Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Triển khai firewall Cisco ASA 5515-X

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Triển khai firewall Cisco ASA 5515-X

    Chào các thầy cô và các bạn,
    Tình hình là em vừa được cấp 1 con ASA 5515-X, công việc: thay thế Vigor 2910 bằng ASA5515-X nhưng không được làm gián đoạn mạng quá 30 phút :(.

    Hệ thống mạng hiện có như sau:

    Click image for larger version

Name:	sodo.JPG
Views:	2
Size:	32.4 KB
ID:	208958




    Vigor3200 làm nhiệm vụ router & firewall, kết nối 02 line FTTH Viettel, NAT cho các server ra Internet.

    - Thông tin về 02 line FTTH của Viettel:
    FTTH1: mode PPPoE , user: ftth01, pass:123456, PPP Authentication: PAP or CHAP, IP: 125.135.100.100 và Gateway : 125.135.100.101
    FTTH2: mode Static IP (theo thông số trong Vigor thì ko thấy user và pass có lẽ dùng bridge mode), IP: 125.135.100.103 Gateway : 125.135.100.104

    - Thông tin cấu hình cơ bản cho ASA 5515-X:
    1. Kết nối với 02 line FTTH tương ứng với 02 port gi0/0 và gi0/1; gi0/5 kết nối với Sw4500 (LAN)
    2. NAT các server ra mạng: webserver (ip: 10.1.1.10), DNSserver (10.1.1.12),…
    3. Firewall : tạm thời dùng firewall mặc định của ASA

    !
    interface GigabitEthernet0/0
    description # FTTH_1 #
    nameif outsite_1
    security-level 0
    ip address 125.135.100.101255.255.255.0
    !
    interface GigabitEthernet0/1
    description # FTTH 2 #
    nameif outsite_2
    security-level 0
    ip address 125.135.100.102 255.255.255.0
    !

    !
    interface GigabitEthernet0/5
    description # LAN #
    nameif insite
    security-level 100
    ip address 10.1.250.6 255.255.0.0

    Em chỉ mới làm được nhiêu đó, có học PIX nhưng lâu rồi không biết sao nữa, giúp em với ạ!
    Last edited by giagia; 22-05-2014, 08:21 AM.

  • #2
    Giúp em với ạ, nhất là phần cấu hình 02 cái FTTH, đang rất cần, thanks!

    Comment


    • #3
      Hi bạn.
      Theo mình biết thì thiết bị ASA 5515-x không làm được việc cân bằng tải NAT như thiết bị Vigor3200 do vậy sẽ không giải quyết được vấn đề khi đường FTTH1 bị mất kết nối thì tự động chuyển sang NAT trên đường FTTH2.

      Comment


      • #4
        Originally posted by Gunz View Post
        Hi bạn.
        Theo mình biết thì thiết bị ASA 5515-x không làm được việc cân bằng tải NAT như thiết bị Vigor3200 do vậy sẽ không giải quyết được vấn đề khi đường FTTH1 bị mất kết nối thì tự động chuyển sang NAT trên đường FTTH2.
        Nhưng firewall của Vigor3200 yếu xìu à, thực tế load balancing của Vigor cũng ko hiệu quả nên mình set bằng tay luôn.

