cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
7388
Visitas
25
ÚTIL
23
Respuestas

ASA 5505 permitir conexion a internet VLANs

diego.corral
Level 1
Level 1

Buenos dias.

Antes de nada muchas gracias a la comunidad.

Tengo un CISCO ASA 5505 y conectado a él un switch de nivel 3 marca AVAYA. He creado varias VLAN, que se enrutan entre si con el switch (para eso es level 3). Ahora necesito que estas VLAN accedan a internet a traves del ASA.

Hemos comprado la licencia "Security Plus License".

He configurado el puerto inside en modo trunk con las VLAN que quiero que accedan a internet. Pero me aparece un error de ID VLan Incorrecta.

¿Debo dar de alta la VLAN en el ASA? Se puede hacer a traves de ASDM, o sólo se puede hacer por comandos?

Hay que crear puertos virtuales para cada VLAN eth0.10, eth0.20...? O como el enrutamiento entre VLAN se hace en el switch esto no es necesario?

En el Switch, ademas de poner el puerto donde está conectado el ASA en modo Trunk, debo incluirlo en todas las VLAN que van a acceder a internet, o le pongo en una VLAN independiente.

 

Muchas gracias.

1 SOLUCIÓN ACEPTADA

Soluciones aceptadas

Hola Diego

Si el L3 switch ya controla el inter vlan routing y este contiene los gateways de cada LAN, el cable entre entre el L3 Switch y el routers es usado como un punto a punto para hacer fluir las redes de cada dispositivo a traves de eso y que pueda haber comunicacion. Entonces:

 

El router tendra acceso a las LAN del L3 switch y el las LANs tendran acceso a la redes que conoce el routers.

 

:-)




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Ver la solución en mensaje original publicado

23 RESPUESTAS 23

Buenos dias Diego,

El switch lo puedes usar como capa 2 y crear los gateways de las VLANs en el ASA, pero depende del diseño, si tu tienes el gateway en el switch AVAYA lo que necesitas en el firewall solo es un punto a punto para rutear el trafico hacia internet y que pase por el NAT.

 

Puedes por favor compartir la configuracion del ASA (omitiendo informacion sensible) y si es posible un diagrama o dibujo de tu red.

 

Gracias. 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hola Julio.

Queremos usar el Switch como nivel 3, ya que la comunicacion interVLAN será mucho mas rápida. (EL ASA tiene puertos a 100Mbps).

No puedo compartir la configuracion. La empresa no me lo permite (ni omitiendo info).

Las tablas NAT y ACL no me preocupan. Mi preocupacion es como configurar el puerto Ethernet del ASA en modo trunk para que acepte trafico de las diferentes VLAN, y si el puerto del switch debe estar en otra vlan o pertenecer a todas las VLAN; yo prefiero una VLAN diferente, por ejemplo, la 50 como en el esquema (tan currado :-O ) que he adjuntado.

gracias

Hola Diego, 

Comprendo, no hay incoveniente. En los ASA existen 2 maneras de configurar una conexión con un switch, a través de sub-interfaces (esquema router-in-a-stick de los routers) o puertos capa 3 directamente, por ejemplo.

 

La configuraciones del switch es en equipos Cisco pero me imagino que hay comando similares en AVAYA.

 

ASA puerto capa 3

 

interface f0/0

description MI-RED-INTERNA

security-level 100

nameif INSIDE

ip address 10.0.0.1 255.255.255.252

no shutdown

 

entonces en el switch puedes tener:

 

vlan 10

name P2P-con-ASA

 

interface vlan 10

description P2P-con-ASA

ip add 10.0.0.2 255.255.255.252

no shutdown

 

interface g1/24

description P2P-con-ASA

switchport accesss vlan 10

switchport mode access 

no shutdown

 

u omitiendo la configuracion anterior en el switch para configurar el puerto como capa 3

