我遇到一个问题,我的 Cisco ASA 5510-v8.2 无法与 VLAN 特定端口组中的 VM 通信。
Cisco ASA 目前位于一组具有公共 IP 的 VM 前面。这部分需要保持不变。此外,我有一个软件防火墙(pfSense,在安装 Cisco ASA 之前留下的),作为 VM 运行,具有公共 IP 以及 172.29/24 子网上的 IP。最终目标是删除软件防火墙,让 172.29/24 网络以及公共 IP 都可以通过 Cisco ASA 访问。
物理设置:
Cicso ASA 5510v8.2 <--- single ethernet ---> NIC/Server running VMWare ESXi 5.5
逻辑设置:
作为一个
Interfaces --> Ethernet 0/0 Public
\-> Ethernet 0/1 Internal (currently has public IP, and acts as a gateway for a sub-net of public IP's) (native)
\-> Ethernet 0/1.1 VLan-Passthrough Public IP's (vlan 1) (currently disabled)
\-> Ethernet 0/1.29 VLan-172.29 172.29.0.250 (vlan 29) (currently disabled)
Static Routes -> Internal: 172.29/24, gateway: software router
ESXi
vmnic1 --> vSwitch0 --> Port Group: Public Passthru (currently vlan 4095)
--> Port Group: Management Network (native)
--> Port Group: Vlan-172.29 (vlan 29)
显然,当前的配置无法实现我的最终目标。但是,它可以让一切正常运行。我是否提到过这是一个实时环境?
我尝试过的方法,是放弃软件防火墙;
- 我在 ASA 上启用了 Ethernet0/1.29 接口,IP 为 172.29.0.250,并删除了指向软件防火墙的 172.29/24 的静态路由。理论上(或者至少我认为)这应该将 ASA 直接置于 VLAN-29 上,从而能够通过 VLAN-29 端口组直接访问虚拟机。失败。两个方向均无通信。
- 我将公共直通端口组从 VLAN-0 更改为 VLAN-1。然后我从 Ethernet0/1 接口中删除名称/IP(保持启用状态),并在 VLAN-1 上启动 Ethernet0/1.1 接口。我不仅仍然无法连接到 VLAN-29 端口组上的任何内容,现在也无法连接到 VLAN-1 端口组上的任何内容。
启用了连接到同一接口的两个或多个主机之间的流量。ASA 级别没有进行 NAT(但每次都会遇到麻烦)。据我所知,对于 IP 和 ICMP,我可以完全不受限制地访问内部、vlan-Public 和 vlan 172.29 接口。但是,在此配置中,ASA 和虚拟机管理程序之间什么都不可见。
为了使今天的生产恢复正常,我不得不禁用 Ethernet0/1.1 (vlan-1) 接口,恢复 Ethernet0/1 (本机) 接口,并将 PublicPasthru 端口组更改为 VLAN-4095(本机不再适用于此端口组?)。我还恢复了静态路由,因此我知道 ASA 可以与 172.29/24 子网通信,几天后我在这里启动站点到站点 ipsec 时将需要它。
救命!有人能告诉我如何让 ASA 和 ESXi VLAN 进行通信吗?
一如往常,提前致谢!