Configurar o Cisco ASA no modo transparente: Layer2 DMZ w / Vlan translation

Estou no meio de um projeto para migrar alguns troncos Ethernet comutados dot1q existentes atrás de um firewall ASA ... esses troncos têm cinco vlans cada (numerados 51 - 55). Este é um desenho simples do serviço layer2 original ...

Um dos requisitos é ter um contexto de firewall ASA por Vlan no tronco dot1q original. Isso significa que eu acabo usando um BVI para conectar a nova interface INSIDE à interface DMZ em cada contexto do FW. Devido a outras restrições, acabo com uma configuração do FW como esta (estou resumindo todo o material de contexto para simplificar a pergunta) ...

firewall transparent
!
interface GigabitEthernet0/1.51
 vlan 51
 nameif INSIDE
 security-level 100
 bridge-group 1
!
interface GigabitEthernet0/2.951
 vlan 951
 nameif DMZ
 security-level 50
 bridge-group 1
!
interface BVI1
 ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241
!

Os ASAs da Cisco no modo transparente acabam usando dois IDs de vlan diferentes para conectar um único serviço de vlan layer2. Conecte as duas vlan através interface BVI1; a bridge-group 1configuração em cada interface física faz a conexão entre Vlan51 e Vlan951 na configuração acima.

Suponha que ASA: Gi0 / 2 se conecte a 4507: Gi1 / 2 ... Observe o que acontece com a interface DMZ ... a ASA DMZ Vlan é 951, e isso se conecta por meio de um tronco dot1q ao comutador DMZ (o Cat4507). Preciso conectar o D1 ao switchport 4507: Gi1 / 1, mas devo entregar os serviços Vlan951-955 ao D1 como dot1q Vlan51-55 no 4507: Gi1 / 1. Em outras palavras, a disputa de Vlan BVI que eu tive que fazer no ASA atrapalha a numeração de Vlan na minha definição de serviço original.

Infelizmente, não posso renumerar facilmente os Vlans no D1. A solução perfeita seria traduzir de alguma forma a Vlan951 no 4507: Gi1 / 2 para Vlan51 no 4507: Gi1 / 1. A Cisco possui um recurso chamado mapeamento de vlan , mas parece exigir o QinQ ... todos os meus serviços são dot1q simples ... os documentos de mapeamento de 4500 vlan não são claros sobre como eles lidam com o encapsulamento dot1q simples.

Eu sei que posso traduzir as vlans no 4500 via cabo de loopback, mas isso queima duas portas extras por Vlan ... um total de dez portas extras para todas as Vlans no serviço (v51 - v55).

Questão

Consulte o diagrama abaixo.

Como posso converter todos os Vlans numerados 95x no tronco 4507: Gi1 / 2 dot1q para serem numerados Vlan5x em 4507: Gi1 / 1 dot1q? Eu preciso usar o menor número de portas consumidas para "sobrecarga de tradução". Inclua configurações para todas as portas que sua resposta exigir.

Estou aberto ao mapeamento de vlan , se alguém puder explicar como funcionaria nessa topologia ...

Equipamento

• 4507R + E, Sup7L-E com IOS XE 3.4.0
• ASA5555X com 9.0 (2)

Eu não tenho o SUP7 para testar, mas funciona no SUP6 e no SUP32, presumo que o SUP7 retenha essa funcionalidade.

Eu testei entre o JNPR M320 <-> SUP32 e o ' mapeamento vlan JNPR SUP32 ' funciona muito bem.

Não há necessidade do QinQ, o que a opção QinQ faz é adicionar a tag superior a uma tag específica. Assim switchport vlan mapping 1042 dot1q-tunnel 42, mapeia a pilha [1042] recebida para a pilha [42 1042]. Ao contrário do switchport vlan mapping 1042 42que mapeia a entrada dot1q Vlan [1042] para a dot1q Vlan [42].

Configuração do JNPR M320:

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# show 
vlan-id 1042;
family inet {
    address 10.42.42.1/24;
}
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show interfaces ge-0/1/0               
Physical interface: ge-0/1/0, Enabled, Physical link is Up
  Interface index: 135, SNMP ifIndex: 506
  Description: B: SUP32 ge5/1
  Link-level type: Flexible-Ethernet, MTU: 9192, Speed: 1000mbps, BPDU Error: None,
  MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled,
  Auto-negotiation: Enabled, Remote fault: Online
  Device flags   : Present Running
  Interface flags: SNMP-Traps Internal: 0x4000
  CoS queues     : 8 supported, 8 maximum usable queues
  Current address: 00:12:1e:d5:90:7f, Hardware address: 00:12:1e:d5:90:7f
  Last flapped   : 2013-02-19 09:14:29 UTC (19w6d 21:12 ago)
  Input rate     : 4560 bps (5 pps)
  Output rate    : 6968 bps (4 pps)
  Active alarms  : None
  Active defects : None
  Interface transmit statistics: Disabled

Configuração do SUP32:

SUP32#show run int giga5/1
Building configuration...

