Comunicação VLAN entre o Cisco ASA 5510 e o VMWare ESXi 5.5

Navegue suas respostas
4

Estou tendo um problema, onde meu Cisco ASA 5510-v8.2 não pode se comunicar com VMs em um grupo de portas específico da VLAN.

O Cisco ASA está atualmente na frente de um grupo de VMs que possuem IPs públicos. Essa parte precisa permanecer o mesmo. Além disso, eu tenho um firewall de software (pfSense, que restava antes do Cisco ASA estar funcionando) como uma VM, com um IP público, bem como um IP na sub-rede 172.29 / 24. O que eu gostaria de fazer, no objetivo final, é remover o firewall de software e ter a rede 172.29 / 24, bem como os IP públicos, todos acessíveis via Cisco ASA.

Configuração física: 

Cicso ASA 5510v8.2 <--- single ethernet ---> NIC/Server running VMWare ESXi 5.5

Configuração lógica:

ASA 

Interfaces --> Ethernet 0/0    Public
    \-> Ethernet 0/1    Internal (currently has public IP, and acts as a gateway for a sub-net of public IP's) (native)
    \-> Ethernet 0/1.1  VLan-Passthrough Public IP's (vlan 1) (currently disabled)
    \-> Ethernet 0/1.29 VLan-172.29 172.29.0.250 (vlan 29) (currently disabled)

    Static Routes -> Internal: 172.29/24, gateway: software router

ESXi 

vmnic1 --> vSwitch0 --> Port Group: Public Passthru (currently vlan 4095)
                    --> Port Group: Management Network (native)
                    --> Port Group: Vlan-172.29 (vlan 29)

Obviamente, a configuração atual não cumprirá meu objetivo final. No entanto, está mantendo as coisas funcionando. Eu mencionei que este é um ambiente ao vivo?

Coisas que tentei eliminar o firewall do software;

  1. Eu habilitei a interface Ethernet0 / 1.29 no ASA, com o IP de 172.29.0.250, e removi a rota estática apontando o 172.29 / 24 para o firewall de software. Teoricamente (ou pelo menos eu pensei) isso deveria colocar o ASA diretamente na VLAN-29, e assim poder acessar diretamente as VMs através do VLAN-29 Port Group. FALHA Nenhuma comunicação em nenhuma direção.
  2. Alterei o grupo de portas do Public Passthru de VLAN-0 para VLAN-1. Em seguida, removi o nome / ip da interface Ethernet0 / 1 (deixando-o ativado) e exibi a interface Ethernet0 / 1.1 na VLAN-1. Não só ainda não consegui me conectar a nada no grupo de portas VLAN-29, mas também não consegui me conectar a nada no grupo de portas VLAN-1.

O tráfego entre dois ou mais hosts conectados na mesma interface é ativado. Não há NAT acontecendo no nível ASA (ainda, uma dor de cabeça de cada vez). E até onde eu sei, tenho acesso irrestrito completo às interfaces internas, vlan-Public e vlan 172.29 para IP e ICMP. No entanto, nesta configuração, NADA é visível entre o ASA e o hipervisor.

Para trazer as coisas de volta ao trabalho para produção hoje, tive que desabilitar a interface Ethernet0 / 1.1 (vlan-1), restaurar a interface Ethernet0 / 1 (nativa) e alterar o grupo de portas PublicPasthru para VLAN-4095 (nativo não funcionou mais para este grupo de portas?). Eu também restaurei a rota estática, então eu sei que o ASA pode falar com a sub-rede 172.29 / 24, que será necessária quando eu abrir um ipsec site-a-site aqui em alguns dias.

Ajuda! Alguém pode me apontar na direção certa para obter o ASA e ESXi VLAN está se comunicando?

Como sempre, obrigado antecipadamente!

    
por Shane Chambers 17.09.2015 / 00:12

0 respostas

Tags

Inundação de ping da VM do Azure para Infraestrutura no local Erro de comprimento de chave inválido ao tentar conectar o phpmyadmin ao MySQL remoto por SSL