        Comment


        • #5
          Bạn thử cấu hình như thế này xem sao nhé
          Code:
          interface gi0/0
           description # FTTH 1 #
           nameif outsite_1
           security-level 0
           pppoe client vpdn group Viettel_PPPoE
           ip address pppoe 
          !
          interface gi0/1
           description # FTTH 2 #
           nameif outsite_2
           security-level 0
           ip address 125.135.100.100 255.255.255.240 
          !
          interface gi0/5
           description # LAN #
           nameif insite
           ip address 10.255.0.1 255.255.255.0 	#Thay 10.255.0.1 255.255.255.0 bang IP LAN cua Vigor3200
          !
          object network LAN_Networks
           subnet 10.200.0.0 255.255.0.0		#Thay 10.200.0.0 255.255.0.0 bang IP LAN					
           description LAN_Networks
          object network Public-IP-FTTH1
           host x.x.x.x 						#Thay x.x.x.x bang IP tinh duoc cap boi FTTH1									
           description Public-IP-FTTH1
          object network Public-IP-FTTH2
           host x.x.x.x						#Thay x.x.x.x bang IP tinh duoc cap boi FTTH2
           description Public-IP-FTTH2
          object network WebServer
           host 10.1.1.10
          object network DNSServer
           host 10.1.1.12
          object-group service Permit_Any_IP_TCP_UDP
           description Permit_Any_IP_TCP_UDP
           service-object ip 
           service-object udp 
           service-object tcp 
           service-object icmp  
          object-group network Internet-Access
           description Internet-Access
           network-object object LAN_Networks
          !
          access-list outsite_1_access_in extended permit tcp any object WebServer eq www log
          access-list outsite_2_access_in extended permit tcp-udp any object DNSServer eq domain log
          access-list outsite_1_access_out extended permit object-group Permit_Any_IP_TCP_UDP any any log
          access-list outsite_2_access_out extended permit object-group Permit_Any_IP_TCP_UDP any any log 
          !
          mtu outsite_1 1492
          mtu outsite_2 1500
          mtu insite 1500
          !
          route outsite_1 0.0.0.0 0.0.0.0 125.135.100.101 1 
          route outsite_2 0.0.0.0 0.0.0.0 125.135.100.104 10
          route insite x.x.x.x x.x.x.x 10.255.0.2			#Thay x.x.x.x bang IP cua LAN
          !
          nat (insite,outsite_1) source dynamic Internet-Access Public-IP-FTTH1
          nat (insite,outsite_2) source dynamic Internet-Access Public-IP-FTTH2
          !
          object network WebServer
           nat (insite,outsite_1) static x.x.x.x service tcp www www  #Thay x.x.x.x bang IP tinh duoc cap boi FTTH1
          object network DNSServer_TCP
           nat (insite,outsite_2) static x.x.x.x service tcp domain domain  #Thay x.x.x.x bang IP tinh duoc cap boi FTTH2
          object network DNSServer_UDP
           nat (insite,outsite_2) static x.x.x.x service udp doamin domain  #Thay x.x.x.x bang IP tinh duoc cap boi FTTH2 
          !
          access-group outsite_1_access_in in interface outsite_1
          access-group outsite_1_access_out out interface outsite_1
          access-group outsite_2_access_in in interface outsite_2
          access-group outsite_2_access_out out interface outsite_2
          !
          vpdn group Viettel_PPPoE request dialout pppoe
          vpdn group Viettel_PPPoE localname ftth01
          vpdn group Viettel_PPPoE ppp authentication pap		#PAP hay CHAP thi phu thuoc vao phia Viettel	
          vpdn username ftth01 password 123456

          Comment


          • #6
            Originally posted by Gunz View Post
            Bạn thử cấu hình như thế này xem sao nhé
            Code:
            interface gi0/0
             description # FTTH 1 #
             nameif outsite_1
             security-level 0
             pppoe client vpdn group Viettel_PPPoE
             ip address pppoe 
            ....
            ....
            ....
            vpdn group Viettel_PPPoE request dialout pppoe
            vpdn group Viettel_PPPoE localname ftth01
            vpdn group Viettel_PPPoE ppp authentication pap        #PAP hay CHAP thi phu thuoc vao phia Viettel    
            vpdn username ftth01 password 123456
            May quá, đang "ngâm cứu" mấy link này:

            This document provides a sample configuration for the ASA/PIX security appliance as a Point-to-Point Protocol over Ethernet (PPPoE) client for versions 7.2.(1) and above.

            Thì có cấu hình của bạn, hy vọng nó sẽ ổn. Có lẽ phải để đến ngày chủ nhật mình mới test được.
            Cám ơn Gunz nhiều nhé.
            Last edited by giagia; 23-05-2014, 10:10 AM.