Current configuration : 365 bytes
!
interface GigabitEthernet5/1
 description F: M320 ge-0/1/0
 switchport
 switchport trunk encapsulation dot1q
 switchport mode trunk
 switchport nonegotiate
 switchport vlan mapping enable
 switchport vlan mapping 1042 42
 mtu 9216
 bandwidth 1000000
 speed nonegotiate
 no cdp enable
 spanning-tree portfast edge trunk
 spanning-tree bpdufilter enable
end

SUP32#show ru int vlan42
Building configuration...

Current configuration : 61 bytes
!
interface Vlan42
 ip address 10.42.42.2 255.255.255.0
end

SUP32#sh int GigabitEthernet5/1 vlan mapping  
State: enabled
Original VLAN Translated VLAN
------------- ---------------
  1042           42  

SUP32#sh int vlan42                           
Vlan42 is up, line protocol is up 
  Hardware is EtherSVI, address is 0005.ddee.6000 (bia 0005.ddee.6000)
  Internet address is 10.42.42.2/24
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive not supported
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input 00:00:09, output 00:01:27, output hang never
  Last clearing of "show interface" counters never
  Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
  L2 Switched: ucast: 17 pkt, 1920 bytes - mcast: 0 pkt, 0 bytes
  L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
  L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
     38 packets input, 3432 bytes, 0 no buffer
     Received 21 broadcasts (0 IP multicasts)
     0 runts, 0 giants, 0 throttles 
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     26 packets output, 2420 bytes, 0 underruns
     0 output errors, 0 interface resets
     0 output buffer failures, 0 output buffers swapped out

E

SUP32#ping 10.42.42.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.42.42.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
SUP32#sh arp | i 10.42.42.1
Internet  10.42.42.1             12   0012.1ed5.907f  ARPA   Vlan42
SUP32#show mac address-table dynamic address 0012.1ed5.907f
Legend: * - primary entry
        age - seconds since last seen
        n/a - not available

  vlan   mac address     type    learn     age              ports
------+----------------+--------+-----+----------+--------------------------
Active Supervisor:
*  450  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   50  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   40  0012.1ed5.907f   dynamic  Yes          0   Gi5/1
*   42  0012.1ed5.907f   dynamic  Yes          5   Gi5/1


user@m320# run ping 10.42.42.2 count 2 
PING 10.42.42.2 (10.42.42.2): 56 data bytes
64 bytes from 10.42.42.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 10.42.42.2: icmp_seq=1 ttl=255 time=0.651 ms

--- 10.42.42.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.495/0.573/0.651/0.078 ms

{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show arp no-resolve |match 10.42.42.2 
00:05:dd:ee:60:00 10.42.42.2      ge-0/1/0.1042        none

algum suporte para a resposta de @ytti acima, espero que ajude:

laranja # sh ver
Software Cisco IOS, Software IOS-XE, Software do Catalyst 4500 L3 Switch (cat4500e-UNIVERSALK9-M), versão 03.04.00.SG RELEASE SOFTWARE (fc3)
...
laranja # sh mod
Tipo de chassi: WS-C4507R + E

Portas mod. Tipo de cartão Modelo Nº de série
--- + ----- + -------------------------------------- + - ----------------- + -----------
 4 4 Sup 7-E 10GE (SFP +), 1000BaseX (SFP) WS-X45-SUP7-E CAT1xxxxxxx 
...
cor de laranja # sh run int ten4 / 1
Construção de configuração ...

Configuração atual: 112 bytes
!
interface TenGigabitEthernet4 / 1
 tronco do modo switchport
 mapeamento de switchlan vlan 100 10
 intervalo de carga 30
fim

cor # sh run int ten4 / 2
!
interface TenGigabitEthernet4 / 2
 tronco do modo switchport
 mapeamento de switchlan vlan 10 100
 intervalo de carga 30
...
mapeamento de vlan orange # sh 
Interface Te4 / 1:
VLANs na operação de VLAN traduzida por fio
------------------------------ --------------- ----- ---------
100 10 1 para 1
Interface Te4 / 2:
VLANs na operação de VLAN traduzida por fio
------------------------------ --------------- ----- ---------
10 100 1 para 1

Eu também não tenho esse SUP disponível, mas posso fazer isso facilmente em um Brocade Netiron.

Simplesmente coloque duas portas em um VPLS e marque-as com diferentes vlans. Igual a:

router mpls

    vpls translate test 100
     vlan 200
     tagged ethe 1/1
     vlan 300
     tagged eth1/2

O interessante do Brocade é que você pode converter qualquer tag em outra tag, tag dupla em outra tag dupla, tag dupla em tag única e tag única em tag dupla