Cấu hình định tuyến dựa trên chính sách theo giao thức đích (Destination Protocol) trên Cisco ASA

Mô hình tường lửa Firewall Cisco được kết nối với 2 ISP như thể hiện trên sơ đồ bên dưới:

Yêu cầu là định tuyến lưu lượng truy cập Web (cổng HTTP 80 và cổng HTTP 443) qua ISP01 và tất cả các lưu lượng Internet khác qua ISP02.

Cấu hình (Configuration)

Bước 1 (Step 1)

Đầu tiên hãy cấu hình các giao diện:

interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet0/1
nameif ISP01
security-level 0
ip address 103.255.180.2 255.255.255.252

interface GigabitEthernet0/2
nameif ISP02
security-level 0
ip address 221.135.1.2 255.255.255.252

Bước 2 (Step 2)

Tạo Danh sách kiểm soát truy cập (ACL) phù hợp với lưu lượng mà chúng ta muốn được xử lý bởi chính sách PBR.

object-group services WEB-ports tcp <– tạo một nhóm đối tượng cho các ports 80,443
port-object eq 443
port-object eq 80

access-list PBR_ACL extended permit tcp 192.168.10.0 255.255.255.0 any object-group WEB-ports

ACL ở trên khớp với lưu lượng truy cập từ mạng bên trong (192.168.10.0/24) có cổng đích là 80 và 443.

Bước 3 (Step 3)

Cũng giống như PBR trên bộ định tuyến IOS, chúng ta cần tạo một bản đồ tuyến đường(route-map) phù hợp với lưu lượng trong ACL được tạo ở trên và sau đó áp dụng chính sách định tuyến (routing policy) cho luồng lưu lượng này.

Trong trường hợp này, chúng ta sẽ áp dụng IP next-hop cho luồng lưu lượng này để các gói sẽ được định tuyến qua ISP01 (103.255.180.1).

route-map PBR permit 2 <– tạo bản đồ tuyến đường(route-map) và đặt tên cho nó là “PBR”
match ip address PBR_ACL <– khớp với lưu lượng được xác định trong ACL được tạo ở trên
set ip next-hop 103.255.180.1 <– thiết lập next hop của lưu lượng là ISP01

Bước 4 (Step 4)

Áp dụng chính sách PBR cho giao diện “Ingress” mà ta muốn thực thi chính sách định tuyến này. Giao diện này là giao diện “inside” (Gig0 / 0) của mạng nội bộ.

interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 192.168.10.1 255.255.255.0
policy-route route-map PBR <– áp dụng chính sách PBR cho giao diện này

Bước 5 (Step 5)

Chúng ta cần cấu hình NAT và cũng như cấu hình các tuyến đường mặc định thích hợp.

nat (inside,ISP01) 1 source dynamic any interface
nat (inside,ISP02) 2 source dynamic any interface

Các quy tắc NAT ở trên là NAT động (Port Address Translation-PAT) bằng cách sử dụng giao diện gửi đi tương ứng của ASA cho lưu lượng đi từ “inside” đến “ISP01” và cả “inside” đến “ISP02”.

route ISP01 0.0.0.0 0.0.0.0 103.255.180.1 50 <– tạo default route với Administrative Distance 50
route ISP02 0.0.0.0 0.0.0.0 221.135.1.1 <– tạo default route với AD là 1

Các tuyến đường mặc định trên sẽ gửi lưu lượng truy cập bình thường qua ISP02 (có số AD thấp hơn là 1 so với 50 của tuyến đường mặc định đầu tiên). Tuy nhiên, lưu lượng phù hợp với chính sách PBR (cổng 80, 443) sẽ đi qua ISP01.

Lệnh xác minh (Verification)

Bây giờ chúng ta hãy xem một số lệnh xác minh cho cấu hình mà chúng ta vừa hoàn thành:

- Lệnh show route-map hiển thị bản tóm tắt về bản đồ tuyến đường (ACL nào sẽ khớp và chính sách cho traffic “next-hop IP” này là gì).

- Lệnh packet-tracer sẽ mô phỏng kết nối HTTPs đi qua ISP01.

- Lệnh show run : in nat

- Lệnh show run : in route

Chi tiết xem thêm: Cấu hình định tuyến dựa trên chính sách PBR (Policy Based Routing) với Firewall Cisco