Cấu hình redundant interface trên Firewall Cisco ASA

Thảo luận trong 'Firewall Cisco' bắt đầu bởi hungnv, 8/11/17.

  1. hungnv

    hungnv New Member

    - Mặc định thì các interface vật lý trên ASA hoạt động độc lập với nhau. Do đó khi kết nối vật lý giữa ASA và 1 thiết bị khác bị đứt thì hệ thống sẽ ngưng hoạt động. Chính vì vậy chúng ta cần cấu hình Redundant interface để tăng khả năng dự phòng các đường kết nối quan trọng bằng cách gom nhiều interface vật lý thành 1 interface ảo.
    - Khi 1 interface trong group bị đứt lập tức interface còn lại sẽ lên thay thế giúp hệ thống mạng hoạt động xuyên suốt.
    - Một số lưu ý khi cấu hình Redundant Interface trên ASA
    • Mặc định chỉ có 1 interface được ACTIVE trong gourp redundant interface
    • Các interface tham gia vào 1 group redundant phải cùng loại với nhau (Ví dụ :10/100/1000 BASE-TX)
    • Khi ban đã đưa các interface vật lý vào 1 group redundant interface thì bạn chỉ việc cấu hình trên interface redundant này như: nameif, security-level, IP... và không được cấu hình trên các interface vật lý tham gia vào group redundant interface.
    • Ban có thể add tối đa 8 interface vật lý trên ASA vào 1 group redundant
    • Mặc định interface đầu tiên được add vào group sẽ là ACTIVE, và các interface được add vào group sau sẽ là Passive
    1. Mô hình và yêu cầu lab
    - Để triển khai mô hình bài lab Configure redundant interface Cisco ASA chúng ta sẽ sử dụng 1 Firewall Cisco kết nói với một Switch layer 3 Cisco thông qua 2 physical interface.
    upload_2017-11-8_11-26-41.jpeg
    - Yêu cầu
    - Các máy trong mạng LAN có thể truy cập internet
    - Khi 1 interface trên ASA ngừng hoạt động thì PC trong VLAN vẫn truy cập internet.

    2. Cấu hình ASA
    - Cấu hình interface outside và route outside để ra internet

    ASA(config)# int e0/0
    ASA(config-if)# nameif outside

    Note: Security level for "outside" set to 0 by default.

    ASA(config-if)# ip address 192.168.80.131 255.255.255.0
    ASA(config-if)# no shut
    ASA(config-if)# int e0/1
    ASA(config-if)# no shut
    ASA(config-if)# int e0/2
    ASA(config-if)# no shut
    ASA(config-if)# exit
    ASA(config)# fixup protocol icmp
    ASA(config)# route outside 0 0 192.168.80.2

    - Kiểm tra ASA ping ra internet thành công

    ASA(config)# ping 8.8.8.8
    Type escape sequence to abort.
    Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
    !!!!!
    Success rate is 100 percent (5/5), round-trip min/avg/max = 120/160/210 ms

    Cấu hình Redundant interface trên ASA

    - Tạo interface redundant, bạn có thể add tối đa 8 member và tối thiểu là 1. Ở đây mình sẽ add 2 interface vật lý làm redundant interface

    ASA(config)# interface redundant 2

    - Tiến hành add các interface vật lý vào group

    ASA(config-if)# member-interface e0/1
    ASA(config-if)# member-interface e0/2

    Cấu hình interface redundant

    ASA(config)# interface redundant2.10
    ASA(config-if)# vlan 10
    ASA(config-if)# nameif inside10
    ASA(config-if)# security-level 100
    ASA(config-if)# ip address 172.16.10.254 255.255.255.0

    - Cấu hình NAT trên ASA để VLAN 10 ra internet, cấu hình dynamic NAT để các VLAN trong inside ra internet

    ASA(config)# object network NAT
    ASA(config-network-object)# subnet 172.16.10.0 255.255.255.0
    ASA(config-network-object)# nat (inside10,outsdie) dynamic interface

    3. Cấu hình Switch
    - Cấu hình các interface f0/3-f0/4 access VLan 10 và các port f0/1-f0/2 làm port trunk

    Tạo VLAN 10

    SW-TGM#vlan database
    SW-TGM(vlan)#vlan 10

    Cấu hình các interface f0/3-f0/4 thuộc VLAN 10

    SW-TGM(config)#interface range f0/3 - 4
    SW-TGM(config-if-range)#switchport mode access
    SW-TGM(config-if-range)#switchport access vlan 10
    SW-TGM(config-if-range)#no shutdown
    SW-TGM(config-if-range)#exit

    Cấu hình các interface f0/1-f0/2 làm port trunk

    SW-TGM(config)#interface range f0/1 - 2
    SW-TGM(config-if-range)#switchport mode trunk
    SW-TGM(config-if-range)#switchport trunk encapsulation dot1q

    4. Kiểm tra lại cấu hình
    - Trên ASA : interface e0/1 đang là interface ACTIVE và interface e0/2 đang ở chế độ Passive.
    - Chúng ta có thể thay đổi e0/2 làm ACTIVE bằng lệnh sau

    ASA(config)# redundant-interface redundant 2 active-member e0/2

    - Kiểm tra kết quả trên PC: đặt ip cho PC và ping tới redundant interface và ping ra internet
    upload_2017-11-8_11-28-3.jpeg

    Chúc các bạn thực hiện thành công!

    Bài viết liên quan:

    - Giới thiệu Failover trên Firewall ASA
    - Cấu hình Failover Active-Standby với Firewall Cisco ASA
     
    hungnv, 8/11/17
    #1

trang này