Mỗi dòng ASA đều có hơn một cổng interface để kết nối vào mạng và có thể kiểm soát traffic đi qua. Các cổng interface có thể là cổng vật lý, hay cổng logic.
Hơn nữa, để kiểm soát traffic, mỗi cổng interface phải được cấu hình với ba thuộc tính sau: tên cổng interface, địa chỉ IP và mặt nạ mạng con, và cấp độ bảo mật security level.
Cấu hình cổng vật lý
Xem danh sách các cổng
Trước khi cấu hình các cổng interface, ta nên liệt kê danh sách các cổng. trong danh sách, tối thiểu phải có một cổng có vai trò inside và một cổng có vai trò outside.
Cấu hình mặc định
Một vài cổng được cấu hình mặc định sẵn trong nhà máy. Ta có thể dùng lệnh show nameif để xem tên của cổng interface.
Các dòng ASA 5510 trở lên có một cổng management 0/0, mặc định có tên là management.
Cấu hình các tham số trên cổng vật lý
Mặc định các cổng interface có thể tự động đồng bộ về tốc độ speed và tự động thương lượng duplex mode hoặc có thể cấu hình thủ công tốc độ 10, 100, hay 1000 Mbps cũng như full duplex hay half duplex.
Mặc định, các cổng vật lý đều chưa được bật, nên khi cấu hình cổng phải dùng lệnh no shutdown để bật các cổng này lên và dùng lệnh shutdown để tắt các cổng này lại.
Ngoài ra, các cổng interface còn phải được cấu hình them các thong số như: tên cổng, mức độ bảo mật và địa chỉ IP.
Gán cổng interface vào VLANs
Mặc định, ASA dòng 5505 cổng Ethernet0/0 được gán vào VLAN2 và Ethernet0/1 đến Ethernet0/7 VLAN1. Tất cả 8 cổng interface của ASA được kết nối với 8 cổng của switch, mỗi cổng được cấu hình ở mode access và được gán vào VLANs.
Cấu hình cổng dự phòng redundancy
Mặc định, mỗi cổng interface hoạt động độc lập, mỗi cổng có một trong hai trạng thái: up hoặc down. Khi ở trạng thái down, ASA không thể gửi hay nhận dữ liệu. Ví dụ, nếu cổng của switch kết nối với ASA ở trạng thái down sẽ làm cho cổng trên ASA down theo.
Để duy trì ASA luôn ở trạng thái up, ta phải cấu hình các cổng interface vật lý thành một cổng dự phòng redundancy. Cổng redundancy cho phép bó 2 cổng interface có cùng chức năng (inside hay outside) và được kết nối với cùng một mạng. Chỉ có một cổng ở trạng thái active tại 1 thời điểm, cổng còn lại ở trạng thái standby. Ngay khi cổng active bị mất kết nối, cổng standby ngay lập tức chuyển sang trạng thái active.
Cả 2 cổng interface vật lý đều là thành viên của cổng dự phòng redundancy, và 2 cổng này phải cùng loại mới có thể gom vào cổng dự phòng redundancy.
Cổng interface dự phòng cũng được cấu hình với 3 thuộc tính.
Các cổng thành viên sẽ không cò thuộc tính security level và địa chỉ IP vì khi nhập lệnh member-interface, ASA sẽ tự động xóa 2 thuộc tính này.
Thứ tự cấu hình các cổng rất quan trọng, vì cổng được cấu hình đầu tiên sẽ là cổng ở chế độ active và cồng còn lại ở chế độ standby. Khi cổng active ở trạng thái down thì cổng standby sẽ chuyển sang trạng thái active.
Tuy nhiên, khi cổng active ở trạng down được chuyển sang up trở lại thì cũng không được chuyển sang trạng thái active. Cổng chỉ chuyển sang trạng thái active khi một trong hai cổng có trạng thái down.
Cổng dự phòng sẽ có địa chỉ MAC của cổng thành viên được cấu hình đầu tiên mà không cần biết cổng nào đang ở trạng thái active. Ta có thể cấu hình thủ công bằng câu lệnh mac-address.
Cấu hinh EtherChannel
EtherChannel hỗ trợ từ phiên bản 8.4(1) trở lên và được dùng để nhóm các cổng vật lý với nhau thành một cổng logic port-channel. Mỗi cổng phải cùng loại, cùng tốc độ, cùng duplex mới có thể nhóm được.
ASA hỗ trợ đến 8 cổng active trên một cổng logic EtherChannel, tuy nhiên, ta có thể cấu hình lên đến 16 cổng khác nhau mặc dù chỉ có 8 cổng ở trạng thái active tại một thời điểm và có thể hỗ trợ đến 48 cổng EtherChannel khác nhau.
