root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Lab Configure redistribute on Cisco ASA


I. Mô hình và yêu cầu Lab Configure redistribute on Cisco ASA
1. Mô hình Lab Configure redistribute on Cisco ASA

Configure redistribute on Cisco ASA (1)


2. yêu cầu:

- Thiết lập thiết bị theo sơ đồ
- Cấu hình Routing protocol
- Cấu hình Redistribute
 
Last edited:

II. Triển khai Lab configure redistribute on Cisco ASA


1. Routing Protocol:
- Trên R1

Code:
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown

R1(config-if)#interface loopback0
R1(config-if)#ip address 1.1.1.1 255.255.255.0
R1(config-if)#exit

R1(config)#router eigrp 1
R1(config-router)#network 192.168.1.1 0.0.0.0
R1(config-router)#network 1.1.1.1 0.0.0.0
R1(config-router)#passive-interface loopback0
R1(config-router)#no auto-summary

- Trên R2

Code:
R2(config)#int f0/0
R2(config-if)#ip address
R2(config-if)#ip address 192.168.2.2 255.255.255.0
R2(config-if)#no shutdown

R2(config-if)#int loopback0
R2(config-if)#ip address 2.2.2.2 255.255.255.0

R2(config-if)#int f0/1
R2(config-if)#ip address 172.16.2.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit


R2(config)#router ospf 1
R2(config-router)#network 192.168.2.2 0.0.0.0 area 1
R2(config-router)#network 2.2.2.2 0.0.0.0 area 1
R2(config-router)#passive-interface loopback0

- Trên R3

Code:
R3(config)#int f0/0
R3(config-if)#ip address 192.168.3.3 255.255.255.0
R3(config-if)#no shutdown

R3(config-if)#int loopback0
R3(config-if)#ip address 3.3.3.3 255.255.255.0
R3(config-if)#exit

R3(config)#router ospf 1
R3(config-router)#network 192.168.3.3 0.0.0.0 area 0
R3(config-router)#network 3.3.3.3 0.0.0.0 area 0


R3(config-router)#passive-interface loopback0

- Trên ASA:

Code:
ciscoasa(config)# interface gigabitEthernet 0
ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# no shutdown

ciscoasa(config)# int gigabitEthernet 1
ciscoasa(config-if)# ip address 192.168.3.254 255.255.255.0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int gigabitEthernet 2
ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# no shutdown

// Định tuyến trên ASA 842 có khác 1 chút so với Router

Code:
ciscoasa(config)# router eigrp 1
ciscoasa(config-router)# network 192.168.1.0 255.255.255.0
ciscoasa(config-router)# no auto-summary

ciscoasa(config)# router ospf 1
ciscoasa(config-router)# network 192.168.2.0 255.255.255.0 area 1
ciscoasa(config-router)# network 192.168.3.0 255.255.255.0 area 0


- Kiểm tra bảng định tuyến trên ASA.

 configure redistribute on Cisco ASA (1)


- Kiểm tra bảng định tuyến trên R3. Vì R3 và R2 là 2 Router nằm trên 2 area khác nhau. Nên cần LSA type 3 của ABR để cập nhập bảng định tuyến. Nên có chữ "O IA" trên bảng định tuyến của R3.

 configure redistribute on Cisco ASA (2)


2.Configure Redistribute on Cisco ASA


- Theo bảng định tuyến của ASA thì nó đã thấy R1, R2, R3
- Nhưng trong bảng đinh tuyến của R3 phía trên thì R3 và R1 vẫn chưa thấy nhau. Vì 2 Router chạy 2 giao thức khác nhau
- Để R3 và R1 thấy nhau thì ASA phải thực hiện Redistribute cho 2 giao thức OSPF và EIGRP

- Redistribute ospf to eigrp on Cisco ASA (Kéo OSPF vào trong EIGRP)

Code:
ciscoasa(config)# router eigrp 1
ciscoasa(config-router)# redistribute ospf 1 metric 100000 100 255 1 1500


- Redistribute EIGRP to OSPF on Cisco ASA(Kéo EIGRP vào trong OSPF)

Code:
ciscoasa(config)# router ospf 1
ciscoasa(config-router)# redistribute eigrp 1 subnets


- Kiểm tra bảng định tuyến của R3. Có "O E2" chứa các lớp mạng của R1.

 configure redistribute on Cisco ASA (3)


- Kiểm tra bảng định tuyến của R1. Có "D EX" chứa các lớp mạng của R2 và R3.

 configure redistribute on Cisco ASA (4)


3. Config ICMP inspection on Cisco ASA

- Mặc dù bảng định tuyến của các Router đã thấy nhau nhưng vẫn chưa ping được lẫn nhau.

 configure redistribute on Cisco ASA (5)

- Điều này là bởi vì mặc định Firewall chặn giao thức ICMP. Để các Router có thể ping được lẫn nhau các bạn cần thêm "icmp inspection" vào trong "inspection policy" mặc định của ASA

Code:
ciscoasa(config)# fixup protocol icmp

//hoặc

Code:
policy-map global_policy

    class inspection_default

        inspect icmp
 
Last edited:
hi bạn,

Đã upload lại hình ảnh bài lab này

Thanks bạn nhiều!
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu