Cisco ASA [Chapter 4.4] Dynamic Routing Protocols

root

root

Specialist

Cisco ASA Dynamic Routing - part 2


4. Passive Interface in ASA


- Interface đó vẫn chạy giao thức định tuyến nhưng ko gửi các gói tin của giao thức định tuyến đó ra.
- Khi các gói tin giao thức định tuyến gửi từ Router xuống mạng Lan gây ra tình trạng
Cisco ASA Dynamic Routing (1)

  • Tốn CPU, % xử lý của SW … Nên lúc này Passive interface để không gửi các tin của giao thức định tuyến xuống. Nhưng Data vẫn được gửi đi bình thường.
  • PC cố gắng giả lập Router để trao đổi với Router và trở thành Neighber. Điều này rất là nguy hiểm.
- Câu lệnh
Mã: 
Passive interface f0/0
- Khuyễn khích cấu hình chuyên nghiệp theo dạng sau :
  • Cho tấ cả các interface rơi vào trạng thái passive interface
    Mã: 
    Passive interface default

  • Cần sử dụng interface nào để trao đổi thông tin định tuyến thì bật interface đó lên
    Mã: 
    No passive interface f0/1

  • Chú ý: Khi đi thi các bạn sẽ gặp câu lệnh này vì khi thì mặc định người ta tắt hết các interface trao đổi định tuyến. Nên để sử dụng các bạn cần dùng lệnh “no passive interface f0/0” để trao đổi định tuyến
5. Manual Summary
- Là summary với chiều dài Subnet mask với chiều dài do người quản trị quy định
- VD: Khi muốn cho 2 lớp mạng: 172.16.0.0/24 và 172.16.1.0/24 thì
  • Sum: 172.16.0.0/16 thì bị tình trạng Over lap
  • Sum: 172.16.1.0/24 và 172.16.1.0/24 thì quá nhiều
  • Nên cần sum: 172.16.1.0/23 thì sẽ ko bị Over lap và lớp mạng thu gọn khá nhiều
- Đối với EIGRP có thể thực hiện Manual Summary mọi nơi
Mã: 
ip summary address

- OSPF: chỉ thực hiện ở ABR và ASBR.
  • ABR: Là Router 1 mặt nhìn về vùng 0 và còn một mặt nhìn về vùng khác
  • ASPF: 1 bên chạy OSPF, 1 bên chạy giao thức khác( Thường là con thực hiện Redistribute)
  • Sum type 3 trên ABR: Area 0
  • Sum type 5 trên ASPF:|
    Mã: 
    Summary range address

6. Virtual Link:


Cisco ASA Dynamic Routing (2)

Các vùng OSPF có thể giao tiếp được với nhau là do LSA type 3.
- 1 Router chỉ vẽ lại bản đồ của vùng của nó mà thôi. R0 chỉ vẽ vùng 0, R1 chỉ vẽ vùng 1, R2 chỉ vẽ vùng 2. Nó không quan tâm đến các vùng router khác
- Vậy làm sao nó có thể vẽ được các vũng khác ?
  • Router 1 là Router ABR mới sinh ra 1 LSA type 3 để vận chuyển lớp mạng từ area 1 qua area 0 và ngược lại. Vì nó là Router nhìn thấy cả 2 vùng
  • R2 có được gọi là ABR ko ? tại sao ?
    • Không vì 1 mặt R2 nhìn về vùng 1, 1 mặt nhìn về vùng 2 nên ko được gọi là ABR.
    • Mà R2 không phải là ABR -> nó không sinh ra được LSA type 3 -> không vận chuyển lớp mạng từ area 1 qua area 2 và ngược lại được.
    • Nên lớp mạng Area 2 bị cô lập hoàn toàn -> R3 không giao tiếp được với R0,R1
  • Bây giờ cần biến R2 thành ABR bằng cách cắm thêm 1 sợi dây(ảo). Interface R2 chạy Area 0. Như vậy theo mô hình lúc này R2 đã nhìn về area 0 và 1 mặt nhìn về area 2. Nên R2 đã thành ABR -> vận chuyển được LSA type 3 và vận chuyển các lớp mạng qua lại bình thường
Cisco ASA Dynamic Routing (3)


