root

Specialist

Configuring Static Route in ASA Firewall


I. Configuring Static Route


- lệnh cấu hình trong static route
Mã:
(config)#ip route {IP_next hop, outgoing interface)
1. IP next hop:
- Chỉ dùng trong môi trương Multi Access:
- Nhắc lại kiến thức Layer 2 của OSI:
  • Mục đích của layer 2(Datalink) cung cấp phương tiện di chuyển cho từng môi trường mạng khác nhau. Vd: Môi trường Ethernet thì phương tiện di chuyển là MAC, Môi trường MPLS thì phương tiện di chuyển là Lable, mt Frame Relay thì di chuyển bằng là DLCI…
  • Môi trường Multiple Access là môi trường mạng Ethernet và phương tiện di chuyển là MAC address. Như vậy 1 gói tin từ A qua B phải đảm bảo 4 trường tất cả:
    • Source IP, DesIP: Để định vị(để xem gói tin đang ở đâu và muốn đi đến đâu)
    • Source MAC, DesMAC: dùng để di chuyển(chuyển mạch)
 Static Routing in Firewall ASA (1)

- Lúc này gói tin từ R1 sang R3 sẽ có:
  • Source IP: R1
  • Des IP: R3
  • Source MAC: R1
  • Des MAC: R2
- Router, Firewall… có 2 nhiệm vụ: định vị và chuyển mạch. Khi gói tin từ R1 đến R2 là layer 2 xử lý, lúc này nó không còn liên quan đến IP.
- R1 muốn đến R2 thì phải đi qua cổng f0/0(lúc này là chức năng định vị). Khi ra khỏi cổng f0/0 thì hết chức năng định tuyến mà là chức năng của switching(di chuyển).

- Tại sao trong môi trường Multiple access không được dùng outgoing interface
  • Trong môi trương Multiple Access là môi trương đa truy cập, giả sử lúc này có thêm 1 con R4 ở giữa.
  • Lúc này gói tin từ R1 qua R3 sẽ được xử lý:
    • Source IP: R1
    • Des IP: R3
    • Source MAC: R2
    • Des MAC: lúc này chưa biết nên nó cần đi hỏi bằng gói tin ARP để hỏi R3 Des MAC là nhiêu ? Nhưng lúc này Arp sẽ hỏi ai?
=> Không nên dùng outgoing trong môi trường Multiple Access.
- Trong khi dùng IP next hop thì

 Static Routing in Firewall ASA (2)

  • Lệnh : ip router IP_R3 10.0.0.2
  • Lúc này gói tin từ R1 đến R3 sẽ là:
    • Source IP: R1
    • Des IP: R3
    • Source MAC: R1
    • Des MAC: lúc này cũng chưa biết nên nó nhờ gói tin ARP request để tìm MAC address. Lúc này ARP đã biết đích đến(next hop) để hỏi.
2. Môi trường Serial
- Serial là môi trương Point to point.
- Trong môi trường này thì các bạn có quyền chọn “outgoing interface” hoặc “ip next hop” đều được.

3. Thực tế
- Về lý thuyết là trong môi trường Multiple Access thì khi dùng outgoing interface là không ping được. Nhưng thực tế là vẫn chạy.
- Nguyên nhân:
  • Ở đây ping được là nhờ may mắn vì có cổ nhân tên là “proxy-arp”(từ những năm 9x nhưng hiện nay vẫn còn hoạt động trên các thiết bị)
    • Mặc định Proxy-Arp tồn tại trên Router
    • Nhưng trên PC thì Proxy-Arp bị Disable
- Quy tắc làm việc của TCP-IP
 Static Routing in Firewall ASA (3)

  • A muốn nói chuyện với B mà cùng lớp mạng thì A sẽ ARP B
  • A muốn nói chuyện với B mà khác lớp mạng thì A sẽ ARP gateway
- Proxy-arp nhảy ra phá vỡ quy tắc: ( proxy-arp trên PC thì bị Disable nhưng trên Router thì được bật)
  • A muốn nói chuyện với B mà khác lớp mạng thì A sẽ ARP B luôn
  • Ví dụ: Khi A muốn ping B thì A phải có gateway. Nhưng khi A, B bỏ gateway ra thì theo lý thuyết là sẽ không ping được nhau vì lúc này
    • A không biết MAC của B nên nó sẽ phải thực hiện ARP để hỏi MAC B.
    • Nhưng lúc này A không biết hỏi ai vì không có đich(gateway) để hỏi. Nó sẽ broadcast ARP nhưng khi đến Router sẽ bị chặn lại vì A và B khác lớp mạng.
  • Nhưng thực tế là khi A, B bỏ gateway vẫn ping được B bình thường vì có Proxy-arp.
    • Khi A muốn ping B thì nó sẽ hỏi MAC B bằng cách broad cast và gói broadcast sẽ đụng tới Router.
    • Trong Router nó biết B(vì mạng kết nối trực tiếp). Router thấy có B trong bảng MAC và nó sẽ trả lời lại cho A muốn đi đến B thì dùng Des MAC là Router
- Để tắt chức năng Proxy-Arp dùng lệnh
Mã:
(config-if)#no proxy-arp

