Tweet
Cấu hình EIGRP trên tường lửa Cisco
Cấu hình EIGRP trên tường lửa Cisco
– EIGRP kết hợp các ưu điểm của hai phương thức định tuyến Distance vector và link-state.
– EIGRP là một giao thức định tuyến phức tạp dựa vào delay, bandwidth, reliability (độ tin cậy), load, MTU.
– EIGRP sẽ thiêt lập thông tin neighbor bằng cách gửi gói tin hello, gửi dưới dạng địa chỉ Multicast (224.0.0.10), IP protocol 88.
– EIGRP hỗ trọ VLSM, tự động summary. Sử dụng giải thuật DUAL để tính toán duy trì thông tin định tuyến và giá trị cost nhỏ nhất cho đến đích.
– EIGRP không cập nhập thông tin định tuyến theo định kì mà cập nhập khi có sự thay đổi.
Có thể cấu hình EIGRP theo các bước sau:
• Bước 1: Bật EIGRP
ciscoasa(config)# router eigrp as-num
as-num có thể từ 1 – 65535
• Bước 2: Chỉ ra các mạng
ciscoasa(config-router)# network ip-addr [mask]
Có thể chặn không cho gửi thông tin định tuyến qua một interface nhưng vẫn nhận được thông tin định tuyến từ interface đó, sử dụng lệnh:
ciscoasa(config-router)# passive-interface interface
• Bước 3: Tắt chế độ tự dông summary
ciscoasa(config-router)# no auto-summary
• Bước 4: Phân phối thông tin định tuyến
ciscoasa(config-router)# redistribute static
• Bước 5: Sử dụng stub định tuyến cho ASA
Khi ASA kết nối với mạng bên ngoài thông qua một router, nó có thể trở thành router EIGRP stub, lúc này ASA chỉ quảng cáo các tuyến đường riêng của nó.
Với câu lệnh:
ciscoasa(config-router)# eigrp stub receive-only
• Bước 6: Chứng thực MD5
Để ASA luôn nhận được thông tin định tuyến đáng tin cậy từ các neighbor, ta sẽ cấu hình chứng thực MD5.
ciscoasa(config)# interface interface
ciscoasa(config-if)# authentication mode eigrp as-num md5
ciscoasa(config-if)# authentication key eigrp as-num key-string key-id key-id
• Bước 7: Chặn các mạng cụ thể
Đầu tiên ta sẽ tạo ra một access-list và sử dụng dòng lệnh:
ciscoasa(config-router)# distribute-list acl-id in [interface interface]
Ví dụ:
Một ASA có cổng ethernet0/0 kết nối với mạng bên ngoài, ethernet0/1kết nối với bên trong. ASA sẽ cấu hình EIGRP để định tuyến.
Cấu hình 
Kiểm tra hoạt động:
ciscoasa# show eigrp neighbors
Xem thông tin
ciscoasa# show eigrp topology
Kiểm tra bảng định tuyến
ciscoasa# show route
Hiển thị cấu hình định tuyến tĩnh
ciscoasa# show running-config route
Ví dụ: Thực hiện định tuyến và vlan trên ASA
Cấu hình VLAN trên ASA, trong đó:
DMZ1 thuộc VLAN 1
DMZ2 thuộc VLAN2
Cổng DMZ1 và DMZ2, inside chạy OSPF
Cổng outside chạy RIPv2
Switch SW
+ Tạo vlan 2, vlan 3
+ Gán cổng vào vlan
+ f0/2-f0/10 vlan 2, f0/11- f0/20 vlan 3
+ f0/1 trunk (chú ý ASA chỉ hổ trợ dot1q )
– EIGRP kết hợp các ưu điểm của hai phương thức định tuyến Distance vector và link-state.
– EIGRP là một giao thức định tuyến phức tạp dựa vào delay, bandwidth, reliability (độ tin cậy), load, MTU.
– EIGRP sẽ thiêt lập thông tin neighbor bằng cách gửi gói tin hello, gửi dưới dạng địa chỉ Multicast (224.0.0.10), IP protocol 88.
– EIGRP hỗ trọ VLSM, tự động summary. Sử dụng giải thuật DUAL để tính toán duy trì thông tin định tuyến và giá trị cost nhỏ nhất cho đến đích.
– EIGRP không cập nhập thông tin định tuyến theo định kì mà cập nhập khi có sự thay đổi.
Có thể cấu hình EIGRP theo các bước sau:
• Bước 1: Bật EIGRP
ciscoasa(config)# router eigrp as-num
as-num có thể từ 1 – 65535
• Bước 2: Chỉ ra các mạng
ciscoasa(config-router)# network ip-addr [mask]
Có thể chặn không cho gửi thông tin định tuyến qua một interface nhưng vẫn nhận được thông tin định tuyến từ interface đó, sử dụng lệnh:
ciscoasa(config-router)# passive-interface interface
• Bước 3: Tắt chế độ tự dông summary
ciscoasa(config-router)# no auto-summary
• Bước 4: Phân phối thông tin định tuyến
ciscoasa(config-router)# redistribute static
• Bước 5: Sử dụng stub định tuyến cho ASA
Khi ASA kết nối với mạng bên ngoài thông qua một router, nó có thể trở thành router EIGRP stub, lúc này ASA chỉ quảng cáo các tuyến đường riêng của nó.
Với câu lệnh:
ciscoasa(config-router)# eigrp stub receive-only
• Bước 6: Chứng thực MD5
Để ASA luôn nhận được thông tin định tuyến đáng tin cậy từ các neighbor, ta sẽ cấu hình chứng thực MD5.
ciscoasa(config)# interface interface
ciscoasa(config-if)# authentication mode eigrp as-num md5
ciscoasa(config-if)# authentication key eigrp as-num key-string key-id key-id
• Bước 7: Chặn các mạng cụ thể
Đầu tiên ta sẽ tạo ra một access-list và sử dụng dòng lệnh:
ciscoasa(config-router)# distribute-list acl-id in [interface interface]
Ví dụ:
Một ASA có cổng ethernet0/0 kết nối với mạng bên ngoài, ethernet0/1kết nối với bên trong. ASA sẽ cấu hình EIGRP để định tuyến.
Kiểm tra hoạt động:
ciscoasa# show eigrp neighbors
Xem thông tin
ciscoasa# show eigrp topology
Kiểm tra bảng định tuyến
ciscoasa# show route
Hiển thị cấu hình định tuyến tĩnh
ciscoasa# show running-config route
Ví dụ: Thực hiện định tuyến và vlan trên ASA
Cấu hình VLAN trên ASA, trong đó:
DMZ1 thuộc VLAN 1
DMZ2 thuộc VLAN2
Cổng DMZ1 và DMZ2, inside chạy OSPF
Cổng outside chạy RIPv2
Switch SW
+ Tạo vlan 2, vlan 3
+ Gán cổng vào vlan
+ f0/2-f0/10 vlan 2, f0/11- f0/20 vlan 3
+ f0/1 trunk (chú ý ASA chỉ hổ trợ dot1q )
Trần Khánh Huy – VnPro