ASA單臂路由，同安全等級子接口跨VLAN互通

需求

• 交換機劃分為包含R2的ins-vlan2和包含R3的dmz-vlan3
• 交換機隻連一根線到asa的端口。
• 啟用asa端口的兩個子接口作為不同的vlan，并使其具有相同的安全等級，可以互相通路，即R2能和R3互通。

配置指令

交換機

此交換機為GNS3 VM IOU伺服器的i86bi-linux-l2-adventerprisek9-15.1a.bin鏡像，具體搭建方法請見

[GNS3 1.3疑難雜症]搭建交換機

config t
vlan  
    ex
vlan 
    ex
#asa端的TRUNK
int e/
    #此句設定封裝類型為dot1q必須加，給資料幀打上VLAN标簽，GNS3交換機預設不是dot1q
    switchport trunk encapsulation dot1q 
    #若不加上句，則可能提示“Auto”，不能設定端口模式trunk
    switchport mode trunk
    ex
#路由器R2
int e/
    switchport access vlan 
    exit
#路由器R3
int e/
    switchport access vlan 
    exit
exit
show vlan
           

ASA 8.4

ena

config t
int g2
    nameif inside-dmz
    no security-level
    no ip address
    no shut
    exit
int g2.
    vlan 
    nameif ins
    no shut
    security-level 
    ip address  
    exit
int g2.
    vlan 
    nameif dmz
    no shut
    security-level 
    ip address  
    exit
#設定通路清單，允許全通過，為了測試友善
access-list acl_Test1 extended permit ip any any     
access-list acl_Test2 extended permit ip any any 
#對進入接口的流量應用規則
access-group acl_Test1 in interface ins   
access-group acl_Test2 in interface dmz
#去環回位址的靜态路由 格式：從端口side 要去A/mask 得過對端B
route ins    
route dmz    
#同安全級别的子接口互相通路
same-security-traffic permit inter-interface
ex
show route
           

Vlan2-R2

config t
int lo 
    ip add  
    no shut
    exit
int f0/
    ip add  
    no shut
    exit
ip route   
ip route   
do show ip route
           

Vlan3-R3

config t
int lo 
    ip add  
    no shut
    exit
int f0/
    ip add  
    no shut
    exit
ip route   
ip route   
do show ip route
           

測試結果

R2能ping通R3，即vlan2與vlan3能互相通路