Cấu hình quay số PPPoE trên Firewall Cisco ASA

Thảo luận trong 'Firewall Cisco' bắt đầu bởi baoit, 8/1/18.

  1. baoit

    baoit New Member

    Cấu hình quay số PPPoE trên Firewall Cisco ASA
    1. Mô hình

    upload_2018-1-8_14-7-29.png
    2. Yêu cầu:
    - Cấu hình PPPoE để kết nối được với ISP. Sử dụng IP tĩnh 123.30.40.58 để gán cho Interface kết nối trực tiếp tới ISP
    - Cấu hình các thông số mạng cơ bản (IP, Network Object, Access-List, Access-Group)
    - Cấu hình NAT(inside,outside) để bên trong nội bộ truy cập ra ngoài.
    - Cấu hình NAT(dmz,outside) để public website, khi bên ngoài truy cập http vào địa chỉ 123.30.40.59 thì sẽ vào được server website 192.168.2.20 đặt ở DMZ.

    3. Cấu hình PPPoE ASA 5525
    - Cấu hình các thông số: username, password, authen….
    ciscoasa(config)#vpdn group FTP-DIALER-GROUP request dialout pppoe

    ciscoasa(config)#vpdn group FTP-DIALER-GROUP localname sgfdl-111111-222

    ciscoasa(config)#vpdn group FTP-DIALER-GROUP ppp authentication chap

    ciscoasa(config)#vpdn username sgfdl-111111-222 password d111111222 store-local

    - Gán các thông số vừa tạo vào Interface kết nối với ISP
    ciscoasa(config)#interface GigabitEthernet0

    ciscoasa(config-if)#pppoe client vpdn group FTP-DIALER-GROUP

    - Enable PPPoE trên interface kết nối với ISP
    + Cấu hình interface nhận IP động từ ISP
    ciscoasa(config#interface GigabitEthernet0

    ciscoasa(config-if)#ip address pppoe setroute

    + Cấu hình đặt IP tĩnh cho interface
    Giả sử bạn có dãy địa chỉ IP từ 123.30.40.58 đến 123.30.40.62, địa chỉ IP 123.30.40.57 được ISP sử dụng gán cho Interface mà kết nối trực tiếp đến outside network của bạn.
    • Địa chỉ 123.30.40.58 gán cho Interface g0 trên ASA
    • Địa chỉ 123.30.40.59 sử dụng làm IP public cho server web, khi bên ngoài truy cập http vào địa chỉ 123.30.40.59 thì ASA sẽ chuyển đến server web 192.168.2.20 được đặt ở vùng DMZ.
    ciscoasa(config)#interface GigabitEthernet0

    ciscoasa(config-if)#ip address 123.30.40.58 255.255.255.248 pppoe setroute

    Tham số setroute sẽ tự động thiết lập đường default route cho bạn
    Xem lại thông tin định tuyến như sau:
    ciscoasa# show route

    C 192.168.1.0 255.255.255.0 is directly connected, inside

    C 192.168.2.0 255.255.255.0 is directly connected, dmz

    S* 0.0.0.0 0.0.0.0 [1/0] via 123.30.40.57, outside

    4. Cấu hình IP, Network Object, Access-List, Access-Group, NAT.
    -     Cấu hình ip, nameif, security-level cho các interface kết nối trên ASA.
    interface GigabitEthernet0

    nameif outside

    security-level 0

    ip address 123.30.40.58 255.255.255.255 pppoe setroute

    !

    interface GigabitEthernet1

    nameif inside

    security-level 100

    ip address 192.168.1.1 255.255.255.0

    !

    interface GigabitEthernet2

    nameif dmz

    security-level 70

    ip address 192.168.2.1 255.255.255.0

    !

    -Cấu hình các Object Network:
    object network WWW-SERVER

    host 192.168.2.20

    object network WWW-SERVER-external-ip

    host 123.30.40.59

    object network INSIDE-SUBNET

    subnet 192.168.1.0 255.255.255.0

    object network DMZ-SUBNET

    subnet 192.168.2.0 255.255.255.0

    - Cấu hình ACL, gán ACL vào interface
    ciscoasa# show running-config access-list
    access-list Outside_access_in extended permit icmp any any
    access-list Outside_access_in extended permit tcp any object WWW-SERVER eq www
    access-list Outside_access_in extended permit tcp any object WWW-SERVER eq telnet

    + Gán ACL vào interface
    access-group Outside_access_in in interface outside

    - Cấu hình NAT

    object network INSIDE-SUBNET

    nat (inside,outside) dynamic interface

    object network WWW-SERVER

    nat (dmz,outside) static WWW-SERVER-external-ip
     
    baoit, 8/1/18
    #1
  2. thoivo

    thoivo Member

    Cấu hình PPPoE cho tường lửa Firewall Cisco ASA

    Tường lửa Cisco ASA lý tưởng cho kết nối truy cập Internet Băng thông rộng vì nó cung cấp khả năng bảo vệ an ninh mạng hiện đại và vững chắc.

