Ask question

Ask Questions and Get Answers from Our Community

Answer

Answer Questions and Become an Expert on Your Topic

Contact Staff

Our Experts are Ready to Answer your Questions

Cisco ASA [Lab 13.2] Configure Virtual Firewall Cisco with Draytek

root

Well-Known Member
Joined
Dec 31, 2012
Messages
1,153
Reaction score
71
Points
48

Configure Virtual Firewall Cisco with Draytek


Bài lab này do 1 bác nào đó trên forum yêu cầu và nó là một mô hình thực tế. Nhưng mình sẽ tách mô hình thực tế đó ra thành từng phần để mọi người có thể thấy rõ hơn và dễ làm lab hơn.

I. Mô hình lab Configure Virtual Firewall Cisco with Draytek


1. Mô hình
Mô hình Lab đấu nối giữa Firewall Cisco ASA với 2 Router Draytek.

Configure Virtual Firewall Cisco with Draytek (1)

2. Yêu cầu lab Configure Virtual Firewall Cisco with Draytek
- ASA sẽ được chia làm 2 context
  • 1 cho vùng INSIDE+ WAN 1
  • 1 cho vùng DMZ + WAN 2
- Cấu hình để PC ra internet thông qua đường WAN 1 và public máy chủ web trong vùng DMZ ra internet

II. Triển khai lab Configure Virtual Firewall Cisco with Draytek


1. Cấu hình Draytek 2910 cho WAN 1
- Cấu hình IP cho cổng LAN của Draytek 2910.

Configure Virtual Firewall Cisco with Draytek (2)

- Tạo 1 Static Route cho phép vùng Inside ASA được đi ra internet.

Configure Virtual Firewall Cisco with Draytek (3)

Configure Virtual Firewall Cisco with Draytek (4)

2. Cấu hình Draytek 2920 cho WAN 2
- Cấu hình cổng LAN cho draytek 2920. (Việc cấu hình trên Draytek 2920 hoàn toàn tương tự với 2910)

Configure Virtual Firewall Cisco with Draytek (5)

- Tạo 1 Static Route để cho phép DMZ đi ra ngoài internet.

Configure Virtual Firewall Cisco with Draytek (6)

Configure Virtual Firewall Cisco with Draytek (7)

- Public Web-server trong vùng DMZ ra internet thông qua cổng WAN của Draytek 2920.

Configure Virtual Firewall Cisco with Draytek (8)

- Các bạn thực hiện điền các thông số IP, Port cho cả cổng WAN của Draytek 2920 (IP và port này sẽ được client ngoài internet sử dụng để truy cập vào web-server của DMZ) và WEB-server.

Configure Virtual Firewall Cisco with Draytek (9)


3. Cấu hình Security Context trên Firewall Cisco ASA


- Trước tiên chúng ta cần chuyển mode Single trên ASA thành Multiple để ASA có thể cấu hình Security Context. Có nghĩa là chúng ta sẽ tạo ra 2 ASA ảo trên 1 ASA vật lý. Các bạn có thể xem lại lý thuyết hoặc các bài lab về Security Context trước trong forum nhé
- Chú ý khi bạn chuyển qua mode Multiple thì ASA sẽ yêu cầu reboot lại nhé
Code:
[B][COLOR=#ff0000]SVUIT-ASA(config)# mode multiple[/COLOR][/B]
WARNING: This command will change the behavior of the device
WARNING: [I][COLOR=#00ff00]This command will initiate a Reboot[/COLOR][/I]
Proceed with change mode? [confirm]
Convert the system configuration? [confirm]
!
The old running configuration file will be written to flash


Converting the configuration - this may take several minutes for a large configuration


The admin context configuration will be written to flash


The new running configuration file was written to flash
Security context mode: multiple






***
*** --- SHUTDOWN NOW ---
***
*** Message to all terminals:
***
***   change mode
REBOOT: open message queue fail: No such file or directory/2
REBOOT: enforce reboot...

