Cách cấu hình định tuyến tĩnh (Static Routing) trên Cisco ASA Firewall

Mặc dù thiết bị Cisco ASA không hoạt động như một bộ định tuyến trong mạng, nhưng nó vẫn có một bảng định tuyến và điều cần thiết là phải định cấu hình định tuyến tĩnh hoặc động để thiết bị biết nơi gửi gói tin.

Khi một gói đến giao diện mạng trên tường lửa ASA, gói đó sẽ trải qua một số kiểm soát bảo mật, chẳng hạn như lọc ACL, NAT, deep-packet inspection, v.v.

Hỗ trợ định tuyến (Routing) trên ASA

Sau khi gói vượt qua tất cả các kiểm soát của tường lửa, thiết bị bảo mật cần gửi gói đến địa chỉ đích của nó. Do đó, nó kiểm tra bảng định tuyến của nó để xác định giao diện gửi đi nơi gói tin sẽ được gửi đi.

Tường lửa Firewall Cisco ASA hỗ trợ cả định tuyến tĩnh và động. Đối với định tuyến động, ASA hỗ trợ RIPv2, EIGRP và OSPF.

Chúng tôi khuyên bạn không nên sử dụng định tuyến động và chỉ sử dụng các tuyến tĩnh. Lý do là một trong những mục đích của tường lửa là để ẩn địa chỉ và cấu trúc liên kết mạng tin cậy nội bộ của bạn. Bằng cách định cấu hình hỗ trợ định tuyến động, bạn có thể quảng cáo các tuyến đường đến các mạng không đáng tin cậy, do đó khiến mạng của bạn gặp phải các mối đe dọa.

Cấu hình định tuyến tĩnh (Static Route) trên ASA của Cisco

​

Kịch bản trong sơ đồ trên sẽ giúp chúng ta hiểu cách cấu hình định tuyến tĩnh.

ASA kết nối với internet ở bên ngoài và cũng có khu DMZ và khu nội bộ. Cổng mặc định hướng tới ISP là 200.1.1.1. Mạng DMZ là 10.0.0.0/24 và mạng LAN1 nội bộ là 192.168.1.0/24.

LAN1 được kết nối trực tiếp với giao diện Inside của tường lửa. Ngoài ra, có một mạng nội bộ khác, đó là LAN2, với mạng 192.168.2.0/24. LAN2 không được kết nối trực tiếp với tường lửa. Thay vào đó, có một bộ định tuyến nội bộ với địa chỉ 192.168.1.1 để chúng ta có thể truy cập LAN2.

Do đó, để ASA đến được mạng LAN2, chúng ta cần cấu hình một tuyến tĩnh để báo cho tường lửa biết rằng mạng 192.168.2.0/24 có thể được truy cập thông qua 192.168.1.1.

Vì vậy, chúng ta cần cấu hình hai tuyến tĩnh. Một tuyến tĩnh mặc định để truy cập Internet và một tuyến tĩnh nội bộ để đến mạng LAN2. Đối với các mạng được kết nối trực tiếp (DMZ và LAN1), chúng ta không cần định cấu hình một tuyến tĩnh vì tường lửa đã biết về các mạng này khi chúng được kết nối trực tiếp với các giao diện của nó.

Cấu hình tuyến đường tĩnh (Static Route Configuration) :

Định dạng của lệnh định tuyến tĩnh (Static route) là:

ASA(config)# route [interface name] [destination address] [netmask] [gateway]

! Đầu tiên định cấu hình một tuyến tĩnh mặc định hướng tới cổng mặc định
ASA(config)# route outside 0.0.0.0 0.0.0.0 200.1.1.1

! Sau đó, định cấu hình một tuyến tĩnh nội bộ để truy cập mạng LAN2
ASA(config)# route inside 192.168.2.0 255.255.255.0 192.168.1.1

Lệnh xác minh

Bây giờ chúng ta hãy xem cách kiểm tra bảng định tuyến trong thiết bị ASA và xác minh tuyến tĩnh:

ASA#show route
Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP
D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area
N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2
E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP
i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area
* – candidate default, U – per-user static route, o – ODR
P – periodic downloaded static route

Gateway of last resort is 200.1.1.1 to network 0.0.0.0

C 192.168.1.0 255.255.255.0 is directly connected, inside
S 192.168.2.0 255.255.255.0 [1/0] via 192.168.1.1, inside
C 200.1.1.0 255.255.255.0 is directly connected, outside
S* 0.0.0.0/0 [1/0] via 200.1.1.1

Các tuyến được ký hiệu bằng “S” là các tuyến tĩnh và các tuyến được ký hiệu bằng “C” là các tuyến được kết nối trực tiếp.