Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Triển khai firewall Cisco ASA 5515-X

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Triển khai firewall Cisco ASA 5515-X

    Chào các thầy cô và các bạn,
    Tình hình là em vừa được cấp 1 con ASA 5515-X, công việc: thay thế Vigor 2910 bằng ASA5515-X nhưng không được làm gián đoạn mạng quá 30 phút :(.

    Hệ thống mạng hiện có như sau:

    Click image for larger version Name: sodo.JPG Views: 2 Size: 32.4 KB ID: 208958




    Vigor3200 làm nhiệm vụ router & firewall, kết nối 02 line FTTH Viettel, NAT cho các server ra Internet.

    - Thông tin về 02 line FTTH của Viettel:
    FTTH1: mode PPPoE , user: ftth01, pass:123456, PPP Authentication: PAP or CHAP, IP: 125.135.100.100 và Gateway : 125.135.100.101
    FTTH2: mode Static IP (theo thông số trong Vigor thì ko thấy user và pass có lẽ dùng bridge mode), IP: 125.135.100.103 Gateway : 125.135.100.104

    - Thông tin cấu hình cơ bản cho ASA 5515-X:
    1. Kết nối với 02 line FTTH tương ứng với 02 port gi0/0 và gi0/1; gi0/5 kết nối với Sw4500 (LAN)
    2. NAT các server ra mạng: webserver (ip: 10.1.1.10), DNSserver (10.1.1.12),…
    3. Firewall : tạm thời dùng firewall mặc định của ASA

    !
    interface GigabitEthernet0/0
    description # FTTH_1 #
    nameif outsite_1
    security-level 0
    ip address 125.135.100.101255.255.255.0
    !
    interface GigabitEthernet0/1
    description # FTTH 2 #
    nameif outsite_2
    security-level 0
    ip address 125.135.100.102 255.255.255.0
    !

    !
    interface GigabitEthernet0/5
    description # LAN #
    nameif insite
    security-level 100
    ip address 10.1.250.6 255.255.0.0

    Em chỉ mới làm được nhiêu đó, có học PIX nhưng lâu rồi không biết sao nữa, giúp em với ạ!
    Last edited by giagia; 22-05-2014, 08:21 AM.
    Tags: None
  • #2
    Giúp em với ạ, nhất là phần cấu hình 02 cái FTTH, đang rất cần, thanks!

    Comment

    • #3
      Hi bạn.
      Theo mình biết thì thiết bị ASA 5515-x không làm được việc cân bằng tải NAT như thiết bị Vigor3200 do vậy sẽ không giải quyết được vấn đề khi đường FTTH1 bị mất kết nối thì tự động chuyển sang NAT trên đường FTTH2.

      Comment

      • #4
        Originally posted by Gunz View Post
        Hi bạn.
        Theo mình biết thì thiết bị ASA 5515-x không làm được việc cân bằng tải NAT như thiết bị Vigor3200 do vậy sẽ không giải quyết được vấn đề khi đường FTTH1 bị mất kết nối thì tự động chuyển sang NAT trên đường FTTH2.
        Nhưng firewall của Vigor3200 yếu xìu à, thực tế load balancing của Vigor cũng ko hiệu quả nên mình set bằng tay luôn.

