CiscoASA防火墙Trunk透明传输
- 防火墙上先建立BVI,BVI的IP地址,子网掩码应该包括所有需要通信的各个子网
- 配置物理接口的子接口,用来识别交换机Trunk里的vlan。
分别在inside和outside物理接口上建立子接口(物理接口不用配内容),子接口的vlanID要与相连的交换机相应vlan的ID匹配
- 防火墙上先建立BVI,BVI的IP地址,子网掩码应该包括所有需要通信的各个子网
-
-
需要了解的原理:
-
-
配置示例:
-
ASA config:
interface Ethernet0/1 //物理接口什么都不用配
description Link to S3
no nameif
no security-level
!
interface Ethernet0/1.11 //配置子接口
description Link to S3 for VLAN 11
vlan 11 //vlan号要与相连的交换机的Trunk中要通过的vlan相同
nameif OUTSIDE-11 //必须起个名
bridge-group 1 //放到BVI1里
security-level 0 //等级为0,最低
!
interface Ethernet0/1.22
description Link to S3 for VlAN 22
vlan 22
nameif OUTSIDE-22
bridge-group 2
security-level 0
!
interface Ethernet0/2
description Link to S1
no nameif
no security-level
!
interface Ethernet0/2.10
description Link to S1 for VLAN 10
vlan 10
nameif INSIDE-10
bridge-group 1 //与上面的outside相对应
security-level 100
!
interface Ethernet0/2.20
description Link to S1 for VLAN 20
vlan 20
nameif INSIDE-20
bridge-group 2
security-level 100
!
interface BVI1
ip address 192.168.1.1 255.255.255.0 //注意这里的子网要包括vlan的子网。当然,可以多个vlan用同一个BVI。
!
interface BVI2
ip address 192.168.2.1 255.255.255.0
!
fixup protocol icmp
S1 config:
interface Vlan10
ip address 192.168.1.100 255.255.255.0
!
interface Vlan20
ip address 192.168.2.100 255.255.255.0
!
interface FastEthernet0/1
description Link to S2
switchport access vlan 20
switchport mode access
!
interface FastEthernet0/5
description Link to R1
switchport access vlan 10
switchport mode access
!
interface FastEthernet0/24
description Link to ASA
switchport trunk encapsulation dot1q
switchport mode trunk
S3 config:
interface Vlan11
ip address 192.168.1.200 255.255.255.0
!
interface Vlan22
ip address 192.168.2.200 255.255.255.0
!
interface FastEthernet0/24
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface FastEthernet0/5
switchport access vlan 11
switchport mode access
interface FastEthernet0/1
!
switchport access vlan 22
switchport mode access
switchport nonegotiate
R1 IP address: 192.168.1.10
R3 IP address: 192.168.1.20
S2 IP address: 192.168.2.10
S4 IP address: 192.168.2.20
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 记一次.NET内存居高不下排查解决与启示
· 探究高空视频全景AR技术的实现原理
· 理解Rust引用及其生命周期标识(上)
· 浏览器原生「磁吸」效果!Anchor Positioning 锚点定位神器解析
· 没有源码,如何修改代码逻辑?
· 全程不用写代码,我用AI程序员写了一个飞机大战
· MongoDB 8.0这个新功能碉堡了,比商业数据库还牛
· 记一次.NET内存居高不下排查解决与启示
· DeepSeek 开源周回顾「GitHub 热点速览」
· 白话解读 Dapr 1.15:你的「微服务管家」又秀新绝活了