Bài Lab hôm trước mình đã hướng dẫn các bạn cấu hình Cisco ASA 5506-x cơ bản (xem thêm tại [Cisco ASA] Lab 1: Cấu hình Cisco ASA 5506-X cơ bản), bài hôm nay để tiếp nối chuỗi series mình sẽ hướng dẫn cấu hình Cisco ASA 5505-X với mô hình phức tạp hơn.
Tình huống
Mạng nội bộ của một công ty kết nối với ISP qua router R1, R1 được quản lý bởi ISP. R2 là router Internet. Tường lửa Cisco ASA là thiết bị biên có nhiệm vụ bảo vệ mạng nội bộ (VLAN1) và vùng DMZ (VLAN 3), ngoài ra nó còn đóng vai trò là DHCP server và hỗ trợ NAT. ISP cấp dải public IP 209.165.200.224/29 phục vụ cho NAT trên ASA.
Hãy cấu hình Cisco ASA trong tình huống trên.
Kết quả đạt được
- Kiểm tra thông tin tường lửa: phiên bản, RAM, license, số lượng cổng kết nối, …
- Cấu hình hostname, domain name.
- Cấu hình NAT cho vùng inside, NAT cho DMZ, cho phép các host bên ngoài truy cập được vào web server.
- Cấu hình DHCP, AAA, SSH trên ASA. Tạo cặp khóa RSA, cho phép kết nối SSH từ mạng nội bộ và từ host quản trị ở mạng bên ngoài 172.16.3.3.
- Cấu hình ACL.
Mô hình
Các bạn tải file Cisco Packet Tracer pkt ở cuối bài viết nhé.
Hướng dẫn thực hành Cấu hình Cisco ASA 5505-X
Đầu tiên ta cấu hình hostname, domain name:
ciscoasa(config)#hostname ASA
ASA(config)#domain-name sinhviencntt.net
Cấu hình các cổng inside, outside.
ciscoasa#conf t
ciscoasa(config)#hostname ASA
ASA(config)#domain-name sinhviencntt.net
ASA(config)#int vlan 1
ASA(config-if)#nameif inside
ASA(config-if)#ip address 192.168.1.1 255.255.255.0
ASA(config-if)#security-level 100
ASA(config-if)#int vlan 2
ASA(config-if)#nameif outside
ASA(config-if)#ip address 209.165.200.226 255.255.255.248
ASA(config-if)#security-level 0
Ta có thể ping từ PC-B đến ASA:
Cấu hình default route trên ASA ở cổng outside để cho phép ASA tiếp cận mạng bên ngoài:
ASA(config)#route outside 0.0.0.0 0.0.0.0 209.165.200.225
Kiểm tra kết nối từ ASA đến router R1:
Tạo network object để cấu hình NAT:
ASA(config)#object network inside-net
ASA(config-network-object)#subnet 192.168.1.0 255.255.255.0
ASA(config-network-object)#nat (inside,outside) dynamic interface
Lúc này từ PC-B vẫn chưa ping được tới router R1 vì bị firewall chặn.
Thiết lập class-map, policy-map, service-policy để cho phép ping:
ASA(config)#class-map inspection_default
ASA(config-cmap)#match default-inspection-traffic
ASA(config-cmap)#exit
ASA(config)#policy-map global_policy
ASA(config-pmap)#class inspection_default
ASA(config-pmap-c)#inspect icmp
ASA(config-pmap-c)#exit
ASA(config)#service-policy global_policy global
Lúc này từ PC-B ping tới R1 thành công.
Cấu hình DHCP với dải IP là 192.168.1.5 – 192.168.1.36, DNS server có IP là 209.165.201.2. Thiết lập lên interface inside.
ASA(config)#dhcpd address 192.168.1.5-192.168.1.36 inside
ASA(config)#dhcpd dns 209.165.201.2
ASA(config)#dhcpd enable inside
Kiểm tra trên PC-B xem đã lấy được địa chỉ IP hay chưa:
Cấu hình AAA. Đầu tiên tạo username và password là admin/cisco. Sau đó cấu hình AAA cho kết nối SSH:
ASA(config)#username admin password cisco
ASA(config)#aaa authentication ssh console local
Tiếp theo cần cấu hình truy cập từ xa đến ASA. ASA có thể được cấu hình để cho phép kết nối từ một host cụ thể hoặc một dải host trong mạng inside hoặc outside. Ở đây ta cấu hình cho mạng outside có thể giao tiếp với ASA.
Đầu tiên cần tạo cặp khóa RSA:
ASA(config)#crypto key generate rsa modulus 1024
Cấu hình ASA cho phép kết nối SSH từ bất kì host nào của mạng nội bộ và cho phép host quản trị từ xa 172.16.3.3.
ASA(config)#ssh 192.168.1.0 255.255.255.0 inside
ASA(config)#ssh 172.16.3.3 255.255.255.255 outside
Từ PC-C kết nối SSH đến ASA thông qua địa chỉ IP NAT đã cấu hình ở trên.
Cấu hình NAT. Từ R1 trên cổng G0/0/0 và ASA trên cổng E0/0 đã sử dụng IP 209.165.200.225 cho R1 và 226 cho phía ASA. Do đó sử dụng public IP là 209.168.200.227 để NAT.
Cấu hình VLAN 3 cho vùng DMZ. Trong vùng DMZ có chứa web server. Đặt mức độ bảo mật là 70. Vì server không cần giao tiếp với vùng inside nên ta có thể tắt forwarding qua VLAN 1.
ASA(config)#int vlan 3
ASA(config-if)#ip address 192.168.2.1 255.255.255.0
ASA(config-if)#no forward int vlan 1
ASA(config-if)#nameif dmz
INFO: Security level for "dmz" set to 0 by default.
ASA(config-if)#security-level 70
Thiết lập interface E0/2 tham gia vào VLAN 3.
ASA(config)#int e0/2
ASA(config-if)#switchport access vlan 3
Tạo network object để cấu hình NAT cho vùng DMZ:
ASA(config)#object network dmz-server
ASA(config-network-object)#host 192.168.2.3
ASA(config-network-object)#nat (dmz,outside) static 209.165.200.227
ASA(config-network-object)#exit
Cấu hình ACL. Tạo một access list tên là OUTSIDE-DMZ để cho phép giao thức TCP trên port 80 từ bất kì host nào bên ngoài truy cập vào server trong vùng DMZ.
ASA(config)#access-list OUTSIDE-DMZ permit icmp any host 192.168.2.3
ASA(config)#access-list OUTSIDE-DMZ permit tcp any host 192.168.2.3 eq 80
ASA(config)#access-group OUTSIDE-DMZ in interface outside