root
Specialist
Configuring Static Route in ASA Firewall
I. Configuring Static Route
- lệnh cấu hình trong static route
Mã:
(config)#ip route {IP_next hop, outgoing interface)- Chỉ dùng trong môi trương Multi Access:
- Nhắc lại kiến thức Layer 2 của OSI:
- Mục đích của layer 2(Datalink) cung cấp phương tiện di chuyển cho từng môi trường mạng khác nhau. Vd: Môi trường Ethernet thì phương tiện di chuyển là MAC, Môi trường MPLS thì phương tiện di chuyển là Lable, mt Frame Relay thì di chuyển bằng là DLCI…
- Môi trường Multiple Access là môi trường mạng Ethernet và phương tiện di chuyển là MAC address. Như vậy 1 gói tin từ A qua B phải đảm bảo 4 trường tất cả:
- Source IP, DesIP: Để định vị(để xem gói tin đang ở đâu và muốn đi đến đâu)
- Source MAC, DesMAC: dùng để di chuyển(chuyển mạch)
- Lúc này gói tin từ R1 sang R3 sẽ có:
- Source IP: R1
- Des IP: R3
- Source MAC: R1
- Des MAC: R2
- R1 muốn đến R2 thì phải đi qua cổng f0/0(lúc này là chức năng định vị). Khi ra khỏi cổng f0/0 thì hết chức năng định tuyến mà là chức năng của switching(di chuyển).
- Tại sao trong môi trường Multiple access không được dùng outgoing interface
- Trong môi trương Multiple Access là môi trương đa truy cập, giả sử lúc này có thêm 1 con R4 ở giữa.
- Lúc này gói tin từ R1 qua R3 sẽ được xử lý:
- Source IP: R1
- Des IP: R3
- Source MAC: R2
- Des MAC: lúc này chưa biết nên nó cần đi hỏi bằng gói tin ARP để hỏi R3 Des MAC là nhiêu ? Nhưng lúc này Arp sẽ hỏi ai?
- Trong khi dùng IP next hop thì
- Lệnh : ip router IP_R3 10.0.0.2
- Lúc này gói tin từ R1 đến R3 sẽ là:
- Source IP: R1
- Des IP: R3
- Source MAC: R1
- Des MAC: lúc này cũng chưa biết nên nó nhờ gói tin ARP request để tìm MAC address. Lúc này ARP đã biết đích đến(next hop) để hỏi.
- Serial là môi trương Point to point.
- Trong môi trường này thì các bạn có quyền chọn “outgoing interface” hoặc “ip next hop” đều được.
3. Thực tế
- Về lý thuyết là trong môi trường Multiple Access thì khi dùng outgoing interface là không ping được. Nhưng thực tế là vẫn chạy.
- Nguyên nhân:
- Ở đây ping được là nhờ may mắn vì có cổ nhân tên là “proxy-arp”(từ những năm 9x nhưng hiện nay vẫn còn hoạt động trên các thiết bị)
- Mặc định Proxy-Arp tồn tại trên Router
- Nhưng trên PC thì Proxy-Arp bị Disable
- A muốn nói chuyện với B mà cùng lớp mạng thì A sẽ ARP B
- A muốn nói chuyện với B mà khác lớp mạng thì A sẽ ARP gateway
- A muốn nói chuyện với B mà khác lớp mạng thì A sẽ ARP B luôn
- Ví dụ: Khi A muốn ping B thì A phải có gateway. Nhưng khi A, B bỏ gateway ra thì theo lý thuyết là sẽ không ping được nhau vì lúc này
- A không biết MAC của B nên nó sẽ phải thực hiện ARP để hỏi MAC B.
- Nhưng lúc này A không biết hỏi ai vì không có đich(gateway) để hỏi. Nó sẽ broadcast ARP nhưng khi đến Router sẽ bị chặn lại vì A và B khác lớp mạng.
- Nhưng thực tế là khi A, B bỏ gateway vẫn ping được B bình thường vì có Proxy-arp.
