Cấu hình định tuyến dựa trên chính sách PBR (Policy Based Routing) với Firewall Cisco ASA

Định tuyến dựa trên chính sách PBR (Policy Based Routing) là một tính năng đã được hỗ trợ trên Bộ định tuyến của Router Cisco. Tuy nhiên, tường lửa Firewall Cisco ASA không hỗ trợ điều này cho đến phiên bản 9.4.1 trở lên.

​

Trong bài viết này, sẽ chỉ cho bạn cách cấu hình hai kịch bản quan trọng của Định tuyến dựa trên chính sách (PBR) trên Firewall Cisco ASA.

Tìm hiểu Định tuyến Dựa trên Chính sách PBR (Policy Based Routing)

PBR cho phép thực hiện định tuyến dựa trên các tiêu chí khác với địa chỉ IP đích.

Hình thức định tuyến truyền thống (được sử dụng theo mặc định trên bất kỳ thiết bị định tuyến nào) dựa trên địa chỉ IP đích của gói tin.

Điều này có nghĩa là các thiết bị định tuyến (bộ định tuyến, chuyển mạch Layer3, tường lửa, v.v.) sẽ xem xét địa chỉ IP đích trong tiêu đề của gói và chuyển tiếp (định tuyến) gói đến giao diện gửi đi thích hợp của thiết bị dựa trên bảng định tuyến theo thứ tự để đến đích mong muốn.

Với PBR, thiết bị mạng có thể đưa ra quyết định định tuyến dựa trên nhiều tiêu chí khác nhau như địa chỉ IP nguồn, cổng nguồn, giao thức, cổng đích, v.v. và cả sự kết hợp của những tiêu chí này.

Điều này có nghĩa là ví dụ, một thiết bị định tuyến có thể nhận một gói và xem địa chỉ IP nguồn của nó (thay vì đích) và định tuyến gói theo chính sách PBR của nó.

Một số trường hợp sử dụng phổ biến cho PBR trên Firewall Cisco ASA

Tường lửa Cisco ASA thường được sử dụng làm thiết bị mạng biên kết nối mạng Doanh nghiệp với ISP đó là Internet. Nhiều Doanh nghiệp sử dụng hai kết nối ISP để dự phòng và vì lý do hiệu quả băng thông.

Do đó, một kịch bản phổ biến là định tuyến một số lưu lượng đến ISP1 và một số lưu lượng khác đến ISP2. Ví dụ: bạn có thể định tuyến tất cả lưu lượng truy cập Web (HTTP, HTTPs) thông qua ISP1 và tất cả các lưu lượng khác thông qua ISP2.

Một ví dụ khác có thể là định tuyến lưu lượng xuất phát từ bộ phận Kỹ thuật qua ISP1 và lưu lượng xuất phát từ bộ phận Kế toán đi qua ISP2.

Có rất nhiều trường hợp PBR có thể được sử dụng. Trong bài viết này, sẽ mô tả hai kịch bản phổ biến và tùy thuộc vào bạn thực hiện hoạt động trên ASA.

Bây giờ chúng ta hãy xem cấu hình thực tế của PBR cho 2 trường hợp trên tường lửa Firewall Cisco ASA.

1) Định tuyến dựa trên chính sách theo giao thức đích (Policy Based Routing According to the Destination Protocol)

Trong trường hợp sử dụng này, tường lửa ASA được kết nối với 2 ISP như thể hiện trên sơ đồ bên dưới:

​

Yêu cầu là định tuyến lưu lượng truy cập Web (cổng HTTP 80 và cổng HTTP 443) qua ISP01 và tất cả các lưu lượng Internet khác qua ISP02.

Cấu hình (Configuration)

Bước 1 (Step 1)

Đầu tiên hãy cấu hình các giao diện:

interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet0/1
nameif ISP01
security-level 0
ip address 103.255.180.2 255.255.255.252

interface GigabitEthernet0/2
nameif ISP02
security-level 0
ip address 221.135.1.2 255.255.255.252

Bước 2 (Step 2)

Tạo Danh sách kiểm soát truy cập (ACL) phù hợp với lưu lượng mà chúng ta muốn được xử lý bởi chính sách PBR.

object-group services WEB-ports tcp <– tạo một nhóm đối tượng cho các ports 80,443
port-object eq 443
port-object eq 80

access-list PBR_ACL extended permit tcp 192.168.10.0 255.255.255.0 any object-group WEB-ports

ACL ở trên khớp với lưu lượng truy cập từ mạng bên trong (192.168.10.0/24) có cổng đích là 80 và 443.

Bước 3 (Step 3)

Cũng giống như PBR trên bộ định tuyến IOS, chúng ta cần tạo một bản đồ tuyến đường(route-map) phù hợp với lưu lượng trong ACL được tạo ở trên và sau đó áp dụng chính sách định tuyến (routing policy) cho luồng lưu lượng này.

Trong trường hợp này, chúng ta sẽ áp dụng IP next-hop cho luồng lưu lượng này để các gói sẽ được định tuyến qua ISP01 (103.255.180.1).

route-map PBR permit 2 <– tạo bản đồ tuyến đường(route-map) và đặt tên cho nó là “PBR”
match ip address PBR_ACL <– khớp với lưu lượng được xác định trong ACL được tạo ở trên
set ip next-hop 103.255.180.1 <– thiết lập next hop của lưu lượng là ISP01

Bước 4 (Step 4)

Áp dụng chính sách PBR cho giao diện “Ingress” mà ta muốn thực thi chính sách định tuyến này. Giao diện này là giao diện “inside” (Gig0 / 0) của mạng nội bộ.

interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
policy-route route-map PBR <– áp dụng chính sách PBR cho giao diện này

Bước 5 (Step 5)

Chúng ta cần cấu hình NAT và cũng như cấu hình các tuyến đường mặc định thích hợp.

nat (inside,ISP01) 1 source dynamic any interface
nat (inside,ISP02) 2 source dynamic any interface

Các quy tắc NAT ở trên là NAT động (Port Address Translation-PAT) bằng cách sử dụng giao diện gửi đi tương ứng của ASA cho lưu lượng đi từ “inside” đến “ISP01” và cả “inside” đến “ISP02”.

route ISP01 0.0.0.0 0.0.0.0 103.255.180.1 50 <– tạo default route với Administrative Distance 50
route ISP02 0.0.0.0 0.0.0.0 221.135.1.1 <– tạo default route với AD là 1

Các tuyến đường mặc định trên sẽ gửi lưu lượng truy cập bình thường qua ISP02 (có số AD thấp hơn là 1 so với 50 của tuyến đường mặc định đầu tiên). Tuy nhiên, lưu lượng phù hợp với chính sách PBR (cổng 80, 443) sẽ đi qua ISP01.

Lệnh xác minh (Verification)

Bây giờ chúng ta hãy xem một số lệnh xác minh cho cấu hình mà chúng ta vừa hoàn thành:

- Lệnh show route-map hiển thị bản tóm tắt về bản đồ tuyến đường (ACL nào sẽ khớp và chính sách cho traffic “next-hop IP” này là gì).

- Lệnh packet-tracer sẽ mô phỏng kết nối HTTPs đi qua ISP01.

- Lệnh show run : in nat

- Lệnh show run : in route

Trong phần sau chúng ta sẽ tìm hiểu và cách cấu hình Định tuyến dựa trên chính sách theo mạng nguồn.

 

Cấu hình Policy Based Routing(PBR) với Firewall Cisco ASA (tiếp theo)

Ở trên chúng ta đã tìm hiểu về định tuyến dựa trên chính sách theo giao thức đích (Policy Based Routing According to the Destination Protocol).
Trong phần này chúng ta sẽ tìm hiểu và cách cấu hình định tuyến dựa trên chính sách theo mạng nguồn.

2) Định tuyến dựa trên chính sách theo mạng nguồn (Policy Based Routing According to Source Networks)

Ta có sơ đồ mạng như bên dưới:

​

Định tuyến Dựa trên Chính sách sẽ được cấu hình để xử lý các mạng nguồn LAN1 và LAN2. Yêu cầu là định tuyến LAN1 qua ISP1 và LAN2 qua ISP2.

Cấu hình (Configuration)

Bước 1 (Step 1)

Đầu tiên hãy cấu hình các giao diện:

interface GigabitEthernet0/0
nameif LAN1
security-level 100
ip address 192.168.1.1 255.255.255.0

interface GigabitEthernet0/1
nameif LAN2
security-level 100
ip address 192.168.2.1 255.255.255.0

interface GigabitEthernet0/2
nameif ISP1
security-level 0
ip address 50.50.50.1 255.255.255.252

interface GigabitEthernet0/3
nameif ISP2
security-level 0
ip address 55.55.55.1 255.255.255.252

Bước 2 (Step 2)

Tạo Danh sách kiểm soát truy cập (ACL) phù hợp với lưu lượng muốn được xử lý bởi chính sách PBR.

access-list PBR_ACL1 extended permit ip 192.168.1.0 255.255.255.0 any <– khớp với LAN1
access-list PBR_ACL2 extended permit ip 192.168.2.0 255.255.255.0 any <– khớp với LAN2

Hai ACL ở trên khớp với lưu lượng truy cập từ LAN1 và LAN2 đi ra bất kỳ điểm đến nào.

Bước 3 (Step 3)

Cấu hình bản đồ tuyến đường(route-map) phù hợp với lưu lượng trong ACL được tạo ở trên và sau đó áp dụng chính sách định tuyến cho các luồng traffic.

route-map PBR permit 2 <– tạo route-map và đặt tên “PBR”
match ip address PBR_ACL1 <– khớp với lưu lượng của LAN1 được xác định trong ACL1 được tạo ở trên
set ip next-hop 50.50.50.2 <– thiết lập next hop của lưu lượng LAN1 là ISP1

route-map PBR permit 3 <– tạo một route-map khác
match ip address PBR_ACL2 <– khớp với lưu lượng của LAN2 được xác định trong ACL2 được tạo ở trên
set ip next-hop 55.55.55.2 <– thiết lập next hop của lưu lượng LAN2 là ISP2

Bước 4 (Step 4)

Áp dụng chính sách PBR cho giao diện “Ingress” muốn thực thi chính sách định tuyến này. Trong trường hợp này, sẽ áp dụng cùng một chính sách cho cả hai mạng nội bộ (LAN1, LAN2).

interface GigabitEthernet0/0
nameif LAN1
security-level 100
ip address 192.168.1.1 255.255.255.0
policy-route route-map PBR <– áp dụng chính sách PBR cho giao diện này

interface GigabitEthernet0/1
nameif LAN2
security-level 100
ip address 192.168.2.1 255.255.255.0
policy-route route-map PBR <– áp dụng chính sách PBR tương tự cho giao diện này

Bước 5 (Step 5)

Cấu hình NAT dịch các mạng IP nội bộ riêng (private) thành địa chỉ IP công cộng (public) để truy cập Internet.

nat (LAN1,ISP1) 1 source dynamic any interface
nat (LAN2,ISP2) 2 source dynamic any interface

Cấu hình một tuyến mặc định nếu bạn muốn hướng tới ISP chính của mình như được hiển thị bên dưới (tùy chọn).

route ISP1 0.0.0.0 0.0.0.0 50.50.50.2

Bạn có thể chạy một số lệnh xác minh và theo dõi gói tương tự như kịch bản 1 để gỡ lỗi hoặc khắc phục bất kỳ sự cố nào có thể xảy ra.

Tóm lại: Trong bài viết này, đã định cấu hình hai trường hợp sử dụng thực tế phổ biến của Định tuyến dựa trên chính sách(PBR) trên tường lửa Firewall Cisco ASA. Kịch bản 1: tập trung vào PBR dựa trên giao thức đích và kịch bản 2 sử dụng PBR dựa trên địa chỉ IP nguồn.

Chúc các bạn thành công!