需要帮助将ASA 5505配置转换为ASA 5512

Question

我们最近提高了我们的互联网速度，并购买了ASA 5512，以便能够利用这一点，因为5505被限制在100 able。这是我的问题。我试图在新防火墙上创建VLAN，但我似乎不能将相同的VLAN分配给多个端口。

来自旧ASA 5505配置的示例：

interface Vlan300
 nameif DMZ
 security-level 50
 ip address 192.168.5.5 255.255.255.0 
!
interface Vlan400
 nameif INSIDE
 security-level 90
 ip address 192.168.1.5 255.255.255.0

interface Ethernet0/3
 switchport access vlan 300
!
interface Ethernet0/4
 switchport access vlan 300
!
interface Ethernet0/5
!
interface Ethernet0/6
 switchport access vlan 400
!
interface Ethernet0/7
 switchport access vlan 400

在新防火墙上，我必须为VLAN创建一个子接口，因此VLAN是在物理接口上设置的，它不允许我在不同的端口上创建相同的VLAN。有人知道如何将VLAN从一个端口分配到另一个端口吗？

Answer 1

5505有一个连接世界的开关。因此，您可以配置vlan并将端口分配给每个vlan(内部、外部、dmz)。5510+有多个路由接口。因此，您设置了单独的接口(Ethernet0等)对于“内部”、“外部”等等，虽然您可以在接口后面配置VLAN，但我怀疑这是您所需要的。

(例如，我有3“外部”的VLAN。(每ISP一人)

Answer 2

答案就是“不”。就像里基已经说过的那样，5505有一个内置的集成交换机，因此你可以创建VLAN接口(然后路由接口实际上可以被防火墙看到)。更大的ASA设备(老实说，我认为所有其他思科防火墙，除了你的旧5505)没有这样的交换机内建。

虽然您可以在同一个端口(802.1q集群)上配置子接口并使用不同的VLAN，但您不能在多个端口上分配一个VLAN。这是开关所做的，但是ASA不能这样做。

要获得更详细的建议，我们需要更多关于您的网络的详细信息，例如为什么您需要有多个端口具有相同的VLAN，以及什么连接到哪个接口。从我在您的配置中看到的情况来看，您似乎只是将多个客户端连接到防火墙。如果是这样的话:使用任何具有VLAN功能的交换机，将其连接到新的ASA (要么通过使用802.1q的一个物理接口，要么通过多个物理接口)，让ASA和交换机都完成它们设计的任务。

Answer 3

为了补充你已经得到的答案..。5505上的端口是第二层，这意味着您将VLAN分配给它们，并将IP地址分配给VLAN。很多人对5505升级到5506有这样的抱怨，这与你所处的情况类似。它们是第三层端口。您可以直接将地址分配给端口，并且不能像以前一样在同一子网上有多个端口。这是除了两个POE港口的损失之外。您唯一的解决方案是拥有一个能够处理多个VLAN或多个哑交换机的智能交换机，每个子网都有一个连接到不同配置端口的开关。

您必须添加额外的硬件(假设图片中没有开关，因为您没有提到它们)才能保持相同的功能并享受更大的速度。