相当于MSFC----ASA-----MSFC这种连接方式, 6500或者7600部分需要开启多vlan接口(默认只允许配置一个vlan接口和ASASM对接),命令firewall multiple-vlan-interfaces
; c4 N, R' T) Y$ P' [
" Q0 S; V6 K+ [' J5 V, ~$ s# u% r另外,这么做, inside和outside在MSFC部分都做了三层,这样可能导致直接路由交换部分就三层互通了,流量可能不走ASASM模块.1 V1 `! Q7 A/ Y) n
比如: 客户端-----路由到192.168.253.254/30,交换机上一查,目标地址本地路由表里面有,直接路由转发了,这个时候流量根本没有上到防火墙.; r4 C/ {- p& L
2 [: M% p% a: I
针对你这种情况,可以考虑下面两种方案的一种:& F9 n5 e2 \/ b& ^( G
1. vlan 20 在路由交换部分不要起三层(推荐);: p7 c, _+ r) i C
2. vlan20和vlan10在路由交换部分都启用了三层,但是可以做ACL限制特定流量只能送到ASASM,不能直接路由交换(举个例子,inside里面既有ip主机也有ipx主机,这个时候ipx需要绕行防火墙)2 S" F* J$ P5 u, a0 ?8 P7 p0 g
$ W+ W9 d& B v a" B& T
: P; h* O; _9 B" i个人拙见,供参考.
$ R l) a" K/ {6 P$ |: ~' E |