Cisco ASA [Lab 8.2] Configure Cisco asa access-list time range

root · 18/06/2014

Lab Configure Cisco asa access-list time range

I. Mô hình và yêu cầu lab Configure Cisco asa access-list time range
1. Mô hình
- mô hình bài lab Configure Cisco asa access-list time range

2. Yêu cầu
- thiết lập thiết bị như sơ đồ
- cấu hình static cho phép PC trong inside ra internet
- Cấu hình NTP cho phép ASA đồng bộ thời gian từ Router
- Cấu hình ACL trên ACL chỉ cho phép PC ping ra internet từ 10:50 -> 10:55 ngày 18/6/2014
- IP theo sơ đồ Lab Configure Cisco asa access-list time range

Configure Cisco asa access-list time range (2)

II. Triển khai Lab Configure Cisco asa access-list time range

1. Cấu hình Router
- Cấu hình IP và static route cho mạng inside của ASA ra internet

Mã:

R1(config)#int f0/0
R1(config-if)#ip address dhcp
R1(config-if)#no shutdown

R1(config-if)#int f0/1
R1(config-if)#ip address 172.16.16.254 255.255.255.0
R1(config-if)#no shutdown

R1(config)#ip route 192.168.10.0 255.255.255.0 172.16.16.1

- Cấu hình clock set và NTP master

Mã:

R1#clock set 10:45:00 18 June 2014
R1(config)#ntp master 5

- Show cấu hình clock set và NTP

R1#sh clock detail

10:46:46.211 UTC Wed Jun 18 2014
Time source is NTP

R1#sh ntp status

Clock is synchronized, stratum 5, reference is 127.127.7.1
nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**24
reference time is D74BE72B.A4D981C3 (10:47:39.643 UTC Wed Jun 18 2014)
clock offset is 0.0000 msec, root delay is 0.00 msec
root dispersion is 0.02 msec, peer dispersion is 0.02 msec

2. Cấu hình Cisco ASA
- Cấu hình IP, default-route về Router, inspection icmp để ASA và PC vùng inside ra internet.

Mã:

ciscoasa(config)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# ip address 172.16.16.1 255.255.255.0
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.10.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# exit

ciscoasa(config)# route outside 0 0 172.16.16.254
ciscoasa(config)# fixup protocol icmp

- Cisco ASA ra internet thành công.

Mã:

ciscoasa(config)# ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 50/64/70 ms

- PC ping ra internet thành công.

Configure Cisco asa access-list time range (3)

3. Cấu hình NTP và Access-list time range on Cisco ASA

- Cấu hình NTP trên ASA để đồng bộ timer với Router

Mã:

ciscoasa(config)# ntp server 172.16.16.254

- show clock và NTP trên Cisco ASA

ciscoasa(config)# sh clock

10:45:00.339 UTC Wed Jun 18 2014

ciscoasa(config)# sh ntp status

Clock is synchronized, stratum 9, reference is 172.16.16.254
nominal freq is 99.9984 Hz, actual freq is 99.9983 Hz, precision is 2**6
reference time is d74bf2bd.b341c843 (10:45:01.700 UTC Wed Jun 18 2014)
clock offset is 9.9038 msec, root delay is 22.28 msec
root dispersion is 116.67 msec, peer dispersion is 106.74 msec

- Cấu hình ACL chỉ cho phép PC ping ra internet từ 10:50 -> 10:55 ngày 18/6/2014

Mã:

ciscoasa(config)# time-range ABSOLUTE
ciscoasa(config-time-range)# absolute start 10:50 18 June 2014 end 10:55 18 June 2014

ciscoasa(config)# access-list INSIDE-OUTSIDE extended permit icmp any any echo time-range ABSOLUTE
ciscoasa(config)# access-group INSIDE-OUTSIDE in interface inside

- Qua PC kiểm tra thấy 10:54 PC ping vẫn thành công, nhưng qua 10:57 PC không còn ping được.

Configure Cisco asa access-list time range (4)

Cisco ASA [Lab 8.2] Configure Cisco asa access-list time range

root

Specialist

Lab Configure Cisco asa access-list time range

II. Triển khai Lab Configure Cisco asa access-list time range

3. Cấu hình NTP và Access-list time range on Cisco ASA