- Sau khi reboot xong chúng ta sẽ tiến hành tạo 2 context NET và DMZ. Sau đó add các interface ASA vào các context
Code:
// Tạo context NET cho các pc inside
SVUIT-ASA(config)# context NET
SVUIT-ASA(config-ctx)# allocate-interface g0 g0
SVUIT-ASA(config-ctx)# allocate-interface g2 g2
SVUIT-ASA(config-ctx)# config-url disk0:/net.cfg

// Tạo context DMZ để public web server ra internet
SVUIT-ASA(config)# context DMZ
SVUIT-ASA(config-ctx)# allocate-interface g1 g1
SVUIT-ASA(config-ctx)# allocate-interface g3 g3
SVUIT-ASA(config-ctx)# config-url disk0:/public.cfg
- Cấu hình IP, nameif, security, routing... cho context NET
Code:
ciscoasa(config-ctx)# changeto context NET
ciscoasa/NET(config)#interface g0
ciscoasa/NET(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa/NET(config-if)# ip address 172.16.10.2 255.255.255.0


ciscoasa/NET(config-if)#interface g2
ciscoasa/NET(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ciscoasa/NET(config-if)# ip address 172.16.11.2 255.255.255.0
ciscoasa/NET(config-if)# exit


ciscoasa/NET(config)# fixup protocol icmp
INFO: converting 'fixup protocol icmp ' to MPF commands
ciscoasa/NET(config)# route outside 0 0 172.16.10.1

- Đứng trên context NET của ASA ping ra internet thành công
Code:
ciscoasa/NET(config)# [B]ping 8.8.8.8[/B]


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!

- Tương tự chúng ta sẽ cấu hình cho Context DMZ
Code:
ciscoasa(config-ctx)# changeto context DMZ
ciscoasa/DMZ(config)#interface g1
ciscoasa/DMZ(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ciscoasa/DMZ(config-if)# ip address 172.16.9.2 255.255.255.0


ciscoasa/DMZ(config-if)#interface g3
ciscoasa/DMZ(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default.
ciscoasa/DMZ(config-if)# security-level 50
ciscoasa/DMZ(config-if)# ip address 172.16.12.2 255.255.255.0
ciscoasa/DMZ(config-if)# exit

// default route cho ASA
ciscoasa/DMZ(config)# fixup protocol icmp
INFO: converting 'fixup protocol icmp ' to MPF commands
ciscoasa/DMZ(config)# route outside 0 0 172.16.9.1
- Đứng trên ASA ping ra internet thành công
ciscoasa/DMZ(config)# ping 8.8.8.8


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!

III. Kiểm tra lab Configure Virtual Firewall Cisco with Draytek

- Các PC trong inside của ASA ra internet thành công.

Configure Virtual Firewall Cisco with Draytek (10)

- Nhưng các PC ngoài internet truy cập Web-Server vùng DMZ không thành công.

Configure Virtual Firewall Cisco with Draytek (11)

- Nguyên nhân đơn giản vì security-level vùng Outside (0) của ASA thấp hơn Security-level dmz (50) nên client ngoài internet không thể truy cập vào vùng DMZ được.
- Vì vầy chúng ta cần tạo 1 ACL cho phép internet truy cập đến WEB-server
Code:
//Access list cho phép public Web-server ra internet
ciscoasa/DMZ(config)# access-list PUBLIC extended permit tcp any eq www host 172.16.12.2 eq www
ciscoasa/DMZ(config-if)# access-group PUBLIC in interface outside
- Bây giờ thì PC ngoài internet có thể truy cập vào web-server vùng DMZ thành công.

Configure Virtual Firewall Cisco with Draytek (12)
 
Last edited:
Học được rất nhiều kiến thức qua LAB và cả Lý thuyết của ROOT, Cám ơn bạn!

Bổ sung thêm một thông tin nhỏ nhưng rất quan trọng trong bài LAB này: Khi bạn đã cấu hình hết IP, Nameif, và NOSHUT các interface của từng Context NET & DMZ. Đứng trên mode configure của từng Context "Sho int ip bri" thì các interface vẫn đang ở trạng thái DOWN. Lúc này cần phải trở lại mode configure của ASA vật lý để NOSHUT các interface đã lựa chọn để gán cho từng Context.
 
Học được rất nhiều kiến thức qua LAB và cả Lý thuyết của ROOT, Cám ơn bạn!

Bổ sung thêm một thông tin nhỏ nhưng rất quan trọng trong bài LAB này: Khi bạn đã cấu hình hết IP, Nameif, và NOSHUT các interface của từng Context NET & DMZ. Đứng trên mode configure của từng Context "Sho int ip bri" thì các interface vẫn đang ở trạng thái DOWN. Lúc này cần phải trở lại mode configure của ASA vật lý để NOSHUT các interface đã lựa chọn để gán cho từng Context.

Vẫn còn nợ anh lab, đây chỉ là 1 phần thôi, còn 2 phần nữa vì em cắt ra để cho dễ hiểu. Dạo này hơi bận nên chưa kịp làm. Sr anh :)
Thanks
 
Top