- Khi A muốn ping B thì nó sẽ hỏi MAC B bằng cách broad cast và gói broadcast sẽ đụng tới Router.
- Trong Router nó biết B(vì mạng kết nối trực tiếp). Router thấy có B trong bảng MAC và nó sẽ trả lời lại cho A muốn đi đến B thì dùng Des MAC là Router
Mã:
(config-if)#no proxy-arpII. Độ ưu tiên
1. Lựa chọn mức độ ưu tiên trong định tuyến
- Trong Router học được 1 lớp mạng từ nhiều nguồn khác nhau(Rip, OSPF…)
- Longest match(mask): so sánh chiều dài lớp mạng trước
- VD: ……….. via 10.0.0.0/27 Rip
- ……….. via 10.0.0.0/24 OSPF
- Thì độ ưu tiên hàng đầu là chọn Rip vì subnet của nó lớn hơn (27 >24)
- AD: có giá trị từ 0 -> 255. AD càng nhỏ thì càng ưu tiên
- Metric: AD bằng nhau thì ưu tiên Metric
- Metric bằng nhau thì thành loadbanlacing
- Trên Router khi các bạn gõ “ip route” câu lệnh có ý nghĩa khi outgoing interface up.
- Vd: khi bạn gõ bừa ip router 1 địa chỉ netx hop bất kì nó sẽ ko hiện lên bảng định tuyến vì interface đó ko up. Trên bảng đinh tuyến sẽ hiện: “…….. via 12.2 fastethernet f0/0”. Cổng f0/0 up thì mới có ý nghĩa, nó down thì vô nghĩa
- Nhưng thực tế 2 Router không nối trực tiếp với nhau mà nó qua quá nhiều trạm trung giam. Khi sự cố xảy ra ở các trạm trung gian thì interface Router vẫn up mặc dù 2 Router không thấy nhau. Lúc này Router A ping cho Router B bị lọt hố(black hole).
- Giải pháp: Đưa thêm điều kiện:
- Câu lệnh static route có ý nghĩa khi “outgoing interface up và 2 Router phải ping được với nhau”. Ping là end to end có đi có về để đảm bảo con đường giữa 2 Router
- Để bổ sung thì người ta dùng IP SLA. Trên SW thì có con có con không
- Cấu hình IP SLA
- Tạo ra bộ máy giám sát số 11:
Mã:
(config)#ip sla 11- Bộ máy ping địa chỉ 192.168.1.2
Mã:(config-ip-sla)#icmp-echo 192.168.1.2
- Tần số ping 6s 1 lần
Mã:(config-ip-sla-echo)#frequency 6
- Khởi động bộ máy
Mã:(config)#ip sla monitor schedule 11 start-time now life forever
- Start-time: bạn muốn khởi động máy khi nào
- Life: bạn muốn chạy đến khi nào
- Bỏ bộ máy số 11 vào đối tượng số 1
Mã:(config)#track 1 rtr 11
- Bổ sung điều kiện để câu lệnh này chỉ có ý nghĩa
Mã:(config)#ip route 10.0.0.0 255.255.255.0 192.168.12.2 track 1
[Lab 1.1] ip sla static route tracking
EEM: là 1 bộ mã nguồn(mã nhúng)- Khi 2 Router không ping được thì Router tự động shutdown interface, nhập sai password 3 lần tự động shutdown interface, lái traffic… thì bạn có thể dung giao thức EEM.
- Là 1 ngôn ngữ được viết bởi các API và từ 2800 đã hỗ trợ điều này
Các bài lý thuyết trong
Module 4: Configuring IP Connectivity and Routing
- [Chapter 4.1] Cơ chế hoạt động của DHCP Server
- [Chapter 4.2] Static route in ASA Firewall
- [Chapter 4.3] Dynamic Routing in Firewall ASA
- [Chapter 4.4] Dynamic Routing Protocols
- [Chapter 4.5] Dynamic Routing protocols
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới
