Cisco ASA Firewall là gì?
Firewall ASA (Adaptive Security Appliance) là một sản phẩm của Cisco, được thiết kế để cung cấp giải pháp bảo mật mạng toàn diện. Nó kết hợp nhiều chức năng bảo mật như tường lửa, VPN, IPS, và nhiều tính năng khác trong một thiết bị duy nhất.
Firewall ASA giúp kiểm soát và giám sát lưu lượng mạng, ngăn chặn các tấn công mạng, bảo vệ dữ liệu quan trọng, và tạo ra một môi trường mạng an toàn. Nó hỗ trợ nhiều giao thức và quy tắc cấu hình linh hoạt, cho phép người quản trị tùy chỉnh cấu hình theo yêu cầu cụ thể.
Các dòng Firewall Cisco ASA có các kiểu sau:
- Cisco ASA 5506
- Cisco ASA 5508
- Cisco ASA 5516
- Cisco ASA 5525-X
- Cisco ASA 5540
- Cisco ASA 5550
- Cisco ASA 5580-20
- Cisco ASA 5580-40
Cấu hình mô hình mạng công ty đơn giản
Mô hình
Chuẩn bị mô hình trên EVE-NG như sau (bạn cần ASA version 8 trở lên mới cấu hình được LACP)
Mục tiêu
- Cấu hình trunking, access giữa các switch LAN và switch Core
- Cấu hình int vlan 100 và 200 trên switch core, và cấu hình VRRP mỗi switch master 1 vlan
- Cấu hình LACP giữa ASA và switch WAN, đặt IP cho Po1 của ASA là 10.1.2.10
- Cho int e0/0 của coresw1 và coresw2 vào vlan 300, rồi đặt int vlan 300 có IP 10.1.2.1 và 10.1.2.2
- Cấu hình NAT overload trên ASA để nat dải 192.168.1.0 và 192.168.2.0 ra internet
- Cloud internet là NAT (cloud 0 của eve)
Cấu hình
sw_LAN5:
interface Ethernet0/0
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/1
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/2
switchport access vlan 100
switchport mode access
sw_LAN6:
interface Ethernet0/0
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/1
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/2
switchport access vlan 200
switchport mode access
Core_sw1:
interface Ethernet0/0
switchport access vlan 300
switchport mode access
!
interface Ethernet0/1
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/2
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Vlan100
ip address 192.168.1.10 255.255.255.0
vrrp 1 ip 192.168.1.1
vrrp 1 priority 110
!
interface Vlan200
ip address 192.168.2.10 255.255.255.0
vrrp 1 ip 192.168.2.1
!
interface Vlan300 ##hướng lên ASA
ip address 10.1.2.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.2.10 ###route qua ASA
Core_sw2:
interface Ethernet0/0
switchport access vlan 300
switchport mode access
!
interface Ethernet0/1
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/2
switchport trunk allowed vlan 100,200
switchport trunk encapsulation dot1q
switchport mode trunk
!
interface Ethernet0/3
!
interface Vlan100
ip address 192.168.1.20 255.255.255.0
vrrp 1 ip 192.168.1.1
!
interface Vlan200
ip address 192.168.2.20 255.255.255.0
vrrp 1 ip 192.168.2.1
vrrp 1 priority 110
!
interface Vlan300 ##hướng lên ASA
ip address 10.1.2.2 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.1.2.10 ###route qua ASA
Sw_WAN:
- Cho tất cả các port vào mode access vlan 300
- Cho 2 port e0/0 và e0/1 vào LACP
ASA:
## LACP
interface Ethernet0
channel-group 1 mode active
!
interface Ethernet1
channel-group 1 mode active
!
interface Port-channel1
nameif INSIDE
security-level 100
ip address 10.1.2.10 255.255.255.0
!
interface Ethernet2
nameif outside
security-level 0
ip address 192.168.200.10 255.255.255.0
!
## Cấu hình NAT overload
object network LAN1
subnet 192.168.1.0 255.255.255.0
object network LAN2
subnet 192.168.2.0 255.255.255.0
object network LAN1
!
nat (INSIDE,outside) dynamic interface
object network LAN2
nat (INSIDE,outside) dynamic interface
## Allow ICMP để ping ra net
policy-map global_policy
class inspection_default
inspect icmp
!
## Route về dải LAN
route INSIDE 192.168.1.0 255.255.255.0 10.1.2.1
route INSIDE 192.168.2.0 255.255.255.0 10.1.2.2
## Route ra internet
route outside 0.0.0.0 0.0.0.0 192.168.200.50
Kiểm tra
- Từ ASA: ping 8.8.8.8
- Từ VPC: ping 8.8.8.8
- Show NAT trên ASA: show xlate