Vì các cổng active được bó trong EtherChannel cho nên băng thông được cân bằng trên một cổng EtherChannel và các traffic cũng được cân bằng tải trên các cổng active. ASA tính toán các giá trị hash thông qua tiêu đề của gói tin, địa chỉ MAC nguồn hay đích, địa chỉ IP, hay số port của UDP/TCP.
Trước khi cấu hình cổng EtherChannel, không cần phải đặt tên cổng. Sau khi cấu hình mới đặt tên và các tham số bảo mật khác trên port-channel.
Cấu hình VLANs
Một cổng vật lý có được cấu hình để nối các cổng mạng logic với nhau, do đó các đường kết nối với switch phải là đường trunk.
Cấu hình đường trunk trên dòng ASA 5505 giống như cấu hình trên switch layer 3 và chỉ cần tạo subinterface trên các dòng ASA 5510 trở lên.
Các tham số bảo mật như tên cổng, security level và địa chỉ IP cũng phải được cấu hình trên cổng logic VLANs.
Cấu hình các tham số bảo mật
Các tham số bảo mật gồm: tên cổng, địa chỉ IP và security level.
Đặt tên cổng để mô tả chức năng của cổng như inside, outside, dmz, ta dùng lệnh nameif.
Đặt địa chỉ IP để gán địa chỉ IP tĩnh hay IP động vào cổng interface.
Security level là cấp độ bảo mật có giá trị từ 0 đến 100, trong đó giá trị cao hơn sẽ được tin cậy hơn và ngược lại.
Traffic được quyền đi từ security level cao hơn vào security level thấp hơn và ngược lại.
Thường thì vùng inside có security level là 100 và outside là 0, và vùng DMZ là 50.
Trường hợp security level bằng nhau, ta dùng lệnh same-security-traffic permit inter-interface để cho phép traffic đi qua giữa 2 cổng khác nhau và dùng lệnh same-security-traffic permit intra-interface để cho phép traffic đi qua cùng 1 cổng interface thường dùng trong kết nối VPNs.
Cấu hình giá trị MTU
Mặc định, giá trị max của MTU là 1500 bytes cho 1 khung Ethernet, nếu gói tin lớn hơn giá trị MTU, gói tin sẽ được phân mảnh trước đi được truyền đi trên mạng.
Hơn nữa, để kiểm soát traffic, mỗi cổng interface phải được cấu hình với ba thuộc tính sau: tên cổng interface, địa chỉ IP và mặt nạ mạng con, và cấp độ bảo mật security level.
Cấu hình cổng vật lý
Xem danh sách các cổng
Trước khi cấu hình các cổng interface, ta nên liệt kê danh sách các cổng. trong danh sách, tối thiểu phải có một cổng có vai trò inside và một cổng có vai trò outside.
Cấu hình mặc định
Một vài cổng được cấu hình mặc định sẵn trong nhà máy. Ta có thể dùng lệnh show nameif để xem tên của cổng interface.
Các dòng ASA 5510 trở lên có một cổng management 0/0, mặc định có tên là management.
Cấu hình các tham số trên cổng vật lý
Mặc định các cổng interface có thể tự động đồng bộ về tốc độ speed và tự động thương lượng duplex mode hoặc có thể cấu hình thủ công tốc độ 10, 100, hay 1000 Mbps cũng như full duplex hay half duplex.
Mặc định, các cổng vật lý đều chưa được bật, nên khi cấu hình cổng phải dùng lệnh no shutdown để bật các cổng này lên và dùng lệnh shutdown để tắt các cổng này lại.
Ngoài ra, các cổng interface còn phải được cấu hình them các thong số như: tên cổng, mức độ bảo mật và địa chỉ IP.
Gán cổng interface vào VLANs
Mặc định, ASA dòng 5505 cổng Ethernet0/0 được gán vào VLAN2 và Ethernet0/1 đến Ethernet0/7 VLAN1. Tất cả 8 cổng interface của ASA được kết nối với 8 cổng của switch, mỗi cổng được cấu hình ở mode access và được gán vào VLANs.
Cấu hình cổng dự phòng redundancy
Mặc định, mỗi cổng interface hoạt động độc lập, mỗi cổng có một trong hai trạng thái: up hoặc down. Khi ở trạng thái down, ASA không thể gửi hay nhận dữ liệu. Ví dụ, nếu cổng của switch kết nối với ASA ở trạng thái down sẽ làm cho cổng trên ASA down theo.
