问无法在Cisco ASA 5508上平子接口

EN

经过一些研究，我发现ASA不允许从一个接口切换到另一个接口。因此，这就解释了为什么我能够在物理端口上设置内部接口，而不是将它设置为VLAN。

编辑:我会详细阐述。如果我的内部界面：

interface GigabitEthernet0/2
 nameif inside
 security-level 100
 ip address 1.1.1.2 255.255.255.0

(即GigabitEthernet0 0/2)不是作为VLAN设置的，IP为(例如) 1.1.1.2，只要我从内部(当然也是在子网上)来源，我就可以直接平分这个接口。

但是，如果我要将子接口设置为内部：

interface GigabitEthernet0/2
 no nameif
 no security-level
 no ip address
interface GigabitEthernet0/2.10
 vlan 10
 nameif inside
 security-level 100
 ip address 1.1.1.2 255.255.255.0

我将不能再平这个地址，因为它被看作是跨界面的点击。

我发现了这个并和思科的代表确认了。

首先，对模糊的回答表示歉意。

使用第一个设置，ASA5508 G1/3是一个路由/ L3接口，您可以将它连接到L3端口(正如您正在做的那样)或连接到L2访问交换机端口(考虑到您的网络中有它的L3 VLAN接口，请访问VLAN )。

在第二个设置中，您将ASA5508 G1/3配置为子接口(封装dot1q)，您必须将另一端L3端口配置为子接口(封装dot1q)或L2主干端口(考虑到您的网络中有它的L3 VLAN接口)。

假设您的网络中有VLAN10及其L3接口(在与ASA5508 G1/3接口相同的IP范围内)，下面的配置应该适用于您。稍后，您可以在防火墙和交换机之间传输更多的VLAN。

### On ASA5508 ###

interface GigabitEthernet1/3
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet1/3.10
 vlan 10
 nameif inside
 security-level 100
 ip address X.X.Y.253
!

### On your switch ###
!
interface GigabitEthernet0/x
 switchport mode trunk
 switchport trunk allow vlan 10
!

当您将端口配置为子接口时，不应该在其主接口上留下任何配置。

如果您也希望将交换机上的接口配置为子接口(封装dot1q)，那就没有任何意义了，因为第一次设置会给出相同的结果。