Bài lab này sẽ không giải thích chi tiết những lý thuyết cơ bản về LAN, IP, định tuyến, … mà sẽ tập trung chủ yếu vào cách cấu hình Cisco ASA 5506-X. Để đọc thêm kiến thức về cấu hình Cisco cơ bản, vui lòng tìm đọc Series CCNA Labs.
File Lab Cisco Packet Tracer các bạn tải ở cuối bài viết nhé.
Kết quả đạt được
- Cấu hình security-level (mức độ bảo mật), nameif của interface trên ASA.
- Cấu hình DHCP server: tạo pool, DNS server, default gateway.
- Cấu hình NAT cơ bản.
- Cấu hình class-map, policy-map, inspect ICMP, HTTP.
Mô hình bài Lab
Hướng dẫn thực hành cấu hình Cisco ASA
Đầu tiên ta cấu hình địa chỉ IP cho Router Internet:
Router>en
Router#conf t
Router(config)#int g0/1
Router(config-if)#ip add 8.8.8.1 255.255.255.0
Router(config-if)#hostname Internet
Internet(config)#int g0/1
Internet(config-if)#ip add 8.8.8.1 255.255.255.0
Internet(config-if)#no shut
Internet(config)#int g0/0
Internet(config-if)#ip add 10.1.1.2 255.255.255.252
Internet(config-if)#no shut
Cấu hình IP, nameif và security level cho tường lửa ASA. nameif là tên của interface còn security-level là mức độ bảo mật (nhỏ nhất là 0, lớn nhất là 100). Interface inside là interface kết nối với mạng nội bộ nên yêu cầu về bảo mật phải rất lớn, do đó ta cấu hình security-level bằng 100.
ASA(config-if)#int g1/2
ASA(config-if)#ip add 192.168.1.1 255.255.255.0
ASA(config-if)#nameif inside
ASA(config-if)#security-level 100
ASA(config-if)#no shut
Ngược lại ở đây interface outside là interface đi ra internet, mà mạng Internet rất không an toàn, do đó mức độ bảo mật bằng 0.
ASA(config)#int g1/1
ASA(config-if)#ip add 10.1.1.1 255.255.255.252
ASA(config-if)#nameif outside
ASA(config-if)#security-level 0
ASA(config-if)#no shut
Kiểm tra bằng lệnh #show int ip brief:
Tiếp theo ta sẽ cấu hình dịch vụ DHCP trên tường lửa ASA:
ASA#conf t
ASA(config)#dhcp address 192.168.1.10-192.168.1.20 inside
ASA(config)#dhcp dns 8.8.8.8
ASA(config)#dhcpd option 3 ip 192.168.1.1
ASA(config)#dhcpd enable inside
Sau khi cấu hình, ở PC-A và PC-B nhận được IP:
Cấu hình default route trên ASA:
ASA(config)#route outside 0.0.0.0 0.0.0.0 10.1.1.2
Cấu hình NAT trên ASA để PC có thể thấy Server. Đầu tiên ta tạo một network object cho mạng 192.168.1.0/24 đặt tên là INSIDE-NAT. Sau đó tiến hành NAT từ inside ra outside.
ASA(config)#object network INSIDE-NET
ASA(config-network-object)#subnet 192.168.1.0 255.255.255.0
ASA(config-network-object)#nat (inside,outside) dynamic interface
ASA(config-network-object)#exit
Tới đây vẫn chưa ping được vì chưa mở rule trên ASA. Mặc định ASA sẽ block ICMP. Cần cấu hình Cisco ASA bằng cách tạo class-map:
ASA(config)#class-map inspection_default
ASA(config-cmap)#match default-inspection-traffic
ASA(config-cmap)#exit
ASA(config)#policy-map global_policy
ASA(config-pmap)#class inspection_default
ASA(config-pmap-c)#inspect icmp
ASA(config-pmap-c)#inspect http
Comments 1