[原创翻译]ASA在透明模式的VLAN映射
简介
本文描述解决方案将透明模式的ASA插入在两台两交换机之间而不需要修改VLAN成员架构。
先决条件
要求
Cisco 建议您了解以下知识:
· ASA防火墙,透明模式。
· Vlan dot1q封装
使用的组件
本文档中的信息基于以下软件和硬件版本:
· ASA 5525-X防火墙
· Catalyst 4500Sup 7E
相关产品
本文档适用于所有支持VLAN映射的Supervisor。使用功能导航确认。
背景信息
在透明模式,即使即只有一第3层网络192.168.2.0/24那里必须在两个不同的二层 VLAN (内部区域的Vlan2和外部区域的Vlan20)。所有主机必须位于网络范围192.168.2.0/24
此配置示例解释再将透明模式的防火墙插入到已经存在的拓扑里面后,怎样在SW2上映射或转换VLAN号而不需要重新进行VLAN编号。
配置
网络图
SW1
interface GigabitEthernet1/1
switchport trunk allowed VLAN 2-4
switchport mode trunk
ASA
interfaceGigabitEthernet0/2
description SW1
no nameif
no security-level
!
interface GigabitEthernet0/2.2
description vlan 2
vlan 2
nameif inside-2
bridge-group 2
security-level 100
!
interface GigabitEthernet0/2.3
description vlan 3
vlan 3
nameif inside-3
bridge-group 3
security-level 100
!
interface GigabitEthernet0/2.4
description vlan 4
vlan 4
nameif inside-4
bridge-group 4
security-level 100
!
interface GigabitEthernet0/3
description SW2
no nameif
no security-level
!
interface GigabitEthernet0/3.2
description vlan 20
vlan 20
nameif outside-2
bridge-group 2
security-level 0
!
interface GigabitEthernet0/3.3
description vlan 30
vlan 30
nameif outside-3
bridge-group 3
security-level 0
!
interface GigabitEthernet0/3.4
description vlan 40
vlan 40
nameif outside-4
bridge-group 4
security-level 0
!
interface BVI2
ip address 192.168.2.1 255.255.255.0
!
interface BVI3
ip address 192.168.3.1 255.255.255.0
!
interface BVI4
ip address 192.168.4.1 255.255.255.0
SW2
在允许VLAN列表需要允许传输VLAN 2, 3和4,因为在IEEE 802.1Q标记中VLAN ID的映射(或转换)是在数据包传送之前和在数据包接收之后。
vlan 2-4,20,30,40
! ! ! ! ! ! !
interface GigabitEthernet1/1
switchport trunk allowed vlan 2-4
switchport mode trunk
switchport vlan mapping 20 2
switchport vlan mapping 30 3
switchport vlan mapping 40 4
注意: 没有配置VLAN ID 的数据包将会被丢弃。
验证
使用本部分验证确认配置能否正常运行。
· show VLANmapping
Interface Gi1/1: VLANs on wire Translated VLAN Operation ------------------------------ --------------- -------------- 20 2 1-to-1 30 3 1-to-1 40 4 1-to-1
