root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Configuring Static Route in ASA Firewall


I. Configuring Static Route


- lệnh cấu hình trong static route
Code:
(config)#ip route {IP_next hop, outgoing interface)
1. IP next hop:
- Chỉ dùng trong môi trương Multi Access:
- Nhắc lại kiến thức Layer 2 của OSI:
  • Mục đích của layer 2(Datalink) cung cấp phương tiện di chuyển cho từng môi trường mạng khác nhau. Vd: Môi trường Ethernet thì phương tiện di chuyển là MAC, Môi trường MPLS thì phương tiện di chuyển là Lable, mt Frame Relay thì di chuyển bằng là DLCI…
  • Môi trường Multiple Access là môi trường mạng Ethernet và phương tiện di chuyển là MAC address. Như vậy 1 gói tin từ A qua B phải đảm bảo 4 trường tất cả:
    • Source IP, DesIP: Để định vị(để xem gói tin đang ở đâu và muốn đi đến đâu)
    • Source MAC, DesMAC: dùng để di chuyển(chuyển mạch)
 Static Routing in Firewall ASA (1)

- Lúc này gói tin từ R1 sang R3 sẽ có:
  • Source IP: R1
  • Des IP: R3
  • Source MAC: R1
  • Des MAC: R2
- Router, Firewall… có 2 nhiệm vụ: định vị và chuyển mạch. Khi gói tin từ R1 đến R2 là layer 2 xử lý, lúc này nó không còn liên quan đến IP.
- R1 muốn đến R2 thì phải đi qua cổng f0/0(lúc này là chức năng định vị). Khi ra khỏi cổng f0/0 thì hết chức năng định tuyến mà là chức năng của switching(di chuyển).

- Tại sao trong môi trường Multiple access không được dùng outgoing interface
  • Trong môi trương Multiple Access là môi trương đa truy cập, giả sử lúc này có thêm 1 con R4 ở giữa.
  • Lúc này gói tin từ R1 qua R3 sẽ được xử lý:
    • Source IP: R1
    • Des IP: R3
    • Source MAC: R2
    • Des MAC: lúc này chưa biết nên nó cần đi hỏi bằng gói tin ARP để hỏi R3 Des MAC là nhiêu ? Nhưng lúc này Arp sẽ hỏi ai?
=> Không nên dùng outgoing trong môi trường Multiple Access.
- Trong khi dùng IP next hop thì

 Static Routing in Firewall ASA (2)

  • Lệnh : ip router IP_R3 10.0.0.2
  • Lúc này gói tin từ R1 đến R3 sẽ là:
    • Source IP: R1
    • Des IP: R3
    • Source MAC: R1
    • Des MAC: lúc này cũng chưa biết nên nó nhờ gói tin ARP request để tìm MAC address. Lúc này ARP đã biết đích đến(next hop) để hỏi.
2. Môi trường Serial
- Serial là môi trương Point to point.
- Trong môi trường này thì các bạn có quyền chọn “outgoing interface” hoặc “ip next hop” đều được.

3. Thực tế
- Về lý thuyết là trong môi trường Multiple Access thì khi dùng outgoing interface là không ping được. Nhưng thực tế là vẫn chạy.
- Nguyên nhân:
  • Ở đây ping được là nhờ may mắn vì có cổ nhân tên là “proxy-arp”(từ những năm 9x nhưng hiện nay vẫn còn hoạt động trên các thiết bị)
    • Mặc định Proxy-Arp tồn tại trên Router
    • Nhưng trên PC thì Proxy-Arp bị Disable
- Quy tắc làm việc của TCP-IP
 Static Routing in Firewall ASA (3)

  • A muốn nói chuyện với B mà cùng lớp mạng thì A sẽ ARP B
  • A muốn nói chuyện với B mà khác lớp mạng thì A sẽ ARP gateway
- Proxy-arp nhảy ra phá vỡ quy tắc: ( proxy-arp trên PC thì bị Disable nhưng trên Router thì được bật)
  • A muốn nói chuyện với B mà khác lớp mạng thì A sẽ ARP B luôn
  • Ví dụ: Khi A muốn ping B thì A phải có gateway. Nhưng khi A, B bỏ gateway ra thì theo lý thuyết là sẽ không ping được nhau vì lúc này
    • A không biết MAC của B nên nó sẽ phải thực hiện ARP để hỏi MAC B.
    • Nhưng lúc này A không biết hỏi ai vì không có đich(gateway) để hỏi. Nó sẽ broadcast ARP nhưng khi đến Router sẽ bị chặn lại vì A và B khác lớp mạng.
  • Nhưng thực tế là khi A, B bỏ gateway vẫn ping được B bình thường vì có Proxy-arp.
    • Khi A muốn ping B thì nó sẽ hỏi MAC B bằng cách broad cast và gói broadcast sẽ đụng tới Router.
    • Trong Router nó biết B(vì mạng kết nối trực tiếp). Router thấy có B trong bảng MAC và nó sẽ trả lời lại cho A muốn đi đến B thì dùng Des MAC là Router
- Để tắt chức năng Proxy-Arp dùng lệnh
Code:
(config-if)#no proxy-arp

