要求之一是在原始dot1q中继中每个Vlan具有ASA防火墙上下文。这意味着我将在每个固件上下文中使用BVI将新的INSIDE接口桥接到DMZ接口。由于其他限制,我最终使用了这样的FW配置(我正在汇总所有上下文内容以简化问题)...
firewall transparent
!
interface GigabitEthernet0/1.51
vlan 51
nameif INSIDE
security-level 100
bridge-group 1
!
interface GigabitEthernet0/2.951
vlan 951
nameif DMZ
security-level 50
bridge-group 1
!
interface BVI1
ip address 10.10.51.240 255.255.255.0 standby 10.10.51.241
!
Cisco ASA在透明模式下,使用两个不同的VLAN ID连接单个Layer2 VLAN服务结束。通过
interface BVI1连接两个VLAN;每个物理接口上的bridge-group 1配置在上面的配置中建立Vlan51和Vlan951之间的连接。假设ASA:Gi0 / 2连接到4507:Gi1 / 2 ...请注意DMZ接口发生了什么... ASA DMZ Vlan是951,它通过dot1q中继线连接到DMZ交换机(Cat4507)。我需要将D1连接到交换机端口4507:Gi1 / 1,但是我必须将Vlan951-955服务作为4507:Gi1 / 1上的dot1q Vlan51-55提供给D1。换句话说,我必须在ASA上进行的Vlan BVI争用弄乱了我原来的服务定义中的Vlan编号。 D1上的战队。完美的解决方案是将4507:Gi1 / 2上的Vlan951转换为4507:Gi1 / 1上的Vlan51。思科具有一项称为vlan映射的功能,但似乎需要QinQ ...我的所有服务都是简单的dot1q ... 4500的vlan映射文档尚不清楚它们如何处理简单的dot1q封装。我知道我可以通过环回电缆转换4500中的VLAN,但这会为每个VLAN烧掉两个额外的端口...对于服务中的所有VLAN(v51-v55),总共有十个额外的端口。
问题
请参阅下图。
如何将4507:Gi1 / 2 dot1q中继上所有编号为95x的VLAN转换为4507:Gi1 / 1上编号为Vlan5x的VLAN dot1q?我需要使用最少数量的端口来进行“转换开销”。请提供答案所需的所有端口的配置。
如果有人可以解释它在这种拓扑中的工作方式,我愿意进行VLAN映射... br />
4507R + E,带IOS XE 3.4.0的Sup7L-E
带9.0(2)的ASA5555X
#1 楼
我没有要测试的SUP7,但是它可以在SUP6和SUP32上工作,我想SUP7保留了此功能。 SUP32'可以正常工作。不需要QinQ,QinQ选项的作用是将top标签添加到一个特殊标签中。因此,
switchport vlan mapping 1042 dot1q-tunnel 42会将传入的[1042]堆栈映射到[42 1042]堆栈。与
switchport vlan mapping 1042 42将传入的dot1q Vlan [1042]映射到dot1q Vlan [42]相对。 JNPR M320配置:
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# show
vlan-id 1042;
family inet {
address 10.42.42.1/24;
}
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show interfaces ge-0/1/0
Physical interface: ge-0/1/0, Enabled, Physical link is Up
Interface index: 135, SNMP ifIndex: 506
Description: B: SUP32 ge5/1
Link-level type: Flexible-Ethernet, MTU: 9192, Speed: 1000mbps, BPDU Error: None,
MAC-REWRITE Error: None, Loopback: Disabled, Source filtering: Disabled, Flow control: Disabled,
Auto-negotiation: Enabled, Remote fault: Online
Device flags : Present Running
Interface flags: SNMP-Traps Internal: 0x4000
CoS queues : 8 supported, 8 maximum usable queues
Current address: 00:12:1e:d5:90:7f, Hardware address: 00:12:1e:d5:90:7f
Last flapped : 2013-02-19 09:14:29 UTC (19w6d 21:12 ago)
Input rate : 4560 bps (5 pps)
Output rate : 6968 bps (4 pps)
Active alarms : None
Active defects : None
Interface transmit statistics: Disabled
SUP32配置:
SUP32#show run int giga5/1
Building configuration...
