Tweet
Cấu hình định tuyến tĩnh và định tuyến động RIP trên ASA
1. Định tuyến tĩnh
Có ba loại định tuyến tĩnh
– Kết nối trực tiếp
– Định tuyến thông thường
– Định tuyến mặc định
* Đối với kết nối trực tiếp:
Kết nối trực tiếp thường tự động được tạo ra trong bảng định tuyến của ASA khi bạn cấu hình địa chỉ Ip trên các interface của ASA. Ví dụ, nếu bạn cấu hình địa chỉ IP 192.168.1.10/24 trên Inside Interface của ASA thì có route 192.168.1.0 255.255.255.0 sẽ tự động được tao ra trong bảng định tuyến
Đối với định tuyến thông thường và định tuyến mặc định
Cấu hình định tuyến tĩnh trên ASA giống như là nói cho Firewall biết cách gửi gói tin đến đích theo một con đường nào đó cho trước
Sử dụng câu lệnh route để tạo định tuyến tĩnh hay định tuyến mặc định. Định dạng câu lệnh như sau:
ASA(config)# route [interface-name] [destination-network] [netmask] [getway]
[interface-name]: Đây là interface mà gói tin sẽ ra ngoài
[destination-network] [netmask]: Đây là mạng đích và subnetmask chúng ta muốn gói tin đến
[gateway]: Thiết bị mạng tiếp theo mà ASA sẽ gửi gói tin đến
Ví dụ: cho mô hình mạng như hình trên, thực hiện default route và static route như sau:
ASA(config)# route outside 0.0.0.0 0.0.0.0 100.1.1.1
ASA(config)# route inside 192.168.2.0 255.255.255.0 192.168.1.1
Đối với định tuyến mặc định (default route) thường được sử dụng đẩy lưu lượng ra internet, bạn nên thiết lập network/netmask là 0.0.0.0 0.0.0.0. Tất cả lưu lượng mà ASA không hiểu thì sẽ đẩy ra 100.1.1.1
Show route: để kiểm tra bảng định tuyến
2. Định tuyến động sử dụng RIP
RIP là một trong những giao thức định tuyến động cổ nhất. Mặc dầu nó không được sử dụng trong nhiều hệ thống mạng hiện đại nhưng vẫn thấy trong một vài trường hợp. ASA phiên bản 7.x chỉ có thể chạy Rip và quảng bá default route. Tuy nhiên nó không thể nhận gói tin quáng bá RIP từ Router láng giếng và sau đó quáng bá những route này tới các Router khác. Tuy nhiên từ phiên bản ASA 8.x, ASA hỗ trợ đầy đủ tính năng RIP cả V1 và V2. Tuy nhiên việc sử dụng RIPv1 không được khuyến khích bởi vì nó không hỗ trợ việc chứng thực Routing Update
Việc cấu hình RIP trên ASA tương tự như Cisco Router. RIP được cấu hình bằng cách sử dụng câu lệnh “router rip”
Câu lệnh “no auto-summarize” chỉ chạy với RIPv2. Nó tự động vô hiệu hóa chức năng tự tổng hợp địa chỉ IP. Ví dụ nếu bạn có một Route 10.1.3.0/24, bạn muốn quảng bá Route này bằng định tuyến RIP, mặc định nó sẽ tổng hợp địa chỉ thành 10.0.0.0/8 bởi ASA. Bạn sử dụng “no auto-summarize” để quảng bá Route này 10.1.3.0/24.
