Cấu hình định tuyến tĩnh và định tuyến động RIP trên ASA -

1. Định tuyến tĩnh Có ba loại định tuyến tĩnh - Kết nối trực tiếp - Định tuyến thông thường - Định tuyến mặc định * Đối với kết nối trực tiếp: Kết nối trực tiếp thường tự động được tạo ra trong bảng định tuyến của ASA khi bạn cấu hình địa chỉ Ip trên các interface của ASA. Ví dụ, nếu bạn cấu hình địa chỉ IP 192.168.1.10/24 trên Inside Interface của ASA thì có route 192.168.1.0 255.255.255.0 sẽ tự động được tao ra trong bảng định tuyến Đối với định tuyến thông thường và định tuyến mặc định

Mô hình định tuyến tĩnh

Cấu hình định tuyến tĩnh trên ASA giống như là nói cho Firewall biết cách gửi gói tin đến đích theo một con đường nào đó cho trước Sử dụng câu lệnh route để tạo định tuyến tĩnh hay định tuyến mặc định. Định dạng câu lệnh như sau: ASA(config)# route [interface-name] [destination-network] [netmask] [getway] [interface-name]: Đây là interface mà gói tin sẽ ra ngoài [destination-network] [netmask]: Đây là mạng đích và subnetmask chúng ta muốn gói tin đến [gateway]: Thiết bị mạng tiếp theo mà ASA sẽ gửi gói tin đến Ví dụ: cho mô hình mạng như hình trên, thực hiện default route và static route như sau: ASA(config)# route outside 0.0.0.0 0.0.0.0 100.1.1.1 ASA(config)# route inside 192.168.2.0 255.255.255.0 192.168.1.1 Đối với định tuyến mặc định (default route) thường được sử dụng đẩy lưu lượng ra internet, bạn nên thiết lập network/netmask là 0.0.0.0 0.0.0.0. Tất cả lưu lượng mà ASA không hiểu thì sẽ đẩy ra 100.1.1.1 Show route: để kiểm tra bảng định tuyến 2. Định tuyến động sử dụng RIP RIP là một trong những giao thức định tuyến động cổ nhất. Mặc dầu nó không được sử dụng trong nhiều hệ thống mạng hiện đại nhưng vẫn thấy trong một vài trường hợp. ASA phiên bản 7.x chỉ có thể chạy Rip và quảng bá default route. Tuy nhiên nó không thể nhận gói tin quáng bá RIP từ Router láng giếng và sau đó quáng bá những route này tới các Router khác. Tuy nhiên từ phiên bản ASA 8.x, ASA hỗ trợ đầy đủ tính năng RIP cả V1 và V2. Tuy nhiên việc sử dụng RIPv1 không được khuyến khích bởi vì nó không hỗ trợ việc chứng thực Routing Update Việc cấu hình RIP trên ASA tương tự như Cisco Router. RIP được cấu hình bằng cách sử dụng câu lệnh “router rip” Câu lệnh “no auto-summarize” chỉ chạy với RIPv2. Nó tự động vô hiệu hóa chức năng tự tổng hợp địa chỉ IP. Ví dụ nếu bạn có một Route 10.1.3.0/24, bạn muốn quảng bá Route này bằng định tuyến RIP, mặc định nó sẽ tổng hợp địa chỉ thành 10.0.0.0/8 bởi ASA. Bạn sử dụng “no auto-summarize” để quảng bá Route này 10.1.3.0/24. Cấu hình chứng thực RIP trên Interface như sau: Ví dụ sử dụng RIP với một mạng nhiều Router được thể hiện như hình sau

Mô hình sử dụng RIP với một mạng nhiều Router

Giả sử ASA ở giữa mạng Campus và mạng Data Center. Tất cả các Router láng giếng ở trong mạng Inside chạy RIP ASA(config) # route outside 0.0.0 0.0.0.0 192.168.2.2 ASA(config)# router rip ASA(config-router)#network 192.168.1.0 ASA(config-router)#version 2 ASA(config-router)default-information originate ASA(config-router)exit ASA(config) #interface GigabitEthernet0/1 ASA(config-if)#rip authentication mode md5 ASA(config-if)#rip authentication key somesecrethere key-id 10

Văn Công Thắng – VnPro