Current configuration : 365 bytes
!
interface GigabitEthernet5/1
description F: M320 ge-0/1/0
switchport
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
switchport vlan mapping enable
switchport vlan mapping 1042 42
mtu 9216
bandwidth 1000000
speed nonegotiate
no cdp enable
spanning-tree portfast edge trunk
spanning-tree bpdufilter enable
end
SUP32#show ru int vlan42
Building configuration...
Current configuration : 61 bytes
!
interface Vlan42
ip address 10.42.42.2 255.255.255.0
end
SUP32#sh int GigabitEthernet5/1 vlan mapping
State: enabled
Original VLAN Translated VLAN
------------- ---------------
1042 42
SUP32#sh int vlan42
Vlan42 is up, line protocol is up
Hardware is EtherSVI, address is 0005.ddee.6000 (bia 0005.ddee.6000)
Internet address is 10.42.42.2/24
MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation ARPA, loopback not set
Keepalive not supported
ARP type: ARPA, ARP Timeout 04:00:00
Last input 00:00:09, output 00:01:27, output hang never
Last clearing of "show interface" counters never
Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
Queueing strategy: fifo
Output queue: 0/40 (size/max)
5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec
L2 Switched: ucast: 17 pkt, 1920 bytes - mcast: 0 pkt, 0 bytes
L3 in Switched: ucast: 0 pkt, 0 bytes - mcast: 0 pkt, 0 bytes mcast
L3 out Switched: ucast: 0 pkt, 0 bytes mcast: 0 pkt, 0 bytes
38 packets input, 3432 bytes, 0 no buffer
Received 21 broadcasts (0 IP multicasts)
0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
26 packets output, 2420 bytes, 0 underruns
0 output errors, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
SUP32#ping 10.42.42.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.42.42.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
SUP32#sh arp | i 10.42.42.1
Internet 10.42.42.1 12 0012.1ed5.907f ARPA Vlan42
SUP32#show mac address-table dynamic address 0012.1ed5.907f
Legend: * - primary entry
age - seconds since last seen
n/a - not available
vlan mac address type learn age ports
------+----------------+--------+-----+----------+--------------------------
Active Supervisor:
* 450 0012.1ed5.907f dynamic Yes 0 Gi5/1
* 50 0012.1ed5.907f dynamic Yes 0 Gi5/1
* 40 0012.1ed5.907f dynamic Yes 0 Gi5/1
* 42 0012.1ed5.907f dynamic Yes 5 Gi5/1
user@m320# run ping 10.42.42.2 count 2
PING 10.42.42.2 (10.42.42.2): 56 data bytes
64 bytes from 10.42.42.2: icmp_seq=0 ttl=255 time=0.495 ms
64 bytes from 10.42.42.2: icmp_seq=1 ttl=255 time=0.651 ms
--- 10.42.42.2 ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max/stddev = 0.495/0.573/0.651/0.078 ms
