我遇到了一个问题,我的思科ASA 5510-v8.2无法与VLAN特定端口组中的虚拟机进行通信。
思科ASA目前正坐在一群拥有公共IP的虚拟机前。 这部分需要保持不变。 另外,我还有一个软件防火墙(在思科ASA之前剩下的pfSense)作为虚拟机运行,具有公共IP以及172.29 / 24子网上的IP。 我想要做的,最终目标是去掉软件防火墙,并且拥有172.29 / 24networking以及公共IP,所有这些都可以通过思科ASA访问。
物理设置:
Cicso ASA 5510v8.2 <--- single ethernet ---> NIC/Server running VMWare ESXi 5.5 逻辑设置:
作为一个
Interfaces --> Ethernet 0/0 Public \-> Ethernet 0/1 Internal (currently has public IP, and acts as a gateway for a sub-net of public IP's) (native) \-> Ethernet 0/1.1 VLan-Passthrough Public IP's (vlan 1) (currently disabled) \-> Ethernet 0/1.29 VLan-172.29 172.29.0.250 (vlan 29) (currently disabled) Static Routes -> Internal: 172.29/24, gateway: software router
ESXi的
vmnic1 --> vSwitch0 --> Port Group: Public Passthru (currently vlan 4095) --> Port Group: Management Network (native) --> Port Group: Vlan-172.29 (vlan 29)
显然目前的configuration不会达到我的最终目标。 但是,它保持运行。 我提到这是一个现场环境吗?
我试过的东西,把软件防火墙放在一边;
在同一接口上连接的两台或多台主机之间的stream量已启用。 在ASA级别上没有NAT(一次头痛)。 据我所知,我已经完全无限制地访问IP和ICMP的内部,vlan-Public和vlan 172.29接口。 但是,在这种configuration中,在ASA和pipe理程序之间没有任何东西可见。
为了使今天的产品恢复生产,我必须禁用Ethernet0 / 1.1(vlan-1)接口,恢复Ethernet0 / 1(本地)接口,并将PublicPasthru端口组更改为VLAN-4095(本机不再工作对于这个端口组?)。 我还恢复了静态路由,所以我知道ASA可以和172.29 / 24子网进行通信,在几天内我在这里提出一个站点到站点的ipsec的时候就需要这个子网。
帮帮我! 任何人都可以指出我正确的方向获取ASA和ESXi VLAN的通信?
一如既往,在此先感谢!