 

interface g1/24

no switchport 

description P2P-con-ASA

ip add 10.0.0.2 255.255.255.252

 

 

ASA Sub interface

 

interface fa0/0

no shutdown

 

interface fa0/0.10

vlan 10 

description MI-RED-INTERNA

security-level 100

nameif INSIDE

ip address 10.0.0.1 255.255.255.252

no shutdown

 

Configuracion en Switch

 

vlan 10

name P2P-con-ASA

 

interface vlan 10

description P2P-con-ASA

ip add 10.0.0.2 255.255.255.252

no shutdown

 

interface g1/24

description P2P-con-ASA

switchport mode trunk

no shutdown

 

 

En cualquier metodo que se utilice se debe usar alguna forma de enrutamiento para alcanzar las redes privadas, yo recomiendo rutas estaticas:

Ejemplo:

route inside 192.168.1.0 255.255.255.0 10.0.0.2




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Buenos dias

Gracias por las respuestas.

No quiero poner subinterfaces, ya que creo (corregirme si me equivoco) que eso se utiliza más para el enrutamiento entre VLAN, y esa será una tarea para el switch.

En el switch el puerto donde está conextado el ASA, pertenecerá a una VLAN (90, por ejemplo) y el enlace (Modo trunk por suspuesto) transmitirá toda la informacion que le llegue. Y será el ASA el que junto con las ACLs permita navegar o no. Loq ue tengo que configurar es el puerto inside del ASA para que permita el trafico de las VLAN, (10, 11, 12, 13, 14).

Al crear las VLAN en el ASA debo ponerles direccion IP y que coincida con las direcciones del switch, o, si solo defino las VLAN me valdría?

De nuevo, muchas gracias por vuestra ayuda

Hola Diego,

Todo depende de como sea tu infraestructura, hay 2 esquemas que veo si tengo un switch y un firewall. 

1- El firewall puede ser el gateway para todas las VLAN's y correcto aqui se hace intervlan routing. El switch puede servir como capa 2 unicamente, donde solo se crean las VLANs y se configura un puerto trunk para ahi conectar el firewall, el cual tendria sub interfaces, todo procesamiento lo haria el firewall.

Cuando se crean las sub-interfaces asociadas a VLANs, la direccion IP que se configura es la direccion IP del gateway de esa especifica VLAN. 

 

2- Crear el gateway de las VLANs en el switch y habilitar la capacidad de enrutamiento para que las VLANs puedan comunicarse. Aqui puede crear un punto a punto entre el switch y el firewall, donde en el switch puedes crear una VLAN X y su SVI X donde se colocara una direccion IP que pertenecera a la red que se usara para conectar el switch con el firewall. En el switch se puede colocar una ruta por defecto apuntando al firewall para que el firewall haga el NAT, revise los paquetes a traves de las ACL y finalmente permit el acceso a Internet. 

 

Un puerto de switch no puede funcionar como modo acceso o trunk al mismo tiempo. 

 

:-)




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hola Julio.

Disculpa por no responder antes.

La solucion seria la segunda.

El problema que me estoy encontrando es como hago para que las VLAN salgan a internet por el firewall.

Pongo un ejemplo:

SWITCH

VLAN 10: 192.168.10.0/24 Gw: 192.168.10.1

VLAN 20: 192.168.20.0/24 Gw: 192.168.20.1

VLAN 1: VLAN por defecto 192.168.30.0/24

Firewall: este en la vlan 1 (192.168.30.254)

El switch tiene una ruta estatica por defecto a esa IP.

En la conexion entre el firewall y el Switch:

- Debo ponerla en modo trunk para que permita trafico de las 2 VLAN?

- Deberia poner la VLAN1 como VLAN 30 y poner otra VLAN como nativa (la 99 por ejemplo), ya que creo, y corrigeme si me equivoco, que no puedo comunicar una VLAN con la VLAN por defecto, o si?

