Mô hình kết hợp Bộ định tuyến Router Cisco với Firewall Cisco ASA để truy cập Internet

Thảo luận trong 'Firewall Cisco' bắt đầu bởi khanhha1141, 31/3/21.

  1. khanhha1141

    khanhha1141 Member

    Một mô hình mạng cổ điển đối với nhiều doanh nghiệp là có bộ định tuyến của Cisco để truy cập internet và tường lửa Cisco ASA phía sau bộ định tuyến này để bảo vệ mạng LAN nội bộ hoặc để xây dựng mạng DMZ. Mô hình này được thể hiện trong hình bên dưới:

    [​IMG]

    Giả sử rằng doanh nghiệp ở đây được chỉ định dải địa chỉ IP public là 50.50.50.0/27 (đó là mạng con 32 địa chỉ). Các địa chỉ có thể sử dụng trong mạng con này nằm trong khoảng từ 50.50.50.1 đến 50.50.50.30. Trong ví dụ này, chúng ta gán 50.50.50.1 cho giao diện bên ngoài của bộ định tuyến Cisco và 50.50.50.2 là bộ định tuyến cổng ISP. Ngoài ra, chúng ta cần sử dụng địa chỉ 50.50.50.3 để truy cập máy chủ web DMZ có địa chỉ Private là 10.10.10.1.

    Giữa Bộ định tuyến Cisco và giao diện bên ngoài của Cisco ASA, chúng ta có một mạng con riêng 10.0.0.0/24. Ngoài ra, mạng con LAN nội bộ bên trong là 192.168.1.0/24. Địa chỉ IP bên trong của ASA là 192.168.1.1.

    Lưu lượng traffic:

    Yêu cầu phải đáp ứng được lưu lượng truy cập sau:

    1) Tất cả các máy chủ LAN nội bộ (192.168.1.0) phải có thể truy cập Internet (giao tiếp ra ngoài). Không cho phép truy cập từ Internet vào mạng LAN nội bộ.

    2) Ngoài ra, cần cho phép truy cập từ Internet tới Máy chủ Web DMZ (giao tiếp inbound).

    Thực hiện:

    Có một số cách bạn có thể làm theo để đạt được chức năng trên. Trong bài viết này, chúng ta sẽ thực hiện NAT trên Bộ định tuyến Cisco biên để dịch các địa chỉ Private nội bộ sang các địa chỉ Public do ISP chỉ định. Chúng ta cũng có thể thực hiện NAT bổ sung trên tường lửa ASA, tuy nhiên, điều này không được khuyến khích.

    Cách cấu hình một kịch bản như vậy như sau:

    1) Đối với giao tiếp ra ngoài (Mạng LAN nội bộ hướng tới Internet), không dịch mạng 192.168.1.0/24 trên Cisco ASA. Thay vào đó sẽ tạo một ánh xạ tĩnh 192.168.1.0 với chính nó (sẽ thấy phần này bên dưới) và định cấu hình NAT overload trên Bộ định tuyến Cisco cho mạng 192.168.1.0/24.

    2) Đối với giao tiếp đến (Internet hướng tới Máy chủ Web), hãy tạo lại ánh xạ tĩnh trên ASA cho địa chỉ 10.10.10.1 cho chính nó và thực hiện NAT tĩnh trên Bộ định tuyến Cisco để ánh xạ 10.10.10.1 đến 50.50.50.3

    Cấu hình:

    Dưới đây, ta sẽ cấu hình cho cả Bộ định tuyến Cisco và Firewall Cisco ASA để đáp ứng yêu cầu đề ra.

    Cấu hình trên Firewall Cisco ASA:

    ciscoasa-tgm(config)# interface GigabitEthernet0/0
    ciscoasa-tgm(config-if)# nameif outside
    ciscoasa-tgm(config-if)# ip address 10.0.0.2 255.255.255.0
    ciscoasa-tgm(config-if)# security-level 0
    ciscoasa-tgm(config-if)# no shutdown

    ciscoasa-tgm(config)# interface GigabitEthernet0/1
    ciscoasa-tgm(config-if)# nameif inside
    ciscoasa-tgm(config-if)# ip address 192.168.1.1 255.255.255.0
    ciscoasa-tgm(config-if)# security-level 100
    ciscoasa-tgm(config-if)# no shutdown

    ciscoasa-tgm(config)# interface GigabitEthernet0/3
    ciscoasa-tgm(config-if)# nameif DMZ
    ciscoasa-tgm(config-if)# ip address 10.10.10.2 255.255.255.0
    ciscoasa-tgm(config-if)# security-level 50
    ciscoasa-tgm(config-if)# no shutdown

    ! Bây giờ tạo một ánh xạ NAT tĩnh của 192.168.1.0 với chính nó

    ciscoasa-tgm(config)# static (inside , outside) 192.168.1.0 192.168.1.0 netmask 255.255.255.0

    ! Tiếp tục tạo một ánh xạ NAT tĩnh của Máy chủ Web 10.10.10.1 với chính nó

    ciscoasa-tgm(config)# static (DMZ , outside) 10.10.10.1 10.10.10.1 netmask 255.255.255.255

    Chú ý: Lệnh NAT cho Cisco ASA phiên bản 8.3 trở lên:

    object network web_server_static
    host 10.10.10.1
    nat (DMZ,outside) static 10.10.10.1

    object network inside_mapped
    subnet 192.168.1.0 255.255.255.0

    object network internal-lan
    subnet 192.168.1.0 255.255.255.0
    nat (inside,outside) static inside_mapped

    ! Tạo danh sách truy cập để chỉ cho phép lưu lượng truy cập vào máy chủ Web

    ciscoasa-tgm(config)# access-list OUTSIDE-IN extended permit tcp any host 10.10.10.1 eq 80
    ciscoasa-tgm(config)# access-group OUTSIDE-IN in interface outside

    ! Tạo default route trên ASA

    ciscoasa-tgm(config)# route outside 0.0.0.0 0.0.0.0 10.0.0.1

    Cấu hình trên Cisco Router:

    interface ethernet 0
    ip address 50.50.50.1 255.255.255.224
    ip nat outside
    !
    interface ethernet 1
    ip address 10.0.0.1 255.255.255.0
    ip nat inside

    ! Giả sử bộ định tuyến sử dụng địa chỉ 50.50.50.4 cho tất cả các giao tiếp ra ngoài

    ip nat pool IP-POOL 50.50.50.4 50.50.50.4 netmask 255.255.255.255
    ip nat inside source list 1 pool IP-POOL overload
    access-list 1 permit 192.168.1.0 0.0.0.255

    !Cấu hình Static NAT để map 10.10.10.1 to 50.50.50.3

    ip nat inside source static 10.10.10.1 50.50.50.3

    !Cấu hình default route và Static route

    ip route 0.0.0.0 0.0.0.0 50.50.50.2
    ip route 192.168.1.0 255.255.255.0 10.0.0.2
    ip route 10.10.10.0 255.255.255.0 10.0.0.2

    Lưu ý: Hiện nay các ISP đã cung cấp kết nối chuẩn Ethernet tới Khách Hàng cuối nên trong mô hình thực tế đơn giản với các Doanh Nghiệp vừa và nhỏ có thể dùng Firewall Cisco kết nối trực tiếp tới ISP mà không cần có thêm bộ định tuyến.

    Chúc các bạn thành công!
     
    khanhha1141, 31/3/21
    #1
  2. itcantho

    itcantho New Member

    Mô hình này vẫn còn dùng nhiều, bài viết rất hay và hữu ích. Cám ơn bạn.
     
    itcantho, 8/6/21
    #2

trang này