    Đặc biệt đối với doanh nghiệp nhỏ mẫu ASA 5505, 5506, 5508 lý tưởng cho kết nối truy cập FTTx băng thông rộng.

    Một số ISP cung cấp quyền truy cập Point to Point qua Ethernet, được viết tắt là PPPoE. Dòng Cisco ASA 5500 hỗ trợ giao thức PPPoE như chúng ta có thể thấy bên dưới.
    Sơ đồ:
    [​IMG]
    Theo Hình trên, giả định như sau:
    • Dải địa chỉ IP nội bộ là 192.168.1.0 / 24
    • Có một modem/converter phía trước Tường lửa được kết nối với ISP
    • ISP cung cấp địa chỉ công khai (public) cho ASA qua PPPoE
    • ASA kết nối với modem bằng Ethernet 0/0 (E0 / 0)
    • ASA kết nối với mạng nội bộ bằng Ethernet 0/1 (E0 / 1)
    • Có NAT được thực hiện trên ASA để dịch các địa chỉ cá nhân nội bộ sang địa chỉ công cộng do ISP cung cấp
    • ASA hoạt động như một máy chủ DHCP để cung cấp 32 địa chỉ cho các máy chủ nội bộ.
    Cấu hình mẫu trên Firewall Cisco ASA như bên dưới:

    ASA Version 7.2(2)
    !
    hostname ciscoasa
    domain-name default.domain.invalid
    enable password * encrypted
    names
    !
    interface Vlan1
    nameif inside
    security-level 100
    ip address 192.168.1.254 255.255.255.0
    !
    interface Vlan2
    nameif outside
    security-level 0
    pppoe client vpdn group ATT
    ip address pppoe setroute
    !
    interface Ethernet0/0
    switchport access vlan 2
    !
    interface Ethernet0/1
    !
    interface Ethernet0/2
    !
    interface Ethernet0/3
    !
    interface Ethernet0/4
    !
    interface Ethernet0/5
    !
    interface Ethernet0/6
    !
    interface Ethernet0/7
    !
    passwd * encrypted
    ftp mode passive
    dns server-group DefaultDNS
    domain-name default.domain.invalid
    access-list inside_access_out extended permit ip any any
    pager lines 24
    logging enable
    logging asdm informational
    mtu inside 1500
    mtu outside 1492
    icmp unreachable rate-limit 1 burst-size 1
    asdm image disk0:/asdm-522.bin
    no asdm history enable
    arp timeout 14400
    ! đối với các lệnh nat sau, hãy xem ghi chú ở cuối
    global (outside) 1 interface
    nat (inside) 1 0.0.0.0 0.0.0.0
    access-group inside_access_out in interface inside
    timeout xlate 3:00:00
    timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
    timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
    timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
    timeout uauth 0:05:00 absolute
    http server enable
    http 192.168.1.0 255.255.255.0 inside
    no snmp-server location
    no snmp-server contact
    snmp-server enable traps snmp authentication linkup linkdown coldstart
    telnet timeout 5
    ssh timeout 5
    console timeout 0
    vpdn group ATT request dialout pppoe
    vpdn group ATT localname [ENTER ISP USERNAME HERE]
    vpdn group ATT ppp authentication chap [or PAP, depends on your ISP settings]
    vpdn username [ENTER ISP USERNAME HERE] password [ENTER ISP PASSWORD HERE]
    dhcpd auto_config outside
    !
    dhcpd address 192.168.1.1-192.168.1.32 inside
    dhcpd dns [ENTER ISP DNS ADDRESS HERE] interface inside
    dhcpd enable inside
    !
    !
    class-map inspection_default
    match default-inspection-traffic
    !
    !
    policy-map type inspect dns preset_dns_map
    parameters
    message-length maximum 512
    policy-map global_policy
    class inspection_default
    inspect dns preset_dns_map
    inspect ftp
    inspect h323 h225
    inspect h323 ras
    inspect rsh
    inspect rtsp
    inspect esmtp
    inspect sqlnet
    inspect skinny
    inspect sunrpc
    inspect xdmcp
    inspect sip
    inspect netbios
    inspect tftp

    Hãy nhớ định cấu hình Bên ngoài MTU thành 1492 vì có thêm 8 byte được sử dụng bởi PPPoE.

    Chú ý: Đối với ASA phiên bản 8.3 trở lên
    Từ phiên bản ASA sau 8.3, các lệnh NAT được thay đổi như sau:

    object network obj_any
    subnet 0.0.0.0 0.0.0.0
    nat (inside,outside) dynamic interface

    Chúc các bạn thành công!
     
    thoivo, 30/5/21
    #2

trang này