 

Una vez mas muchisimas gracias

un saludo

Hola Diego, que tal? Para servirte, ok respecto al caso no necesitas un trunk entre el switch y el firewall solo una conexion capa 3, ahora bien por recomendación se puede usar otra VLAN que no sea la 1, por buena practica la VLAN 1 se deshabilita.

 

Ahora bien si el switch es capa 3 tu podrias tener una configuración como esta:

 

SWITCH

 

ip routing

 

interface g1/0/1

description >>>HACIA FIREWALL<<<

no switchport

ip address 10.0.0.1 255.255.255.252   (el direccionamiento queda a tu discresion lo ideal es que sea una red /30)

no shutdown

 

ip route 0.0.0.0 0.0.0.0 10.0.0.2 (donde 10.0.0.2 es el firewall)

 

 

FIREWALL

** La configuración del NAT puede variar dependiendo IOS **

 

Ejemplo:

interface g0/0

description >>>HACIA-SWITCH<<<

nameif INSIDE

security-level 100

ip address 10.0.0.2 255.255.255.252

no shutdown

 

interface g0/1

description >>>HACIA-ISP<<<

nameif OUTSIDE

security-level 0

ip address X.X.X.X Y.Y.Y.Y  (direccionamiento con el proveedor)

no shutdown

 

route OUTSIDE 0.0.0.0 0.0.0.0 x.x.x.x  (x.x.x.x = siguiente salto, gateway del lado del proveedor)

route INSIDE 192.168.10.0 255.255.255.0 10.0.0.1 

route INSIDE 192.168.20.0 255.255.255.0 10.0.0.1

 

object-group network NAT   (redes internas ha ser nateadas)

network-object 192.168.10.0 255.255.255.0

network-object 192.168.20.0 255.255.255.0

 

ip nat (INSIDE,OUTSIDE) interface object-group NAT    (la configuración puede variar)

 

object-group network MIS-REDES

network-object 192.168.10.0 255.255.255.0

network-object 192.168.20.0 255.255.255.0

 

access-list INSIDE-IN extended permit icmp any any

access-list INSIDE-IN extended permit icmp any any echo

access-list INSIDE-IN extended permit icmp any any echo-reply

access-list INSIDE-IN extended permit tcp object-group MIS-REDES any eq 80

access-list INSIDE-IN extended permit tcp object-group MIS-REDES any eq 443

access-list INSIDE-IN extended permit tcp object-group MIS-REDES any eq 53

access-list INSIDE-IN extended permit udp object-group MIS-REDES any eq 53

access-list INSIDE-IN extended deny ip any any

 

access-list OUTSIDE-IN extended permit icmp any any

access-list OUTSIDE-IN extended permit icmp any any echo

access-list OUTSIDE-IN extended permit icmp any any echo-reply

access-list OUTSIDE-IN extended deny ip any any

 

access-group INSIDE-IN in interface INSIDE

access-group OUTSIDE-IN in interface OUTSIDE

 

** No tengo a la mano un firewall para probar las lineas de sintaxis pero creo que estan bien. 

El firewall realizaria el enrutamiento final hacia el proveedor, pero tambien se necesita conocer como regresar los paquetes por eso se configuran las direcciones estaticas apuntando al switch. 

 

Espero sea util

:-)

 

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hola Julio.

Muchas gracias por tu pronta respuesta.

- Estoy de acuerdo contigo en lo de quitar la VLAN1 y poner en otra VLAN.

- El enrutamiento por defecto ya está, ya que todos los equipos se conectan al internet por el firewall.

- Entiendo que al poner el Firewall en otra VLAN hace innecesario que el enlace entre firewall y el switch sea "trunk". El trafico por la VLAN del firewall iria sin "etiqueta de vlan", es decir, al firewall no le llegaria la VLAN del origen del trafico?

- Y si no pongo el firewall en una VLAN diferente (me temo que es como va a estar), sino en una VLAN con más equipos. Deberia tener el enlace en modo "trunk" entre el switch y el firewall, y habilitar las VLAN que quiero que se conecten?

Y en el firewall, configurar las VLAN, pero, deberia ponerles una IP a las VLAN del firewall, o las puedo dejar sin IP.

(es un poco lioso, perdon.)

El caso es que me gustaria, de alguna manera, controlar desde el firewall el acceso de las VLAN a internet.

 

siento lo pesado que me estoy poniendo.

Muchas gracias de nuevo, tus respuestas son muy útiles

 

 

Hola

Si tu quieres usar un trunk entre el firewall y el switch, el firewall funcionaria como un esquema "router-in-a-stick" que se usan con routers, y necesitaria crear tipo sub-interfaces en el firewall, lo cual no lo recomiento a menos que tu switch solo funcione como capa 2. Pero aprovechando que tu switch es capa 3 seria una mejor opcion. 

 

Si nos basamos en la configuracion anterior tu puedes controlar quien se conectara a Internet a traves de las ACLs y el NAT, yo cree grupos pero pueden ser lineas en las ACLs con las redes especificas.

 

:-)




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

gracias Julio.

Entiendo perfectamente la solución propuesta.

Tenemos una licencia de Cisco que nos permite la conexion de 8 VLANs por puerto, y no sabia como podia usarla y que nos fuera util (ya que la hemos pagado)

 

muchas gracias

Hola

Perfecto, si por casualidad tu firewall no te permite usar un puerto como capa 3 sino que debe ser por VLAN, la configuracion varia, en el 5505 lo he visto con VLANs, seria algo como lo siguiente:

 

FIREWALL

 

interface vlan 10

nameif INSIDE

security-level 100

ip address 10.0.0.2 255.255.255.252

no shutdown

 

interface e0/1

description >>>TO-SWITCH<<<

switchport access vlan 10

no shutdown

 

 

SWITCH

 

vlan 10

name P2P-TO-FW

 

interface vlan 10

ip address 10.0.0.1 255.255.255.252

no shutdown

 

interface g1/0/1

switchport

switchport access vlan 10

switchport mode access

no shutdown

 

:-)

 

 

 




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

Hola de nuevo, Julio.

ya como ultima pregunta.

Si pongo el firewall en una VLAN donde hay mas equipos, como he puesto antes

192.168.30.254 en la vlan 30 192.168.30.0/04

Todos los equipos para comunicarse con las otras VLAN deben tener el GW en la 30.1

Y en el switch tener la default a la 30.254.

Esta seria una situacion transitoria hasta que ponga como me has contado en tus respuestas.

o seria mejor, poner directamente el firewall en otra VLAN y listo. (estoy pensando en la transicion de tener solo una LAN a segmentarla en VLAN, con el mínimo impacto en la red)

Muchas gracias

 

Hola Diego,

Por favor corregirme si entiendo mal la pregunta. 

Si el switch es capa 3 y los gateways de cada VLAN estan creados en ese mismo switch, todas las VLAN podran comunicarse.

 

Ahora bien la VLAN para la conexion con el firewall es mas que todo para ese uso, que servira como un puente capa 3 para la comunicacion entre switch y firewall y asi hacer fluir los paquetes entre estos dispositivos. 

 

Todos los gateways pueden quedar en el switch, si usas una VLAN para la conexion con el firewall recomiendo una red mascara 30 para evitar desperdiciar direcciones IP, ejemplo: 10.0.0.0/30 (.1 para el switch y .2 para el firewall)

 

:-)




>> Marcar como útil o contestado, si la respuesta resolvió la duda, esto ayuda a futuras consultas de otros miembros de la comunidad. <<

hola

Si, has entendido perfectamente.

Y creeme si te digo que tu solucion es la que se implantará.

La pregunta era por otro motivo. No te preocupes.

Doy en hilo por resuelto