Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Lab Zone Base Firewall

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Lab Zone Base Firewall

    Lab ZBF

    Yêu cầu:
    1. Gắn cáp như hình vẽ
    2. Địa chỉ IP:
    Cổng outside: F0/0: dùng địa chỉ IP nhận được từ DHCP VnPro cấp xuống
    1. Yêu cầu cấu hình NAT để mạng 192.168.1.0/24 truy cập được Internet.
    2. Cấu hình R1 làm DHCP server cho mạng bên trong. Pool là 192.168.1.0/24. Default Gateway là 192.168.1.1, DNS là 8.8.8.8
    3. Tạo ra 2 zone: PRIVATE, PUBLIC
    4. Cấu hình class-map có tên là ICMP. Áp dụng vào zone-pair PRIVATE-PUBLIC. Đảm bảo PC ping được 8.8.8.8.
    5. Cấu hình class-map bao gồm TCP, UDP, ICMP sao cho PC đi được Internet.
    6. Cấu hình sau cho HTTP, HTTPS traffic bị khống chế ở 8000bps.
    7. Cấu hình khống chế HTTP ở tối đa 5 sessions.
    Hướng dẫn:

    2. Cấu hình F0/0 nhận DHCP.
    Code:
    R1(config)# interface f0/0
R1(config-if)# ip address dhcp
    3. Cấu hình NAT
    Code:
    R1(config)# interface f0/0
R1(config-if)# ip nat outside
R1(config)# interface f0/1
R1(config-if)# ip address 192.168.1.1 255.255.255.0
R1(config-if)# ip nat inside
R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface FastEthernet0/0 overload
    4. Cấu hình R1 làm DHCP server cho mạng bên trong. Pool là 192.168.1.0/24. Default Gateway là 192.168.1.1, DNS là 8.8.8.8
    Code:
    R1(config)#ip dhcp pool LAN
R1(dhcp-config)# network 192.168.1.0 255.255.255.0
R1(dhcp-config)# default-router 192.168.1.1
R1(dhcp-config)# dns-server 8.8.8.8
    5. Tạo ra 2 zone: PRIVATE, PUBLIC
    Code:
    R1(config)# zone security PRIVATE
R1(config)# zone security PUBLIC
//gán interface vào zone
R2(config)#int fa0/0
R2(config-if)#zone-member security PUBLIC
R2(config-if)#int fa0/1
R2(config-if)#zone-member security PRIVATE
    Kiểm tra lại cấu hình



    6. Cấu hình class-map có tên là ICMP. Áp dụng vào zone-pair PRIVATE-PUBLIC. Đảm bảo PC ping được 8.8.8.8.
    Code:
    R2(config)#zone-pair security PRI-PUB source PRIVATE destination PUBLIC
    Khi tạo Zone thì từ PC không ping được 8.8.8.8 nữa. Do mặc định các traffic sẽ bị block.



    Do đó phải cấu hình Policy cho phép traffic đi qua Router (Router hiện giờ đóng vai trò Firewall)
    Code:
    R2(config)#class-map type inspect ICMP
R2(config-cmap)#match protocol icmp

R2(config)#policy-map type inspect PRI-PUB
R2(config-pmap)#class type inspect ICMP
R2(config-pmap-c)#inspect
//áp policy vào zone pair
R2(config)#zone-pair security PRI-PUB
R2(config-sec-zone-pair)#service-policy type inspect PRI-PUB
    Ngay sau khi áp policy vào zone-pair, thực hiện ping thì traffic ICMP đã đi được từ zone PRIVAT sang zone PUBLIC.



    7. Cấu hình class-map bao gồm TCP, UDP, ICMP sao cho PC đi được Internet.

    Nhưng lúc này vẫn chỉ có traffic ICMP đi qua, PC chưa truy cập web được
    Code:
    R2(config)#class-map type inspect match-any WEB-ACCESS
R2(config-cmap)# match protocol tcp
R2(config-cmap)# match protocol udp

R2(config)#policy-map type inspect PRI-PUB
R2(config-pmap)#class type inspect WEB-ACCESS
R2(config-pmap)# inspect
    Đến đây policy-map PRI-PUB đã áp vào zone-pair theo câu 6, nên không cần áp policy vào zone-pair nữa.

    8. Cấu hình sau cho HTTP, HTTPS traffic bị khống chế ở 8000bps.

    Test kiểm tra truy cập Youtube xem Video được.
    Thực hiện cấu hình:
    Code:
    R2(config)#class-map type inspect match-any RESTRICT_TRAFFIC
R2(config-cmap)#match protocol http
R2(config-cmap)#match protocol https

R2(config)#policy-map type inspect PRI-PUB
R2(config-pmap)#class type inspect RESTRICT_TRAFFIC
R2(config-pmap-c)#inspect
R2(config-pmap-c)#police rate 8000 burst 1000
    Test lại truy cập Youtube chậm.

    9. Cấu hình khống chế HTTP ở tối đa 5 sessions.
    Code:
    R2(config)#parameter-map type inspect RESTRICT_SESSION
R2(config-profile)#sessions maximum 5
R2(config)#policy-map type inspect PRI-PUB
R2(config-pmap)#class type inspect WEB-ACCESS
R2(config-pmap-c)#inspect RESTRICT_SESSION
    Mở trình duyệt web, truy cập Internet, quá 5 sessions trên Router sẽ xuất hiện thông báo:



    Nguồn: VnPro
    Last edited by Tín Phan; 29-05-2020, 04:55 PM.
    Phan Trung Tín
    Email: phantrungtin@vnpro.org
    .
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm, P.25, Q.Bình Thạnh, Tp.HCM
    Tel: (028) 35124257 (028) 36222234
    Fax: (028) 35124314

    Home Page: http://www.vnpro.vn
    Forum: http://www.vnpro.org
    Twitter: https://twitter.com/VnVnpro
    LinkedIn: https://www.linkedin.com/in/VnPro    		 - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Videos: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog
    Facebook: http://facebook.com/VnPro
    Zalo: https://zalo.me/1005309060549762169
    ​​​​​​
    Tags: None
Previous template Next
Working...
X