Cisco ASA [Chapter 4.4] Dynamic Routing Protocols

root

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Cisco ASA Dynamic Routing - part 2


4. Passive Interface in ASA


- Interface đó vẫn chạy giao thức định tuyến nhưng ko gửi các gói tin của giao thức định tuyến đó ra.
- Khi các gói tin giao thức định tuyến gửi từ Router xuống mạng Lan gây ra tình trạng
Cisco ASA Dynamic Routing (1)

  • Tốn CPU, % xử lý của SW … Nên lúc này Passive interface để không gửi các tin của giao thức định tuyến xuống. Nhưng Data vẫn được gửi đi bình thường.
  • PC cố gắng giả lập Router để trao đổi với Router và trở thành Neighber. Điều này rất là nguy hiểm.
- Câu lệnh
Code: 
Passive interface f0/0
- Khuyễn khích cấu hình chuyên nghiệp theo dạng sau :
  • Cho tấ cả các interface rơi vào trạng thái passive interface
    Code: 
    Passive interface default

  • Cần sử dụng interface nào để trao đổi thông tin định tuyến thì bật interface đó lên
    Code: 
    No passive interface f0/1

  • Chú ý: Khi đi thi các bạn sẽ gặp câu lệnh này vì khi thì mặc định người ta tắt hết các interface trao đổi định tuyến. Nên để sử dụng các bạn cần dùng lệnh “no passive interface f0/0” để trao đổi định tuyến
5. Manual Summary
- Là summary với chiều dài Subnet mask với chiều dài do người quản trị quy định
- VD: Khi muốn cho 2 lớp mạng: 172.16.0.0/24 và 172.16.1.0/24 thì
  • Sum: 172.16.0.0/16 thì bị tình trạng Over lap
  • Sum: 172.16.1.0/24 và 172.16.1.0/24 thì quá nhiều
  • Nên cần sum: 172.16.1.0/23 thì sẽ ko bị Over lap và lớp mạng thu gọn khá nhiều
- Đối với EIGRP có thể thực hiện Manual Summary mọi nơi
Code: 
ip summary address

- OSPF: chỉ thực hiện ở ABR và ASBR.
  • ABR: Là Router 1 mặt nhìn về vùng 0 và còn một mặt nhìn về vùng khác
  • ASPF: 1 bên chạy OSPF, 1 bên chạy giao thức khác( Thường là con thực hiện Redistribute)
  • Sum type 3 trên ABR: Area 0
  • Sum type 5 trên ASPF:|
    Code: 
    Summary range address

6. Virtual Link:


Cisco ASA Dynamic Routing (2)

Các vùng OSPF có thể giao tiếp được với nhau là do LSA type 3.
- 1 Router chỉ vẽ lại bản đồ của vùng của nó mà thôi. R0 chỉ vẽ vùng 0, R1 chỉ vẽ vùng 1, R2 chỉ vẽ vùng 2. Nó không quan tâm đến các vùng router khác
- Vậy làm sao nó có thể vẽ được các vũng khác ?
  • Router 1 là Router ABR mới sinh ra 1 LSA type 3 để vận chuyển lớp mạng từ area 1 qua area 0 và ngược lại. Vì nó là Router nhìn thấy cả 2 vùng
  • R2 có được gọi là ABR ko ? tại sao ?
    • Không vì 1 mặt R2 nhìn về vùng 1, 1 mặt nhìn về vùng 2 nên ko được gọi là ABR.
    • Mà R2 không phải là ABR -> nó không sinh ra được LSA type 3 -> không vận chuyển lớp mạng từ area 1 qua area 2 và ngược lại được.
    • Nên lớp mạng Area 2 bị cô lập hoàn toàn -> R3 không giao tiếp được với R0,R1
  • Bây giờ cần biến R2 thành ABR bằng cách cắm thêm 1 sợi dây(ảo). Interface R2 chạy Area 0. Như vậy theo mô hình lúc này R2 đã nhìn về area 0 và 1 mặt nhìn về area 2. Nên R2 đã thành ABR -> vận chuyển được LSA type 3 và vận chuyển các lớp mạng qua lại bình thường
Cisco ASA Dynamic Routing (3)


