Tweet
Cấu hình OSPF trên ASA như thế nào?
OSPF là giao thức định tuyến động dựa trên trạng thái đường liên kết hơn là véc tơ khoảng cách cho việc tối ưu chọn đường. Điều này tốt hơn và có khả năng mở rộng hơn định tuyến RIP. Đây là lý do tại sao OSPF được sử dụng rộng rãi trong mạng doanh nghiệp. OSPF có thể rất phức tạp. Trong phần này chúng ta tiếp tục thảo luận những thành phần được áp dụng chủ yếu vào thực tế và sẽ thảo luận những chức năng và những trường hợp sử dụng nhiều nhất trong hệ thống mạng thực tế. Chú ý: IPv6 hiện tại không được hỗ trợ bởi ASA khi chạy OSPF.
OSPF cấu hình dựa trên các vùng (Area). Để cấu hình OSPF chúng ta cần tạo process chạy định tuyến OSPF (có thể cấu hình 2 process CHO asa), chỉ định địa chỉ IP hòa hợp với process định tuyến và sau đó chỉ định ID Area với mỗi địa chỉ mạng. Tương tự RIPv2, chúng ta cũng cần cấu hình chứng thực MD5 cho những cập nhật định tuyến OSPF
Để cấu hình chứng thực MD5 OSPF, bạn cần phải cho phép chứng thực trên mỗi Area (trong process định tuyến) và cũng cấu hình chứng thực MD5 dưới cấu hình Interface
Chúng ta sẽ nhìn các ví dụ của OSPF thường được sử dụng trong thực tế. Ví dụ đầu tiên mô tả Cisco ASA trong mô hình mạng doanh nghiệp làm việc như một Router biên ABR và ví dụ thứ 2 chỉ ra Firewall ASA quảng bá default route vào trong mạng Internal thông qua OSPF
Ví dụ 1: ASA giữ chức năng làm OSPF ABR được thể hiện trong hình 1
Trong ví dụ trên, Firewall ASA ở giữa Datacenter và Campus. Tất cả các router trong Data Center chạy OSPF vùng 0. Trái lại tất cả các Router trong mạng Campus chạy OSPF vùng 1. ASA làm việc như là Router biên. Chúng ta giả sử rằng không có NAT trên ASA (“no nat-control”). Chính sách Firewall có thể được gia tăng nhờ việc sử dụng ACL trên cả Inside và Outside Interface.
Ví dụ 2: Thực hiện cấu hình default route như trong hình 2
Trong ví dụ trên, ASA có default route ra ngoài mạng Campus và quảng bá default route này vào trong mạng nội bộ (Data Center). Điều này có nghĩa làtất cả các Router trong mạng nội bộ (chạy OSPF vùng 0) sẽ yêu cầu default route để đẩy lưu lượng ra ngoài Internet qua Router gần nó nhất đến ASA.
ASA(config)# route outside 0.0.0.0 0.0.0.0 192.168.2.2
ASA(config)# router ospf 10
ASA(config-router)# network 192.168.1.0 255.255.255.0 area 0
ASA(config-router)# default-information originate always
ASA(config-router)# area 0 authentication message-digest
ASA(config-router)#exit
ASA(config)# interface GigabitEthernet0/1
ASA(config-if)# ospf authentication message-digest
ASA(config-if)# ospf message-digest-key 20 md5 somesecretkey
ASA(config-if)#exit
Văn Công Thắng – VnPro
OSPF cấu hình dựa trên các vùng (Area). Để cấu hình OSPF chúng ta cần tạo process chạy định tuyến OSPF (có thể cấu hình 2 process CHO asa), chỉ định địa chỉ IP hòa hợp với process định tuyến và sau đó chỉ định ID Area với mỗi địa chỉ mạng. Tương tự RIPv2, chúng ta cũng cần cấu hình chứng thực MD5 cho những cập nhật định tuyến OSPF
Để cấu hình chứng thực MD5 OSPF, bạn cần phải cho phép chứng thực trên mỗi Area (trong process định tuyến) và cũng cấu hình chứng thực MD5 dưới cấu hình Interface
Chúng ta sẽ nhìn các ví dụ của OSPF thường được sử dụng trong thực tế. Ví dụ đầu tiên mô tả Cisco ASA trong mô hình mạng doanh nghiệp làm việc như một Router biên ABR và ví dụ thứ 2 chỉ ra Firewall ASA quảng bá default route vào trong mạng Internal thông qua OSPF
Ví dụ 1: ASA giữ chức năng làm OSPF ABR được thể hiện trong hình 1
Hình 1: Mô hình ASA giữa chức năng làm OSPF ABR
Trong ví dụ trên, Firewall ASA ở giữa Datacenter và Campus. Tất cả các router trong Data Center chạy OSPF vùng 0. Trái lại tất cả các Router trong mạng Campus chạy OSPF vùng 1. ASA làm việc như là Router biên. Chúng ta giả sử rằng không có NAT trên ASA (“no nat-control”). Chính sách Firewall có thể được gia tăng nhờ việc sử dụng ACL trên cả Inside và Outside Interface.
Ví dụ 2: Thực hiện cấu hình default route như trong hình 2
Quảng cáo Default route trong mạng
Trong ví dụ trên, ASA có default route ra ngoài mạng Campus và quảng bá default route này vào trong mạng nội bộ (Data Center). Điều này có nghĩa làtất cả các Router trong mạng nội bộ (chạy OSPF vùng 0) sẽ yêu cầu default route để đẩy lưu lượng ra ngoài Internet qua Router gần nó nhất đến ASA.
ASA(config)# route outside 0.0.0.0 0.0.0.0 192.168.2.2
ASA(config)# router ospf 10
ASA(config-router)# network 192.168.1.0 255.255.255.0 area 0
ASA(config-router)# default-information originate always
ASA(config-router)# area 0 authentication message-digest
ASA(config-router)#exit
ASA(config)# interface GigabitEthernet0/1
ASA(config-if)# ospf authentication message-digest
ASA(config-if)# ospf message-digest-key 20 md5 somesecretkey
ASA(config-if)#exit
Văn Công Thắng – VnPro