Cisco ASA [Chapter 4.3] Dynamic Routing in Firewall ASA

Discussion in 'Lý Thuyết' started by root, May 6, 2014.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38

    Firewall ASA: Dynamic routing protocols


    Ở phần trước mình đã trình bày Overview cho các bạn kiến thức về Static Routing. Tiếp theo đây mình sẽ làm 1 bài viết Overview lại các kiến thức của Dynamic Routing

    1. Cách tổ chức database:
    - Distance-vector: Để đi đến đích nó phải dựa vào bản đồ của các neigber. Nên nó tin tưởng hoàn toàn tuyệt đối vào Neghber.
    • Cách tổ chức ngắn gọn, nhẹ nhàng.
    • Có thể có hiện tượng Loop xảy ra
    • Thông thường các site nhỏ, đơn giản thì chạy distance-vector(EIGRP)
    - Link-state: Router muốn đi đến đích nó phải nắm trong tay tất cả các bản đồ đường đi
    • Cách tổ chức database rất chặt chẽ nặng nề
    • Vì nắm rõ bản đồ trong tay nên ko có hiện tượng Loop xảy ra
    • Sử dụng trong mô hình phức tạp

    2. Các đại diện Dynamic Routing

    - Các đại diện của Distance-vector
    • RIPv2: mạng cũ thì còn xài, còn hệ thống mới triển khai thì không còn xài nữa
    • EIGRP:
      • Là giao thức độc quyền của Cisco.
      • Tháng 3/2014 Cisco thông báo đưa Eigrp thành chuẩn quốc tế để các hãng khác muốn sử dụng thì phải mua License của Cisco (Cisco đã bán licesen của CDP cho các hãng khác sử dụng)
      • Trong 1 số ngân hàng vẫn có sử dụng nhưng ko được phổ biến
    - Các đại diện của Link-state
    • OSPF: Là giao thức phổ biến hiện nay vì là chuẩn chung
    • IS-IS:
      • Ban đầu xuất hiện ra để hỗ trợ địa chỉ Layer 3 của OSI là địa chỉ SNAP( RIP, OSPF… dùng địa layer 3 của TCP/IP)
      • 2 năm sau OSPF ra đời để hỗ trợ cho TCP/IP vì TCP/IP quá phổ biến và nổi trội nên các hệ thống mạng lớn như ISP đa phần xài OSPF
      • 2 năm sau ra Inter rate IS-IS: là 1 biến thể của IS-IS ra đời để hổ trợ IS-IS sử dụng TCP/IP. Nhưng lúc này OSPF đã quá phổ biến(98% sử dụng OSPF và 2% là IS-IS) nên tài liệu về IS-IS bị bỏ dần đi.
      • IS-IS làm việc theo kiểu Link-state rất giống với OSPF nhưng nó tốt hơn OSPF rất nhiều về các tổ chức database và hội tụ nhanh.
      • Vì những ưu điểm nổi bật nên người ta bất đầu quay lại dùng IS-IS
      • Khoảng hơn 4 năm trước thì Việt Nam cũng bắt đầu tiến hành sử dụng IS-IS trong hệ thống mạng của ISP như: VNPT, Viettel, SCTV, mobifone, vinafone … Thị phần doanh nghiệp thì OSPF đang nổi trội, còn ISP đang là IS-IS.
      • Do cách cấu hình IS-IS hơi khác và các người quản trị đã quen thuộc với OSPF rồi
    • Sự khác biệt lớn nhất giữa IS-IS và OSPF: là các tổ chức database.
      • OSPF: khi có 1 sự thay đổi thì nó thực hiện xóa bản đồ cũ đi và vẽ lại bản đồ mới từ đầu
      • IS-IS: Khi có 1 sự thay đổi thì hành động của nó lưu cái cây lại và dùng cục gôm để xóa 1 nhánh và vẽ thêm vào.
      • IS-IS: Mang tính chất hội tụ Database rất nhanh và ổn định Database
      • ? nên dùng IS-IS cho dual stack Ipv4 và Ipv6

    3. Config Dynamic Routing in Firewall ASA:


    3.1 Bước 1: Xác định interface tham gia định tuyến.
    - Các Router trao đổi info định tuyến với nhau thực chất các thành viên nói chuyện với nhau là các interface
    => Xác định interface tham gia định tuyến.

    3.2 Bước 2: Khởi tạo tiến trình
    - Đối với EIGRP
    Code:
    Router eigrp 1
    • 1: chính là số AS(autonomous system) là số dùng để định danh cho 1 miền định tuyến do 1 tổ chức quốc tế quản lý.
    autonomous system

    Ví dụ:

