SUP32:

SUP32#show run int giga5/1
Building configuration...

Current configuration : 365 bytes
!
interface GigabitEthernet5/1
 description F: M320 ge-0/1/0
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 switchport vlan mapping enable
 switchport vlan mapping 1042 42
 mtu 9216
 bandwidth 1000000
 speed nonegotiate
 no cdp enable
 spanning-tree portfast edge trunk
 spanning-tree bpdufilter enable
end

SUP32#show ru int vlan42
Building configuration...

Current configuration : 61 bytes
!
interface Vlan42
 ip address 10.42.42.2 255.255.255.0
end

SUP32#sh int GigabitEthernet5/1 vlan mapping  
State: enabled
Original VLAN Translated VLAN
------------- ---------------
  1042           42  

SUP32#sh int vlan42                           
Vlan42 is up, line protocol is up 
  Hardware is EtherSVI, address is 0005.ddee.6000 (bia 0005.ddee.6000)
  Internet address is 10.42.42.2/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:09, output 00:01:27, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 17 pkt, 1920 bytes - mcast: 0 pkt, 0 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     38 packets input, 3432 bytes, 0 no buffer
     Received 21 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     26 packets output, 2420 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

И

SUP32#ping 10.42.42.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.42.42.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
SUP32#sh arp | i 10.42.42.1
Internet  10.42.42.1             12   0012.1ed5.907f  ARPA   Vlan42
SUP32#show mac address-table dynamic address 0012.1ed5.907f
Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
Active Supervisor:
*  450  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   50  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   40  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   42  0012.1ed5.907f   dynamic  Yes          5   Gi5/1


user@m320# run ping 10.42.42.2 count 2 
PING 10.42.42.2 (10.42.42.2): 56 data bytes
64 bytes from 10.42.42.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 10.42.42.2: icmp_seq=1 ttl=255 time=0.651 ms

--- 10.42.42.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.495/0.573/0.651/0.078 ms

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show arp no-resolve |match 10.42.42.2 
00:05:dd:ee:60:00 10.42.42.2      ge-0/1/0.1042        none
ytti
источник
Спасибо за пример ... Пока вы используете SVI для замены того, что я называю Gi1 / 1 в исходном вопросе; тем не менее, это был бы лучший ответ, если докажет, что вам не нужен QinQ-инкап, чтобы использовать Vlan42 помимо самого Sup32. Я сам попробую, когда доберусь до работы, если ты не ответишь раньше ...
Майк Пеннингтон,
1
QinQ вообще не задействован. Представьте, что ваш FW - это мой M320, а ваш SUP7 - мой SUP32. В вашем порту SUP7 FW вы просто переписываете FW VLAN в то, что она должна быть внешне 'switchport vlan mapping <FW VLAN> <external VLAN>'
ytti
5
Cisco выполняет сопоставление VLAN двумя способами. QinQ используется для сохранения исходного тега VLAN при обходе «чужой» сети, такой как SP. Отображение VLAN «один-к-одному», которое показано здесь, меняет метки dot1q, изменяя идентификатор VLAN при пересылке или получении на данном интерфейсе. Оба будут работать на поставленный вопрос.
Сантино
Приложение QinQ в основном это CustL2 - OperL2 - CustL2, затем в портах operL2, обращенных к CustL2, вы настраиваете «switchport mode dot1q-tunnel» и «switchport access vlan 42». И все VLAN-сети CustL2 будут передавать OperL2 как «[42 X]». Однако в OperL2 все они совместно используют одну таблицу MAC, поэтому она не полностью прозрачна, и вы не можете столкнуться с X в VLAN на разных сайтах Cust. MACinMAC (PBB) - более прозрачное решение с лучшим масштабированием (использование MAC в ядре).
ytti
К вашему сведению, похоже, что switchport vlan mapping enableне требуется на Sup7 ...
Майк Пеннингтон
7

некоторая поддержка ответа @ytti выше, надеюсь, это поможет:

оранжевый # ш вер
Программное обеспечение Cisco IOS, программное обеспечение IOS-XE, программное обеспечение коммутатора Catalyst 4500 L3 (cat4500e-UNIVERSALK9-M), версия 03.04.00.SG RELEASE SOFTWARE (fc3)
...
оранжевый # ш мод
Тип шасси: WS-C4507R + E

Мод Порты Тип Карты Модель Серийный Номер
--- + ----- + -------------------------------------- + - ----------------- + -----------
 4 4 Sup 7-E 10GE (SFP +), 1000BaseX (SFP) WS-X45-SUP7-E CAT1xxxxxxx 
...
оранжевый # sh run int ten4 / 1
Конфигурация здания ...

Текущая конфигурация: 112 байт
!
интерфейс TenGigabitEthernet4 / 1
 switchport mode trunk
 switchport vlan mapping 100 10
 интервал загрузки 30
конец

оранжевый # sh run int ten4 / 2
!
интерфейс TenGigabitEthernet4 / 2
 switchport mode trunk
 switchport vlan mapping 10 100
 интервал загрузки 30
...
Оранжевый # Ш Влан маппинг 
Интерфейс Te4 / 1:
VLAN на проводной Транслированной работе VLAN
------------------------------ --------------- ----- ---------
100 10 1 к 1
Интерфейс Te4 / 2:
VLAN на проводной Транслированной работе VLAN
------------------------------ --------------- ----- ---------
10 100 1 к 1
smoothbSE
источник
3

У меня тоже нет такой SUP, но я могу легко сделать это на Brocade Netiron.

Просто поместите два порта в VPLS и пометьте их различными vlans. Вот так:

router mpls

    vpls translate test 100
     vlan 200
     tagged ethe 1/1
     vlan 300
     tagged eth1/2

Приятной особенностью Brocade является то, что вы можете конвертировать любой тег в другой тег, двойной тег в другой двойной тег, двойной тег в один тег и одиночный тег в двойной тег

mellowd
источник
Я должен использовать Supervisor7 в c4507R + E для этой услуги.
Майк Пеннингтон
Насколько я понимаю, это технически не перевод - он определяет две конечные точки для этого экземпляра VPLS. Определение нескольких отмеченных конечных точек, подобных этому, в одном экземпляре VPLS на самом деле сводит воедино весь отмеченный трафик. Трансляция будет представлять собой один экземпляр VPLS на одном узле, причем конечной точкой будет тегированный интерфейс VLAN +, а затем тем же экземпляром VPLS на другом узле, а конечной точкой будет другой тегированный интерфейс VLAN +.
Джон Дженсен
Также добавим, что если вы хотите выполнить перевод на одном устройстве, вам нужно будет использовать vll-local вместо экземпляра VPLS.
Джон Дженсен
Нет, это VPLS будет работать. Brocade не позволит вам использовать vll-local и использовать большую гибкость для фреймов с двойными / одиночными тегами. И да, хотя «технически» это не перевод, это именно то, что он будет делать. т.е. в приведенном выше примере кадр с тегом vlan 200, входящий в eth1 / 1, выйдет из eth1 / 2 с тегом vlan 300. Таким образом, конечный результат - это то, что хочет OP - он, конечно, не будет корректировать любые BPDU кадры
mellowd