Cấu hình chứng thực RIP trên Interface như sau:
Ví dụ sử dụng RIP với một mạng nhiều Router được thể hiện như hình sau
Giả sử ASA ở giữa mạng Campus và mạng Data Center. Tất cả các Router láng giếng ở trong mạng Inside chạy RIP
ASA(config) # route outside 0.0.0 0.0.0.0 192.168.2.2
ASA(config)# router rip
ASA(config-router)#network 192.168.1.0
ASA(config-router)#version 2
ASA(config-router)default-information originate
ASA(config-router)exit
ASA(config) #interface GigabitEthernet0/1
ASA(config-if)#rip authentication mode md5
ASA(config-if)#rip authentication key somesecrethere key-id 10
Văn Công Thắng – VnPro
Có ba loại định tuyến tĩnh
– Kết nối trực tiếp
– Định tuyến thông thường
– Định tuyến mặc định
* Đối với kết nối trực tiếp:
Kết nối trực tiếp thường tự động được tạo ra trong bảng định tuyến của ASA khi bạn cấu hình địa chỉ Ip trên các interface của ASA. Ví dụ, nếu bạn cấu hình địa chỉ IP 192.168.1.10/24 trên Inside Interface của ASA thì có route 192.168.1.0 255.255.255.0 sẽ tự động được tao ra trong bảng định tuyến
Đối với định tuyến thông thường và định tuyến mặc định
Mô hình định tuyến tĩnh
Cấu hình định tuyến tĩnh trên ASA giống như là nói cho Firewall biết cách gửi gói tin đến đích theo một con đường nào đó cho trước
Sử dụng câu lệnh route để tạo định tuyến tĩnh hay định tuyến mặc định. Định dạng câu lệnh như sau:
ASA(config)# route [interface-name] [destination-network] [netmask] [getway]
[interface-name]: Đây là interface mà gói tin sẽ ra ngoài
[destination-network] [netmask]: Đây là mạng đích và subnetmask chúng ta muốn gói tin đến
[gateway]: Thiết bị mạng tiếp theo mà ASA sẽ gửi gói tin đến
Ví dụ: cho mô hình mạng như hình trên, thực hiện default route và static route như sau:
ASA(config)# route outside 0.0.0.0 0.0.0.0 100.1.1.1
ASA(config)# route inside 192.168.2.0 255.255.255.0 192.168.1.1
Đối với định tuyến mặc định (default route) thường được sử dụng đẩy lưu lượng ra internet, bạn nên thiết lập network/netmask là 0.0.0.0 0.0.0.0. Tất cả lưu lượng mà ASA không hiểu thì sẽ đẩy ra 100.1.1.1
Show route: để kiểm tra bảng định tuyến
2. Định tuyến động sử dụng RIP
RIP là một trong những giao thức định tuyến động cổ nhất. Mặc dầu nó không được sử dụng trong nhiều hệ thống mạng hiện đại nhưng vẫn thấy trong một vài trường hợp. ASA phiên bản 7.x chỉ có thể chạy Rip và quảng bá default route. Tuy nhiên nó không thể nhận gói tin quáng bá RIP từ Router láng giếng và sau đó quáng bá những route này tới các Router khác. Tuy nhiên từ phiên bản ASA 8.x, ASA hỗ trợ đầy đủ tính năng RIP cả V1 và V2. Tuy nhiên việc sử dụng RIPv1 không được khuyến khích bởi vì nó không hỗ trợ việc chứng thực Routing Update
Việc cấu hình RIP trên ASA tương tự như Cisco Router. RIP được cấu hình bằng cách sử dụng câu lệnh “router rip”
Câu lệnh “no auto-summarize” chỉ chạy với RIPv2. Nó tự động vô hiệu hóa chức năng tự tổng hợp địa chỉ IP. Ví dụ nếu bạn có một Route 10.1.3.0/24, bạn muốn quảng bá Route này bằng định tuyến RIP, mặc định nó sẽ tổng hợp địa chỉ thành 10.0.0.0/8 bởi ASA. Bạn sử dụng “no auto-summarize” để quảng bá Route này 10.1.3.0/24.
Cấu hình chứng thực RIP trên Interface như sau:
Ví dụ sử dụng RIP với một mạng nhiều Router được thể hiện như hình sau
Mô hình sử dụng RIP với một mạng nhiều Router
Giả sử ASA ở giữa mạng Campus và mạng Data Center. Tất cả các Router láng giếng ở trong mạng Inside chạy RIP
ASA(config) # route outside 0.0.0 0.0.0.0 192.168.2.2
ASA(config)# router rip
ASA(config-router)#network 192.168.1.0
ASA(config-router)#version 2
ASA(config-router)default-information originate
ASA(config-router)exit
ASA(config) #interface GigabitEthernet0/1
ASA(config-if)#rip authentication mode md5
ASA(config-if)#rip authentication key somesecrethere key-id 10
Văn Công Thắng – VnPro