Cấu hình chia tải WAN trên ASA firewall (Policy Based Routing)

by HaiNguyen -IT | 29/07/2022 | Lượt xem: 777

Bài lab mô phỏng tình huống phân chia tải trên ASA, với các PC thuộc vlan 100 thì đi ra ngoài qua router R1. PC thuộc vlan 200 thì đi qua Router R2.

Sau khi cấu hình xong, ta đứng trên PC1 trace ra 8.8.8.8 để thấy nó qua R1 và đứng trên PC2 trace ra 8.8.8.8 để thấy nó qua R2.

Khi đứt 1 trong 2 đường thì chuyển qua đường còn lại.

Tải bài lab tại đây

Task 1: Cấu hình IP cho các thiết bị (admin đã làm, bạn show ra để xem)

Lưu ý: cổng Gi0/2 của ASA cần đặt sub-interface vlan 100 và 200 theo mẫu lệnh:

interface GigabitEthernet0/2.100
 vlan 100
 nameif inside_vlan100
 security-level 100
 ip address 192.168.1.1 255.255.255.0 

Kết quả cần đạt: Các device ping thông IP đấu nối đầu xa (trừ switch là ko có IP)

 

Task 2: Cấu static route trên R1, R2 thông đến loopback 8.8.8.8 của R7 qua IP đấu nối.

 

Task 3: Cấu hình 02 static route trên R7 đến dải PC (192.168.0.0/16) thông qua IP đấu nối R1 và R2

Trên R1 và R2, cấu hình static route đến dải PC ở trên qua IP đấu nối với ASA.

Task 4: Cấu hình 02 static route trên ASA đi internet thông qua R1 và R2

route outside_via_R1 0.0.0.0 0.0.0.0 10.1.3.1 ##nhánh chính đối vs các dải khác vlan 100,200

route outside_via_R2 0.0.0.0 0.0.0.0 10.2.3.2 10 ##nhánh dự phòng đối vs các dải khác vlan 100,200

Task 5: Cấu hình trên ASA sao cho thấy PC1 đi internet thì đẩy gói tin lên R1, còn thấy PC2 thì đẩy gói tin lên R2. Dùng mẫu lệnh sau:

access-list MY_ACL_VLAN100 extended permit ip 192.168.1.0 255.255.255.0 any

access-list MY_ACL_VLAN200 extended permit ip 192.168.2.0 255.255.255.0 any

 

route-map PBR permit 2  

match ip address MY_ACL_VLAN100

set ip next-hop 10.1.3.1

 

route-map PBR permit 3 

match ip address MY_ACL_VLAN200

set ip next-hop 10.2.3.2

 

interface GigabitEthernet0/2.100 ###Apply vào các interface 

policy-route route-map PBR

interface GigabitEthernet0/2.200 ###Apply vào các interface 

policy-route route-map PBR

Check lại: ping từ VPC 1,2 sang 8.8.8.8

Trên ASA show access-list, show route-map, show policy-route

Task 6: (Nâng cao, level CCNP) Cấu hình tracking pbr trên ASA sao cho đường wan này down thì traffic của 2 vlan chạy hết sang đường kia
 

sla monitor 1

 type echo protocol ipIcmpEcho 10.1.3.1 interface outside_via_R1 ##theo dõi ping sang đầu R1

sla monitor schedule 1 life forever start-time now

exit

track 10 rtr 1 reachability 

exit

route-map PBR permit 2  

set ip next-hop verify-availability 10.1.3.1 1 track 10

set ip next-hop 10.1.3.1 

Làm Tương tự cho nhánh nối sang R2

 

Bài viết cùng danh mục
Chia sẻ
Danh mục bài viết
Bài viết nổi bật
Bài viết mới nhất