Configurar o Cisco ASA no modo transparente: Layer2 DMZ w / Vlan translation

15

Estou no meio de um projeto para migrar alguns troncos Ethernet comutados dot1q existentes atrás de um firewall ASA ... esses troncos têm cinco vlans cada (numerados 51 - 55). Este é um desenho simples do serviço layer2 original ...

VLAN_Translation_00

Um dos requisitos é ter um contexto de firewall ASA por Vlan no tronco dot1q original. Isso significa que eu acabo usando um BVI para conectar a nova interface INSIDE à interface DMZ em cada contexto do FW. Devido a outras restrições, acabo com uma configuração do FW como esta (estou resumindo todo o material de contexto para simplificar a pergunta) ...

firewall transparent
!
interface GigabitEthernet0/1.51
 vlan 51
 nameif INSIDE
 security-level 100
 bridge-group 1
!
interface GigabitEthernet0/2.951
 vlan 951
 nameif DMZ
 security-level 50
 bridge-group 1
!
interface BVI1
 ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241
!

Os ASAs da Cisco no modo transparente acabam usando dois IDs de vlan diferentes para conectar um único serviço de vlan layer2. Conecte as duas vlan através interface BVI1; a bridge-group 1configuração em cada interface física faz a conexão entre Vlan51 e Vlan951 na configuração acima.

Suponha que ASA: Gi0 / 2 se conecte a 4507: Gi1 / 2 ... Observe o que acontece com a interface DMZ ... a ASA DMZ Vlan é 951, e isso se conecta por meio de um tronco dot1q ao comutador DMZ (o Cat4507). Preciso conectar o D1 ao switchport 4507: Gi1 / 1, mas devo entregar os serviços Vlan951-955 ao D1 como dot1q Vlan51-55 no 4507: Gi1 / 1. Em outras palavras, a disputa de Vlan BVI que eu tive que fazer no ASA atrapalha a numeração de Vlan na minha definição de serviço original.

VLAN_translation_01

Infelizmente, não posso renumerar facilmente os Vlans no D1. A solução perfeita seria traduzir de alguma forma a Vlan951 no 4507: Gi1 / 2 para Vlan51 no 4507: Gi1 / 1. A Cisco possui um recurso chamado mapeamento de vlan , mas parece exigir o QinQ ... todos os meus serviços são dot1q simples ... os documentos de mapeamento de 4500 vlan não são claros sobre como eles lidam com o encapsulamento dot1q simples.

Eu sei que posso traduzir as vlans no 4500 via cabo de loopback, mas isso queima duas portas extras por Vlan ... um total de dez portas extras para todas as Vlans no serviço (v51 - v55).

Questão

Consulte o diagrama abaixo.

VLAN_translation_01

Como posso converter todos os Vlans numerados 95x no tronco 4507: Gi1 / 2 dot1q para serem numerados Vlan5x em 4507: Gi1 / 1 dot1q? Eu preciso usar o menor número de portas consumidas para "sobrecarga de tradução". Inclua configurações para todas as portas que sua resposta exigir.

Estou aberto ao mapeamento de vlan , se alguém puder explicar como funcionaria nessa topologia ...

Equipamento

  • 4507R + E, Sup7L-E com IOS XE 3.4.0
  • ASA5555X com 9.0 (2)
Mike Pennington
fonte

Respostas:

13

Eu não tenho o SUP7 para testar, mas funciona no SUP6 e no SUP32, presumo que o SUP7 retenha essa funcionalidade.

Eu testei entre o JNPR M320 <-> SUP32 e o ' mapeamento vlan JNPR SUP32 ' funciona muito bem.

Não há necessidade do QinQ, o que a opção QinQ faz é adicionar a tag superior a uma tag específica. Assim switchport vlan mapping 1042 dot1q-tunnel 42, mapeia a pilha [1042] recebida para a pilha [42 1042]. Ao contrário do switchport vlan mapping 1042 42que mapeia a entrada dot1q Vlan [1042] para a dot1q Vlan [42].