- Cách thức cấu hình:
Code: 
Area X virtual-link Y
  • X: là vùng ở giữa ngăn cách 2 area( x ở đây là area 1)
  • Y: Chính là Router ID của đầu bên trong( Y đây là Rputer ID mà R2 nối R3). Để Router có được Router ID bằng 3 cách
    • Đặt bằng tay
    • Lấy IP lớn nhất của Loopback
    • Nếu không có Loopback thì nó lấy IP lớn nhất của interface physical( interface phải ở trạng thái UP)
  • Nên đặt Router ID bằng tay vì khi ta vô tình thêm 1 IP loopback lớn hơn thì: Bản đồ phải vẽ lại, những gì đang dùng Router ID sẽ bị thay thế hoàn toàn…
Các bài lý thuyết trong
Module 4: Configuring IP Connectivity and Routing
  1. [Chapter 4.1] Cơ chế hoạt động của DHCP Server
  2. [Chapter 4.2] Static route in ASA Firewall
  3. [Chapter 4.3] Dynamic Routing in Firewall ASA
  4. [Chapter 4.4] Dynamic Routing Protocols
  5. [Chapter 4.5] Dynamic Routing protocols
- Tham khảo thêm các bài lab trong phần Module 4 này
  1. [Lab 4.1] Configure PPPoE on ASA 5525
  2. [Lab 4.2] Configure redistribute on Cisco ASA
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Last edited:

7. Lan truyền Default Route:
- OSPF:
Code: 
Default-information originate [always] [route-map]

  • Nếu không có từ khóa “always” thì muốn lan truyền về được trên Router phải có default-route
  • Khi có từ khóa “always” thì Router có thể lan truyền về mà ko cần default route
  • Route-map(Giống mệnh đề điều kiện “nếu… thì”): chi tiết hơn, Nếu trong bảng định tuyến của R1 phải có lớp mạng 192.168.1.0 thì mới được lan truyền về (Dùng để tracking từ xa).
- EIGRP
  • Muốn lan truyền được phải dùng câu lệnh của “manual summary”.
  • Có nghĩa là lên interface của Router 1 gõ lệnh để truyền default-route về cho R2
    Code: 
    Ip summary address 0.0.0.0/0

8. Filter Route:


8.1 Cần 1 công cụ để mô tả lớp mạng
- ACL: Cấu trúc của ACL chia làm 2 phần
  • Câu lệnh: “access-list 1 permit 10.0.0.0 0.0.0.255
    • Action: permit
    • Match: 10.0.0.0 0.0.0.255
  • Thông tin mà khớp lập tức chuyển qua action
  • ACL chỉ có 1 điều kiện fix bit.
- Prefix-list:
  • Giống ACL nhưng phải thỏa 2 điều kiện thì mới thực hiện
    • ĐK 1: fix bit
    • ĐK 2: chiều dài subnet-mask
  • Câu lệnh: “ip prefix-list abc permit 192.168.1.0/16 ge 24 le 27"
    • /16 : là wildcard-mask
    • Ge 24 le 27(>= 24 và <=27) Chiều dài subnet-mask phải nằm trong range /24 đến /27 mới action được
8.2 1 công cụ filter: Distribute list
- Distribute-list cho ACL
Code: 
Router eigrp 1
Distribute-list 10 in interface f0/0

  • Số 10: là số của ACL
  • In int f0/0: theo chiều in của interface f0/0
- Distribute list cho Prefix-list
Code: 
Distribute-list prefix abc in interface f0/0


8.3 Chú ý:
- Filter Route chỉ áp dụng triệt để cho EIGRP và RIP
- Vì OSPF các Router nói chuyện với nhau bằng LSA chứ ko phải bằng Route, mà ko Route thì ko thể Filter
  • Cấu trúc OSPF nói chuyện với nhau bằng LSA type số 1. Type số 1 chứa:
    • Không chứa thông tin định tuyến
    • Chứa Router-ID: tôi là ai.
    • Tôi có những lớp mạng nào
    • Cost là bao nhiêu
- Chỉ filter được OSPF type số 3 (là 1 route thuần túy đem 1 cái route từ vùng này quăng sang vùng khác) và type số 5( là 1 route phân phối 1 lớp mạng từ bên ngoài vào trong OSPF)
- Nhưng trên OSPF vẫn có lệnh “distribute-list”. Nhưng nó không có chiều out chỉ có chiều in.
- Ví dụ: Trên R2 thực hiện deny mạng 10.0.0.0/24 theo chiều in và R1 gửi mạng 10.0.0.0/24 qua cho R2 thì R2 có nhận mạng 10.0.0.0/24 vào không ?

Cisco ASA Dynamic Routing (5)

  • Nó vẫn nhận bình thường vì
    • R1 gửi qua là gửi LSA, trong LSA nó mới chứa lớp mạng 10.0.0.0/24 bên trong
    • Distribute list là filter route, còn LSA được Router nhận hết toàn bộ vào
    • Những LSA nhận được thì được đặt trong Database của OSPF. Rồi sau đó Router mới tính toán đường đi tốt nhất rồi mới đưa nó lên bảng định tuyến
  • Thì khi áp Distribute list theo chiều in vào interface nó vẫn nhận LSA vào database như bình thường nhưng nó không được hiện lên bảng định tuyến.
    • Vì khi mang lớp mạng từ database lên bảng định tuyến thì nó hiểu đây là lớp mạng nên nó thực hiện deny
    • Như vậy khi “show ip route” trên R2 thì ko có mạng 10.0.0.0/24 nhưng “show database” thì có
  • Trên R3 có mạng 10.0.0.0/24 ko? Khi “show ip route” trên R3 vẫn có mạng 10.0.0.0/24 vì
    • Database của R2 có mạng 10.0.0.0/24
    • Theo quy tắc của OSPF thì 2 router phải có database giống nhau. Nên database R2 có cái gì thì R3 có cái đó.
    • Mặc dù R3 có lớp mạng 10.0.0.0/24 trên bảng định tuyến nhưng ping không được tại vì khi tới R2 thì trên R2 nó không có lớp mạng 10.0.0.0/24 trên bảng định tuyến
    • Nên Distribute list không áp dụng triệt để cho OSPF
  • Nếu R2 là ABR. Lúc này nó trao đổi LSA type số 3
    • Vì R1 và R2 đang chung 1 vùng nên database R1 và R2 phải giống nhau (do nội vùng).
    • Nhưng trên bảng định tuyến của R2 không có lớp mạng 10.0.0.0/24
    • Nhưng trên R3 sẽ không thấy vì bị Distribute list chặn
 
Last edited:
Summary
1. Cách thức tổ chức database
- Distance Vector
- Link-state
- Ưu điểm và nhược điểm giữa các thức tổ chức database giữa Distance Vector so với Link-state
2. Các đại diện của Dynamic Route
- Distance vector: Ripv2, EIGRP
- Linkstate: OSPF, IS-IS
- so sánh IS-IS và OSPF
3. Cấu hình
- AS(autonomous system) là gì ? chia làm mấy loại ?
- Domain Routing là gì? Process Routing là gì?
- Wildcard mask dùng để làm gì ?
- Classful và classless là gì?
- Lệnh "no autosumary" dùng để làm gì?
4. Passive interface
- Passive interface dùng để làm gì?
- Cách cấu hình passive interface theo phong cách quốc tế như thế nào?
5. Manual Summary
- Manual summary dùng để làm gì?
- ABR và ASPF là gì?
6. Virtual Link
- Virtual link dùng để làm gì?
- Các thức cấu hình Virtual Link?
7. Lan truyền Default route
- Các câu lệnh cấu hình default route trên các giao thức dynamic route?
- Từ khóa "always" và "route-map" dùng để làm gì? dùng như thế nào?
8. Filter Route
- Các công cụ mô tả lớp mạng:
  • ACL: các thành phần câu lệnh ACL
  • Prefix list: các thành phần của câu lệnh Prefix list
- Công cụ filter
  • Cấu hình Distribute list trên ACL
  • Cấu hình Distribute list trên Prefix list
9. Các chú ý khi filter route
- Filter route ko áp dụng triệt để filter route trên đâu? lý do?
 
You must log in or register to reply here.

Similar Threads

[Chapter 13.2] Monitor and debug Virtual Firewall ASA
Cisco ASA [Chapter 13.2] Monitor and debug Virtual Firewall ASA
Replies
0
Views
32K
root
root
[Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
Cisco ASA [Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4
Replies
0
Views
5K
root
root
[Chapter 7.2] Cisco ASA NAT configuration
Cisco ASA [Chapter 7.2] Cisco ASA NAT configuration
Replies
3
Views
5K
root
root
Tổng hợp các bài lý thuyết Cisco ASA
  • Sticky
Cisco ASA Tổng hợp các bài lý thuyết Cisco ASA
Replies
0
Views
5K
root
root
[Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
Cisco ASA [Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4
Replies
1
Views
5K
phanphong
P

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

Home Forums Contact us

User Menu

Login
Top Bottom
Back