CCNA Cấu hình dự phòng có firewall ASA

by HaiNguyen -IT | 17/06/2022 | Lượt xem: 5672

Sơ đồ mạng:

Tải bài lab ở đây

YYêu cầu:

- Từ VPC ping thông được ra ngoài 8.8.8.8 (trên router R8)

- Có firewall ASA ngăn cách LAN và bên ngoài ISP

- Một trong hai core switch, hoặc firewall ASA down thì traffic vẫn chạy được

THIẾT KẾ:

- Trước khi cấu hình ta cần xác định gateway của VPC là 2 Core-Switch

- Do có 2 core switch nên ta sẽ chạy giao thức gì để dự phòng, sao cho ở ngoài nhìn vào chỉ thấy 1 IP duy nhất ? => có thể chọn VRRP, HSRP, Stacking, VPC (nếu là nexus), VSS….=> trong bài lab ta chọn VRRP.

-> Còn mặt WAN nên ngoài ta sẽ đấu lên firewall : mỗi switch sẽ đấu lên 2 firewall

 

- Về phần firewall: do có 2 firewall nên ta chạy giao thức gì để ở ngoài nhìn vào chỉ thấy chung 1 IP thôi ?? => dùng cluster , hãng nào cũng hỗ trợ cluster. => Ở đây ta demo bằng ASA (trên eve-ng, chỉ hỗ trợ mode active-standby)

-> Để chạy được cluster thì đoạn từ ASA nối ra ISP, ta dùng switch_wan để Router-ISP nhìn vào firewall chỉ thấy 1 IP duy nhất.

 

Bước 1: Cấu hình trên switch access

- Tạo vlan 100

- Cho cổng nối xuống PC vào mode access vlan 100 như mô hình

- Cho tất cả các cổng nối lên switch Core vào mode trunk

Bước 2: Cấu hình trên switch Core

- Bật lệnh “ip routing”, trên IOS 15.7 EVE-NG đã mặc định enable rồi,=>ta vẫn bật cho chắc.

MẶT LAN:

- Tạo vlan 100

- Cho các cổng nối xuống switch_lan vào mode trunk

- Tạo interface vlan 100 , sau đó cấu hình VRRP

 

Core switch 1

Core switch 2

VRRP

Interface vlan 100

192.168.1.2

192.168.1.3

192.168.1.10

 

MẶT WAN:

- Trên 2 core sw đặt static route đi ra internet qua IP của ASA (sẽ cấu hình bước bên dưới) 

- Core-Sw-01: đi ra ngoài qua IP Gi0/0 của ASA (10.1.200.1)

- Core-Sw-02: đi ra ngoài qua IP Gi0/2 của ASA (10.1.250.1)

 - Cho các cổng WAN e0/1,e0/2 của core-sw01 vào vlan 200, mode access

- Và e0/1,e0/2 của core-sw02 vào vlan 250  , cũng mode access. rồi đặt IP cho interface vlan 200, 250 như quy hoạch trên mô hình.

Bước 3: Cấu hình trên ASA

Ta thiết kế ASA04 làm active và ASA03 làm standby. ASA02 sẽ không cần đặt IP gì cả, mọi cấu hình sẽ được đồng bộ từ ASA01 xuống.

- Cấu hình trên ASA04: (ASA03 không cần làm gì, sẽ tự nhận cấu hình sau)

-> Đặt IP và các nameif cho cổng gi0/0 và gi0/2 (không đặt gì cho cổng Gi0/1 giữa 2 asa, chỉ cần no shutdown)

Gi0/0:10.1.200.1 -zone INSIDE

Gi0/2:10.1.250.1 -zone INSIDE1

Gi0/3:200.200.200.1 -zone OUTSIDE

-> Cấu hình failover:

Trên ASA 04:

failover lan unit primary

failover lan interface HA GigabitEthernet0/1

failover interface ip HA 1.1.1.1 255.255.255.252 standby 1.1.1.2 ##Đây là IP nối giữa 2 firewall

failover

Trên ASA03:

failover lan unit secondary

failover lan interface HA GigabitEthernet0/1

failover interface ip HA 1.1.1.1 255.255.255.252 standby 1.1.1.2 ##Giống hệt lệnh này trên ASA01

failover

-> Khai route từ ASA ra internet qua ISP :

route outside 0.0.0.0   0.0.0.0  200.200.200.10

-> Khai route từ ASA vào mạng LAN :

route inside 192.168.1.0 255.255.255.255.0 10.1.200.10 ##route chính

route inside 192.168.1.0 255.255.255.255.0 10.1.250.10 5 ##route dự phòng

 

-> Cho phép icmp được ping từ trong ra

policy-map global_policy

 class inspection_default

  inspect icmp

 

Bước 4: Cấu hình trên Router

-> Đặt IP cho cổng e0/0 200.200.200.10/24

-> Trỏ route về dải LAN qua ASA Gi0/3

-> Tạo loopback0 có IP là 8.8.8.8

 

Bước 5: Check ping từ VPC ra 8.8.8.8, sau đó down 1 firewall và 1 coreswitch đi , check thấy ping vẫn OK

 

Tham khảo khóa học CCNA cấp tốc nếu bạn vẫn chưa tự tin khi gặp các bài dạng này.

Bài viết cùng danh mục
Chia sẻ
Danh mục bài viết
Bài viết nổi bật
Bài viết mới nhất