Configuração do JNPR M320:

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# show 
vlan-id 1042;
family inet {
    address 10.42.42.1/24;
}
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show interfaces ge-0/1/0               
Physical interface: ge-0/1/0, Enabled, Physical link is Up
  Interface index: 135, SNMP ifIndex: 506
  Description: B: SUP32 ge5/1
  Link-level type: Flexible-Ethernet, MTU: 9192, Speed: 1000mbps, BPDU Error: None,
  MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled,
  Auto-negotiation: Enabled, Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  CoS queues     : 8 supported, 8 maximum usable queues
  Current address: 00:12:1e:d5:90:7f, Hardware address: 00:12:1e:d5:90:7f
  Last flapped   : 2013-02-19 09:14:29 UTC (19w6d 21:12 ago)
  Input rate     : 4560 bps (5 pps)
  Output rate    : 6968 bps (4 pps)
  Active alarms  : None
  Active defects : None
  Interface transmit statistics: Disabled

Configuração do SUP32:

SUP32#show run int giga5/1
Building configuration...

Current configuration : 365 bytes
!
interface GigabitEthernet5/1
 description F: M320 ge-0/1/0
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 switchport vlan mapping enable
 switchport vlan mapping 1042 42
 mtu 9216
 bandwidth 1000000
 speed nonegotiate
 no cdp enable
 spanning-tree portfast edge trunk
 spanning-tree bpdufilter enable
end

SUP32#show ru int vlan42
Building configuration...

Current configuration : 61 bytes
!
interface Vlan42
 ip address 10.42.42.2 255.255.255.0
end

SUP32#sh int GigabitEthernet5/1 vlan mapping  
State: enabled
Original VLAN Translated VLAN
------------- ---------------
  1042           42  

SUP32#sh int vlan42                           
Vlan42 is up, line protocol is up 
  Hardware is EtherSVI, address is 0005.ddee.6000 (bia 0005.ddee.6000)
  Internet address is 10.42.42.2/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:09, output 00:01:27, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 17 pkt, 1920 bytes - mcast: 0 pkt, 0 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     38 packets input, 3432 bytes, 0 no buffer
     Received 21 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     26 packets output, 2420 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

E

SUP32#ping 10.42.42.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.42.42.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
SUP32#sh arp | i 10.42.42.1
Internet  10.42.42.1             12   0012.1ed5.907f  ARPA   Vlan42
SUP32#show mac address-table dynamic address 0012.1ed5.907f
Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
Active Supervisor:
*  450  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   50  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   40  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   42  0012.1ed5.907f   dynamic  Yes          5   Gi5/1


user@m320# run ping 10.42.42.2 count 2 
PING 10.42.42.2 (10.42.42.2): 56 data bytes
64 bytes from 10.42.42.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 10.42.42.2: icmp_seq=1 ttl=255 time=0.651 ms

--- 10.42.42.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.495/0.573/0.651/0.078 ms

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show arp no-resolve |match 10.42.42.2 
00:05:dd:ee:60:00 10.42.42.2      ge-0/1/0.1042        none
ytti
fonte
Obrigado pelo exemplo ... Até agora, você está usando um SVI para substituir o que estou chamando de Gi1 / 1 na pergunta original; no entanto, essa seria uma resposta melhor se provar que você não precisa do encapsulamento do QinQ para compartilhar a Vlan42 além do próprio Sup32. Vou tentar me quando eu chegar ao trabalho, se você não responder mais cedo ...
Mike Pennington
11
Não há QinQ de todo envolvido. Imagine que seu FW é meu M320 e seu SUP7 é meu SUP32. Em sua porta SUP7 FW que você acabou de reescrever o FW VLAN para o que deveria ser externamente 'switchport vlan mapeamento <FW VLAN> <VLAN externa>'
ytti
5
A Cisco faz o mapeamento de VLAN de duas maneiras. O QinQ é usado para preservar a etiqueta VLAN original enquanto atravessa uma rede "estrangeira", como um SP. O mapeamento de VLAN um a um, que é mostrado aqui, troca as tags dot1q, alterando o ID da VLAN ao encaminhar ou receber na interface fornecida. Ambos trabalhariam para a pergunta dada.
Santino
O aplicativo QinQ é principalmente esse CustL2 - OperL2 - CustL2, então nas portas operL2 voltadas para o CustL2 você configura o 'modo de porta de comutação dot1q-tunnel' e 'switchport access vlan 42'. E todas as VLANs CustL2 transitariam em OperL2 como '[42 X]'. No entanto, no OperL2, todos eles compartilham uma única tabela MAC, por isso não é totalmente transparente, não é possível colidir X em VLANs em diferentes sites do Cust. O MACinMAC (PBB) é uma solução mais transparente com melhor dimensionamento (uso do MAC no núcleo).
ytti
FYI, parece que switchport vlan mapping enablenão é necessário em Sup7 ...
Mike Pennington
7

