การแบ่ง Sub Interface ของ Cisco ASA เพื่อใช้ในการทำ Inter VLAN

      ASA นั้นเป็นอุปกรณ์ Firewall ชนิดหนึ่งของ Cisco สามารถทำหน้าที่ได้หลายๆ อย่างทั้งกำหนด Policy ของระบบ, NAC Server เพื่อใช้กับ VPN รูปแบบต่างๆ หรือแม้กระทั่งการทำ URL Filtering แต่ในบทความนี้เราจะมาพูดถึง การใช้งาน ASA เพื่อทำหน้าที่ Inter VLAN Routing แทนการใช้ Router ครับ
      การทำงานของ ASA ในรูปแบบนี้จะใช้ในกรณีที่เราไม่มีอุปกรณ์ Router และ Switch ที่สามารถทำงานในระดับ Layer 3 ได้เลย แต่ต้องการให้ระบบนั้นมีการแบ่ง VLAN เพื่อลดการ Broadcast ของข้อมูลภายในระบบ และง่ายต่อการดูแลจัดการกับ IP Address
     
การ Configure มีดังนี้


Step 1. ระบุ Interface ที่ต้องการใช้งาน

• hostname(config)# interface physical_interface
• physical_interface หมายถึงหมายเลขพอร์ตเป็นชนิด [ช่อง /] พอร์ตดังต่อไปนี้

ตัวอย่าง

• 2learningcisco(config)# interface GigabitEthernet0/0

_______________________________________________________________________
Step 2. ระบุความเร็วบน Interface

• hostname(config-if)# speed {auto | 10 | 100 | 1000 | nonegotiate}

ตัวอย่าง

• 2learningcisco(config)# speed 100

_________________________________________________________________________

Step 3. ระบุชนิดบน Interface

• hostname(config-if)# duplex {auto | full | half}

ตัวอย่าง

• 2learningcisco(config)# duplex full

__________________________________________________________________________

Step 4. เปิดใช้งาน Interface

• hostname(config-if)# no shutdown

ตัวอย่าง

• 2learningcisco(config)# no shutdown

_______________________________________________________________________

Step 5. ระบุ SubInterface ที่ต้องการใช้งาน

• hostname(config)# interface physical_interface.subinterface

ตัวอย่าง

• 2learningcisco(config)# interface GigabitEthernet0/0.10

________________________________________________________________________

Step 6. ระบุ VLAN ลงใน SubInterface ที่ต้องการใช้งาน

• hostname(config)# vlan vlan_id

 ตัวอย่าง

• 2learningcisco(config)# vlan 10

_________________________________________________________________________

Step 7. เปิดใช้งาน SubInterface

• hostname(config-if)# no shutdown

ตัวอย่าง

• 2learningcisco(config)# no shutdown

__________________________________________________________________________

Step 8. เพิ่ม Policy ระหว่าง Traffic  

• hostname(config-if)# same-security-traffic permit inter-interface
• hostname(config-if)# same-security-traffic permit intra-interface

ตัวอย่าง

• 2learningcisco(config)# same-security-traffic permit inter-interface 
• 2learningcisco(config)# same-security-traffic permit intra-interface

_________________________________________________________________________________

Step 9. ทำการ NAT ระหว่าง SubInterface

• hostname(config-if)# static (physical_interface.subinterface,physical_interface.subinterface) ip_physical_interface.subinterface ip_physical_interface.subinterface netmask ip_subnetmask

ตัวอย่าง

• 2learningcisco(config)# static (Wire,Wireless) 10.10.10.0 10.10.10.0 netmask 255.255.255.0

__________________________________________________________________________________


ตัวอย่าง Configure สำหรับการใช้งานจริง

interface GigabitEthernet0/0
speed 100
duplex full
no nameif
no security-level
no ip address
!
interface GigabitEthernet0/0.10
description Wire
vlan 10
nameif Wire
security-level 100
ip address 10.10.10.1 255.255.255.0
!
interface GigabitEthernet0/0.20
description Wireless
vlan 20
nameif Wireless
security-level 100
ip address 10.20.20.1 255.255.255.0
!
interface GigabitEthernet0/0.30
description DMZ
vlan 30
nameif DMZ
security-level 50
ip address 10.30.30.1 255.255.255.0
!
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
!
static (Wire,Wireless) 10.10.10.0 10.10.10.0 netmask 255.255.255.0
static (Wire,DMZ) 10.10.10.0 10.10.10.0 netmask 255.255.255.0
static (Wireless,Wire) 10.20.20.0 10.20.20.0 netmask 255.255.255.0
static (Wireless,DMZ) 10.20.20.0 10.20.20.0 netmask 255.255.255.0
static (DMZ,Wire) 10.30.30.0 10.30.30.0 netmask 255.255.255.0
static (DMZ,Wireless) 10.30.30.0 10.30.30.0 netmask 255.255.255.0
!

สวัสดีครับ ขอต้อนรับสู่ 2learningcisco ครับ

          Blogger 2learningcisco นี้สร้างไว้เพื่อ Share เกี่ยวกับการ Configure อุปกรณ์เครือข่าย Cisco นะครับ ซึ่งส่วนมากจะเป็นจากประสบการณ์ตรงจากการ Implement ของผมเอง และบางอย่างอาจจะนำมาจากหลายๆ ที่ครับ โดยจะเป็นพวก Data Center Switch, Unified Computing System (UCS), Cisco Router, Catalyst Swtich, ASA Firewall, Firewall Service Module, Controller Access Point, Cisco Aironet ครับ

          จริงๆ แล้ว ความรู้ต่างๆ ใน Blogger นี้ค่อนข้างจะไม่มีหลักการมากมายอะไร และอาจจะไม่ได้มีคำอธิบายอะไรมาก นอกจากแนวทางการ Configure เท่านั้น เนื่องจากการ Implement ของผมนั้นจะไม่ได้เน้นไปในอุปกรณ์ใดอุปกรณ์หนึ่ง หวังว่า Blogger นี้จะพอมีประโยชน์สำหรับ Engineer ที่ติดปัญหาใน Project ที่ต้องรับผิดชอบ Configure นะครับ ดังนั้นอาจจะมีข้อผิดพลาดประการใดก็ขอให้ผู้รู้จริงแนะนำด้วยนะครับ