II. Độ ưu tiên
1. Lựa chọn mức độ ưu tiên trong định tuyến
- Trong Router học được 1 lớp mạng từ nhiều nguồn khác nhau(Rip, OSPF…)
  • Longest match(mask): so sánh chiều dài lớp mạng trước
    • VD: ……….. via 10.0.0.0/27 Rip
    • ……….. via 10.0.0.0/24 OSPF
    • Thì độ ưu tiên hàng đầu là chọn Rip vì subnet của nó lớn hơn (27 >24)
  • AD: có giá trị từ 0 -> 255. AD càng nhỏ thì càng ưu tiên
  • Metric: AD bằng nhau thì ưu tiên Metric
  • Metric bằng nhau thì thành loadbanlacing
2. AD
- Trên Router khi các bạn gõ “ip route” câu lệnh có ý nghĩa khi outgoing interface up.
  • Vd: khi bạn gõ bừa ip router 1 địa chỉ netx hop bất kì nó sẽ ko hiện lên bảng định tuyến vì interface đó ko up. Trên bảng đinh tuyến sẽ hiện: “…….. via 12.2 fastethernet f0/0”. Cổng f0/0 up thì mới có ý nghĩa, nó down thì vô nghĩa
 Static Routing in Firewall ASA (4)
- Nhưng thực tế 2 Router không nối trực tiếp với nhau mà nó qua quá nhiều trạm trung giam. Khi sự cố xảy ra ở các trạm trung gian thì interface Router vẫn up mặc dù 2 Router không thấy nhau. Lúc này Router A ping cho Router B bị lọt hố(black hole).
- Giải pháp: Đưa thêm điều kiện:
  • Câu lệnh static route có ý nghĩa khi “outgoing interface up và 2 Router phải ping được với nhau”. Ping là end to end có đi có về để đảm bảo con đường giữa 2 Router
  • Để bổ sung thì người ta dùng IP SLA. Trên SW thì có con có con không
- Với Dynamic Router thì ko cần vì nó có thiết lập với nhau bằng gói helo…
- Cấu hình IP SLA
  • Tạo ra bộ máy giám sát số 11:
Code:
(config)#ip sla 11
  • Bộ máy ping địa chỉ 192.168.1.2
    Code:
    (config-ip-sla)#icmp-echo 192.168.1.2
  • Tần số ping 6s 1 lần
    Code:
    (config-ip-sla-echo)#frequency 6
  • Khởi động bộ máy
    Code:
    (config)#ip sla monitor schedule 11 start-time now life forever
  • Start-time: bạn muốn khởi động máy khi nào
  • Life: bạn muốn chạy đến khi nào
  • Bỏ bộ máy số 11 vào đối tượng số 1
    Code:
    (config)#track 1 rtr 11
  • Bổ sung điều kiện để câu lệnh này chỉ có ý nghĩa
    Code:
    (config)#ip route 10.0.0.0 255.255.255.0 192.168.12.2 track 1
- Các bạn có thể tham khảo bài Lab về: Static Route kết hợp với IP SLA tại đây:
[Lab 1.1] ip sla static route tracking

:confused: EEM: là 1 bộ mã nguồn(mã nhúng)
- Khi 2 Router không ping được thì Router tự động shutdown interface, nhập sai password 3 lần tự động shutdown interface, lái traffic… thì bạn có thể dung giao thức EEM.
- Là 1 ngôn ngữ được viết bởi các API và từ 2800 đã hỗ trợ điều này


Các bài lý thuyết trong
Module 4
: Configuring IP Connectivity and Routing
  1. [Chapter 4.1] Cơ chế hoạt động của DHCP Server
  2. [Chapter 4.2] Static route in ASA Firewall
  3. [Chapter 4.3] Dynamic Routing in Firewall ASA
  4. [Chapter 4.4] Dynamic Routing Protocols
  5. [Chapter 4.5] Dynamic Routing protocols
- Tham khảo thêm các bài lab trong phần Module 4 này
  1. [Lab 4.1] Configure PPPoE on ASA 5525
  2. [Lab 4.2] Configure redistribute on Cisco ASA
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu