Cấu hình Interface VLAN trên Firewall Cisco

Thảo luận trong 'Firewall Cisco' bắt đầu bởi phongnguyen, 12/1/18.

  1. phongnguyen

    phongnguyen New Member

    Cấu hình interface Vlan trên Firewall Cisco

    Một interface vật lý của ASA có thể được cấu hình để giao tiếp với nhiều lớp mạng khác nhau. Để làm được việc này, interface phải cấu hình VLAN.

    Trên ASA 5512 và các dòng cao hơn, mỗi VLAN được thực hiện qua liên kết trunk trên subinterface của một interface vật lý. Trên ASA 5506, mỗi VLAN có thể kết nối với giao diện vật lý và được thực hiện trên một liên kết trunk VLAN.

    1. Interface Vlan, trunk trên ASA 5512 và các dòng cao hơn.

    Một liên kết trunk ASA chỉ hỗ trợ phương pháp đóng gói IEEE 802.1Q trunk. Khi một gói tin gửi qua đường trunk thì sẽ được gán thêm 1 tag (thẻ) vói số vlan nguồn của nó để có thể chuyển gói tin đến được vlan mong muốn.

    IEEE 802.1Q cũng hỗ trợ khái niệm native Vlan. Fame của native Vlan khi qua đường trunk thì không đóng thêm bất cứ thông tin gì nữa, hỗ trợ cho các thiết bi không chia được vlan.

    IEEE 802.1Q Trunk hoạt động liên kết với ASA

    Trong khi Switch Cisco có thể đóng gói thông qua Dynamic Trunking Protocol (DTP), còn ASA thì không. Một liên kết trunk ASA thông qua cấu hình sub-interface.

    Có thể sử dụng câu lệnh sau để cấu hình:

    ciscoasa(config)# interface hardware_id.subinterface

    ciscoasa(config-subif)# vlan vlan_id

    Ví dụ, hình dưới cho thấy một sơ đồ mạng của một liên kết trunk giữa ASA và một switch. Interface Ethernet0 / 3 của ASA được sử dụng như là các liên kết trunk.VLAN 10 được thực trên ASA subinterface Ethernet0/3.1, trong khi VLAN 20 được thực hiện trên Ethernet0/3.2.

    Mô hình mạng

    upload_2018-1-12_14-6-31.jpeg

    upload_2018-1-12_14-6-34.jpeg

    2. Interface Vlan, trunk trên ASA 5506

    Trên ASA 5506, VLAN được hỗ trợ trên các interface vật lý, nhưng chỉ khi trên đúng interface chứa Vlan đó thì VLAN mới được cấu hình.

    Theo mặc định, ASA 5506 bao gồm các interface vlan 1 và interface vlan 2 trong cấu hình của nó.

    Nếu cần trao đổi nhiều Vlan đã được tạo sẵn của ASA với switch neighbor, ta có thể cấu hình một cổng interface làm đường trunk. Và cấu hình theo các lệnh:

    ciscoasa(config-if)# switchport mode trunk

    ciscoasa(config-if)# switchport trunk allowed vlan vlan-list

    Theo mặc định không có vlan nào thực hiện liên kết trunk, cần phải chỉ định vlan đó bằng cách nhập vào danh sách vlan-list và các vlan này cách nhau bởi dấu phẩy (, ).

    Ví dụ cấu hình vlan trên ASA 5506

    ASA 5506 được cấu hình để hỗ trợ VLAN 10 và 20, và để thực hiện các VLAN trên interface Ethernet0 / 5, được cấu hình như một liên kết trunk.

    upload_2018-1-12_14-6-44.jpeg
     
    phongnguyen, 12/1/18
    #1

trang này