        Comment

        • #5
          Bạn thử cấu hình như thế này xem sao nhé
          Code:
          interface gi0/0
 description # FTTH 1 #
 nameif outsite_1
 security-level 0
 pppoe client vpdn group Viettel_PPPoE
 ip address pppoe 
!
interface gi0/1
 description # FTTH 2 #
 nameif outsite_2
 security-level 0
 ip address 125.135.100.100 255.255.255.240 
!
interface gi0/5
 description # LAN #
 nameif insite
 ip address 10.255.0.1 255.255.255.0 	#Thay 10.255.0.1 255.255.255.0 bang IP LAN cua Vigor3200
!
object network LAN_Networks
 subnet 10.200.0.0 255.255.0.0		#Thay 10.200.0.0 255.255.0.0 bang IP LAN					
 description LAN_Networks
object network Public-IP-FTTH1
 host x.x.x.x 						#Thay x.x.x.x bang IP tinh duoc cap boi FTTH1									
 description Public-IP-FTTH1
object network Public-IP-FTTH2
 host x.x.x.x						#Thay x.x.x.x bang IP tinh duoc cap boi FTTH2
 description Public-IP-FTTH2
object network WebServer
 host 10.1.1.10
object network DNSServer
 host 10.1.1.12
object-group service Permit_Any_IP_TCP_UDP
 description Permit_Any_IP_TCP_UDP
 service-object ip 
 service-object udp 
 service-object tcp 
 service-object icmp  
object-group network Internet-Access
 description Internet-Access
 network-object object LAN_Networks
!
access-list outsite_1_access_in extended permit tcp any object WebServer eq www log
access-list outsite_2_access_in extended permit tcp-udp any object DNSServer eq domain log
access-list outsite_1_access_out extended permit object-group Permit_Any_IP_TCP_UDP any any log
access-list outsite_2_access_out extended permit object-group Permit_Any_IP_TCP_UDP any any log 
!
mtu outsite_1 1492
mtu outsite_2 1500
mtu insite 1500
!
route outsite_1 0.0.0.0 0.0.0.0 125.135.100.101 1 
route outsite_2 0.0.0.0 0.0.0.0 125.135.100.104 10
route insite x.x.x.x x.x.x.x 10.255.0.2			#Thay x.x.x.x bang IP cua LAN
!
nat (insite,outsite_1) source dynamic Internet-Access Public-IP-FTTH1
nat (insite,outsite_2) source dynamic Internet-Access Public-IP-FTTH2
!
object network WebServer
 nat (insite,outsite_1) static x.x.x.x service tcp www www  #Thay x.x.x.x bang IP tinh duoc cap boi FTTH1
object network DNSServer_TCP
 nat (insite,outsite_2) static x.x.x.x service tcp domain domain  #Thay x.x.x.x bang IP tinh duoc cap boi FTTH2
object network DNSServer_UDP
 nat (insite,outsite_2) static x.x.x.x service udp doamin domain  #Thay x.x.x.x bang IP tinh duoc cap boi FTTH2 
!
access-group outsite_1_access_in in interface outsite_1
access-group outsite_1_access_out out interface outsite_1
access-group outsite_2_access_in in interface outsite_2
access-group outsite_2_access_out out interface outsite_2
!
vpdn group Viettel_PPPoE request dialout pppoe
vpdn group Viettel_PPPoE localname ftth01
vpdn group Viettel_PPPoE ppp authentication pap		#PAP hay CHAP thi phu thuoc vao phia Viettel	
vpdn username ftth01 password 123456

          Comment

          • #6
            Originally posted by Gunz View Post
            Bạn thử cấu hình như thế này xem sao nhé
            Code:
            interface gi0/0
 description # FTTH 1 #
 nameif outsite_1
 security-level 0
 pppoe client vpdn group Viettel_PPPoE
 ip address pppoe 
....
....
....
vpdn group Viettel_PPPoE request dialout pppoe
vpdn group Viettel_PPPoE localname ftth01
vpdn group Viettel_PPPoE ppp authentication pap        #PAP hay CHAP thi phu thuoc vao phia Viettel    
vpdn username ftth01 password 123456
            May quá, đang "ngâm cứu" mấy link này:
            Nhờ AE Review dịch vụ FTTH - Vietnamese Professional
            http://vnpro.org/forum/showthread.php/10510-Nh%E1%BB%9D-AE-Review-d%E1%BB%8Bch-v%E1%BB%A5-FTTH/page4
            Dành cho các thảo luận về mạng diện rộng và truy cập từ xa

            PIX/ASA: PPPoE Client Configuration Example
            http://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/110322-asa-pppoe-00.html
            This document provides a sample configuration for the ASA/PIX security appliance as a Point-to-Point Protocol over Ethernet (PPPoE) client for versions 7.2.(1) and above.

            Thì có cấu hình của bạn, hy vọng nó sẽ ổn. Có lẽ phải để đến ngày chủ nhật mình mới test được.
            Cám ơn Gunz nhiều nhé.
            Last edited by giagia; 23-05-2014, 10:10 AM.

            Comment

            • #7
              Bố trí hệ thống firewall

              Click image for larger version Name: sodo.JPG Views: 2 Size: 32.4 KB ID: 206577
              Cho mình hỏi thêm theo sơ đồ trên thì nên dùng cách nào hợp lý
              1. ASA 5510 + SMM làm firewall Server và ASA 5515-X (ko SMM) làm firewall Internet
              2. ASA 5515-X (ko SMM) làm firewall Server và ASA 5510 + SMM làm firewall Internet
              Các thầy cô và các bạn tư vấn giúp em nên dùng cách nào hợp lý ???
              Last edited by giagia; 29-05-2014, 10:05 PM.

              Comment

              • #8
                Originally posted by 24hpro
                em không hiểu lắm anh nói rõ hơn được không ạ? @@
                Ý là thế này: có 2 con ASA: 5510 và 5515-X tất nhiên cấu hình con 5515 mạnh hơn 5510. Vậy thì bố trí 2 con đó như thế nào là hợp lý???
                1. ASA 5510 + SMM làm firewall Server và ASA 5515-X (ko SMM) làm firewall Internet
                2. Ngược lại: ASA 5515-X (ko SMM) làm firewall Server và ASA 5510 + SMM làm firewall Internet

                Comment

                • #9
                  @giagia: Theo mình thì nên bỏ ASA 5510 (Up to 150 Mbps with AIP SSM-10; 300 Mbps with AIP SSM-20) vì năng lực xử lý thấp sẽ làm giảm hiệu suất của mạng do vậy chỉ cần dùng ASA 5515-X thôi. Nếu có thể thì đầu tư thêm license cho module IPS của ASA 5515-X, còn nếu không thì cũng chẳng cần thiết lắm vì tính năng IPS của thiết bị Cisco cũng không được đánh giá cao.
                  Last edited by Gunz; 01-06-2014, 12:30 AM.

                  Comment

                  • #10
                    @Gunz: Ý của bạn cũng có lý, nếu vậy cấu hình trên phải thêm DMZ nữa phải không.
                    Bảng so sánh giữa ASA 5515-X vs 5510 vs 5520:
                    Feature Cisco ASA 5510 Adaptive Security Appliance Cisco ASA 5515-X Adaptive Security Appliance Cisco ASA 5520 Adaptive Security Appliance
                    Next-Generation Firewall No Yes No
                    Application Visibility and Control Service No Yes No
                    Web Security Service No Yes No
                    IPS Service Yes (Requires separate Hardware module) Yes (Does not require separate hardware module) Yes (Requires separate Hardware module)
                    Content Security Service Yes (Requires separate Hardware module) Similar functionality available through Cloud Web Security (formerly known as ScanSafe) Yes
                    Firewall Throughput (Max) 300 Mbps 1.2 Gbps 450 Mbps
                    IPS Throughput (Max) 300 Mbps 400 Mbps 450 Mbps
                    VPN Throughput (Max) 170 Mbps 250 Mbps 225 Mbps
                    Connections (Max) 100,000 250,000 280,000
                    Connections Per Second 9,000 15,000 12,000
                    Integrated I/O 2GE Copper and 3FE 6 GE Copper 4 GE Copper + 1 FE
                    Expansion I/O 4-port GE Copper, or 4-port GE SFP 6-port GE Copper 6-port GE SFP 4-port GE Cu or 4-port GE SFP
                    CPU Single core Multiple cores Single Core
                    Memory 1 GB 8 GB 2 GB
                    Hardware support for 2048-bit certificates No Yes No. All signatures run on IPS Security Module CPU.
                    USB thumb drive support No Yes (can be used to store logs and configuration files) No
                    Tuy nhiên bỏ không con ASA 5510 cũng tiếc nhỉ.

                    Comment

                    • #11
                      @giagia: Thêm vùng DMZ và cấu hình NAT trên ASA 5515-X là xong. Bỏ cái cũ đi thì mới có cái mới để sử dụng chứ, công nghệ thay đổi nhanh chóng mặt theo từng ngày mà.

                      Comment

                      Previous template Next
                      Working...
                      X