CCNA Cấu hình dự phòng có firewall ASA
Sơ đồ mạng:
Tải bài lab ở đây
YYêu cầu:
- Từ VPC ping thông được ra ngoài 8.8.8.8 (trên router R8)
- Có firewall ASA ngăn cách LAN và bên ngoài ISP
- Một trong hai core switch, hoặc firewall ASA down thì traffic vẫn chạy được
THIẾT KẾ:
- Trước khi cấu hình ta cần xác định gateway của VPC là 2 Core-Switch
- Do có 2 core switch nên ta sẽ chạy giao thức gì để dự phòng, sao cho ở ngoài nhìn vào chỉ thấy 1 IP duy nhất ? => có thể chọn VRRP, HSRP, Stacking, VPC (nếu là nexus), VSS….=> trong bài lab ta chọn VRRP.
-> Còn mặt WAN nên ngoài ta sẽ đấu lên firewall : mỗi switch sẽ đấu lên 2 firewall
- Về phần firewall: do có 2 firewall nên ta chạy giao thức gì để ở ngoài nhìn vào chỉ thấy chung 1 IP thôi ?? => dùng cluster , hãng nào cũng hỗ trợ cluster. => Ở đây ta demo bằng ASA (trên eve-ng, chỉ hỗ trợ mode active-standby)
-> Để chạy được cluster thì đoạn từ ASA nối ra ISP, ta dùng switch_wan để Router-ISP nhìn vào firewall chỉ thấy 1 IP duy nhất.
Bước 1: Cấu hình trên switch access
- Tạo vlan 100
- Cho cổng nối xuống PC vào mode access vlan 100 như mô hình
- Cho tất cả các cổng nối lên switch Core vào mode trunk
Bước 2: Cấu hình trên switch Core
- Bật lệnh “ip routing”, trên IOS 15.7 EVE-NG đã mặc định enable rồi,=>ta vẫn bật cho chắc.
MẶT LAN:
- Tạo vlan 100
- Cho các cổng nối xuống switch_lan vào mode trunk
- Tạo interface vlan 100 , sau đó cấu hình VRRP
|
Core switch 1 |
Core switch 2 |
VRRP |
Interface vlan 100 |
192.168.1.2 |
192.168.1.3 |
192.168.1.10 |
MẶT WAN:
- Trên 2 core sw đặt static route đi ra internet qua IP của ASA (sẽ cấu hình bước bên dưới)
- Core-Sw-01: đi ra ngoài qua IP Gi0/0 của ASA (10.1.200.1)
- Core-Sw-02: đi ra ngoài qua IP Gi0/2 của ASA (10.1.250.1)
- Cho các cổng WAN e0/1,e0/2 của core-sw01 vào vlan 200, mode access
- Và e0/1,e0/2 của core-sw02 vào vlan 250 , cũng mode access. rồi đặt IP cho interface vlan 200, 250 như quy hoạch trên mô hình.
Bước 3: Cấu hình trên ASA
Ta thiết kế ASA04 làm active và ASA03 làm standby. ASA02 sẽ không cần đặt IP gì cả, mọi cấu hình sẽ được đồng bộ từ ASA01 xuống.
- Cấu hình trên ASA04: (ASA03 không cần làm gì, sẽ tự nhận cấu hình sau)
-> Đặt IP và các nameif cho cổng gi0/0 và gi0/2 (không đặt gì cho cổng Gi0/1 giữa 2 asa, chỉ cần no shutdown)
Gi0/0:10.1.200.1 -zone INSIDE
Gi0/2:10.1.250.1 -zone INSIDE1
Gi0/3:200.200.200.1 -zone OUTSIDE
-> Cấu hình failover:
Trên ASA 04:
failover lan unit primary
failover lan interface HA GigabitEthernet0/1
failover interface ip HA 1.1.1.1 255.255.255.252 standby 1.1.1.2 ##Đây là IP nối giữa 2 firewall
failover
Trên ASA03:
failover lan unit secondary
failover lan interface HA GigabitEthernet0/1
failover interface ip HA 1.1.1.1 255.255.255.252 standby 1.1.1.2 ##Giống hệt lệnh này trên ASA01
failover
-> Khai route từ ASA ra internet qua ISP :
route outside 0.0.0.0 0.0.0.0 200.200.200.10
-> Khai route từ ASA vào mạng LAN :
route inside 192.168.1.0 255.255.255.255.0 10.1.200.10 ##route chính
route inside 192.168.1.0 255.255.255.255.0 10.1.250.10 5 ##route dự phòng
-> Cho phép icmp được ping từ trong ra
policy-map global_policy
class inspection_default
inspect icmp
Bước 4: Cấu hình trên Router
-> Đặt IP cho cổng e0/0 200.200.200.10/24
-> Trỏ route về dải LAN qua ASA Gi0/3
-> Tạo loopback0 có IP là 8.8.8.8
Bước 5: Check ping từ VPC ra 8.8.8.8, sau đó down 1 firewall và 1 coreswitch đi , check thấy ping vẫn OK
Tham khảo khóa học CCNA cấp tốc nếu bạn vẫn chưa tự tin khi gặp các bài dạng này.
Bài viết cùng danh mục
Danh mục bài viết
- Juniper
- Tài Nguyên LAB
- Wireshark
- FeedBack
- Multicast lab
- Security Infa
- Checkpoint
- Lab OSPF
- Router Logging
- LAB CCNA CCNP CÓ GIẢI
- DMVPN
- Mikrotik
- MPLS
- PFSENSE
- DUMP CCNA
- Điều khoản
- F5 LTM
- MONITOR NETWORK
- TOOL HỌC CCNA
- TƯ VẤN KHÓA HỌC
- PYTHON SCRIPT HỮU ÍCH
- IPv6
- Quality of Service
- QoS
- VXLAN
- SDWAN
- ISE
- Fortigate
- BGP
- MINH HỌA KHÁI NIỆM TRONG CCNA
- Bài tập CCNA CCNP (support Học viên)
- Phỏng vấn IT chứng khoán
- Layer2 CCNA
- Bài tập thiết kế mạng CCNA
- Linux
- EEM SCRIPT
- ASA LAB
- DHCP
- NEXUS
- Giao thức IS IS
- ANSIBLE
- PALO ALTO
- ARUBA SWITCH
- CÂU HỎI TỪ ĐỀ THI THẬT
- CEH cho network admin
- CCNA HIỆU ỨNG ĐỘNG