root
Moderator
Configuration interface Cisco ASA
Hướng dẫn cấu hình interface Cisco ASA
I. Configuring physical interface Cisco ASA
1. Lệnh show version Firewall ASA
- Show ra interface và có thêm thông tin MAC address kế bên interface
- Show int ip brief giống với (show ip int brief trên Router)
Mã:
ASA#show version
ASA#show int ip brief
2. Show nameif firewall ASA
- Xem tên của interface
- Sau này tên interface sẽ dùng để đại diện interface và các hình ACL, NAT … đều sử dụng tên cái tên này
- Lưu ý: Đối với ASA 5505 thì mặc định chỉ có( 8 cổng layer 2 + 1 cổng layer 3).
- 1 cổng vật lý layer 3 nằm ở phía sau
- Các cổng còn lại nằm phía trước là layer 2 gồm
- Ethernet 0/0 thuộc VLAN 2
- Ehternet 0/1-0/7 thuộc VLAN 1
- Để sử dụng các cổng Ethernet 0/0 – 0/7 ở layer 3 thì bạn phải cấu hình interface VLAN
Mã:
ASA#show switch vlan- Các dòng còn lại 5510 trở đi thì các cổng đều là layer 3
3. Configuring physical interface parameters firewall ASA
- Speed {auto | 10 | 100 | 1000}
- khi dùng speed {10 | 100 | 1000} thì tốc độ sẽ bị fix cứng
- khi dùng speed auto: lúc này 2 bên sẽ thương lượng với nhau để đạt tốc độ truyền phù hợp với nhau.
- Câu lệnh bandwith(dùng tính toán metric định tuyến) khác với speed
- Có 2 vấn đề thương gặp phải với chỉnh speed:
- Về mặt thiết bị: Nếu 2 bên ko có tốc độ truyền giống nhau sẽ dễ sinh ra các lỗi như: Min max tốc độ, CRC …Ví dụ: Nếu bạn mua 1 thiết bị mới về có tốc độ 1000Mbps sống chung với các thiết bị cũ trong hệ thống có tốc độ 100Mbps thì bạn phải hạ tốc độ con mới về 100Mbps thì nó mới nhận và hoạt động tốt.
- Về mặt công nghệ: Ví dụ: Ngoài biển để truyền về đất liền nó triển khai Anten Wimax. Thì công nghệ Wimax có tốc độ tối đa là 45Mbps. Mà con Router có tốc độ là 100Mbps đổ vào thiết bị Wimax thì lúc này dữ liệu đổ vào Wimax quá nhanh
=> gói tin sẽ phải gửi lại => Nghẽn(phân biệt: ngẽn giống như có cái cây chắn ngang đường ko đi được, còn chậm là kẹt xe nhưng vẫn lết từng bước về nhà được) => cần phải hạ tốc độ xuống
- Giải pháp:
- Hạ speed Router xuống 10 vì trong Router chỉ có (10|100|1000 ko có 45Mbps kể cả auto chỉ auto với con bên kia). Nhưng lúc này dữ liệu nó sẽ nhỏ giọt =>chậm => lãng phí
- Thì để đẹp nhất chúng ta hạ speed router xuống 45Mbps bằng cách truyền gói tin với tốc độ 100Mbps nhưng ko cho nó truyền luôn mà giữ gói tin 1 thời gian để nó giảm tốc độ :
- Khi truyền nó truyền 100MBp trong vòng 1s đến đích
- Giờ ta giữ gói tín lâu hơn 2s lúc này 100Mbp sẽ đến đích trong vòng >2s. Tốc độ sẽ là 45Mbp trong 1s => 45Mbps
- Để kìm hãm gói tin trong vòng bao nhiêu milisecond thì bạn có thể dùng 2 công nghệ sau
- Shaping: Điều hòa lưu lượng. Hay xài trong doanh nghiệp. Mỗi tháng chỉ có 3 củ. Mỗi ngày chỉ được xài 100k, nhưng hôm nay bạn xài hơn 100k thì ngày mai bạn phải xài ít đi miễn sao cuối tháng cộng lai = 3 củ
- Policing: Khống chế lưu lượng. Hay dùng ở ISP để khống chế dung lượng download…Ví dụ: 1 ngày chỉ được xài 100k, ko được xài quá 100k, nếu hôm nay bạn xài không hết 100k thì số tiền dư sẽ vứt đi
4. Configuring interface Redundancy Cisco ASA
- Khi 1 Switch chết thì sao? Lúc này người ta gắn thêm 1 core_SW để dự phòng. Nhưng lúc này nó sẽ sinh ra 2 Zone khác nhau(2 broadcast domain khác nhau -> Policy trên mỗi interface độc lập với nhau, policy áp trên interface này phải áp trên interface kia luôn mà IP 2 interface này khác nhau, chưa kể khi core_SW1 chết làm sao user có thể biết trỏ gateway core_SW2 mà dùng… nhiều vấn đề
- Lúc này nó sinh ra 1 công nghệ, 2 interface nhập lại thành 1( 1 interface active và 1 interface backup). Khi 2 interface nhập lại 1 thì lúc này nó phải có 1 interface đại diện gọi là interface redundancy.