Để duy trì ASA luôn ở trạng thái up, ta phải cấu hình các cổng interface vật lý thành một cổng dự phòng redundancy. Cổng redundancy cho phép bó 2 cổng interface có cùng chức năng (inside hay outside) và được kết nối với cùng một mạng. Chỉ có một cổng ở trạng thái active tại 1 thời điểm, cổng còn lại ở trạng thái standby. Ngay khi cổng active bị mất kết nối, cổng standby ngay lập tức chuyển sang trạng thái active.
Cả 2 cổng interface vật lý đều là thành viên của cổng dự phòng redundancy, và 2 cổng này phải cùng loại mới có thể gom vào cổng dự phòng redundancy.
Cổng interface dự phòng cũng được cấu hình với 3 thuộc tính.
Các cổng thành viên sẽ không cò thuộc tính security level và địa chỉ IP vì khi nhập lệnh member-interface, ASA sẽ tự động xóa 2 thuộc tính này.
Thứ tự cấu hình các cổng rất quan trọng, vì cổng được cấu hình đầu tiên sẽ là cổng ở chế độ active và cồng còn lại ở chế độ standby. Khi cổng active ở trạng thái down thì cổng standby sẽ chuyển sang trạng thái active.
Tuy nhiên, khi cổng active ở trạng down được chuyển sang up trở lại thì cũng không được chuyển sang trạng thái active. Cổng chỉ chuyển sang trạng thái active khi một trong hai cổng có trạng thái down.
Cổng dự phòng sẽ có địa chỉ MAC của cổng thành viên được cấu hình đầu tiên mà không cần biết cổng nào đang ở trạng thái active. Ta có thể cấu hình thủ công bằng câu lệnh mac-address.
Cấu hinh EtherChannel
EtherChannel hỗ trợ từ phiên bản 8.4(1) trở lên và được dùng để nhóm các cổng vật lý với nhau thành một cổng logic port-channel. Mỗi cổng phải cùng loại, cùng tốc độ, cùng duplex mới có thể nhóm được.
ASA hỗ trợ đến 8 cổng active trên một cổng logic EtherChannel, tuy nhiên, ta có thể cấu hình lên đến 16 cổng khác nhau mặc dù chỉ có 8 cổng ở trạng thái active tại một thời điểm và có thể hỗ trợ đến 48 cổng EtherChannel khác nhau.
Vì các cổng active được bó trong EtherChannel cho nên băng thông được cân bằng trên một cổng EtherChannel và các traffic cũng được cân bằng tải trên các cổng active. ASA tính toán các giá trị hash thông qua tiêu đề của gói tin, địa chỉ MAC nguồn hay đích, địa chỉ IP, hay số port của UDP/TCP.
Trước khi cấu hình cổng EtherChannel, không cần phải đặt tên cổng. Sau khi cấu hình mới đặt tên và các tham số bảo mật khác trên port-channel.
Cấu hình VLANs
Một cổng vật lý có được cấu hình để nối các cổng mạng logic với nhau, do đó các đường kết nối với switch phải là đường trunk.
Cấu hình đường trunk trên dòng ASA 5505 giống như cấu hình trên switch layer 3 và chỉ cần tạo subinterface trên các dòng ASA 5510 trở lên.
Các tham số bảo mật như tên cổng, security level và địa chỉ IP cũng phải được cấu hình trên cổng logic VLANs.
Cấu hình các tham số bảo mật
Các tham số bảo mật gồm: tên cổng, địa chỉ IP và security level.
Đặt tên cổng để mô tả chức năng của cổng như inside, outside, dmz, ta dùng lệnh nameif.
Đặt địa chỉ IP để gán địa chỉ IP tĩnh hay IP động vào cổng interface.
Security level là cấp độ bảo mật có giá trị từ 0 đến 100, trong đó giá trị cao hơn sẽ được tin cậy hơn và ngược lại.
Traffic được quyền đi từ security level cao hơn vào security level thấp hơn và ngược lại.
Thường thì vùng inside có security level là 100 và outside là 0, và vùng DMZ là 50.
Trường hợp security level bằng nhau, ta dùng lệnh same-security-traffic permit inter-interface để cho phép traffic đi qua giữa 2 cổng khác nhau và dùng lệnh same-security-traffic permit intra-interface để cho phép traffic đi qua cùng 1 cổng interface thường dùng trong kết nối VPNs.
Cấu hình giá trị MTU
Mặc định, giá trị max của MTU là 1500 bytes cho 1 khung Ethernet, nếu gói tin lớn hơn giá trị MTU, gói tin sẽ được phân mảnh trước đi được truyền đi trên mạng.