Cisco ASA [Lab 12.1] Config transparent firewall cisco asa and EIGRP

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
I. Sơ đồ và yêu cầu

1. Sơ đồ

Config transparent firewall cisco asa and EIGRP(1)

2. Yêu cầu
- Đưa ASA thành Switch để traffic từ R1 và R2 có cùng subnet
- Định tuyến EIGRP trên R1 và R2 để mạng hội tụ.

  • Trên ASA viết ACL cho phép ping giữa 2 Router
  • Trên ASA viết ACL để cho R1 và R2 trao đổi các gói tin của giao thức EIGRP

II. Triển khai

1. Trên R1
- Cấu hình IP và định tuyến EIGRP cho R1

Code:
R1(config)#int f0/0
R1(config-if)#ip address 172.16.10.1 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#int f0/1
R1(config-if)#ip address 192.168.10.254 255.255.255.0
R1(config-if)#no shutdown

R1(config)#router eigrp 1
R1(config-router)#network 172.16.10.1 0.0.0.0
R1(config-router)#network 192.168.10.254 0.0.0.0
R1(config-router)#passive-interface f0/1
R1(config-router)#no auto-summary

2. Trên R2
- Cấu hình IP và định tuyến EIGRP trên R2, lan truyên default-route về cho R1

Code:
R2(config)#int f0/0
R2(config-if)#ip address 172.16.10.254 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#int f0/1
R2(config-if)#ip address dhcp
R2(config-if)#no shutdown

R1(config)#router eigrp 1
R1(config-router)#network 172.16.10.254 0.0.0.0
R1(config-router)#redistribute static
R1(config-router)#no auto-summary

3. Cấu hình trên ASA
- Mặc định ASA 8.4 sẽ ở Router mode.
- Để chuyển ASA về mode Transparent ta dùng lệnh sau

Code:
ciscoasa(config)# firewall transparent

- Các bạn dùng lệnh "show firewall" để xem mode của ASA
ciscoasa(config)# sh firewall
Firewall mode: Transparent
- Tiếp theo là các bạn gom các interface của ASA thành 1 nhóm layer 2

Code:
ciscoasa(config)# int g0
ciscoasa(config-if)# nameif outside
ciscoasa(config-if)# bridge-group 1
ciscoasa(config-if)# no shutdown

ciscoasa(config-if)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# bridge-group 1
ciscoasa(config-if)# no shut

- Tạo 1 Virtual interface trên ASA để quản lý.
Code:
ciscoasa(config)# interface BVI 1
ciscoasa(config-if)# ip address 172.16.10.100 255.255.255.0
- Kiểm tra lại các interface trên ASA

Config transparent firewall cisco asa and EIGRP(2)


4. Cấu hình ACL ICMP
- Bây giờ con ASA đã trở thành con ASA trasparent, giống như 1 con SW layer 2
- Mặc định trên ASA không cho phép ICMP đi ngang qua nó. Nên để 2 Router ping được nhau bạn phải thực hiện inspect IMCP

Code:
ciscoasa(config)# fixup protocol icmp

INFO: converting 'fixup protocol icmp ' to MPF commands
- Giờ bạn vào R1 ping tới R2 sẽ thành công
R1#ping 172.16.10.254

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.10.254, timeout is 2 seconds:
!!!!!

- Nhưng việc ping ngược lại từ R2(outside) vào R1(inside) là không thành công. Vì ASA không cho phép traffic từ nơi có Security-level thấp đi qua nơi Security-Level cao.

R2#ping 172.16.10.1


Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 172.16.10.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)

- Để thực cho phép outside ping ngược vào inside bạn cần 1 ACL áp trên chiều in của interface outside

Code:
ciscoasa(config)# access-list POLICY extended permit icmp any any echo
ciscoasa(config)# access-group POLICY in interface outside

5. Cấu hình ACL cho EIGRP
- Giao thức EIGRP sử dụng địa chỉ Multicast 224.0.0.10. Tuy nhiên ASA không cho phép địa chỉ Multicast đi ngang qua nó cho dù đi từ vùng inside ra outside. (Tương tự với OSPF: 224.0.0.5 và 224.0.0.6)
- Để giải quyết vấn đề này chúng ta cần tạo ra 1 ACL cho phép traffic Mutilcast này được đi ngang qua ASA

Code:
TRANSPARENT-ASA(config)# access-list ACL-INSIDE extended permit icmp host any host any log
TRANSPARENT-ASA(config)# access-list ACL-INSIDE extended permit eigrp host 172.16.10.1 host 172.16.10.254 log
TRANSPARENT-ASA(config)# access-list ACL-INSIDE extended permit eigrp any host 224.0.0.10 log
TRANSPARENT-ASA(config)# access-list ACL-OUTSIDE extended permit icmp host any host any log
TRANSPARENT-ASA(config)# access-list ACL-OUTSIDE extended permit eigrp host 172.16.10.254 host 172.16.10.1 log
TRANSPARENT-ASA(config)# access-list ACL-OUTSIDE extended permit eigrp any host 224.0.0.10 log

TRANSPARENT-ASA(config)# access-group ACL-INSIDE in interface inside
TRANSPARENT-ASA(config)# access-group ACL-OUTSIDE in interface outside

- Trên R1 kiểm tra xem đã thiết lập Neighbors với R2 chưa, R2 đã lan truyền default-Route về cho R1 chưa

Config transparent firewall cisco asa and EIGRP(3)


- Tương tự trên R2 sẽ có neighbors và lớp mạng 192.168.10.0/24 bên trong R1

Config transparent firewall cisco asa and EIGRP(4)

- Trên PC ping ra internet kiểm tra thành công

Config transparent firewall cisco asa and EIGRP(5)
 
Last edited:
Có thể bỏ ACL POLICY ở bước 4, vì ACL ở bước 5 đã bao hàm nó và chỉ duy nhất 1 ACL được chấp nhận trên Interface theo 1 chiều đúng không ROOT?
 
Có thể bỏ ACL POLICY ở bước 4, vì ACL ở bước 5 đã bao hàm nó và chỉ duy nhất 1 ACL được chấp nhận trên Interface theo 1 chiều đúng không ROOT?

- Chính xác bạn, thực ra nó không phải bước 4, ở đây số 4 và số 5 là 2 câu khác nhau. Mình tách số 4 ra để giải thích rõ rằng hơn 1 xíu về việc inspection ICMP.
- Trong phần 5 đã bao gồm cả phần 4 :)
 
Bác root ơi, vậy còn khi làm với 3 phân vùng mạng khác nhau thì làm sao để traffic vậy bác
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu