nightloop
Goto Top

ASA 5505 in einer bestehenden VLAN Layer 3 Umgebung

Hallo zusammen,

ich bin noch recht unerfahren im Bereich VLAN und habe eine generelle Frage bzgl. der ASA in einem bestehenden VLAN Konstrukt.

Zum Konstrukt ansich:

Es handelt sich im ein Netzwerk mit derzeit 15 VLANs unterteilt. Darin sind mehrere Clientnetze sowie ein Servernetz.
Clientnetze: 192.168.10.0/24 (VLAN 10) bis 192.168.20.0/24 (VLAN 20)
Servernetz 192.168.100.0/24 (VLAN 100)
Das Gateway auf dem H3C ist jeweils mit .254 für alle VLANs eingetragen.


Das Netz besteht aus einem H3C 5800 Layer 3 Switch, auf dem IP routing aktiviert ist. DHCP etc sind im Server-VLAN.
Weiterhin gibt es einige Layer 2 Switche, die alle via Trunk an dem H3C hängen.

Alle Clients aber untagged ihr VLAN sowie Tagged das Server-VLAN, damit sie den DHCP erreichen.
Die Trunk-Ports zwischen Core und Layer 2 Switchen haben alle tagged alle VLANs.

Das funktioniert auch soweit alles. Nun soll die ASA 5505 mit ins Spiel kommen und zum einen den Internetbreakout für alle Netze darstellen und auch alles was via VPN auf die ASA von extern rein kommt auf den H3C zurück geben.

Die Default-Route auf dem H3C habe ich ebenfalls auf 0.0.0.0 0.0.0.0 192.168.100.1 (ASA)

Die erste Idee war, das der Port auf dem H3C, auf dem die ASA hängt, alle VLANs tagged bekommen muss. Zusätzlich natürlich die Switchports am ASA für inside als trunked ebenfalls mit allen VLANs getagged werden muss.
Nun habe ich aber auf der ASA leider nur eine Basic Lizenz und kann keine VLAN Trunks einrichten. Bevor ich diese nun kaufe, wäre die Frage ob diese Lizenz notwendig ist, oder ob ich generell falsch denke.
Die zweite Frage ist, wie es sich mit den VPN Verbindungen verhält, die bereits auf der ASA eingerichtet sind. Wie kommen die dann in die jeweiligen VLANs?!

Content-ID: 312989

Url: https://administrator.de/contentid/312989

Ausgedruckt am: 25.11.2024 um 05:11 Uhr

catachan
Lösung catachan 19.08.2016 aktualisiert um 08:19:35 Uhr
Goto Top
Hi

wenn du den Traffic zwischen den internen Netzen nicht beschränken willst sondern nur aus bzw in das Internet dann brauchst die VLANs nicht auf der ASA. Der HP routet zwischen den lokalen Netzen da er ja in jedem eine IP hat, das die entsprechenden Rechner im VLAN als Gateway IP verwenden. Dann hat der HP Switch eine Default Route zur ASA um alle anderen, nicht lokalen Netze zu erreichen.

Was dir noch fehlt sind die Retourrouten auf der ASA. Diese hat ja eine Default Route Richtung Provider. Damit die ASA aber alle anderen Netze findet musst du Ihr die Routen via Core-Switch eintragen wo die ASA selbst nicht drinnenhängt.

Also in deinem Fall auf der ASA (vorausgesetzt das LAN Interface heißt inside)
route inside 192.168.10.0 255.255.255.0 192.168.100.254
route inside 192.168.20.0 255.255.255.0 192.168.100.254

Für den Fall dass du zwischen den Netzen ebenfalls Firewalling machen möchtest wirds etwas komplizierter. Entweder besorgst du dir eine ASA mit der Security Plus Lizenz, oder du macht in jedes VLAN einen Physischen Port der ASA rein (dann is halt bei 7 VLANs Schluss). Natürlich muss dann die ASA das gateway in den netzen sein.

LG
Nightloop
Nightloop 01.09.2016 um 14:10:54 Uhr
Goto Top
Hallo Catachan,

ich bin erst diese Woche dazu gekommen deine Ratschläge in die Tat umzusetzen. Und ich muss dir vielmals danken, da genau das der fehlende Denkanstoß war, den ich brauchte. Nun hat auch alles korrekt funktioniert.

Vielen Dank nochmals für deine ausführliche Hilfe.
catachan
catachan 09.09.2016 um 10:34:52 Uhr
Goto Top
Hi

freut mich dass ich helfen konnte.

LG