我们正在计划在我们的办公室逐步淘汰 Sonicwall tz205。我希望专门用 Cisco ASA 5516 替换它。我们内部有三个网络,一个接口上的主要生产网络(LAN 和无线),一个子接口上的公共 wifi VLAN 与主网络在同一接口上。和第二个接口上的 VOIP 电话。
我的第一个问题是 ASA 是否能够成为子接口(公共 WIFI)和电话网络的 DHCP 服务器?我一直无法找到任何文档来回答这个问题。
其次,ASA 5516 是否能够在电话网络和生产网络之间路由流量?
可以将 cisco ASA 配置为子接口上 VLAN 的 DHCP 服务器吗?并在 VLAN 之间路由数据包?
网络工程
路由
思科
dhcp
2021-07-20 06:28:58
3个回答
是的,您的 ASA 可以充当 DHCP 服务器,但要记住的是,这不是 ASA 的主要用途,因此它的性能不如专用 DHCP 服务器。不过,它可以为您的客户表现得足够好。我不确定 VOIP,因为文档专门针对 Cisco VOIP。
此链接是 Cisco 在 5500 ASA 上配置 DHCP 的指南。
就个人而言,我不太喜欢您描述新网络的方式。通常,我建议您将所有设备连接到一个交换机,然后该交换机连接到您的路由器(我想是您的边缘路由器。)
您可以使用 ASA5516 进行 DHCP 和从 vlan 到 vlan 的路由。它的规则稍微复杂一点,它不做子接口,比如棒上的路由器。它更像是第 3 层交换机的 SVI(交换虚拟接口)。SVI 是创建 vlan、在 ASA 或交换机上设置该 vlan 接口的 IP 地址并将其用作网关的奇特方式。每个端口上的流量由类似于子接口思想的 vlan 标记分隔(在路由器上,子接口上的 encapsulation dot1q 命令识别要查找的 vlan 标记)。
下面的内容无法回答您的问题,如果我插手的话,我深表歉意。只是想提供一些建议。
如果您打算购买具有火力的 ASA5516,请进行研究。这是一个复杂的冒险。我刚刚为一所拥有 1500 人的学校安装了一个。每个功能都需要许可证/订阅。如果您想要超过它附带的 2 个许可证,则需要 anyconnect vpn 许可证。如果您想要历史数据,您必须有一个 VMWARE esxi 服务器来加载 Cisco 创建的 VM。没有其他虚拟环境有效。(有些人操纵了虚拟盒子,但我个人不相信在生产中)。您使用单独的规则将流量引导至火力模块。对于 75 人的企业来说,这是一个非常昂贵和复杂的设备。
如果我可以提出建议,我个人建议在路由器或像样的第 3 层交换机上投入一些资金,以减轻声波墙的负担。HP2930(现在标记为 Aruba)甚至可以完成这项工作(没有 cisco 路由协议,但大多数小型企业无论如何都是静态路由)。它非常容易编程。我认为 Cisco 2960x 交换机现在也提供类似的路由(您可以检查)让声波墙仅管理进出流量。为了那个 ASA 的钱,你可以在每个壁橱里放一个第 3 层交换机和路由(然后买一辆二手车......哈哈)但听起来对于 75 个用户和 250 个以下的设备来说这似乎是不必要的(我猜) . 一个第 3 层设备就足够了。这将是您的混合核心和分布层。如果可以,您可以将服务器、wifi 控制器、电话系统等插入其中。你的骨干设备基本上。这将是一个好的开始。
我并不总是品牌偏爱,但对于没有机会熟悉 cmd line 的非网络工程师类型或 IT 人员,因为他们现在太忙了,HP 企业级 procurve 交换机有一个很难的 Web gui打。在我看来,现在称为 2930 的 2920 已经很好地证明了自己,尤其是在价格方面。
编辑...我也同意上面的评论。如果您可以将 dhcp 移动到 Windows 服务器,它将为您提供更多控制和更多洞察力。如果您的 AD 服务器不是专用 AD 服务器,您可以从那里运行它。如果您有一个内部 DNS 服务器,它也可能是一个好地方,因为您的网络 ip 助手已经去那里了。
祝你好运
固定棒
是的,cisco ASA 防火墙是可行且兼容的,可以配置为 DHCP 服务器以动态地为客户端分配 IP 地址。这是下面的配置..
ASA(config)# dhcpd address 192.168.10.1-192.168.10.240 inside
ASA(config)# dhcpd dns 8.8 8.8
ASA(config)# dhcpd wins 8.8.8.8
ASA(config)# dhcpd lease 3000
ASA(config)# dhcpd domain example.com
ASA(config)# dhcpd enable inside
其它你可能感兴趣的问题