root
Well-Known Member
- Joined
- Dec 31, 2012
- Messages
- 1,153
- Reaction score
- 71
- Points
- 48
I. Sơ đồ và yêu cầu
1. Sơ đồ
2. Yêu cầu
- Đưa ASA thành Switch để traffic từ R1 và R2 có cùng subnet
- Định tuyến EIGRP trên R1 và R2 để mạng hội tụ.
II. Triển khai
1. Trên R1
- Cấu hình IP và định tuyến EIGRP cho R1
2. Trên R2
- Cấu hình IP và định tuyến EIGRP trên R2, lan truyên default-route về cho R1
3. Cấu hình trên ASA
- Mặc định ASA 8.4 sẽ ở Router mode.
- Để chuyển ASA về mode Transparent ta dùng lệnh sau
- Các bạn dùng lệnh "show firewall" để xem mode của ASA
- Tạo 1 Virtual interface trên ASA để quản lý.
- Kiểm tra lại các interface trên ASA
4. Cấu hình ACL ICMP
- Bây giờ con ASA đã trở thành con ASA trasparent, giống như 1 con SW layer 2
- Mặc định trên ASA không cho phép ICMP đi ngang qua nó. Nên để 2 Router ping được nhau bạn phải thực hiện inspect IMCP
- Giờ bạn vào R1 ping tới R2 sẽ thành công
- Nhưng việc ping ngược lại từ R2(outside) vào R1(inside) là không thành công. Vì ASA không cho phép traffic từ nơi có Security-level thấp đi qua nơi Security-Level cao.
- Để thực cho phép outside ping ngược vào inside bạn cần 1 ACL áp trên chiều in của interface outside
5. Cấu hình ACL cho EIGRP
- Giao thức EIGRP sử dụng địa chỉ Multicast 224.0.0.10. Tuy nhiên ASA không cho phép địa chỉ Multicast đi ngang qua nó cho dù đi từ vùng inside ra outside. (Tương tự với OSPF: 224.0.0.5 và 224.0.0.6)
- Để giải quyết vấn đề này chúng ta cần tạo ra 1 ACL cho phép traffic Mutilcast này được đi ngang qua ASA
- Trên R1 kiểm tra xem đã thiết lập Neighbors với R2 chưa, R2 đã lan truyền default-Route về cho R1 chưa
- Tương tự trên R2 sẽ có neighbors và lớp mạng 192.168.10.0/24 bên trong R1
- Trên PC ping ra internet kiểm tra thành công
1. Sơ đồ
2. Yêu cầu
- Đưa ASA thành Switch để traffic từ R1 và R2 có cùng subnet
- Định tuyến EIGRP trên R1 và R2 để mạng hội tụ.
- Trên ASA viết ACL cho phép ping giữa 2 Router
- Trên ASA viết ACL để cho R1 và R2 trao đổi các gói tin của giao thức EIGRP
II. Triển khai
1. Trên R1
- Cấu hình IP và định tuyến EIGRP cho R1
Code:
R1(config)#int f0/0
R1(config-if)#ip address 172.16.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#int f0/1
R1(config-if)#ip address 192.168.10.254 255.255.255.0
R1(config-if)#no shutdown
R1(config)#router eigrp 1
R1(config-router)#network 172.16.10.1 0.0.0.0
R1(config-router)#network 192.168.10.254 0.0.0.0
R1(config-router)#passive-interface f0/1
R1(config-router)#no auto-summary
- Cấu hình IP và định tuyến EIGRP trên R2, lan truyên default-route về cho R1
Code:
R2(config)#int f0/0
R2(config-if)#ip address 172.16.10.254 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int f0/1
R2(config-if)#ip address dhcp
R2(config-if)#no shutdown
R1(config)#router eigrp 1
R1(config-router)#network 172.16.10.254 0.0.0.0
R1(config-router)#redistribute static
R1(config-router)#no auto-summary
- Mặc định ASA 8.4 sẽ ở Router mode.
- Để chuyển ASA về mode Transparent ta dùng lệnh sau
Code:
ciscoasa(config)# firewall transparent
- Tiếp theo là các bạn gom các interface của ASA thành 1 nhóm layer 2
Code:
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# bridge-group 1
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# bridge-group 1
ciscoasa(config-if)# no shut
Code:
ciscoasa(config)# interface BVI 1
ciscoasa(config-if)# ip address 172.16.10.100 255.255.255.04. Cấu hình ACL ICMP
- Bây giờ con ASA đã trở thành con ASA trasparent, giống như 1 con SW layer 2
- Mặc định trên ASA không cho phép ICMP đi ngang qua nó. Nên để 2 Router ping được nhau bạn phải thực hiện inspect IMCP
Code:
ciscoasa(config)# fixup protocol icmp
INFO: converting 'fixup protocol icmp ' to MPF commands- Nhưng việc ping ngược lại từ R2(outside) vào R1(inside) là không thành công. Vì ASA không cho phép traffic từ nơi có Security-level thấp đi qua nơi Security-Level cao.
- Để thực cho phép outside ping ngược vào inside bạn cần 1 ACL áp trên chiều in của interface outside
Code:
ciscoasa(config)# access-list POLICY extended permit icmp any any echo
ciscoasa(config)# access-group POLICY in interface outside
- Giao thức EIGRP sử dụng địa chỉ Multicast 224.0.0.10. Tuy nhiên ASA không cho phép địa chỉ Multicast đi ngang qua nó cho dù đi từ vùng inside ra outside. (Tương tự với OSPF: 224.0.0.5 và 224.0.0.6)
- Để giải quyết vấn đề này chúng ta cần tạo ra 1 ACL cho phép traffic Mutilcast này được đi ngang qua ASA
Code:
TRANSPARENT-ASA(config)# access-list ACL-INSIDE extended permit icmp host any host any log
TRANSPARENT-ASA(config)# access-list ACL-INSIDE extended permit eigrp host 172.16.10.1 host 172.16.10.254 log
TRANSPARENT-ASA(config)# access-list ACL-INSIDE extended permit eigrp any host 224.0.0.10 log
TRANSPARENT-ASA(config)# access-list ACL-OUTSIDE extended permit icmp host any host any log
TRANSPARENT-ASA(config)# access-list ACL-OUTSIDE extended permit eigrp host 172.16.10.254 host 172.16.10.1 log
TRANSPARENT-ASA(config)# access-list ACL-OUTSIDE extended permit eigrp any host 224.0.0.10 log
TRANSPARENT-ASA(config)# access-group ACL-INSIDE in interface inside
TRANSPARENT-ASA(config)# access-group ACL-OUTSIDE in interface outside- Trên R1 kiểm tra xem đã thiết lập Neighbors với R2 chưa, R2 đã lan truyền default-Route về cho R1 chưa
- Tương tự trên R2 sẽ có neighbors và lớp mạng 192.168.10.0/24 bên trong R1
- Trên PC ping ra internet kiểm tra thành công
Last edited:
