Cisco ASA [Chapter 4.2] Static route in ASA Firewall

Discussion in 'Lý Thuyết' started by root, Apr 28, 2014.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38

    Configuring Static Route in ASA Firewall


    I. Configuring Static Route


    - lệnh cấu hình trong static route
    Code:
    (config)#ip route {IP_next hop, outgoing interface)
    1. IP next hop:
    - Chỉ dùng trong môi trương Multi Access:
    - Nhắc lại kiến thức Layer 2 của OSI:
    • Mục đích của layer 2(Datalink) cung cấp phương tiện di chuyển cho từng môi trường mạng khác nhau. Vd: Môi trường Ethernet thì phương tiện di chuyển là MAC, Môi trường MPLS thì phương tiện di chuyển là Lable, mt Frame Relay thì di chuyển bằng là DLCI…
    • Môi trường Multiple Access là môi trường mạng Ethernet và phương tiện di chuyển là MAC address. Như vậy 1 gói tin từ A qua B phải đảm bảo 4 trường tất cả:
      • Source IP, DesIP: Để định vị(để xem gói tin đang ở đâu và muốn đi đến đâu)
      • Source MAC, DesMAC: dùng để di chuyển(chuyển mạch)
    Static Routing in Firewall ASA (1)

    - Lúc này gói tin từ R1 sang R3 sẽ có:
    • Source IP: R1
    • Des IP: R3
    • Source MAC: R1
    • Des MAC: R2
    - Router, Firewall… có 2 nhiệm vụ: định vị và chuyển mạch. Khi gói tin từ R1 đến R2 là layer 2 xử lý, lúc này nó không còn liên quan đến IP.
    - R1 muốn đến R2 thì phải đi qua cổng f0/0(lúc này là chức năng định vị). Khi ra khỏi cổng f0/0 thì hết chức năng định tuyến mà là chức năng của switching(di chuyển).

    - Tại sao trong môi trường Multiple access không được dùng outgoing interface
    • Trong môi trương Multiple Access là môi trương đa truy cập, giả sử lúc này có thêm 1 con R4 ở giữa.
    • Lúc này gói tin từ R1 qua R3 sẽ được xử lý:
      • Source IP: R1
      • Des IP: R3
      • Source MAC: R2
      • Des MAC: lúc này chưa biết nên nó cần đi hỏi bằng gói tin ARP để hỏi R3 Des MAC là nhiêu ? Nhưng lúc này Arp sẽ hỏi ai?
    => Không nên dùng outgoing trong môi trường Multiple Access.
    - Trong khi dùng IP next hop thì

    Static Routing in Firewall ASA (2)

    • Lệnh : ip router IP_R3 10.0.0.2
    • Lúc này gói tin từ R1 đến R3 sẽ là:
      • Source IP: R1
      • Des IP: R3
      • Source MAC: R1
      • Des MAC: lúc này cũng chưa biết nên nó nhờ gói tin ARP request để tìm MAC address. Lúc này ARP đã biết đích đến(next hop) để hỏi.
    2. Môi trường Serial
    - Serial là môi trương Point to point.
    - Trong môi trường này thì các bạn có quyền chọn “outgoing interface” hoặc “ip next hop” đều được.

    3. Thực tế
    - Về lý thuyết là trong môi trường Multiple Access thì khi dùng outgoing interface là không ping được. Nhưng thực tế là vẫn chạy.
    - Nguyên nhân:
    • Ở đây ping được là nhờ may mắn vì có cổ nhân tên là “proxy-arp”(từ những năm 9x nhưng hiện nay vẫn còn hoạt động trên các thiết bị)
      • Mặc định Proxy-Arp tồn tại trên Router
      • Nhưng trên PC thì Proxy-Arp bị Disable
    - Quy tắc làm việc của TCP-IP
    Static Routing in Firewall ASA (3)

    • A muốn nói chuyện với B mà cùng lớp mạng thì A sẽ ARP B
    • A muốn nói chuyện với B mà khác lớp mạng thì A sẽ ARP gateway
    - Proxy-arp nhảy ra phá vỡ quy tắc: ( proxy-arp trên PC thì bị Disable nhưng trên Router thì được bật)
    • A muốn nói chuyện với B mà khác lớp mạng thì A sẽ ARP B luôn
    • Ví dụ: Khi A muốn ping B thì A phải có gateway. Nhưng khi A, B bỏ gateway ra thì theo lý thuyết là sẽ không ping được nhau vì lúc này
      • A không biết MAC của B nên nó sẽ phải thực hiện ARP để hỏi MAC B.
      • Nhưng lúc này A không biết hỏi ai vì không có đich(gateway) để hỏi. Nó sẽ broadcast ARP nhưng khi đến Router sẽ bị chặn lại vì A và B khác lớp mạng.
    • Nhưng thực tế là khi A, B bỏ gateway vẫn ping được B bình thường vì có Proxy-arp.
      • Khi A muốn ping B thì nó sẽ hỏi MAC B bằng cách broad cast và gói broadcast sẽ đụng tới Router.
      • Trong Router nó biết B(vì mạng kết nối trực tiếp). Router thấy có B trong bảng MAC và nó sẽ trả lời lại cho A muốn đi đến B thì dùng Des MAC là Router
    - Để tắt chức năng Proxy-Arp dùng lệnh
    Code:
    (config-if)#no proxy-arp
    II. Độ ưu tiên
    1. Lựa chọn mức độ ưu tiên trong định tuyến
    - Trong Router học được 1 lớp mạng từ nhiều nguồn khác nhau(Rip, OSPF…)
    • Longest match(mask): so sánh chiều dài lớp mạng trước
      • VD: ……….. via 10.0.0.0/27 Rip
      • ……….. via 10.0.0.0/24 OSPF
      • Thì độ ưu tiên hàng đầu là chọn Rip vì subnet của nó lớn hơn (27 >24)
    • AD: có giá trị từ 0 -> 255. AD càng nhỏ thì càng ưu tiên
    • Metric: AD bằng nhau thì ưu tiên Metric
    • Metric bằng nhau thì thành loadbanlacing
    2. AD
    - Trên Router khi các bạn gõ “ip route” câu lệnh có ý nghĩa khi outgoing interface up.
    • Vd: khi bạn gõ bừa ip router 1 địa chỉ netx hop bất kì nó sẽ ko hiện lên bảng định tuyến vì interface đó ko up. Trên bảng đinh tuyến sẽ hiện: “…….. via 12.2 fastethernet f0/0”. Cổng f0/0 up thì mới có ý nghĩa, nó down thì vô nghĩa
    Static Routing in Firewall ASA (4)
    - Nhưng thực tế 2 Router không nối trực tiếp với nhau mà nó qua quá nhiều trạm trung giam. Khi sự cố xảy ra ở các trạm trung gian thì interface Router vẫn up mặc dù 2 Router không thấy nhau. Lúc này Router A ping cho Router B bị lọt hố(black hole).
    - Giải pháp: Đưa thêm điều kiện:
    • Câu lệnh static route có ý nghĩa khi “outgoing interface up và 2 Router phải ping được với nhau”. Ping là end to end có đi có về để đảm bảo con đường giữa 2 Router
    • Để bổ sung thì người ta dùng IP SLA. Trên SW thì có con có con không
    - Với Dynamic Router thì ko cần vì nó có thiết lập với nhau bằng gói helo…
    - Cấu hình IP SLA
    • Tạo ra bộ máy giám sát số 11:
    Code:
    (config)#ip sla 11
    • Bộ máy ping địa chỉ 192.168.1.2
      Code:
      (config-ip-sla)#icmp-echo 192.168.1.2
    • Tần số ping 6s 1 lần
      Code:
      (config-ip-sla-echo)#frequency 6
    • Khởi động bộ máy
      Code:
      (config)#ip sla monitor schedule 11 start-time now life forever
    • Start-time: bạn muốn khởi động máy khi nào
    • Life: bạn muốn chạy đến khi nào
    • Bỏ bộ máy số 11 vào đối tượng số 1
      Code:
      (config)#track 1 rtr 11
    • Bổ sung điều kiện để câu lệnh này chỉ có ý nghĩa
      Code:
      (config)#ip route 10.0.0.0 255.255.255.0 192.168.12.2 track 1
    - Các bạn có thể tham khảo bài Lab về: Static Route kết hợp với IP SLA tại đây:
    [Lab 1.1] ip sla static route tracking

    :confused: EEM: là 1 bộ mã nguồn(mã nhúng)
    - Khi 2 Router không ping được thì Router tự động shutdown interface, nhập sai password 3 lần tự động shutdown interface, lái traffic… thì bạn có thể dung giao thức EEM.
    - Là 1 ngôn ngữ được viết bởi các API và từ 2800 đã hỗ trợ điều này


    Các bài lý thuyết trong
    Module 4
    : Configuring IP Connectivity and Routing
    1. [Chapter 4.1] Cơ chế hoạt động của DHCP Server
    2. [Chapter 4.2] Static route in ASA Firewall
    3. [Chapter 4.3] Dynamic Routing in Firewall ASA
    4. [Chapter 4.4] Dynamic Routing Protocols
    5. [Chapter 4.5] Dynamic Routing protocols
    - Tham khảo thêm các bài lab trong phần Module 4 này
    1. [Lab 4.1] Configure PPPoE on ASA 5525
    2. [Lab 4.2] Configure redistribute on Cisco ASA
    - Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
    - Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
     
    Last edited: Aug 13, 2016
  2. duyphuong0203

    duyphuong0203 New Member

    Joined:
    Mar 5, 2015
    Messages:
    3
    Likes Received:
    0
    Trophy Points:
    0
    Mất ảnh rồi root ơi :(
     
  3. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38
    hi duyphuong0203 ,

    Đã upload lại hình ảnh xong,

    thanks bạn!
     

Share This Page