ASA 5510 + 3550

Question

我想为朋友们主持一些工作。我有一个ASA5510和一个3500开关。我们计划在交换机后面有几个plan，它们都共享单一的互联网连接。我正在考虑从ASA集群到3500端口，为每个VLAN在ASA上配置子接口，并为默认流量将开关点配置到ASA。

我的问题是，关于路由方面，我是否为交换机上的每个VLAN (即int VLAN20，IP地址192.168.20.1 255.255.255.0)分配一个ip到SVI，并有一个下一跳指向该VLAN的ASA子接口？我想这意味着每个VLAN都需要一个默认的路由？

有什么建议吗？

Answer 1

我的问题是，关于路由方面，我是否为交换机上的每个VLAN (即int VLAN20，IP地址192.168.20.1 255.255.255.0)分配一个ip到SVI，并有一个下一跳指向该VLAN的ASA子接口？我想这意味着每个VLAN都需要一个默认的路由？

由于您正在构建ASA子接口(带有IP地址)，在3550上添加Layer3 SVI将是更多的工作。如果在ASA上有子接口，在3550上有SVI，那么需要在ASA和3550之间进行静态/动态路由。如果没有在3550上添加SVI，则不需要在它们之间进行特殊路由。

将所有3550个vlan作为dot1q通过(下面的FA0/1)传输到ASA接口(下面是Gi0/0)，并在适当的vlan上通过ASA的IP地址默认您的用户。

                  +---------+ Gi0/0      Fa0/1 +------+
Internet <--------|   ASA   |------------------| 3550 |
                  +---------+       dot1q      +------+

Answer 2

如果您使用3550作为一个纯层-2开关，那么不，SVI的不需要地址。交换机只需要一个具有管理地址的接口。ASA的接口是网关。

但是，如果您使用3550作为第3层交换机，则每个SVI都需要一个地址，这是该VLAN的网关地址。然后使用附加的VLAN来路由到ASA。然后不需要中继，并且vlan间的流量不会通过ASA反弹.其缺点是ASA不能检查vlan间的流量，但它消除了单链路到ASA的瓶颈。(内部通信可以在ASA下降时继续进行。)