[Firewall ASA] – Bài 4 : Static Route Lab

Tham khảo ebook:
– [Ebook] Cisco ASA All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition

Sơ đồ:

asa-staticroute-diagram

Hình 1 – Sơ đồ bài lab


Mô tả

Bài viết này sẽ giúp chúng ta thực hiện các kĩ thuật định tuyến trên router. Chúng ta sẽ cùng tìm hiểu giao thức định tuyến tĩnh (static route) trên firewall ASA. Mục tiêu của bài lab sẽ cấu hình định tuyến cho máy tính PC có thể ping thấy địa chỉ của ASA.

Thực hành
Bước 1: Cấu hình cơ bản.
Chúng ta sẽ thực hiện các cấu hình cơ bản: cấu hình địa chỉ IP trên các cổng của R1, R2, và cấu hình IP và security-level trên ASA.

R1(config)#int f0/1
R1(config-if)#ip address 192.168.10.2 255.255.255.0
R1(config-if)#no shutdown
R1(config)#int f0/0
R1(config-if)#ip add 192.168.20.1 255.255.255.0
R1(config-if)#no shutdown
ASA(config)# int g0/1
ASA(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA(config-if)# ip address 192.168.10.1 255.255.255.0
ASA(config-if)# no shutdown
ASA(config-if)# exit


Kiểm tra
:

Chúng ta sẽ kiểm tra lại các cấu hình vừa tạo trên các thiết bị router R1, R2 và ASA. Đầu tiên chúng ta sẽ kiểm tra trên router R1 và R2 bằng command “show ip int br

R1#show ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 192.168.20.1 YES manual up down 
FastEthernet0/1 192.168.10.2 YES manual up up 
Serial0/0/0 unassigned YES manual down down 
Serial0/1/0 unassigned YES manual down down

Tiếp theo chúng ta sẽ kiểm tra cấu hình IP trên ASA bằng command “show int ip br

ASA# show int ip br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 unassigned YES unset administratively down up
GigabitEthernet0/1 192.168.10.1 YES manual up up
GigabitEthernet0/2 unassigned YES unset administratively down down
GigabitEthernet0/3 unassigned YES unset administratively down down
Management0/0 192.168.1.1 YES CONFIG down down

Kế tiếp chúng ta sẽ kiểm tra bảng định tuyến trên ASA bằng command “show route”.

ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
 D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
 * - candidate default, U - per-user static route, o - ODR
 P - periodic downloaded static route

Gateway of last resort is not set

C 192.168.10.0 255.255.255.0 is directly connected, inside
C 209.165.200.224 255.255.255.224 is directly connected, outside


Bước 2: Cấu hình định tuyến tinh (static route) trên ASA

Chúng ta sẽ thực hiện cấu hình định tuyến tinh trên ASA với cấu trúc câu lệnh như sau:

ASA(config)# route [interface-name] [destination-network] [netmask] [gateway] [options]

Trong đó,
– interface-name: là interface mà chúng ta sẽ đích cần tới.
– destination-network: mạng đích đến.
– netmask: subnet – mask của mạng đích.
– gateway: địa chỉ IP của trạm kế tiếp trên đường đi.
– options: có 3 option để chúng có thể thêm vào là [AD], [track], [tunnel] dùng để chỉnh các thông số cho static route theo ý muốn của chúng ta.

Cụ thể trong ví dụ này chúng ta sẽ cấu hình như sau:
 ASA muốn đi đến mạng 192.168.20.0/24 thuộc miền inside sẽ đi qua R1.

ASA(config)# route inside 192.168.20.0 255.255.255.0 192.168.10.2


Kiểm tra:

Chúng ta sẽ kiểm tra bảng định tuyến trên ASA bằng command “show route”.

ASA# show route

Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
 D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
 N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
 E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
 i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
 * - candidate default, U - per-user static route, o - ODR
 P - periodic downloaded static route

Gateway of last resort is not set

C 192.168.10.0 255.255.255.0 is directly connected, inside
C 209.165.200.224 255.255.255.224 is directly connected, outside
S 192.168.20.0 255.255.255.0 [1/0] via 192.168.10.2, inside


Quan sát bảng định tuyến, chúng ta thấy rằng đã xuất hiện 1 route tĩnh tới vùng inside với next hop là R1 có IP là 192.168.10.2.


Tiếp theo chúng ta sẽ kiểm tra kết nối từ ASA tới PC:

ASA# ping 192.168.20.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.20.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

Kiểm tra kết nối từ PC tới ASA.

asa4pingpc

Đến đây thì chúng ta đã hoàn thành xong bài lab !

Previous article[Nginx] Cấu hình chuyển hướng truy cập HTTP sang HTTPS trong Nginx
Next article[Linux] Tìm hiểu hoạt động và cấu hình Logrotate trên Linux
"Networking luôn có sức hấp dẫn và những điều mới mẻ riêng. Hãy cùng tôi chia sẻ những điều ấy" - Email: tuanmmt@gmail.com - Skype: tuanmmt . (Cộng Tác Viên mảng - Networking)