Bộ định tuyến IOS Router Cisco hỗ trợ cả các tuyến tĩnh(static) và động(dynamic). Trong các mạng nhỏ (2 đến 5 bộ định tuyến), nên cấu hình các tuyến tĩnh, đặc biệt nếu mạng không thay đổi nhiều theo thời gian. Định tuyến động (sử dụng các giao thức định tuyến động như RIP, OSPF, EIGRP) linh hoạt và có khả năng mở rộng hơn nhiều (đối với các mạng lớn hơn) nhưng sẽ có một chút khó khăn để khắc phục trong trường hợp có sự cố. Ngoài ra còn có tùy chọn kết hợp định tuyến tĩnh và động nếu cần, nhưng bạn cần phải xem xét các vấn đề như phân phối lại tuyến (thông thường bạn sẽ cần phân phối lại các tuyến tĩnh vào giao thức động). Trong bài viết này, sẽ minh họa định tuyến tĩnh bằng cách sử dụng kịch bản mạng nhỏ (xem hình bên dưới) và giải thích một số vấn đề khác liên quan đến ICMP Redirects và tường lửa Cisco ASA. Mô tả mạng Theo sơ đồ trên, chúng ta có tường lửa Cisco ASA (ASA1) bảo vệ mạng nội bộ của chúng ta kết nối với Internet. LAN1 là mạng con lớp A (10.1.1.0/24) có các máy tính người dùng được kết nối (đây có thể là mạng LAN trụ sở của Doanh nghiệp). Ngoài ra còn có một Bộ định tuyến (R1) đóng vai trò như một bộ định tuyến WAN để kết nối một văn phòng từ xa qua liên kết WAN. Ở phía bên kia của liên kết WAN, chúng ta có R2 đóng vai trò là bộ định tuyến Hub có hai nan hoa (R3, R4). Ngoài ra còn có hai mạng LAN nữa kết nối với máy tính người dùng (LAN2 kết nối với R3 và LAN3 kết nối với R4). Địa chỉ IP được gán cho mạng như sau: ASA1 Internal IP: 10.1.1.254 R1 IP on LAN1 network: 10.1.1.253 R1 IP on the WAN link: 192.168.1.1 R2 IP on the WAN link: 192.168.1.2 R2 IP connected with R3: 192.168.2.2 R2 IP connected with R4: 192.168.3.2 R3 IP connected with R2: 192.168.2.1 R3 IP on LAN2 network: 10.2.1.254 R4 IP connected with R2: 192.168.3.1 R4 IP on LAN3 network: 10.2.2.254 LAN1 network: 10.1.1.0/24 LAN2 network: 10.2.1.0/24 LAN3 network: 10.2.2.0/24 Yêu cầu về luồng lưu lượng Chúng ta cần có giao tiếp sau giữa các mạng: Các máy tính trong mạng LAN1 cần truy cập Internet thông qua ASA và cũng phải có khả năng giao tiếp với người dùng và máy chủ trên LAN2 và LAN3. Người dùng LAN1 cũng có thể giao tiếp với “mạng con chuyển tuyến” cho mục đích xử lý sự cố và quản lý (“mạng con chuyển tuyến” là mạng điểm-điểm kết nối các bộ định tuyến giữa chúng). Các “mạng con chuyển tuyến” này là 192.168.1.0/30, 192.168.2.0/30, 192.168.3.0/30. Các máy tính LAN2 và LAN3 cần truy cập Internet thông qua ASA và cũng phải có khả năng giao tiếp với mạng LAN1. Cấu hình định tuyến tĩnh (Static Routing) Mục đích của bài viết này là chỉ giải thích định tuyến tĩnh, vì vậy sẽ không đi sâu vào chi tiết cấu hình đầy đủ của tất cả các thiết bị trong mạng nên sẽ chỉ hiển thị các đoạn lệnh cho các tuyến tĩnh. Định dạng chung của lệnh định tuyến tĩnh trên bộ định tuyến Router Cisco là: Router(config)# ip route [destination network] [mask] [gateway address] Lệnh trên cho bộ định tuyến biết thông tin sau: “nếu bạn muốn gửi một gói đến “mạng đích” sau đây, thì hãy gửi gói đó đến “địa chỉ cổng” này. Định dạng của lệnh định tuyến tĩnh trên tường lửa Cisco ASA là: ASA(config)# route [interface name] [destination network] [mask] [gateway] Bây giờ chúng ta hãy xem các lệnh cần thiết cho mỗi bộ định tuyến. Ta sẽ bắt đầu từ dưới lên: Router R3: R3(config)# ip route 0.0.0.0 0.0.0.0 192.168.2.2 Chỉ cần một tuyến đường mặc định trên bộ định tuyến này để gửi TẤT CẢ lưu lượng truy cập đến địa chỉ cổng R2 (192.168.2.2). Router R4: R4(config)# ip route 0.0.0.0 0.0.0.0 192.168.3.2 Tương tự với R3, chúng ta chỉ cần một tuyến đường mặc định trên bộ định tuyến này để gửi TẤT CẢ lưu lượng truy cập đến địa chỉ cổng R2 (192.168.3.2). Router R2: ! Default route R2(config)# ip route 0.0.0.0 0.0.0.0 192.168.1.1 ! Static routes to reach LAN2 and LAN3 R2(config)# ip route 10.2.1.0 255.255.255.0 192.168.2.1 R2(config)# ip route 10.2.2.0 255.255.255.0 192.168.3.1 Có một chút rắc rối. Chúng ta cần cả một tuyến mặc định (để gửi tất cả lưu lượng truy cập lên, bao gồm cả lưu lượng truy cập Internet, hướng tới R1) và chúng ta cũng cần hai tuyến tĩnh cụ thể để đến mạng LAN2 và LAN3. Hai tuyến tĩnh cụ thể (hai dòng cuối) là cần thiết cho các gói trả lời từ LAN2 và LAN3 và cũng cho LAN1 để có thể đến được LAN2 / LAN3. Router R1: ! Default Route towards ASA for Internet Traffic R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.254 ! Static routes to reach LAN2 and LAN3 R1(config)# ip route 10.2.1.0 255.255.255.0 192.168.1.2 R1(config)# ip route 10.2.2.0 255.255.255.0 192.168.1.2 ! Static routes to reach transit point-to-point networks R1(config)# ip route 192.168.2.0 255.255.255.252 192.168.1.2 R1(config)# ip route 192.168.3.0 255.255.255.252 192.168.1.2 Firewall ASA1: ASA1(config)# route outside 0.0.0.0 0.0.0.0 [asa gateway IP] ! Static routes to reach LAN2 and LAN3 ASA1(config)# route inside 10.2.1.0 255.255.255.0 10.1.1.253 ASA1(config)# route inside 10.2.2.0 255.255.255.0 10.1.1.253 ASA sẽ cần một tuyến mặc định hướng tới IP cổng mặc định của nó (do ISP chỉ định), và hai tuyến tĩnh để đến các mạng LAN2 và LAN3 ở xa. Bạn KHÔNG cần một đường dẫn tĩnh cho mạng LAN1 vì nó được kết nối trực tiếp với ASA. Chúc các bạn thành công!