    • Trong miền định tuyến của ISP FPT… sẽ thuê 1 con số AS như 5001, vì mỗi nơi có mỗi chính sách khác nhau, triển khai khác nhau… nên trong 1 miền định tuyến người ta chạy nhiều giao thức định tuyến khác nhau.
    • Như vậy trong 1 miền định tuyến người ta chia thành các phần định tuyến nhỏ hơn gọi là Process Routing( tiến trình định tuyến) để dễ quản lý và phù hơp với từng chính sách của mỗi vùng miền…
      • 2 Router nằm cùng 1 process routing thì có thể giao tiếp được với nhau
      • 2 Router nằm khác process routing để giao tiếp với nhau thì cần phải thực hiện Redistribute
      • Như vậy câu lệnh “Router eigrp 1” thì 1 được gọi là số AS nhưng về mặt bản chất nó được gọi là Process Routing.
    • Số AS chia làm 2 loại
      • Public: 1-64512. Là con số được cấp xuống, được thuê, có hợp đồng thuê.
      • Private: 64513-65535: Là số đảm bảo không bao giờ xuất hiện ở bên ngoài và được dùng trong mạng LAN,..
    • Số AS được sử dụng khi bạn dùng trong BGP lúc này số AS mới thực sự được dùng.
    • Trong nội bộ nên dùng AS dạng private( tương tự như IP để không bị đụng với số AS bên ngoài)
    - Đối với OSPF
    Code:
    Router ospf 1
    • Số 1 của OSPF là số process id có giá trị nội bộ dùng để phân biệt các tiến trình khác nhau trên Router.
    • Khi 2 router có process id khác nhau muốn liên lạc với nhau phải thực hiện Process ID
    3.3 Bước 3: kích hoạt interface
    - EIGRP:
    Code:
    Network 192.168.1.0.  // chỗ này chỉ cần gõ major network
    • Ý nghĩa: Router sẽ lấy các IP trên interface của nó dò xuống câu lệnh Network nếu như trùng lớp mạng thì interface đó được tham gia định tuyến.
    • Ví dụ: Y/c chỉ muốn f0/1 chạy EIGRP. Để thỏa y/c trên người ta đưa thêm 1 tham số gọi là Wildcard mask phía sau câu lệnh Network. Với bit 0 là bit quan tâm, bit 1 là bit không quan tâm.
    Dynamic routing major network Firewall ASA (1)

    • Khi có wildcard mask ý nghĩa câu lệnh không còn là dò trùng lớp mạng nữa mà là dò trùng bit.
    • Như vậy để f0/1 tham gia định tuyến thôi thì câu lệnh:
      Code:
      network 192.168.1.129 0.0.0.0 

      Hoặc
      Code:
      network 192.168.1.128 0.0.0.127
    • Khuyến nghị nên xài câu lệnh “network 192.168.1.129 0.0.0.0” ko nền xài câu lệnh thứ 2.
    3.4 Bước 4(Chỉ áp dụng cho EIGRP)
    Nói chuyện như thế nào ? Thì có 2 kiểu nói chuyện
    - Classfull: Không quan tâm đến netmask. Vd: 192.168.1.1/26 thì khi Router quảng bá ra nó sẽ gửi 192.168.1.1/24.
    • Làm cho tải của đường dây giảm xuống. VD: Trong mạng có 100 lớp mạng nó thu gọn lại còn 8 lớp mạng. Nó giúp thu thông gọn thông tin bảng định tuyến
    • Bị tình trạng Overlap vì gửi dư thừa các lớp mạng mà nó ko có. VD: Khi R1, R2 cùng gửi cho R3 dạng Sum 172.16.0.0/16 cho R3. Thì lúc này R3 sẽ không biết đường đi đến mạng /16( giống như gửi thư mà có 2 số nhà giống nhau ko biết gửi cho ai) gọi là Over lap
    - Classless: Cụ thể đến từng subnet. Vd: 192.168.1.1/26 thì khi Router quảng bá ra nó sẽ gửi 192.168.1.1/26
    Classless Dynamic routing in Firewall ASA (3)
    - Với EIGRP mặc định nó gửi bảng định tuyến theo kiểu Classfull nên để gửi theo kiểu classless thì cần câu lệnh:
    Code:
    No autosumary
    - Còn OSPF thì không cần vì nó chỉ nói chuyện 1 kiểu Classless

    Các bài lý thuyết trong
    Module 4
    : Configuring IP Connectivity and Routing
    1. [Chapter 4.1] Cơ chế hoạt động của DHCP Server
    2. [Chapter 4.2] Static route in ASA Firewall
    3. [Chapter 4.3] Dynamic Routing in Firewall ASA
    4. [Chapter 4.4] Dynamic Routing Protocols
    5. [Chapter 4.5] Dynamic Routing protocols
    - Tham khảo thêm các bài lab trong phần Module 4 này
    1. [Lab 4.1] Configure PPPoE on ASA 5525
    2. [Lab 4.2] Configure redistribute on Cisco ASA
    - Tham khảo các bài lý thuyết và lab về Cisco ASA được update tại mục
    - Các bài lab về (Authentication - Authorization - Accounting) AAA on Cisco ASA.
     
    Last edited: Aug 13, 2016
  2. cuongpm

    cuongpm New Member

    Joined:
    Oct 26, 2015
    Messages:
    9
    Likes Received:
    0
    Trophy Points:
    1
    Mất ảnh này ad ơi
     
  3. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38
    Thanks ban,

    Mình đã upload lại hình ảnh bài viết rồi nhé
     

Share This Page