在单个 ASA 后面具有相同子网的多个 VLAN

网络工程 路由 思科 VLAN 子网 测试
2021-07-22 16:10:26

假设您在以下 VLAN 和子网上有三组服务器:

Name         VLAN ID    Subnet
-----------------------------------
Production      3       10.0.0.0/24
Test           103      10.0.0.0/24
Lab            111      10.0.0.0/24

还假设Production使用 Cisco ASA 作为其网关连接到 Internet 10.0.0.1

的目的TestLab是让我们的作为密切复制尽可能服务器Production网络,使我们可以放心地测试修改它们而不影响生产。

如果您天真地复制Production网络上的服务器并将它们连接到,Test那么它们将保留其10.0.0.0/24IP 地址,如上表所示。现在假设我还想Test通过同一个 Cisco ASA网络提供互联网连接这似乎是一个问题,因为 ASA 会将其路由决策基于 IP 地址,这些 IP 地址现在在不同的 VLAN 上存在重复项。

这给我留下了以下问题:

  1. 有没有办法为多个 VLAN 提供互联网访问,这些 VLAN 在单个 ASA 后面偶然具有相同的子网?
  2. 如果是这样,这是如何实现的?如果两个 VLAN 具有相同的子网,ASA 如何知道将给定数据包发送到哪个 VLAN?
  3. 有没有更好的方法可以为包含与生产 IP 地址相同的服务器的测试网络提供互联网连接?
1个回答

根据您拥有的 ASA 和许可证,您可以使用在 ASA 内创建虚拟 ASA 的上下文每个都独立于另一个。这还允许您在将 ASA 配置投入生产之前对其进行测试。每个 vlan 接口都分配给一个上下文。传入的数据包被分类(在您的情况下,通过 vlan 接口的 MAC),然后发送到它们各自的上下文。

另一种选择是拥有 3 个路由器,每个 vlan 一个,对 ASA 所在的中央子网执行 NAT。

其它你可能感兴趣的问题
上一篇MAC 过滤是否提供针对有线网络中 MAC 欺骗的安全性? 下一篇网络地址解读