Hướng dẫn cấu hình Firewall Cisco ASA mode Transparent
Bài viết này sẽ giúp các bạn hiểu Chế độ Transparent trong Tường lửa cisco ASA và cách cấu hình Firewall Cisco ASA. Hướng dẫn này áp dụng với các thiết bị tường lửa Cisco ASA5506 ASA5510 ASA5512 ASA5515 ASA5520 ASA5525 ASA5540 ASA5545 ASA5550 ASA5555 ASA5580...
Lợi ích của mode Transparent
- Không thay đổi dải địa chỉ IP, mô hình mạng hiện tại
- Các giao thức định tuyến có thể đi qua firewall
- Các giao thức HSRP, VRRP, GLBP... có thể đi qua Firewall
- Các traffic Non-IP như IPX, MPLS, BPDUs... được cho phép qua firewall
- Multicast streams có thể đi qua Firewall
Đặc điểm chính của Mode Transparent
- Chế độ tường lửa transparent chỉ hỗ trợ hai giao diện (inside và outside)
- Tường lửa kết nối các gói từ Vlan này sang Vlan khác thay vì định tuyến chúng.
- Tra cứu MAC được thực hiện thay vì tra cứu bảng định tuyến.
- Có thể chạy một hoặc nhiều tường lửa.
- Một địa chỉ IP quản lý được yêu cầu trên ASA.
- Địa chỉ IP quản lý phải nằm trong cùng mạng con với mạng được kết nối.
- Mỗi giao diện của ASA phải là một giao diện Vlan khác nhau.
- Mặc dù thiết bị hoạt động như một cầu nối lớp 2, lưu lượng lớp 3 không thể đi qua firewall từ cấp độ bảo mật thấp hơn đến giao diện cấp độ bảo mật cao hơn.
- Tường lửa có thể cho phép mọi lưu lượng truy cập thông qua bằng cách sử dụng Access List (ACL).
Các tính năng không được hỗ trợ trong mode Transparent
- DHCP Relay - firewall transparent có thể hoạt động như một máy chủ DHCP, nhưng nó không hỗ trợ các lệnh chuyển tiếp DHCP.
- Các giao thức định tuyến động sẽ không được phép, tuy nhiên có thể sử dụng các tuyến tĩnh cho lưu lượng truy cập bắt nguồn từ ASA
- Định tuyến IP Multicast
- QoS
- VPN termination - firewall transparent hỗ trợ các đường hầm VPN tại chỗ chỉ dành cho các kết nối quản lý và không dành cho các kết nối không quản lý.
Mô hình triển khai Firewall mode Transparent
Các bước cấu hình Cisco ASA mode Transparent
Bước 1: Chuyển Firewall sang mode Transparent
ciscoasa# conf t
ciscoasa(config)# firewall transparent |
|
Bước 2: Gán các cổng vào các vlan
ciscoasa(config)# interface Ethernet 0/0
ciscoasa(config-if)# switchport access vlan 10
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# interface Ethernet 0/1
ciscoasa(config-if)# switchport access vlan 20
ciscoasa(config-if)# no shutdown |
Bước 3: Cấu hình interface vlan và gán các vlan vào chung 1 bridge-group
ciscoasa(config-if)# interface vlan 10
ciscoasa(config-if)# nameif outside
INFO: Security level for “outside” set to 0 by default.
ciscoasa(config-if)# bridge-group 1
ciscoasa(config-if)# interface vlan 20
ciscoasa(config-if)# nameif inside
INFO: Security level for “inside” set to 100 by default.
ciscoasa(config-if)# bridge-group 1 |
Bước 4: Cấu hình IP management thông qua Bridge Virtual Interface (BVI)
ciscoasa(config-if)# interface bvi 1
ciscoasa(config-if)# ip address 192.168.0.10 |
Như vậy là chúng ta đã cấu hình xong Firewall Cisco ASA mode transparent. Các bước tiếp theo tùy thuộc vào mô hình mạng của từng công ty, chúng ta sẽ cấu hình các dịch vụ tương ứng.
Switch
.png){kind=icon}
.png){kind=logo}
.jpg)
.png){kind=logo}
![[Cisco] Hướng dẫn Cấu hình và quản lý Stack Switch Cisco](https://cnttshop.vn//storage/bai%20viet/cisco/config-stack-switch-cisco-min.jpg "[Cisco] Hướng dẫn Cấu hình và quản lý Stack Switch Cisco")
![[Cisco] Hướng dẫn cài ASDM Cisco ASA](https://cnttshop.vn//storage/bai%20viet/cisco/Cisco-ASA/ASDM/ASA-installation-ASDM-5.jpg "[Cisco] Hướng dẫn cài ASDM Cisco ASA")
![[Cisco] Hướng dẫn Active License Router Cisco](https://cnttshop.vn//storage/bai%20viet/cisco/active-license-router-cisco-irs4000-min.jpg "[Cisco] Hướng dẫn Active License Router Cisco")
![[CISCO] Activating Throughput License on Router Cisco ISR4000 Series](https://cnttshop.vn//storage/bai%20viet/cisco/active-license-throughput-min.jpg "[CISCO] Activating Throughput License on Router Cisco ISR4000 Series")
![[CISCO] Hướng dẫn cấu hình Remote Access VPNs (ASDM)](https://cnttshop.vn//storage/bai%20viet/cisco/Cisco-ASA/VPN-ASA/remote%20access%20.jpg "[CISCO] Hướng dẫn cấu hình Remote Access VPNs (ASDM)")
Bình luận bài viết!
Nếu bạn muốn bỏ hết các interface khỏi group BVI1, bạn có thể vào trực tiếp interface rồi bỏ access vào BVI1 nhé:
ciscoasa(config-if)#no bridge-group 1
Nếu các cổng của anh là Layer 3 thì anh tạo Subinterface trên cổng rồi đặt IP cho cổng đó nhé.