- Cách thức cấu hình:
Mã: 
Area X virtual-link Y
  • X: là vùng ở giữa ngăn cách 2 area( x ở đây là area 1)
  • Y: Chính là Router ID của đầu bên trong( Y đây là Rputer ID mà R2 nối R3). Để Router có được Router ID bằng 3 cách
    • Đặt bằng tay
    • Lấy IP lớn nhất của Loopback
    • Nếu không có Loopback thì nó lấy IP lớn nhất của interface physical( interface phải ở trạng thái UP)
  • Nên đặt Router ID bằng tay vì khi ta vô tình thêm 1 IP loopback lớn hơn thì: Bản đồ phải vẽ lại, những gì đang dùng Router ID sẽ bị thay thế hoàn toàn…
Các bài lý thuyết trong
Module 4: Configuring IP Connectivity and Routing
  1. [Chapter 4.1] Cơ chế hoạt động của DHCP Server
  2. [Chapter 4.2] Static route in ASA Firewall
  3. [Chapter 4.3] Dynamic Routing in Firewall ASA
  4. [Chapter 4.4] Dynamic Routing Protocols
  5. [Chapter 4.5] Dynamic Routing protocols
- Tham khảo thêm các bài lab trong phần Module 4 này
  1. [Lab 4.1] Configure PPPoE on ASA 5525
  2. [Lab 4.2] Configure redistribute on Cisco ASA
- Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
- Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
 
Sửa lần cuối:
Bài viết liên quan
[Chapter 13.2] Monitor and debug Virtual Firewall ASA bởi root,
[Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 7.2] Cisco ASA NAT configuration bởi root,
[Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 8] Configure Acess List Cisco ASA bởi root,
[Chapter 12] Transparent Firewall on Cisco ASA bởi root,
Bài viết mới
[Chapter 13.2] Monitor and debug Virtual Firewall ASA bởi root,
[Chapter 7.7] Nat 0 and Static NAT ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 7.2] Cisco ASA NAT configuration bởi root,
Tổng hợp các bài lý thuyết Cisco ASA bởi root,
[Chapter 7.6] Dynamic NAT on ASA 8.2 vs ASA 8.4 bởi root,
[Chapter 8] Configure Acess List Cisco ASA bởi root,

7. Lan truyền Default Route:
- OSPF:
Mã: 
Default-information originate [always] [route-map]

  • Nếu không có từ khóa “always” thì muốn lan truyền về được trên Router phải có default-route
  • Khi có từ khóa “always” thì Router có thể lan truyền về mà ko cần default route
  • Route-map(Giống mệnh đề điều kiện “nếu… thì”): chi tiết hơn, Nếu trong bảng định tuyến của R1 phải có lớp mạng 192.168.1.0 thì mới được lan truyền về (Dùng để tracking từ xa).
- EIGRP
  • Muốn lan truyền được phải dùng câu lệnh của “manual summary”.
  • Có nghĩa là lên interface của Router 1 gõ lệnh để truyền default-route về cho R2
    Mã: 
    Ip summary address 0.0.0.0/0

8. Filter Route:


8.1 Cần 1 công cụ để mô tả lớp mạng
- ACL: Cấu trúc của ACL chia làm 2 phần
  • Câu lệnh: “access-list 1 permit 10.0.0.0 0.0.0.255
    • Action: permit
    • Match: 10.0.0.0 0.0.0.255
  • Thông tin mà khớp lập tức chuyển qua action
  • ACL chỉ có 1 điều kiện fix bit.
- Prefix-list:
  • Giống ACL nhưng phải thỏa 2 điều kiện thì mới thực hiện
    • ĐK 1: fix bit
    • ĐK 2: chiều dài subnet-mask
  • Câu lệnh: “ip prefix-list abc permit 192.168.1.0/16 ge 24 le 27"
    • /16 : là wildcard-mask
    • Ge 24 le 27(>= 24 và <=27) Chiều dài subnet-mask phải nằm trong range /24 đến /27 mới action được
8.2 1 công cụ filter: Distribute list
- Distribute-list cho ACL
Mã: 
Router eigrp 1
Distribute-list 10 in interface f0/0

  • Số 10: là số của ACL
  • In int f0/0: theo chiều in của interface f0/0
- Distribute list cho Prefix-list
Mã: 
Distribute-list prefix abc in interface f0/0