- Interface Redundancy: 2 interface nhập thành 1 interface lúc này chúng sẽ có chung: IP, policy...
- Các lệnh cấu hình:
- Tạo Interface redundancy đại diện
Mã:
ASA(config-int)#member-interface physical-member- Tối đa gom được 2 interface
Mã:
ASA(config)#interface port-channel 1- Và lệnh cuối cùng là gán thành viên cho channel
Mã:
Router(config-subif)#encapsulation dot1Q 10Còn với ASA
Mã:
ASA(config)#vlan 10II. Configuring interface security Cisco ASA
- Ý tưởng: Ngày xưa người ta muốn hệ thống mạng an toàn thì mặc định người ta đóng kín cửa lại hết ko cho ai vô.
- Nhưng khi có 1 traffic từ bên trong khởi tạo đi ra bên ngoài thì traffic đi về được chui vô lỗ đó để đi vào. Nghĩa là các traffic từ bên ngoài mà muốn đi được vào bên trong LAN thì traffic đó phải được khảo tạo từ chính bên trong LAN.
- Để thực hiện ý tưởng trên người ta đưa ra các cách
1. Establish key world:
- Dựa vào cơ chế bắt tay 3 bước
Inside ----- SYN ---> Outside
inside <----SYN/ACK ---- Outside
inside ----- ACK ----> Outside
- Dựa vào cơ chế 3 way handshark người ta sẽ chặn các gói syn từ bên ngoài khảo tạo gửi vào, nhưng cho phép các gói SYN/ACK đi qua. Điều này có thể thấy chỉ từ bên trong mới được khởi tạo traffic kết nối ra ngoài bằng gói SYN. Còn bên ngoài ko thể khởi tạo kết nối vào bên trong.
- Nhược điểm: Chỉ hỗ trợ TCP. Nếu bạn ko dùng TCP mà dùng các giao thức khác như ICMP… thì nó không bị chặn
2. Reflexive Access-list
- Tạo 1 tracking table lưu lại các session của user như sour Ip, DesIP, source port, des port…
- Khi bạn tạo 1 traffic đi ra ngoài thì nó sẽ lưu vào bảng trạng thái để chút nữa traffic đi về sẽ được so sánh với bảng trạng thái. Nếu nó có trong bảng trạng thái thì được đi qua, còn nếu bên ngoài tự khởi tạo traffic vào bên trong thì sẽ bị drop vì ko có session trên bảng trạng thái.
- Nhược điểm: Chỉ có khả năng nhìn vào đến layer 4. Có nhiều ứng dụng nó sử dụng port động như yahoo…
Khi bên trong kết nối ra bên ngoài nó lưu vào bảng trạng thái là IP, port nhưng sau khi thương lượng xong ứng dụng tự đổi port khác. Lúc này traffic ko được mô tả trong bảng trạng thái nên nó bị drop.
3. CBAC
- giống với CBAC nhưng hơn ở chỗ là bảng trạng thái nó lưu lại được ở trên layer 7. Nên khúc dưới nó ko quan tâm port bao nhiêu vì mỗi cấu trúc mỗi giao thức trên layer 7 nó ko thây đổi cho dù port thay đổi
4. Zone-base firewall
- Giống với CBAC chỉ khác cách tổ chức là gom các interface thành group để dễ quản lý hơn.
Ví dụ: Bạn có 3 interface VLAN, 3 interface DMZ, 3 interface Internet. Vậy khi cấu hình theo kiểu CBAC thì bạn phải cấu hình từng cặp 1vlan tới internet 1, 1vlan đến 2 internet 2… Lúc này quá phức tạp thì người ta mới gom 3 interface VLAN thì 1 zone an toàn, 3 interface dmz thành zone Dmz, 3 internet thành zone nguy hiểm. Lúc này chỉ cần 1 câu lệnh từ zone an toàn đến internet
=> Security level: Chỉ cần cho số bằng nhau để gom thành 1 group
III. Configuring interface - security Firewall ASA
1. Setting security level Firewall ASA
- Khi 2 interface có cùng security level thì 2 interface ko nói chuyện được với nhau. Để nói chuyện được dùng lệnh sau:
- Dùng cho 2 interface vật lý
Mã:
ASA(config)#same-security-traffic permit intra-interface
2. Configuring the interface MTU Firewall ASA
- MTU mặc định 1500 bytes.
- Đôi khi có các giao thức đính kèm thêm header vào gói tin như cấu hình GRE tunnel, nó đính kèm 24 bytes vào packet -> lúc này gói tin sẽ có kích thước 1524 bytes, nó không chui lọt qua cửa sổ nên lúc này nó phải fragment(chia nhỏ). Trong gói tin có field fragment ofset để biết chút reassemble(ráp lại).
- Khi fragment thì tốn bộ nhớ, cpu, ram… thời gian chờ để ráp. Nếu trong các doanh nghiệp lớn người ta cần tính toán fragment kĩ để giảm delay.
- Có 2 cách fragment:
- cắt xuống 1476 bytes
- Mở cửa sổ lớn hơn 1524 bytes
Mã:
ASA(config)# mtu int-name bytesCác bài lý thuyết trong
Module 3: Configuring ASA Interfaces
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới