Cisco ASA [Lab 12.1] Config transparent firewall cisco asa and EIGRP

Discussion in 'Lab Firewall ASA' started by root, Jun 11, 2014.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,184
    Likes Received:
    38
    Trophy Points:
    48
    I. Sơ đồ và yêu cầu

    1. Sơ đồ

    Config transparent firewall cisco asa and EIGRP(1)

    2. Yêu cầu
    - Đưa ASA thành Switch để traffic từ R1 và R2 có cùng subnet
    - Định tuyến EIGRP trên R1 và R2 để mạng hội tụ.

    • Trên ASA viết ACL cho phép ping giữa 2 Router
    • Trên ASA viết ACL để cho R1 và R2 trao đổi các gói tin của giao thức EIGRP

    II. Triển khai

    1. Trên R1
    - Cấu hình IP và định tuyến EIGRP cho R1

    Code:
    R1(config)#int f0/0
    R1(config-if)#ip address 172.16.10.1 255.255.255.0
    R1(config-if)#no shutdown
    R1(config-if)#int f0/1
    R1(config-if)#ip address 192.168.10.254 255.255.255.0
    R1(config-if)#no shutdown
    
    R1(config)#router eigrp 1
    R1(config-router)#network 172.16.10.1 0.0.0.0
    R1(config-router)#network 192.168.10.254 0.0.0.0
    R1(config-router)#passive-interface f0/1
    R1(config-router)#no auto-summary

    2. Trên R2
    - Cấu hình IP và định tuyến EIGRP trên R2, lan truyên default-route về cho R1

    Code:
    R2(config)#int f0/0
    R2(config-if)#ip address 172.16.10.254 255.255.255.0
    R2(config-if)#no shutdown
    R2(config-if)#int f0/1
    R2(config-if)#ip address dhcp
    R2(config-if)#no shutdown
    
    R1(config)#router eigrp 1
    R1(config-router)#network 172.16.10.254 0.0.0.0
    R1(config-router)#redistribute static
    R1(config-router)#no auto-summary

    3. Cấu hình trên ASA
    - Mặc định ASA 8.4 sẽ ở Router mode.
    - Để chuyển ASA về mode Transparent ta dùng lệnh sau

    Code:
    ciscoasa(config)# firewall transparent

    - Các bạn dùng lệnh "show firewall" để xem mode của ASA
    - Tiếp theo là các bạn gom các interface của ASA thành 1 nhóm layer 2

    Code:
    ciscoasa(config)# int g0
    ciscoasa(config-if)# nameif outside
    ciscoasa(config-if)# bridge-group 1
    ciscoasa(config-if)# no shutdown
    
    ciscoasa(config-if)# int g1
    ciscoasa(config-if)# nameif inside
    ciscoasa(config-if)# bridge-group 1
    ciscoasa(config-if)# no shut

    - Tạo 1 Virtual interface trên ASA để quản lý.
    Code:
    ciscoasa(config)# interface BVI 1
    ciscoasa(config-if)# ip address 172.16.10.100 255.255.255.0
    - Kiểm tra lại các interface trên ASA

    Config transparent firewall cisco asa and EIGRP(2)


    4. Cấu hình ACL ICMP
    - Bây giờ con ASA đã trở thành con ASA trasparent, giống như 1 con SW layer 2
    - Mặc định trên ASA không cho phép ICMP đi ngang qua nó. Nên để 2 Router ping được nhau bạn phải thực hiện inspect IMCP

    Code:
    ciscoasa(config)# fixup protocol icmp
    
    INFO: converting 'fixup protocol icmp ' to MPF commands
    - Giờ bạn vào R1 ping tới R2 sẽ thành công
    - Nhưng việc ping ngược lại từ R2(outside) vào R1(inside) là không thành công. Vì ASA không cho phép traffic từ nơi có Security-level thấp đi qua nơi Security-Level cao.

    - Để thực cho phép outside ping ngược vào inside bạn cần 1 ACL áp trên chiều in của interface outside

    Code:
    ciscoasa(config)# access-list POLICY extended permit icmp any any echo
    ciscoasa(config)# access-group POLICY in interface outside

    5. Cấu hình ACL cho EIGRP
    - Giao thức EIGRP sử dụng địa chỉ Multicast 224.0.0.10. Tuy nhiên ASA không cho phép địa chỉ Multicast đi ngang qua nó cho dù đi từ vùng inside ra outside. (Tương tự với OSPF: 224.0.0.5 và 224.0.0.6)
    - Để giải quyết vấn đề này chúng ta cần tạo ra 1 ACL cho phép traffic Mutilcast này được đi ngang qua ASA

    Code:
    TRANSPARENT-ASA(config)# access-list ACL-INSIDE extended permit icmp host any host any log
    TRANSPARENT-ASA(config)# access-list ACL-INSIDE extended permit eigrp host 172.16.10.1 host 172.16.10.254 log
    TRANSPARENT-ASA(config)# access-list ACL-INSIDE extended permit eigrp any host 224.0.0.10 log
    TRANSPARENT-ASA(config)# access-list ACL-OUTSIDE extended permit icmp host any host any log
    TRANSPARENT-ASA(config)# access-list ACL-OUTSIDE extended permit eigrp host 172.16.10.254 host 172.16.10.1 log
    TRANSPARENT-ASA(config)# access-list ACL-OUTSIDE extended permit eigrp any host 224.0.0.10 log
    
    TRANSPARENT-ASA(config)# access-group ACL-INSIDE in interface inside
    TRANSPARENT-ASA(config)# access-group ACL-OUTSIDE in interface outside

    - Trên R1 kiểm tra xem đã thiết lập Neighbors với R2 chưa, R2 đã lan truyền default-Route về cho R1 chưa

    Config transparent firewall cisco asa and EIGRP(3)


    - Tương tự trên R2 sẽ có neighbors và lớp mạng 192.168.10.0/24 bên trong R1

    Config transparent firewall cisco asa and EIGRP(4)

    - Trên PC ping ra internet kiểm tra thành công

    Config transparent firewall cisco asa and EIGRP(5)
     
    Last edited: Jul 28, 2016
  2. dell6400note

    dell6400note New Member

    Joined:
    Jul 3, 2014
    Messages:
    14
    Likes Received:
    0
    Trophy Points:
    1
    Có thể bỏ ACL POLICY ở bước 4, vì ACL ở bước 5 đã bao hàm nó và chỉ duy nhất 1 ACL được chấp nhận trên Interface theo 1 chiều đúng không ROOT?
     
  3. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,184
    Likes Received:
    38
    Trophy Points:
    48
    - Chính xác bạn, thực ra nó không phải bước 4, ở đây số 4 và số 5 là 2 câu khác nhau. Mình tách số 4 ra để giải thích rõ rằng hơn 1 xíu về việc inspection ICMP.
    - Trong phần 5 đã bao gồm cả phần 4 :)
     
  4. Hắc Công Tử

    Hắc Công Tử New Member

    Joined:
    Dec 8, 2017
    Messages:
    1
    Likes Received:
    0
    Trophy Points:
    1
    Gender:
    Male
    Bác root ơi, vậy còn khi làm với 3 phân vùng mạng khác nhau thì làm sao để traffic vậy bác
     

Share This Page