8.3 Chú ý:
- Filter Route chỉ áp dụng triệt để cho EIGRP và RIP
- Vì OSPF các Router nói chuyện với nhau bằng LSA chứ ko phải bằng Route, mà ko Route thì ko thể Filter
  • Cấu trúc OSPF nói chuyện với nhau bằng LSA type số 1. Type số 1 chứa:
    • Không chứa thông tin định tuyến
    • Chứa Router-ID: tôi là ai.
    • Tôi có những lớp mạng nào
    • Cost là bao nhiêu
- Chỉ filter được OSPF type số 3 (là 1 route thuần túy đem 1 cái route từ vùng này quăng sang vùng khác) và type số 5( là 1 route phân phối 1 lớp mạng từ bên ngoài vào trong OSPF)
- Nhưng trên OSPF vẫn có lệnh “distribute-list”. Nhưng nó không có chiều out chỉ có chiều in.
- Ví dụ: Trên R2 thực hiện deny mạng 10.0.0.0/24 theo chiều in và R1 gửi mạng 10.0.0.0/24 qua cho R2 thì R2 có nhận mạng 10.0.0.0/24 vào không ?

Cisco ASA Dynamic Routing (5)

  • Nó vẫn nhận bình thường vì
    • R1 gửi qua là gửi LSA, trong LSA nó mới chứa lớp mạng 10.0.0.0/24 bên trong
    • Distribute list là filter route, còn LSA được Router nhận hết toàn bộ vào
    • Những LSA nhận được thì được đặt trong Database của OSPF. Rồi sau đó Router mới tính toán đường đi tốt nhất rồi mới đưa nó lên bảng định tuyến
  • Thì khi áp Distribute list theo chiều in vào interface nó vẫn nhận LSA vào database như bình thường nhưng nó không được hiện lên bảng định tuyến.
    • Vì khi mang lớp mạng từ database lên bảng định tuyến thì nó hiểu đây là lớp mạng nên nó thực hiện deny
    • Như vậy khi “show ip route” trên R2 thì ko có mạng 10.0.0.0/24 nhưng “show database” thì có
  • Trên R3 có mạng 10.0.0.0/24 ko? Khi “show ip route” trên R3 vẫn có mạng 10.0.0.0/24 vì
    • Database của R2 có mạng 10.0.0.0/24
    • Theo quy tắc của OSPF thì 2 router phải có database giống nhau. Nên database R2 có cái gì thì R3 có cái đó.
    • Mặc dù R3 có lớp mạng 10.0.0.0/24 trên bảng định tuyến nhưng ping không được tại vì khi tới R2 thì trên R2 nó không có lớp mạng 10.0.0.0/24 trên bảng định tuyến
    • Nên Distribute list không áp dụng triệt để cho OSPF
  • Nếu R2 là ABR. Lúc này nó trao đổi LSA type số 3
    • Vì R1 và R2 đang chung 1 vùng nên database R1 và R2 phải giống nhau (do nội vùng).
    • Nhưng trên bảng định tuyến của R2 không có lớp mạng 10.0.0.0/24
    • Nhưng trên R3 sẽ không thấy vì bị Distribute list chặn
 
Sửa lần cuối:
Summary
1. Cách thức tổ chức database
- Distance Vector
- Link-state
- Ưu điểm và nhược điểm giữa các thức tổ chức database giữa Distance Vector so với Link-state
2. Các đại diện của Dynamic Route
- Distance vector: Ripv2, EIGRP
- Linkstate: OSPF, IS-IS
- so sánh IS-IS và OSPF
3. Cấu hình
- AS(autonomous system) là gì ? chia làm mấy loại ?
- Domain Routing là gì? Process Routing là gì?
- Wildcard mask dùng để làm gì ?
- Classful và classless là gì?
- Lệnh "no autosumary" dùng để làm gì?
4. Passive interface
- Passive interface dùng để làm gì?
- Cách cấu hình passive interface theo phong cách quốc tế như thế nào?
5. Manual Summary
- Manual summary dùng để làm gì?
- ABR và ASPF là gì?
6. Virtual Link
- Virtual link dùng để làm gì?
- Các thức cấu hình Virtual Link?
7. Lan truyền Default route
- Các câu lệnh cấu hình default route trên các giao thức dynamic route?
- Từ khóa "always" và "route-map" dùng để làm gì? dùng như thế nào?
8. Filter Route
- Các công cụ mô tả lớp mạng:
  • ACL: các thành phần câu lệnh ACL
  • Prefix list: các thành phần của câu lệnh Prefix list
- Công cụ filter
  • Cấu hình Distribute list trên ACL
  • Cấu hình Distribute list trên Prefix list
9. Các chú ý khi filter route
- Filter route ko áp dụng triệt để filter route trên đâu? lý do?
 
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top