{master}[edit interfaces ge-0/1/0 unit 1042]
user@m320# run show arp no-resolve |match 10.42.42.2
00:05:dd:ee:60:00 10.42.42.2 ge-0/1/0.1042 none
#2 楼
对上述@ytti答案的一些支持,希望对您有所帮助:orange#sh ver Cisco IOS Software, IOS-XE Software, Catalyst 4500 L3 Switch Software (cat4500e-UNIVERSALK9-M), Version 03.04.00.SG RELEASE SOFTWARE (fc3) … orange#sh mod Chassis Type : WS-C4507R+E Mod Ports Card Type Model Serial No. ---+-----+--------------------------------------+------------------+----------- 4 4 Sup 7-E 10GE (SFP+), 1000BaseX (SFP) WS-X45-SUP7-E CAT1xxxxxxx … orange#sh run int ten4/1 Building configuration... Current configuration : 112 bytes ! interface TenGigabitEthernet4/1 switchport mode trunk switchport vlan mapping 100 10 load-interval 30 end orange#sh run int ten4/2 ! interface TenGigabitEthernet4/2 switchport mode trunk switchport vlan mapping 10 100 load-interval 30 … orange#sh vlan mapping Interface Te4/1: VLANs on wire Translated VLAN Operation ------------------------------ --------------- -------------- 100 10 1-to-1 Interface Te4/2: VLANs on wire Translated VLAN Operation ------------------------------ --------------- -------------- 10 100 1-to-1
#3 楼
我也没有该SUP,但可以在Brocade Netiron上轻松实现。只需将两个端口放入VPLS中,并用不同的VLAN标记它们。像这样:
router mpls
vpls translate test 100
vlan 200
tagged ethe 1/1
vlan 300
tagged eth1/2
博科的妙处在于,您可以将任何标签转换为另一个标签,将双标签转换为另一个双标签,将双标签转换为单个标签,以及从单标签到双标签
评论
我必须在c4507R + E中使用Supervisor7才能获得此服务。
–迈克·彭宁顿
13年7月9日在11:15
据我了解,这从技术上讲不是翻译-它为该VPLS实例定义了两个端点。在单个VPLS实例中定义多个这样的标记终结点实际上只是将所有标记流量混在一起。转换将是一个节点上的一个VPLS实例,端点是标记的VLAN +接口,然后是另一个节点上的同一VPLS实例,端点是另一个标记的VLAN +接口。
–约翰·詹森(John Jensen)
13年7月10日在1:08
另外还要补充一点,如果您确实想在一台设备上进行翻译,则需要使用vll-local而不是VPLS实例。
–约翰·詹森(John Jensen)
13年7月10日在4:24
此VPLS无法正常工作。 Brocade不允许您使用vll-local,并且不能在双/单标签帧上使用很多灵活性。是的,虽然“技术上”不是翻译,但这正是它的作用。例如,在上面的示例中,带有vlan标签200的帧进入eth1 / 1将退出带有vlan标签300的eth1 / 2。因此,最终结果是OP想要的-当然,它不会调整任何bpdu帧
–柔和
13年7月10日在6:48
评论
谢谢您的示例...到目前为止,您正在使用SVI替换原始问题中我称为Gi1 / 1的内容。但是,如果证明您不需要QinQ encap来共享Sup32之外的Vlan42,则这将是一个更好的答案。如果您不早回答,我会在上班时亲自尝试一下。
–迈克·彭宁顿
13年7月9日在11:28
完全没有QinQ。想象一下,您的FW是我的M320,而您的SUP7是我的SUP32。在您的SUP7 FW端口中,您只需将FW VLAN改写为外部'switchport vlan mapping
–ytti
13年7月9日在11:37
思科通过两种方式进行VLAN映射。 QinQ用于在穿越“外部”网络(例如SP)时保留原始VLAN标签。此处显示的一对一VLAN映射交换dot1q标记,在给定接口上转发或接收时更改VLAN ID。两者都可以解决问题。
–圣地亚哥
13年7月9日在11:55
QinQ应用程序主要是CustL2-OperL2-CustL2,然后在面向CustL2的operL2端口中配置“交换端口模式dot1q-tunnel”和“交换端口访问VLAN 42”。并且所有CustL2 VLAN都将OperL2转换为“ [42 X]”。但是,在OperL2中,所有这些共享一个MAC表,因此它不是完全透明的,您不能在不同Cust站点的VLAN中冲突X。 MACinMAC(PBB)是更透明的解决方案,具有更好的扩展性(在内核中使用MAC)。
–ytti
13年7月9日在12:16
仅供参考,看起来Sup7不需要启用switchport vlan映射...
–迈克·彭宁顿
13年7月9日在14:48