            Comment


            • #7
              Bố trí hệ thống firewall

              Click image for larger version

Name:	sodo.JPG
Views:	2
Size:	32.4 KB
ID:	206577
              Cho mình hỏi thêm theo sơ đồ trên thì nên dùng cách nào hợp lý
              1. ASA 5510 + SMM làm firewall Server và ASA 5515-X (ko SMM) làm firewall Internet
              2. ASA 5515-X (ko SMM) làm firewall Server và ASA 5510 + SMM làm firewall Internet
              Các thầy cô và các bạn tư vấn giúp em nên dùng cách nào hợp lý ???
              Last edited by giagia; 29-05-2014, 10:05 PM.

              Comment


              • #8
                Originally posted by 24hpro
                em không hiểu lắm anh nói rõ hơn được không ạ? @@
                Ý là thế này: có 2 con ASA: 5510 và 5515-X tất nhiên cấu hình con 5515 mạnh hơn 5510. Vậy thì bố trí 2 con đó như thế nào là hợp lý???
                1. ASA 5510 + SMM làm firewall Server và ASA 5515-X (ko SMM) làm firewall Internet
                2. Ngược lại: ASA 5515-X (ko SMM) làm firewall Server và ASA 5510 + SMM làm firewall Internet

                Comment


                • #9
                  @giagia: Theo mình thì nên bỏ ASA 5510 (Up to 150 Mbps with AIP SSM-10; 300 Mbps with AIP SSM-20) vì năng lực xử lý thấp sẽ làm giảm hiệu suất của mạng do vậy chỉ cần dùng ASA 5515-X thôi. Nếu có thể thì đầu tư thêm license cho module IPS của ASA 5515-X, còn nếu không thì cũng chẳng cần thiết lắm vì tính năng IPS của thiết bị Cisco cũng không được đánh giá cao.
                  Last edited by Gunz; 01-06-2014, 12:30 AM.

                  Comment


                  • #10
                    @Gunz: Ý của bạn cũng có lý, nếu vậy cấu hình trên phải thêm DMZ nữa phải không.
                    Bảng so sánh giữa ASA 5515-X vs 5510 vs 5520:
                    Feature Cisco ASA 5510 Adaptive Security Appliance Cisco ASA 5515-X Adaptive Security Appliance Cisco ASA 5520 Adaptive Security Appliance
                    Next-Generation Firewall No Yes No
                    Application Visibility and Control Service No Yes No
                    Web Security Service No Yes No
                    IPS Service Yes (Requires separate Hardware module) Yes (Does not require separate hardware module) Yes (Requires separate Hardware module)
                    Content Security Service Yes (Requires separate Hardware module) Similar functionality available through Cloud Web Security (formerly known as ScanSafe) Yes
                    Firewall Throughput (Max) 300 Mbps 1.2 Gbps 450 Mbps
                    IPS Throughput (Max) 300 Mbps 400 Mbps 450 Mbps
                    VPN Throughput (Max) 170 Mbps 250 Mbps 225 Mbps
                    Connections (Max) 100,000 250,000 280,000
                    Connections Per Second 9,000 15,000 12,000
                    Integrated I/O 2GE Copper and 3FE 6 GE Copper 4 GE Copper + 1 FE
                    Expansion I/O 4-port GE Copper, or 4-port GE SFP 6-port GE Copper 6-port GE SFP 4-port GE Cu or 4-port GE SFP
                    CPU Single core Multiple cores Single Core
                    Memory 1 GB 8 GB 2 GB
                    Hardware support for 2048-bit certificates No Yes No. All signatures run on IPS Security Module CPU.
                    USB thumb drive support No Yes (can be used to store logs and configuration files) No
                    Tuy nhiên bỏ không con ASA 5510 cũng tiếc nhỉ.

                    Comment


                    • #11
                      @giagia: Thêm vùng DMZ và cấu hình NAT trên ASA 5515-X là xong. Bỏ cái cũ đi thì mới có cái mới để sử dụng chứ, công nghệ thay đổi nhanh chóng mặt theo từng ngày mà.

                      Comment

                      Working...
                      X