Назад | Перейти на главную страницу

Связь по VLAN между Cisco ASA 5510 и VMWare ESXi 5.5

У меня проблема, когда мой Cisco ASA 5510-v8.2 не может взаимодействовать с виртуальными машинами в группе портов VLAN.

Cisco ASA в настоящее время находится перед группой виртуальных машин с общедоступными IP-адресами. Эта часть должна остаться прежней. Кроме того, у меня есть программный брандмауэр (pfSense, оставшийся до появления Cisco ASA), работающий как виртуальная машина, с общедоступным IP-адресом, а также IP-адрес в подсети 172.29 / 24. В конечном итоге я бы хотел удалить программный брандмауэр и сделать сеть 172.29 / 24, а также общедоступные IP-адреса, доступные через Cisco ASA.

Физическая установка:

Cicso ASA 5510v8.2 <--- single ethernet ---> NIC/Server running VMWare ESXi 5.5

Логическая установка:

КАК

Interfaces --> Ethernet 0/0    Public
    \-> Ethernet 0/1    Internal (currently has public IP, and acts as a gateway for a sub-net of public IP's) (native)
    \-> Ethernet 0/1.1  VLan-Passthrough Public IP's (vlan 1) (currently disabled)
    \-> Ethernet 0/1.29 VLan-172.29 172.29.0.250 (vlan 29) (currently disabled)

    Static Routes -> Internal: 172.29/24, gateway: software router

ESXi 

vmnic1 --> vSwitch0 --> Port Group: Public Passthru (currently vlan 4095)
                    --> Port Group: Management Network (native)
                    --> Port Group: Vlan-172.29 (vlan 29)

Очевидно, что текущая конфигурация не выполнит мою конечную цель. Тем не менее, это поддерживает работу. Я упоминал, что это живая среда?

То, что я пробовал, исключить программный брандмауэр;

  1. Я включил интерфейс Ethernet0 / 1.29 на ASA с IP-адресом 172.29.0.250 и удалил статический маршрут, указывающий 172.29 / 24 на программный брандмауэр. Теоретически (или, по крайней мере, я думал) это должно поместить ASA непосредственно в VLAN-29 и, таким образом, иметь возможность прямого доступа к виртуальным машинам через группу портов VLAN-29. НЕ СМОГЛИ. Нет связи ни в одном направлении.
  2. Я изменил группу портов Public Passthru с VLAN-0 на VLAN-1. Затем я удалил имя / ip из интерфейса Ethernet0 / 1 (оставив его включенным) и подключил интерфейс Ethernet0 / 1.1 к VLAN-1. Я не только не мог подключиться ни к чему в группе портов VLAN-29, но и не мог подключиться ни к чему в группе портов VLAN-1.

Включен трафик между двумя или более хостами, подключенными к одному интерфейсу. На уровне ASA NAT не выполняется (но одна головная боль за раз). И насколько я могу судить, у меня есть полный неограниченный доступ к внутренним интерфейсам, интерфейсам vlan-Public и vlan 172.29 как для IP, так и для ICMP. Однако в этой конфигурации НИЧЕГО не видно между ASA и гипервизором.

Чтобы вернуть все в рабочее состояние сегодня, мне пришлось отключить интерфейс Ethernet0 / 1.1 (vlan-1), восстановить интерфейс Ethernet0 / 1 (собственный) и изменить группу портов PublicPasthru на VLAN-4095 (собственный интерфейс больше не работает. для этой группы портов?). Я также восстановил статический маршрут, поэтому я знаю, что ASA может взаимодействовать с подсетью 172.29 / 24, которая понадобится, когда я через пару дней подниму здесь ipsec между сайтами.

Помогите! Может ли кто-нибудь указать мне правильное направление для установления связи между ASA и ESXi VLAN?

Как всегда, заранее спасибо!