algum suporte para a resposta de @ytti acima, espero que ajude:

laranja # sh ver
Software Cisco IOS, Software IOS-XE, Software do Catalyst 4500 L3 Switch (cat4500e-UNIVERSALK9-M), versão 03.04.00.SG RELEASE SOFTWARE (fc3)
...
laranja # sh mod
Tipo de chassi: WS-C4507R + E

Portas mod. Tipo de cartão Modelo Nº de série
--- + ----- + -------------------------------------- + - ----------------- + -----------
 4 4 Sup 7-E 10GE (SFP +), 1000BaseX (SFP) WS-X45-SUP7-E CAT1xxxxxxx 
...
cor de laranja # sh run int ten4 / 1
Construção de configuração ...

Configuração atual: 112 bytes
!
interface TenGigabitEthernet4 / 1
 tronco do modo switchport
 mapeamento de switchlan vlan 100 10
 intervalo de carga 30
fim

cor # sh run int ten4 / 2
!
interface TenGigabitEthernet4 / 2
 tronco do modo switchport
 mapeamento de switchlan vlan 10 100
 intervalo de carga 30
...
mapeamento de vlan orange # sh 
Interface Te4 / 1:
VLANs na operação de VLAN traduzida por fio
------------------------------ --------------- ----- ---------
100 10 1 para 1
Interface Te4 / 2:
VLANs na operação de VLAN traduzida por fio
------------------------------ --------------- ----- ---------
10 100 1 para 1
smoothbSE
fonte
3

Eu também não tenho esse SUP disponível, mas posso fazer isso facilmente em um Brocade Netiron.

Simplesmente coloque duas portas em um VPLS e marque-as com diferentes vlans. Igual a:

router mpls

    vpls translate test 100
     vlan 200
     tagged ethe 1/1
     vlan 300
     tagged eth1/2

O interessante do Brocade é que você pode converter qualquer tag em outra tag, tag dupla em outra tag dupla, tag dupla em tag única e tag única em tag dupla

maduro
fonte
Eu tenho que usar Supervisor7 em um c4507R + E para este serviço.
Mike Pennington
Pelo que entendi, isso tecnicamente não é tradução - está definindo dois pontos de extremidade para essa instância VPLS. Definir vários pontos de extremidade etiquetados como este em uma única instância do VPLS é realmente apenas misturar todo o tráfego marcado. A tradução seria uma instância VPLS em um nó, com o terminal sendo uma interface VLAN + marcada e, em seguida, a mesma instância VPLS em outro nó com um terminal sendo uma interface VLAN + marcada diferente.
John Jensen
Além disso, acrescentando que, se você quisesse fazer a tradução em um dispositivo, seria necessário usar uma vll-local em vez de uma instância VPLS.
10133 John Jensen
Não, este VPLS funcionará. O Brocade não permitirá que você use vll-local e use muita flexibilidade em quadros com etiqueta dupla / única. E sim, embora 'tecnicamente' isso não seja uma tradução, é exatamente o que ele fará. ou seja, no exemplo acima, um quadro com uma tag vlan de 200 entrando em eth1 / 1 sairá de eth1 / 2 com uma tag vlan de 300. Portanto, o resultado final é o que o OP deseja - obviamente não ajustará qualquer quadros bpdu
mellowd 10/07/2013