II. Độ ưu tiên
1. Lựa chọn mức độ ưu tiên trong định tuyến
- Trong Router học được 1 lớp mạng từ nhiều nguồn khác nhau(Rip, OSPF…)
  • Longest match(mask): so sánh chiều dài lớp mạng trước
    • VD: ……….. via 10.0.0.0/27 Rip
    • ……….. via 10.0.0.0/24 OSPF
    • Thì độ ưu tiên hàng đầu là chọn Rip vì subnet của nó lớn hơn (27 >24)
  • AD: có giá trị từ 0 -> 255. AD càng nhỏ thì càng ưu tiên
  • Metric: AD bằng nhau thì ưu tiên Metric
  • Metric bằng nhau thì thành loadbanlacing
2. AD
- Trên Router khi các bạn gõ “ip route” câu lệnh có ý nghĩa khi outgoing interface up.
  • Vd: khi bạn gõ bừa ip router 1 địa chỉ netx hop bất kì nó sẽ ko hiện lên bảng định tuyến vì interface đó ko up. Trên bảng đinh tuyến sẽ hiện: “…….. via 12.2 fastethernet f0/0”. Cổng f0/0 up thì mới có ý nghĩa, nó down thì vô nghĩa
 Static Routing in Firewall ASA (4)
- Nhưng thực tế 2 Router không nối trực tiếp với nhau mà nó qua quá nhiều trạm trung giam. Khi sự cố xảy ra ở các trạm trung gian thì interface Router vẫn up mặc dù 2 Router không thấy nhau. Lúc này Router A ping cho Router B bị lọt hố(black hole).
- Giải pháp: Đưa thêm điều kiện:
  • Câu lệnh static route có ý nghĩa khi “outgoing interface up và 2 Router phải ping được với nhau”. Ping là end to end có đi có về để đảm bảo con đường giữa 2 Router
  • Để bổ sung thì người ta dùng IP SLA. Trên SW thì có con có con không
- Với Dynamic Router thì ko cần vì nó có thiết lập với nhau bằng gói helo…
- Cấu hình IP SLA
  • Tạo ra bộ máy giám sát số 11:
Mã:
(config)#ip sla 11
  • Bộ máy ping địa chỉ 192.168.1.2
    Mã:
    (config-ip-sla)#icmp-echo 192.168.1.2
  • Tần số ping 6s 1 lần
    Mã:
    (config-ip-sla-echo)#frequency 6
  • Khởi động bộ máy
    Mã:
    (config)#ip sla monitor schedule 11 start-time now life forever
  • Start-time: bạn muốn khởi động máy khi nào
  • Life: bạn muốn chạy đến khi nào
  • Bỏ bộ máy số 11 vào đối tượng số 1
    Mã:
    (config)#track 1 rtr 11
  • Bổ sung điều kiện để câu lệnh này chỉ có ý nghĩa
    Mã:
    (config)#ip route 10.0.0.0 255.255.255.0 192.168.12.2 track 1
- Các bạn có thể tham khảo bài Lab về: Static Route kết hợp với IP SLA tại đây:
[Lab 1.1] ip sla static route tracking

:confused: EEM: là 1 bộ mã nguồn(mã nhúng)
- Khi 2 Router không ping được thì Router tự động shutdown interface, nhập sai password 3 lần tự động shutdown interface, lái traffic… thì bạn có thể dung giao thức EEM.
- Là 1 ngôn ngữ được viết bởi các API và từ 2800 đã hỗ trợ điều này


Các bài lý thuyết trong
Module 4
: Configuring IP Connectivity and Routing
  1. [Chapter 4.1] Cơ chế hoạt động của DHCP Server
  2. [Chapter 4.2] Static route in ASA Firewall
  3. [Chapter 4.3] Dynamic Routing in Firewall ASA
  4. [Chapter 4.4] Dynamic Routing Protocols
  5. [Chapter 4.5] Dynamic Routing protocols
- Tham khảo thêm các bài lab trong phần Module 4 này
  1. [Lab 4.1] Configure PPPoE on ASA 5525
  2. [Lab 4.2] Configure redistribute on Cisco ASA
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Sửa lần cuối:
Back
Top