Configure redundant interface Cisco ASA
- Mặc định thì các interface vật lý trên ASA hoạt động độc lập với nhau. Do đó khi kết nối vật lý giữa ASA và 1 thiết bị khác bị đứt thì hệ thống sẽ ngưng hoạt động. Chính vì điểm yêu này Cisco sinh ra khái niệm Redundant interface để tăng khả năng dự phòng các đường kết nối quan trọng bằng cách gom nhiều interface vật lý thành 1 interface ảo.
- Khi 1 interface trong group bị đứt lập tức interface còn lại sẽ lên thay thế giúp hệ thống mạng hoạt động xuyên xuốt.
- Lưu ý khi cấu hình Redundant Interface trên ASA
- Mặc định chỉ có 1 interface được ACTIVE trong gourp redundant interface
- Các interface tham gia vào 1 group redundant phải cùng loại với nhau ((Ví dụ :10/100/1000BASE-TX)
- Khi ban đã đưa các interface vật lý vào 1 group redundant interface thì bạn chỉ việc cấu hình trên interface redundant này như: nameif, security-level, IP... và không được cấu hình trên các interface vật lý tham gia vào group redundant interface nhé
- Ban có thể add tối đa 8 interface vật lý trên ASA vào 1 group redundant nếu cty bạn có điều kiện
như em ASA 5580 - Mặc định interface đầu tiên được add vào group sẽ là ACTIVE, và các interface được add vào group sau sẽ là Passive
Chém gió nhiêu trên là đủ rồi, bây giờ chúng ta sẽ tiên hành làm 1 cái lab đơn giản để thấy được tính năng Rudundant interface này nhé
I. Mô hình và yêu cầu lab Configure redundant interface Cisco ASA
1. Mô hình
- để triển khai mô hình bài lab Configure redundant interface Cisco ASA chúng ta sẽ sử dụng 1 Firewall Cisco kết nói với một Swith layer 3 Cisco thông qua 2 physical interface.
2. Yêu cầu
- Đấu nối thiết bị theo sơ đồ
- các máy trong mạng LAN có thể truy cập interface
- khi 1 interface trên ASA ngừng hoạt động thì PC trong VLAN vẫn truy cập internet bình thương
II. Triển khai Lab configure redundant interface Cisco ASA
1. Cấu hình ASA
- Cấu hình interface outside và route outside để ra internet
Code:
ASA-SVUIT(config)# int g0
ASA-SVUIT(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA-SVUIT(config-if)# ip address 192.168.80.131 255.255.255.0
ASA-SVUIT(config-if)# no shut
ASA-SVUIT(config-if)# int g1
ASA-SVUIT(config-if)# no shut
ASA-SVUIT(config-if)# int g2
ASA-SVUIT(config-if)# no shut
ASA-SVUIT(config-if)# exit
ASA-SVUIT(config)# fixup protocol icmp
ASA-SVUIT(config)# route outside 0 0 192.168.80.2- ASA ping ra internet thành công
- Cấu hình Redundant interface trên ASA 8.4
Code:
// Tạo interface redundant, bạn có thể add tối đa 8 member và tối thiểu là 1.
// Ở đây mình sẽ add 2 interface vật lý làm redundant interface
ASA-SVUIT(config)# interface redundant 2
// Tiến hành add các interface vật lý vào group
ASA-SVUIT(config-if)# member-interface g1
INFO: security-level and IP address are cleared on GigabitEthernet1.
ASA-SVUIT(config-if)# member-interface g2
INFO: security-level and IP address are cleared on GigabitEthernet2.
// Cấu hình interface redundant
ASA-SVUIT(config)# interface redundant2.10
ASA-SVUIT(config-if)# vlan 10
ASA-SVUIT(config-if)# nameif inside10
ASA-SVUIT(config-if)# security-level 100
ASA-SVUIT(config-if)# ip address 172.16.10.254 255.255.255.0- Cấu hình NAT trên ASA để VLAN 10 ra internet
Code:
// Cấu hình dynamic NAT để các VLAN trong inside ra internet
ASA-SVUIT(config)# object network NAT
ASA-SVUIT(config-network-object)# subnet 172.16.10.0 255.255.255.0
ASA-SVUIT(config-network-object)# nat (inside10,outsdie) dynamic interface- Cấu hình các interface f1/7 và f1/8 thuộc VLAn 10 và các port f1/14 và f1/15 làm Trunking
Code:
// Tạo VLAN 10
SW-SVUIT#vlan database
SW-SVUIT(vlan)#vlan 10
//Cấu hình các interface f1/7 và f1/8 thuộc VLAN 10
SW-SVUIT(config)#interface range f1/7 - 8
SW-SVUIT(config-if-range)#switchport mode access
SW-SVUIT(config-if-range)#switchport access vlan 10
SW-SVUIT(config-if-range)#no shutdown
SW-SVUIT(config-if-range)#exit
// Cấu hình các interface f1/14 va f1/15 làm port trunk
SW-SVUIT(config)#interface range f1/14 - 15
SW-SVUIT(config-if-range)#switchport mode trunk
SW-SVUIT(config-if-range)#switchport trunk encapsulation dot1q3. Cấu hình và kiểm tra trên PC
- Bây giờ mình sẽ lấy 1 PC cắm vào port 7 or port 8 của Switch và đặt IP. Sau đó mình sẽ thử ping tới interface Redundant của ASA và ping ra internet thành công nhé!
- Trên ASA bạn có thể thấy interface G1 đang là interface ACTIVE và interface G2 đang ở chế độ Passive.
- Các bạn có thể thay đổi G2 làm ACTIVE bằng lệnh sau
Code:
ASA-SVUIT(config)# redundant-interface redundant 2 active-member g2
Last edited:
![[Lab 2.7] Upgrade IOS Cisco ASA 5545](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)