II. Triển khai Lab configure redistribute on Cisco ASA
1. Routing Protocol:
-
Trên R1
Mã:
R1(config)#interface f0/0
R1(config-if)#ip address 192.168.1.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#interface loopback0
R1(config-if)#ip address 1.1.1.1 255.255.255.0
R1(config-if)#exit
R1(config)#router eigrp 1
R1(config-router)#network 192.168.1.1 0.0.0.0
R1(config-router)#network 1.1.1.1 0.0.0.0
R1(config-router)#passive-interface loopback0
R1(config-router)#no auto-summary
-
Trên R2
Mã:
R2(config)#int f0/0
R2(config-if)#ip address
R2(config-if)#ip address 192.168.2.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int loopback0
R2(config-if)#ip address 2.2.2.2 255.255.255.0
R2(config-if)#int f0/1
R2(config-if)#ip address 172.16.2.2 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#exit
R2(config)#router ospf 1
R2(config-router)#network 192.168.2.2 0.0.0.0 area 1
R2(config-router)#network 2.2.2.2 0.0.0.0 area 1
R2(config-router)#passive-interface loopback0
-
Trên R3
Mã:
R3(config)#int f0/0
R3(config-if)#ip address 192.168.3.3 255.255.255.0
R3(config-if)#no shutdown
R3(config-if)#int loopback0
R3(config-if)#ip address 3.3.3.3 255.255.255.0
R3(config-if)#exit
R3(config)#router ospf 1
R3(config-router)#network 192.168.3.3 0.0.0.0 area 0
R3(config-router)#network 3.3.3.3 0.0.0.0 area 0
R3(config-router)#passive-interface loopback0
-
Trên ASA:
Mã:
ciscoasa(config)# interface gigabitEthernet 0
ciscoasa(config-if)# ip address 192.168.1.254 255.255.255.0
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# no shutdown
ciscoasa(config)# int gigabitEthernet 1
ciscoasa(config-if)# ip address 192.168.3.254 255.255.255.0
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int gigabitEthernet 2
ciscoasa(config-if)# ip address 192.168.2.254 255.255.255.0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# no shutdown
// Định tuyến trên ASA 842 có khác 1 chút so với Router
Mã:
ciscoasa(config)# router eigrp 1
ciscoasa(config-router)# network 192.168.1.0 255.255.255.0
ciscoasa(config-router)# no auto-summary
ciscoasa(config)# router ospf 1
ciscoasa(config-router)# network 192.168.2.0 255.255.255.0 area 1
ciscoasa(config-router)# network 192.168.3.0 255.255.255.0 area 0
- Kiểm tra bảng định tuyến trên ASA.
- Kiểm tra bảng định tuyến trên R3. Vì R3 và R2 là 2 Router nằm trên 2 area khác nhau. Nên cần LSA type 3 của ABR để cập nhập bảng định tuyến. Nên có chữ "
O IA" trên bảng định tuyến của R3.
2.Configure Redistribute on Cisco ASA
- Theo bảng định tuyến của ASA thì nó đã thấy R1, R2, R3
- Nhưng trong bảng đinh tuyến của R3 phía trên thì R3 và R1 vẫn chưa thấy nhau. Vì 2 Router chạy 2 giao thức khác nhau
- Để R3 và R1 thấy nhau thì ASA phải thực hiện Redistribute cho 2 giao thức OSPF và EIGRP
-
Redistribute ospf to eigrp on Cisco ASA (Kéo OSPF vào trong EIGRP)
Mã:
ciscoasa(config)# router eigrp 1
ciscoasa(config-router)# redistribute ospf 1 metric 100000 100 255 1 1500
-
Redistribute EIGRP to OSPF on Cisco ASA(Kéo EIGRP vào trong OSPF)
Mã:
ciscoasa(config)# router ospf 1
ciscoasa(config-router)# redistribute eigrp 1 subnets
- Kiểm tra bảng định tuyến của R3. Có "O E2" chứa các lớp mạng của R1.
- Kiểm tra bảng định tuyến của R1. Có "D EX" chứa các lớp mạng của R2 và R3.
3. Config ICMP inspection on Cisco ASA
- Mặc dù bảng định tuyến của các Router đã thấy nhau nhưng vẫn chưa ping được lẫn nhau.
- Điều này là bởi vì mặc định Firewall chặn giao thức ICMP. Để các Router có thể ping được lẫn nhau các bạn cần thêm "icmp inspection" vào trong "inspection policy" mặc định của ASA
Mã:
ciscoasa(config)# fixup protocol icmp
//hoặc
Mã:
policy-map global_policy
class inspection_default
inspect icmp
